企業(yè)出于工作的需要，一般會映射一些內網主機供外網訪問。比如：ERP系統(tǒng)、財務系統(tǒng)、CRM系統(tǒng)，甚至一些內網主機的遠程桌面等等。分公司、出差員工在外網通過互聯(lián)網就可以訪問到內網資源，給工作帶來了很大的便利。但是，不加限制和保護的端口映射訪問，給網絡安全帶來了很大的挑戰(zhàn)。

端口映射的內網主機安全，主要考慮如下幾點：

1. 被映射的內網主機要安裝防火墻，并且確保已經打了各項安全補丁。

2. 限制訪問端的IP地址，阻止從其他地區(qū)連入。一般可以在網關防火墻上進行配置，限制能訪問映射主機的IP地址。

3. 避免常用的端口。比如你用默認的3389端口，那么攻擊程序立刻就知道這是遠程桌面服務，從而就可以采用對應的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。

4. 部署入侵防御，一旦發(fā)現(xiàn)外網攻擊時，可以及時阻止攻擊者的IP地址。從而保護內網主機。

近年來公安部持續(xù)推出護網行動，以戰(zhàn)養(yǎng)兵，推進關鍵信息基礎設施的安全監(jiān)測、應急響應等保障能力。為積極響應護網行動，做好安全防守工作；本文中，我將結合WSG上網行為管理網關來介紹網絡邊界的安全防護工作。服務器安全、內網安全并不在本文討論的課題內。

利用“擴展插件”中的“NGF配置同步插件”可以同步多臺WFilter NGF（WSG硬件）的相關配置，這個功能在管理維護多臺WSG設備時非常實用。在本文中，我將結合WSG上網行為管理網關來介紹“NGF配置同步插件”的使用步驟。

1. 準備工作

1. 首先要有一臺WSG作為服務端，其他做為客戶端。服務端可以直接把配置推送給客戶端，也可以等客戶端主動來進行同步。
   

2. 多臺WSG之間通過Web來同步配置，所以要確保服務端和客戶端之間的Web連接可達。（在服務端可以訪問客戶端的web，或者客戶端可以訪問服務端的web）

3. 創(chuàng)建同步用戶。每臺WSG都應當建一個用戶名密碼一樣的操作員用于進行同步操作。

4. 下載“NGF配置同步插件”，并且進行配置。

在WFilter NGF的“運營管理”中，我們可以配置終端的帶寬策略、用戶賬號、到期時間等信息。本文將結合WFilter NGF的“運營管理模塊”介紹如何對接第三方的支付平臺。

一、運營管理模塊的配置

1. 給用戶創(chuàng)建不同的帶寬套餐

釘釘的通訊過程比較復雜，需要用到釘釘相關的網站、阿里云平臺，還有一些私有的通訊協(xié)議。所以要達到“只允許釘釘并且屏蔽其他網絡行為“這個管控效果，一般的路由器是做不到的，需要專業(yè)的上網行為管理產品才可以。專業(yè)的上網行為管理產品可以準確識別出釘釘的流量并且加以管控。