一些企事業(yè)單位出于工作和安全的需要，希望可以允許局域網(wǎng)內(nèi)的電腦終端訪問互聯(lián)網(wǎng)，但是不允許發(fā)送數(shù)據(jù)到外網(wǎng)。這個需求從理論上來說其實是矛盾的，以Web訪問為例，當(dāng)我們?nèi)ピL問一個網(wǎng)頁的時候，用的是HTTP的GET指令，大概的格式是這樣的：

GET /path/to/resource HTTP/1.1 

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Connection: keep-alive

瀏覽器告訴網(wǎng)站服務(wù)器這些信息：需要訪問的URL地址、域名、瀏覽器種類、壓縮類型、連接類型等。這個頭部的大小在RFC的定義中是2K字節(jié)，這是明文的HTTP方式。如果是HTTPS方式，還需要證書交換，上傳的數(shù)據(jù)大約8K字節(jié)。換句話說，即使只是瀏覽網(wǎng)站，每一次訪問也需要8K的上傳數(shù)據(jù)。所以說，只允許訪問但是不允許任何外發(fā)數(shù)據(jù)，這個需求是自相矛盾的，不能得到真正的實現(xiàn)。

雖然嚴格的完全只訪問不上傳是做不到的，但是我們可以通過限定上傳數(shù)據(jù)的大小來實現(xiàn)這個功能需求。如下圖：

一些企事業(yè)單位為了信息安全的目的，需要在允許終端訪問外網(wǎng)的同時屏蔽一切外發(fā)行為，即只能瀏覽和下載但是不允許外發(fā)和上傳。這個功能是比較專業(yè)的功能，需要專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以實現(xiàn)。以WSG上網(wǎng)行為管理為例，WSG上網(wǎng)行為管理中有個“智能過濾”功能，該功能會檢測所有網(wǎng)絡(luò)連接并且進行統(tǒng)計，一旦發(fā)現(xiàn)上傳的數(shù)據(jù)量超過設(shè)置的閾值，就會禁止這個連接從而屏蔽上傳行為。如下圖所示：

有些單位出于工作目的，需要允許員工訪問百度網(wǎng)盤和百度文庫，但是又要屏蔽員工通過網(wǎng)盤和文庫上傳文件。由于百度旗下網(wǎng)站已經(jīng)全面采用https的方式，傳統(tǒng)的基于IP地址、端口、甚至域名來做過濾，都無法實現(xiàn)這樣的需求。要實現(xiàn)類似功能，必須要有專業(yè)的上網(wǎng)行為管理產(chǎn)品。

以我們的WSG上網(wǎng)行為管理為例，應(yīng)用過濾模塊中的“屏蔽疑似上傳”功能，可以對每個鏈接的上傳下載數(shù)據(jù)大小進行檢查，一旦發(fā)現(xiàn)疑似外發(fā)文件的行為，立刻切斷該連接。而且不會影響正常的瀏覽和下載。相關(guān)配置如下圖：

我們在工作中經(jīng)常需要用到QQ和微信來交流和發(fā)送截圖，但是QQ和微信方便的外發(fā)文件功能，卻給企業(yè)的信息安全帶來挑戰(zhàn)。很多用戶咨詢?nèi)绾卧诒Ａ艚貓D功能的同時，又要屏蔽QQ和微信的外發(fā)文件功能。所以我們的技術(shù)人員專門做了針對性的測試。

本文中，我將介紹如何用WSG硬件網(wǎng)關(guān)（WFilter NGF）來屏蔽QQ和微信外發(fā)文件，同時保留截圖功能。

通訊協(xié)議分析

首先，QQ和微信的發(fā)送截圖和發(fā)送文件走的是同樣的數(shù)據(jù)通道。無法通過IP地址、通訊端口，以及協(xié)議特征來進行區(qū)分。這里我們要用到WSG行為管理的一個特色功能：屏蔽疑似文件上傳功能。如下圖：

隨著釘釘辦公的普及，越來越多的企事業(yè)單位采用釘釘作為日常的辦公工具。而釘釘使用是需要連接互聯(lián)網(wǎng)的，而且釘釘具有非?？旖莘奖愕奈募蟼鞴δ?。那么對局域網(wǎng)的網(wǎng)絡(luò)安全就帶來了一定的挑戰(zhàn)。主要在于如下兩點：

1. 如何不允許上外網(wǎng)的電腦使用釘釘，并且禁止其他的所有應(yīng)用？
   

2. 如何防止員工通過釘釘軟件外發(fā)文件導(dǎo)致資料泄露？

下面我將針對這兩點需求來介紹具體的實現(xiàn)方案。

釘釘(DingTalk)是中國領(lǐng)先的智能移動辦公平臺，用于商務(wù)溝通和工作協(xié)同。越來越多企業(yè)采用釘釘來進行辦公自動化，但是由此帶來的信息安全問題也不能忽視。釘釘軟件可以很容易的上傳附件、外發(fā)和接收文件，從而威脅到網(wǎng)絡(luò)內(nèi)部的信息安全。近來很多客戶提出需要屏蔽釘釘?shù)耐獍l(fā)文件功能，所以我們做了針對性的測試。下文是釘釘外發(fā)文件的協(xié)議詳解和如何屏蔽的方案。

1. 釘釘外發(fā)文件的協(xié)議分析

通過多次的抓包分析，釘釘PC版的外發(fā)文件和手機版的外發(fā)文件采用的不同的方式。

釘釘PC版的外發(fā)文件，主要通過sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個網(wǎng)站進行轉(zhuǎn)發(fā)。抓包分析如下圖：

在WFilter的“應(yīng)用過濾”中，有個智能過濾的選項，可以選擇”屏蔽超過N字節(jié)的疑似上傳行為“。如下圖：

通過網(wǎng)絡(luò)上傳和外發(fā)文件有很多種方式，比如：

1. 各種文件傳輸方式，比如QQ文件、微信文件、FTP上傳等等。
   

2. 各類傳文件的網(wǎng)站，網(wǎng)盤和文件共享站點。直接在瀏覽器里面就可以上傳。

3. 通過郵件發(fā)送附件的方式。
   

局域網(wǎng)的文件泄露，主要是通過usb拷貝以及網(wǎng)絡(luò)傳輸?shù)姆绞?。我們?a href="http://buy1288.com/blog/post/382.html" target="_blank">企業(yè)外發(fā)文件管控方案總結(jié)一文中，已經(jīng)介紹了多種管控外發(fā)文件的方案。在本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)如何來有效的管控外發(fā)文件。

1. 首先要屏蔽電腦的usb存儲設(shè)備。

需要在windows電腦的組策略里面禁止配置，把“禁止安裝可移動設(shè)備“修改成”已啟用“即可。當(dāng)然，管理員權(quán)限就不能給使用者啦，要不然再把這個策略改回去就不起作用了。

出于信息安全的考慮，很多企業(yè)不允許工作電腦外發(fā)文件，但是QQ和微信又是常見的辦公工具。所以“既允許QQ和微信聊天，同時又不允許外發(fā)文件”，一直是企業(yè)管理的一個難題。其實上網(wǎng)行為管理技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)可以精確的識別出文件傳輸和普通聊天的協(xié)議特征。專業(yè)的上網(wǎng)行為管理產(chǎn)品，都可以單獨屏蔽QQ和微信傳文件。以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，在“行為管理”的“應(yīng)用過濾”中，搜索QQ，可以看到20多個QQ相關(guān)的應(yīng)用協(xié)議，包括QQ聊天、QQ發(fā)文件、QQ接收文件、QQ游戲等各種相關(guān)應(yīng)用。如下圖：

很多企業(yè)為了數(shù)據(jù)的安全，需要對外發(fā)文件進行管控。而手機、usb存儲的廣泛使用，使得外發(fā)文件的管控非常難以實現(xiàn)。在本文中，我將拋磚引玉，探討外發(fā)文件管控的幾種方式。外發(fā)文件的管控，需要考慮如下幾個方面：

• 屏蔽通過網(wǎng)絡(luò)外發(fā)文件

• 屏蔽藍牙、usb等外設(shè)外發(fā)文件
  

• 文件加密
  

有些用戶為了信息安全的需要，要求禁止所有的外發(fā)文件。不過，外發(fā)文件的途徑有很多，如：

1. 上傳到網(wǎng)盤。

2. 通過QQ、FTP等軟件發(fā)文件。

3. 作為郵件附件發(fā)送。

在本文中，我將演示如何用WFilter ICF上網(wǎng)行為管理軟件來禁止網(wǎng)盤等文件傳輸方式。