大家可能都知道“木马计”这个故事，古希腊有一座名叫特洛伊的坚固之城，在经受住外敌重重围攻之后仍然固若金汤，却因为城内的一只巨大木马，一夜之间城破家亡。从此，人们记住了这只有名的木马——特洛伊木马，更深深懂得了一个道理：最坚固的堡垒，也是可以被攻破的。历史无数次重复印证着这个道理，演绎着类似的故事。

时过境迁，“特洛伊木马”横行内网

在当今信息时代，即便专网也不再是网络净土，尤其是对于分支机构多的单位，职员众多，上网行为更是难以统一规范，内网安全维护也是越来越困难。例如，某个职员在电脑上插入带病毒U盘，或者某些原因不小心插错网线，“一机两用”，私接热点等等，这些行为等同于在内网上放入一个“特洛伊木马”，坚固之城也就形同虚设了。如何加固内网安全已经成为了不可逃避的现状。为此，小编今天在这里跟大家分享一下内蒙古审计厅是如何进行内网安全加固的故事。

阵痛——内网安全威胁防不胜防

随着内蒙古自治区信息化建设的不断发展，隐藏在内网专线中的安全威胁也不断发生。内蒙古审计厅为加强网络安全管理，提出了自身以及下辖各级分支机构和驻外单位要加强信息化平台网络安全加固的要求。各个分支机构为满足内蒙古审计厅对信息安全监管的要求，陆续启动了信息安全平台的安全加固工作以解决下述问题：

• 由于专网用户与互联网物理隔离，看似安全，但很多主机系统无法及时更新补丁、升级安全软件，造成了系统漏洞广泛存在，而专网内的访问控制往往又不严格，给内部入侵留下了可乘之机；

2）由于成本较高原因，专网链路带宽往往都是有限的，再加上用户和专网上的业务应用数量较多，专网上链路拥塞的情况时有发生。同时，内网攻击也经常导致网络阻塞，引发业务中断；

3）为了能够更加及时发现应用风险，安全设备必须能够提供全面的流量日志记录，并能够对网络流量数据进行安全分析。在发生威胁事件后能够有效溯源攻击过程。同时需要定期输出安全分析报告，包括服务器的安全态势、应用的风险分析、病毒查杀情况等。

思痛——如何看清内网攻击&减少内网攻击

既然内网专线也能被轻易撕开一个口子，说明传统网络安全的世外桃源已然不存在了。本质上来说，也就是边界安全的内涵已经发生了变化，隔离、控制为安全目的的边界控制，已经不适应当前的应用环境。在解决思路上，网康技术人员提出了从下面三个维度去解决这个问题：

首先，解决“能见度”的问题，尽可能从多个维度去看一个应用，看清楚内部网络中流量、方向、内容等，需要进行应用、用户、内容的识别。

其次，执行精细化的控制，“最小特权”是最符合专网属性的一条原则。但是当下应用环境并非一成不变，业务的变更、人员的变更都会牵扯到访问权限、资源的变化，所以精细化控制是个持续的过程，需要做好持久战的准备。

最后，做好思想准备，除了利用签名技术解决一般性威胁以外，还应该时刻做好被攻破的准备，这个时候及时的检测、分析和感知就显得尤为重要。

解痛——看网康NGFW解除阵痛

正所谓痛定思痛，网康NGFW正好符合上述观点，基于此提出如下解决方案：

• 在内蒙古审计厅、兴安盟审计局出口及下属6个旗县审计局出口分别部署网康下一代防火墙一台；
• 在NGFW上启用入侵防御系统，可以识别出漏洞利用的恶意流量，从而在网关位置快速拦截掉。网康NGFW漏洞特征库中包括30多类、7000多种漏洞，其规模已经超过了业界平均水平的1倍。
• 网康NGFW可以基于多级通道进行流量控制，可以把关键业务的带宽提前预留和保障，并且限制网络中各种业务应用能够占用的最大带宽，避免多业务间抢占带宽造成业务应用交付质量下降的问题。
• NGFW通过关联分析，将某一威胁流量从建立连接到进行应用识别、网址过滤、文件过滤、病毒防护等安全检测全过程自动关联，实现攻击过程日志溯源，并且定期输出安全分析报告。

NGFW解决方案拓扑图

写在最后，网康NGFW解决方案效果如何呢？通过部署网康下一代防火墙设备，内蒙古审计厅及兴安盟审计局有效解决了传统入侵防御技术无法应对应用层攻击和威胁的防护，有效的对内网安全进行了安全加固。同时，通过对内网的流量日志、威胁日志等进行详细分析，定期为客户输出专业易懂的安全报告，即可对当前的网络安全状态给出防护建议，真正实现输出“懂客户”的报告，让网络威胁时刻处在掌控之中，又满足了上级单位对信息安全监管的要求。