企業內網的服務器都存有企業的重要信息,包括CRM用戶信息、技術資料等。所以內網服務器的信息安全是企業網絡管理的重點。內網服務器不但面臨外來的***,也會受到來自內部的***。在本文中,我將介紹如何用WFilter NGF的***防禦模塊來保護內網服務器。網絡結構圖如下:
WFilter NGF用網橋部署模式,接在內網和服務器網段以及互聯網之間,既可以做外網上網行爲管理,又可以保護服務器網段。
1. 開啓***防禦
開啓***防禦功能,並且對內網***設置爲“僅記錄日誌”。
2. 對服務器網段進行網絡掃描
網絡***的第一步首先需要進行網絡掃描,根據掃描的結果再進行下一步的***。如下圖,在kali_linux中,用metasploit中db_nmap命令對服務器的IP進行網絡掃描;可以看到服務器的開放端口、軟件版本等信息。
在***檢測模塊和事件查看器中,可以看到***事件。如果開啓了告警事件轉發,還可以把告警事件轉發到管理員郵箱。
3. 記錄內網***的日誌並封鎖IP
默認的配置下,***防禦只記錄內網***的事件,並不會禁止該內網IP;您可以根據該事件記錄到終端上去查證覈實後處理。如果您的服務器安全要求比較高,可以把“內網***”設置爲“記錄日誌並封鎖ip“。這樣配置後,一旦檢測到***,就會立刻封鎖該IP。如圖:
我們再用kali_linux來掃描一下。掃描前先ping服務器是通的。如圖:
執行掃描後,服務器就ping不通了,而且掃描出來的信息少了很多(因爲WFilter一檢測到掃描就封鎖了IP,導致後續的掃描不能繼續下去)
在WFilter的”***檢測“中,可以看到該IP被封鎖的操作記錄。
經過上述配置,就可以有效的對內網服務器進行實時保護,從而避免服務器被內外網惡意***。