基于IDF技術(shù)實現(xiàn)違規(guī)外聯(lián)控制探究

葉水勇，王文輝，蔡 翔

(1. 國網(wǎng)黃山供電公司，安徽 黃山 245000； 2. 全球能源互聯(lián)網(wǎng)研究院有限公司，北京 102200；3. 國網(wǎng)安徽省電力公司，安徽 合肥 230022)

目前國家電網(wǎng)對違規(guī)外聯(lián)的檢查與控制主要是通過北信源VRV軟件進行監(jiān)控，對客戶端出現(xiàn)違規(guī)外聯(lián)情況進行記錄并阻斷；無法實現(xiàn)禁止違規(guī)外聯(lián)的要求[1-2]。為防止發(fā)生違規(guī)外聯(lián)事件，信息部門必需通過其他的技術(shù)手段禁止信息內(nèi)網(wǎng)終端利用3G卡、電話撥號、WI-FI非法外聯(lián)。

為了有效地控制和管理公司內(nèi)網(wǎng)計算機訪問外網(wǎng)的“違規(guī)外聯(lián)現(xiàn)象”，本文通過采用基于Office Scan的模塊化入侵防御防火墻IDF進行控制，可降低因為違規(guī)外聯(lián)而導(dǎo)致的內(nèi)部信息外泄及病毒感染等風(fēng)險。

1 過程分析

1.1 原理分析

IDF入侵防護防火墻通過系統(tǒng)底層進行網(wǎng)絡(luò)數(shù)據(jù)包的分析過濾功能；通過在防“違規(guī)外聯(lián)”防火墻策略中，添加相應(yīng)的強制允許策略，僅允許內(nèi)網(wǎng)用戶的IP范圍進行數(shù)據(jù)交互，丟棄將非內(nèi)網(wǎng)IP的數(shù)據(jù)包，從而實現(xiàn)對違規(guī)外聯(lián)的控制[3-4]。

1.2 實現(xiàn)過程

1.2.1 服務(wù)器策略配置

在趨勢控制臺中新建一個“違規(guī)外聯(lián)模板”，將多條防火墻規(guī)則組合成一個模塊部署到客戶端上[5-6]。

1.2.2 客戶端部署

對需要控制違規(guī)外聯(lián)的客戶端，部署“違規(guī)外聯(lián)模板” 。

2 效果展示

2.1 違規(guī)外聯(lián)控制效果

在安裝防“違規(guī)外聯(lián)”防火墻的信息內(nèi)網(wǎng)終端上安裝3G卡，當(dāng)3G卡撥號成功后，終端能夠獲取到公網(wǎng)IP地址。但公網(wǎng)IP地址無法進行網(wǎng)絡(luò)通信，同時IDF在10 s自動終止3G卡的撥號連接[7-8]。測試結(jié)果具體如下。

(1)3G上網(wǎng)卡無法進行有效的數(shù)據(jù)包傳輸。

(2)計算機無法通過3G上網(wǎng)卡訪問互聯(lián)網(wǎng)。

(3)3G上網(wǎng)卡在幾秒鐘后由于數(shù)據(jù)包不阻斷，3G卡自動斷開連接。

(4)對于客戶端通過其他方式(如：無線AP等)訪問互聯(lián)網(wǎng)，IDF也能將其非內(nèi)網(wǎng)數(shù)據(jù)包進行阻斷。

2.2 管理后臺——違規(guī)外聯(lián)控制效果展示

當(dāng)安裝有防“違規(guī)外聯(lián)”防火墻插件的客戶端使用別的非法違規(guī)途徑(如3G上網(wǎng)卡、無線網(wǎng)卡等)訪問外網(wǎng)時將無法與外網(wǎng)進行通信，“插件管理器”控制臺的自動記錄“警報”信息會在后臺顯示[9-10]。

此時登陸到趨勢IDF管理控制臺中，在“防火墻事件”中也會產(chǎn)生相關(guān)的日志信息。

3 結(jié)語

通過防“違規(guī)外聯(lián)”防火墻，可成功阻止信息內(nèi)網(wǎng)計算機違規(guī)連接外網(wǎng)[11-12]。經(jīng)過運行，網(wǎng)絡(luò)安全性得到了加強，使信息內(nèi)網(wǎng)的安全性得到提高，杜絕了違規(guī)外聯(lián)事件，阻斷了公司信息外泄的可能性，對公司整體財產(chǎn)起到安全保護作用。

防“違規(guī)外聯(lián)”防火墻，成功對信息內(nèi)網(wǎng)違規(guī)外聯(lián)事件以及域外文件共享和打印進行了阻斷，實現(xiàn)了信息內(nèi)網(wǎng)安全化、規(guī)范化管理。提高了安全性，有效保障了信息內(nèi)網(wǎng)的安全穩(wěn)定運行。