近年來公安部持續(xù)推出護網行動，以戰(zhàn)養(yǎng)兵，推進關鍵信息基礎設施的安全監(jiān)測、應急響應等保障能力。為積極響應護網行動，做好安全防守工作；本文中，我將結合WSG上網行為管理網關來介紹網絡邊界的安全防護工作。服務器安全、內網安全并不在本文討論的課題內。

WSG對網絡的安全防護，主要包括以下方面：

1. 網關自身的防護。
   

2. 端口映射的防護。

3. 入侵防御和檢測。

1. 網關自身的防護

首先要檢查防火墻的區(qū)域默認策略，外網的“入方向”（外網連接網關）、“轉發(fā)方向”（外網訪問內網）都要設置為“阻止”。如圖：

逐條檢查防火墻策略，尤其是“外網”的“入方向”和“轉發(fā)方向”的策略。對于允許的策略，盡量要設置源IP范圍（不限制源IP的話，攻擊者就可以據此進行攻擊）

WSG的遠程訪問功能一定要檢查下。盡量不要允許外網訪問，如果允許外網訪問則應當限制外網訪問的IP地址。

經過上述步驟后，我們已經堵住了外網攻擊WSG網關的各種途徑。

2. 端口映射的防護

出于工作需要，很多企業(yè)會映射一些內網服務供外網訪問。這些端口映射是內網安全的最大漏洞，攻擊者可以以此為跳板滲透到整個內網。對于端口映射，我們有如下建議：

1. 盡量不要用端口映射，可以先做遠程撥入后再進行訪問。
   

2. 如果做了端口映射，被映射的內網主機要安裝防火墻，并且確保已經打了各項安全補丁。

3. 限制訪問端的IP地址，阻止從其他地區(qū)連入。

4. 避免常用的端口。比如你用默認的3389端口，那么攻擊程序立刻就知道這是遠程桌面服務，從而就可以采用對應的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。

比如公司的外網業(yè)務訪問有固定的IP區(qū)域，可以在“防火墻規(guī)則”中做如下配置：

3. 入侵防御和檢測

企業(yè)由于業(yè)務需要，有些內部服務必須對外網開放。除了在“端口映射的防護”這一小節(jié)中強調的要點之外，還可以開啟“入侵防御”功能，一旦有外網攻擊內部主機。可以檢測并進行阻止。