論簡(jiǎn)易實(shí)現(xiàn)的防止違規(guī)外聯(lián)方法

王輝煌

摘要：外網(wǎng)指互聯(lián)網(wǎng)，內(nèi)網(wǎng)指企業(yè)內(nèi)網(wǎng)。外網(wǎng)計(jì)算機(jī)未經(jīng)許可接入內(nèi)網(wǎng)，內(nèi)網(wǎng)計(jì)算機(jī)非法連接外網(wǎng)都屬于違規(guī)外聯(lián)。本文對(duì)此做處理分析和解決方法。

一、非法接入：外網(wǎng)計(jì)算機(jī)未經(jīng)許可接入內(nèi)網(wǎng)網(wǎng)絡(luò)。

二、非法外聯(lián)：內(nèi)網(wǎng)計(jì)算機(jī)連接外網(wǎng)（斷開(kāi)內(nèi)網(wǎng)連接外網(wǎng)或者同時(shí)連接內(nèi)外網(wǎng)絡(luò)）。違規(guī)外聯(lián)的常見(jiàn)具體表現(xiàn)形式：

1、個(gè)人筆記本、臺(tái)式機(jī)未經(jīng)許可私自接入內(nèi)網(wǎng)。2、內(nèi)網(wǎng)計(jì)算機(jī)斷開(kāi)內(nèi)網(wǎng)接入外網(wǎng)。3、內(nèi)網(wǎng)計(jì)算機(jī)通過(guò)無(wú)線網(wǎng)卡等同時(shí)連接內(nèi)外網(wǎng)。

違規(guī)外聯(lián)使原本封閉的系統(tǒng)環(huán)境暴露在互聯(lián)網(wǎng)之中，內(nèi)部網(wǎng)絡(luò)將面臨病毒、木馬、非授權(quán)訪問(wèn)、數(shù)據(jù)泄密、數(shù)據(jù)篡改等多種安全威脅。對(duì)電力企業(yè)而言，危害更甚，2013年伊朗“震網(wǎng)”大停電，2015年烏克蘭電網(wǎng)攻擊事件，2020年巴西電力公司、歐洲EDP公司遭勒索軟件攻擊都是前車之鑒。“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”，網(wǎng)絡(luò)安全的重要性毋庸置疑。但是，我們很多的企業(yè)在網(wǎng)絡(luò)安全層面沒(méi)有相應(yīng)的技術(shù)與設(shè)備，這個(gè)時(shí)候企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)物理隔離就是保障內(nèi)網(wǎng)安全的一道性命攸關(guān)的“防火墻”，而違規(guī)外聯(lián)就是這道“防火墻”最大的漏洞，本文介紹的防止違規(guī)外聯(lián)的方法簡(jiǎn)單易行，值得推廣。

針對(duì)違規(guī)外聯(lián)中外部設(shè)備非法接入，我們可以通過(guò)內(nèi)網(wǎng)交換機(jī)ARP-static或IP-MAC-interface-vlan綁定，acl與QOS策略限流等技術(shù)手段，防止外部設(shè)備在沒(méi)有授權(quán)的情況下，隨意加入到內(nèi)網(wǎng)當(dāng)中，杜絕IP地址被盜用出現(xiàn)網(wǎng)絡(luò)安全威脅的情況。這里以最簡(jiǎn)單的靜態(tài)IP-MAC綁定為例，介紹如何防止外部設(shè)備非法接入內(nèi)網(wǎng)。

如果公司使用的是思科交換機(jī)，則應(yīng)在特權(quán)模式先作如下類似配置Cisco(config)# arp X.X.X.X H-H-H? arpa

經(jīng)測(cè)試新連接一臺(tái)設(shè)備192.168.1.6，無(wú)法連接公司內(nèi)網(wǎng)，實(shí)現(xiàn)外部設(shè)備在沒(méi)有授權(quán)情況下無(wú)法連接公司內(nèi)網(wǎng)。

針對(duì)違規(guī)外聯(lián)中非法外聯(lián)，內(nèi)網(wǎng)計(jì)算機(jī)連接外網(wǎng)，常用且有效的方法就是在內(nèi)網(wǎng)終端安裝違規(guī)外聯(lián)防護(hù)軟件，一旦監(jiān)測(cè)內(nèi)網(wǎng)終端訪問(wèn)到互聯(lián)網(wǎng)，立即阻斷網(wǎng)絡(luò)，并告警信息回傳至運(yùn)行監(jiān)測(cè)中心。但是這種方案成本較高。本文介紹一種利用Windows系統(tǒng)IP篩選器（Windows系統(tǒng)家庭版及部分簡(jiǎn)易系統(tǒng)未安裝本地IP安全策略，可自行安裝，或者對(duì)系統(tǒng)進(jìn)行升級(jí)），通過(guò)配置IP篩選器，禁用內(nèi)網(wǎng)終端訪問(wèn)外部網(wǎng)絡(luò)，實(shí)現(xiàn)內(nèi)網(wǎng)終端無(wú)法外聯(lián)的方法。

外網(wǎng)屬性與內(nèi)網(wǎng)屬性最明顯的區(qū)別在于網(wǎng)段屬性，無(wú)論在IPv6協(xié)議標(biāo)準(zhǔn)下，還是在目前IPv4協(xié)議標(biāo)準(zhǔn)下，內(nèi)、外網(wǎng)的使用的是不同網(wǎng)段，這一特征都存在。外網(wǎng)使用的是公網(wǎng)IP網(wǎng)段，而內(nèi)網(wǎng)使用的是私網(wǎng)IP網(wǎng)段，利用這個(gè)特征，通過(guò)配置計(jì)算機(jī)終端本地IP篩選器，放行內(nèi)網(wǎng)IP數(shù)據(jù)流，同時(shí)阻斷內(nèi)網(wǎng)計(jì)算機(jī)訪問(wèn)外網(wǎng)，就可以阻斷內(nèi)網(wǎng)計(jì)算機(jī)非法外聯(lián)。一個(gè)Windows終端只能同時(shí)運(yùn)行一個(gè)IP安全策略，但是一個(gè)IP安全策略可以同時(shí)運(yùn)行多個(gè)IP篩選器。IP篩選器操作中“permit”優(yōu)先級(jí)高于“deny”，即當(dāng)一個(gè)IP網(wǎng)段在一個(gè)運(yùn)行的IP安全策略內(nèi)，被一個(gè)IP篩選器阻止，但是被另一個(gè)IP篩選器放行時(shí)，最終本策略還是放行該IP網(wǎng)段的流量。這樣我們就可以配置兩個(gè)IP篩選器，一個(gè)篩選器“deny”阻止所有網(wǎng)絡(luò)IP流量，另一IP篩選器“permit”放行某公司10.0.0.0-10.255.255.255（掩碼8位）、和192.168.0.0-192.168.255.255（掩碼16位）私網(wǎng)地址的內(nèi)網(wǎng)流量，實(shí)現(xiàn)內(nèi)網(wǎng)終端無(wú)法訪問(wèn)訪問(wèn)外網(wǎng)，但是訪問(wèn)內(nèi)網(wǎng)絡(luò)卻不受任何限制。

企業(yè)內(nèi)網(wǎng)多使用私網(wǎng)地址中的某段或多段，現(xiàn)以某某公司為例，該公司使用10.0.0.0-10.255.255.255、192.168.0.0-192.168.255.255這兩個(gè)網(wǎng)段私網(wǎng)地址作為企業(yè)內(nèi)網(wǎng)，我們通過(guò)配置IP篩選器阻斷公網(wǎng)地址，放行10.0段、192.168段私網(wǎng)地址，阻斷內(nèi)網(wǎng)計(jì)算機(jī)終端側(cè)非法外聯(lián)。

具體配置如下：打開(kāi)電腦，快捷鍵“Win+R”，輸入“secpol.msc”點(diǎn)擊回車快速進(jìn)入并創(chuàng)建一個(gè)本地名字為“防違規(guī)外聯(lián)”的本地安全策略。

接著，添加IP篩選器并重命名，選擇IP流量源和目的地址，這里我們選擇“任何IP地址”，接著，選中我們新增的禁用所有網(wǎng)絡(luò)IP篩選器，為篩選器選擇操作，這里選擇“no”，點(diǎn)擊“編輯”，確定篩選器操作的是“阻止”，點(diǎn)擊確定,這樣就完成禁用所有網(wǎng)絡(luò)IP的篩選器設(shè)置了。

再次添加IP篩選器并設(shè)置篩選器操作，放行公司私網(wǎng)10.0.0.0-10.255.255.255、192.168.0.0-192.168.255.255地址，確定篩選器操作是“許可”，點(diǎn)擊“應(yīng)用”。這樣就完成“防違規(guī)外聯(lián)”IP安全策略的配置，接著選中它，分配即可。

經(jīng)測(cè)試，達(dá)到預(yù)期目的，可以訪問(wèn)公司內(nèi)網(wǎng)地址10.0.0.0-10.255.255.255、192.168.0.0-192.168.255.255地址沒(méi)有任何問(wèn)題，無(wú)法訪問(wèn)外網(wǎng)。

對(duì)沒(méi)有使用私網(wǎng)192段私網(wǎng)地址地址段的企業(yè)內(nèi)網(wǎng)，我們可以在IP篩選器中禁用192段私網(wǎng)地址即可實(shí)禁止現(xiàn)內(nèi)網(wǎng)計(jì)算機(jī)的非法外聯(lián)，這是因?yàn)槭苤朴贗Pv4地址資源不足問(wèn)題，運(yùn)行商網(wǎng)絡(luò)在存在多層NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換),我們末端局域網(wǎng)設(shè)備（路由器、無(wú)線網(wǎng)卡、360WiFi等），在和外網(wǎng)通信時(shí)獲取到的地址是192段私網(wǎng)地址中的某個(gè)IP，我們?cè)趦?nèi)網(wǎng)計(jì)算機(jī)上禁用這一地址段，即可在最初的NAT網(wǎng)絡(luò)層阻斷設(shè)備與運(yùn)營(yíng)商網(wǎng)絡(luò)設(shè)備的通信，阻斷非法外聯(lián)。

另外，綜合考慮本機(jī)NAT對(duì)應(yīng)的本地運(yùn)營(yíng)商公網(wǎng)地址，出口路由地址，結(jié)合著IP篩選器內(nèi)IP流量源、IP流量目標(biāo)、相應(yīng)一個(gè)特定DNS名稱等、IP協(xié)議類型，可以給我們的內(nèi)網(wǎng)終端計(jì)算機(jī)量身定做免費(fèi)的“防火墻”。如果企業(yè)內(nèi)網(wǎng)中有很多計(jì)算機(jī)終端時(shí)，一臺(tái)一臺(tái)手動(dòng)配置很浪費(fèi)時(shí)間，我們可以通過(guò)策略導(dǎo)出一個(gè).msc文件，策略導(dǎo)入后分配，來(lái)實(shí)現(xiàn)大批量應(yīng)用。

結(jié)束語(yǔ)：隨著當(dāng)今社會(huì)計(jì)算機(jī)科學(xué)與技術(shù)的迅速發(fā)展,計(jì)算機(jī)所能滿足的工作已不限于文件處理、網(wǎng)絡(luò)瀏覽以及實(shí)時(shí)通訊,當(dāng)今已是互聯(lián)網(wǎng)時(shí)代,對(duì)于企業(yè)來(lái)說(shuō),無(wú)論信息內(nèi)網(wǎng)還是信息外網(wǎng)都已經(jīng)與互聯(lián)網(wǎng)產(chǎn)生密不可分的聯(lián)系,信息共享和大數(shù)據(jù)利用已經(jīng)是當(dāng)今信息發(fā)展的主旋律.企業(yè)雖然實(shí)現(xiàn)了資源共享,但同時(shí)也帶來(lái)了網(wǎng)絡(luò)安全隱患,企業(yè)網(wǎng)絡(luò)逐漸成為黑客攻擊的主要目標(biāo).近年來(lái)諸如勒索病毒等黑客組織日益猖狂,已有很多企業(yè)因網(wǎng)絡(luò)安全事故造成的非常大的經(jīng)濟(jì)損失,因此加強(qiáng)企業(yè)網(wǎng)絡(luò)防護(hù)能力已成為企業(yè)發(fā)展重中之重.

參考文獻(xiàn)(3)

[1]丁春暉.對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建及維護(hù)措施的研究[J].煤炭技術(shù),2014,(1).199-201.

[2]姚擎.計(jì)算機(jī)網(wǎng)絡(luò)安全策略與技術(shù)的研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014,(11).173-173,175.

[3]呂金剛,王永杰,鮮明.計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)分析[J].中國(guó)新通信,2006,(15).21-25.