一些企事業(yè)單位出于工作和安全的需要，希望可以允許局域網(wǎng)內(nèi)的電腦終端訪問互聯(lián)網(wǎng)，但是不允許發(fā)送數(shù)據(jù)到外網(wǎng)。這個(gè)需求從理論上來說其實(shí)是矛盾的，以Web訪問為例，當(dāng)我們?nèi)ピL問一個(gè)網(wǎng)頁的時(shí)候，用的是HTTP的GET指令，大概的格式是這樣的：

GET /path/to/resource HTTP/1.1 

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Connection: keep-alive

瀏覽器告訴網(wǎng)站服務(wù)器這些信息：需要訪問的URL地址、域名、瀏覽器種類、壓縮類型、連接類型等。這個(gè)頭部的大小在RFC的定義中是2K字節(jié)，這是明文的HTTP方式。如果是HTTPS方式，還需要證書交換，上傳的數(shù)據(jù)大約8K字節(jié)。換句話說，即使只是瀏覽網(wǎng)站，每一次訪問也需要8K的上傳數(shù)據(jù)。所以說，只允許訪問但是不允許任何外發(fā)數(shù)據(jù)，這個(gè)需求是自相矛盾的，不能得到真正的實(shí)現(xiàn)。

雖然嚴(yán)格的完全只訪問不上傳是做不到的，但是我們可以通過限定上傳數(shù)據(jù)的大小來實(shí)現(xiàn)這個(gè)功能需求。如下圖：

一些企事業(yè)單位為了信息安全的目的，需要在允許終端訪問外網(wǎng)的同時(shí)屏蔽一切外發(fā)行為，即只能瀏覽和下載但是不允許外發(fā)和上傳。這個(gè)功能是比較專業(yè)的功能，需要專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以實(shí)現(xiàn)。以WSG上網(wǎng)行為管理為例，WSG上網(wǎng)行為管理中有個(gè)“智能過濾”功能，該功能會(huì)檢測所有網(wǎng)絡(luò)連接并且進(jìn)行統(tǒng)計(jì)，一旦發(fā)現(xiàn)上傳的數(shù)據(jù)量超過設(shè)置的閾值，就會(huì)禁止這個(gè)連接從而屏蔽上傳行為。如下圖所示：

有些單位出于工作目的，需要允許員工訪問百度網(wǎng)盤和百度文庫，但是又要屏蔽員工通過網(wǎng)盤和文庫上傳文件。由于百度旗下網(wǎng)站已經(jīng)全面采用https的方式，傳統(tǒng)的基于IP地址、端口、甚至域名來做過濾，都無法實(shí)現(xiàn)這樣的需求。要實(shí)現(xiàn)類似功能，必須要有專業(yè)的上網(wǎng)行為管理產(chǎn)品。

以我們的WSG上網(wǎng)行為管理為例，應(yīng)用過濾模塊中的“屏蔽疑似上傳”功能，可以對(duì)每個(gè)鏈接的上傳下載數(shù)據(jù)大小進(jìn)行檢查，一旦發(fā)現(xiàn)疑似外發(fā)文件的行為，立刻切斷該連接。而且不會(huì)影響正常的瀏覽和下載。相關(guān)配置如下圖：

我們?cè)诠ぷ髦薪?jīng)常需要用到QQ和微信來交流和發(fā)送截圖，但是QQ和微信方便的外發(fā)文件功能，卻給企業(yè)的信息安全帶來挑戰(zhàn)。很多用戶咨詢?nèi)绾卧诒Ａ艚貓D功能的同時(shí)，又要屏蔽QQ和微信的外發(fā)文件功能。所以我們的技術(shù)人員專門做了針對(duì)性的測試。

本文中，我將介紹如何用WSG硬件網(wǎng)關(guān)（WFilter NGF）來屏蔽QQ和微信外發(fā)文件，同時(shí)保留截圖功能。

通訊協(xié)議分析

首先，QQ和微信的發(fā)送截圖和發(fā)送文件走的是同樣的數(shù)據(jù)通道。無法通過IP地址、通訊端口，以及協(xié)議特征來進(jìn)行區(qū)分。這里我們要用到WSG行為管理的一個(gè)特色功能：屏蔽疑似文件上傳功能。如下圖：

隨著釘釘辦公的普及，越來越多的企事業(yè)單位采用釘釘作為日常的辦公工具。而釘釘使用是需要連接互聯(lián)網(wǎng)的，而且釘釘具有非常快捷方便的文件上傳功能。那么對(duì)局域網(wǎng)的網(wǎng)絡(luò)安全就帶來了一定的挑戰(zhàn)。主要在于如下兩點(diǎn)：

1. 如何不允許上外網(wǎng)的電腦使用釘釘，并且禁止其他的所有應(yīng)用？
   

2. 如何防止員工通過釘釘軟件外發(fā)文件導(dǎo)致資料泄露？

下面我將針對(duì)這兩點(diǎn)需求來介紹具體的實(shí)現(xiàn)方案。

釘釘(DingTalk)是中國領(lǐng)先的智能移動(dòng)辦公平臺(tái)，用于商務(wù)溝通和工作協(xié)同。越來越多企業(yè)采用釘釘來進(jìn)行辦公自動(dòng)化，但是由此帶來的信息安全問題也不能忽視。釘釘軟件可以很容易的上傳附件、外發(fā)和接收文件，從而威脅到網(wǎng)絡(luò)內(nèi)部的信息安全。近來很多客戶提出需要屏蔽釘釘?shù)耐獍l(fā)文件功能，所以我們做了針對(duì)性的測試。下文是釘釘外發(fā)文件的協(xié)議詳解和如何屏蔽的方案。

1. 釘釘外發(fā)文件的協(xié)議分析

通過多次的抓包分析，釘釘PC版的外發(fā)文件和手機(jī)版的外發(fā)文件采用的不同的方式。

釘釘PC版的外發(fā)文件，主要通過sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個(gè)網(wǎng)站進(jìn)行轉(zhuǎn)發(fā)。抓包分析如下圖：

在WFilter的“應(yīng)用過濾”中，有個(gè)智能過濾的選項(xiàng)，可以選擇”屏蔽超過N字節(jié)的疑似上傳行為“。如下圖：

通過網(wǎng)絡(luò)上傳和外發(fā)文件有很多種方式，比如：

1. 各種文件傳輸方式，比如QQ文件、微信文件、FTP上傳等等。
   

2. 各類傳文件的網(wǎng)站，網(wǎng)盤和文件共享站點(diǎn)。直接在瀏覽器里面就可以上傳。

3. 通過郵件發(fā)送附件的方式。
   

局域網(wǎng)的文件泄露，主要是通過usb拷貝以及網(wǎng)絡(luò)傳輸?shù)姆绞健Ｎ覀冊(cè)?a href="http://a4rv.com/blog/post/382.html" target="_blank">企業(yè)外發(fā)文件管控方案總結(jié)一文中，已經(jīng)介紹了多種管控外發(fā)文件的方案。在本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)如何來有效的管控外發(fā)文件。

1. 首先要屏蔽電腦的usb存儲(chǔ)設(shè)備。

需要在windows電腦的組策略里面禁止配置，把“禁止安裝可移動(dòng)設(shè)備“修改成”已啟用“即可。當(dāng)然，管理員權(quán)限就不能給使用者啦，要不然再把這個(gè)策略改回去就不起作用了。

出于信息安全的考慮，很多企業(yè)不允許工作電腦外發(fā)文件，但是QQ和微信又是常見的辦公工具。所以“既允許QQ和微信聊天，同時(shí)又不允許外發(fā)文件”，一直是企業(yè)管理的一個(gè)難題。其實(shí)上網(wǎng)行為管理技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)可以精確的識(shí)別出文件傳輸和普通聊天的協(xié)議特征。專業(yè)的上網(wǎng)行為管理產(chǎn)品，都可以單獨(dú)屏蔽QQ和微信傳文件。以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，在“行為管理”的“應(yīng)用過濾”中，搜索QQ，可以看到20多個(gè)QQ相關(guān)的應(yīng)用協(xié)議，包括QQ聊天、QQ發(fā)文件、QQ接收文件、QQ游戲等各種相關(guān)應(yīng)用。如下圖：

很多企業(yè)為了數(shù)據(jù)的安全，需要對(duì)外發(fā)文件進(jìn)行管控。而手機(jī)、usb存儲(chǔ)的廣泛使用，使得外發(fā)文件的管控非常難以實(shí)現(xiàn)。在本文中，我將拋磚引玉，探討外發(fā)文件管控的幾種方式。外發(fā)文件的管控，需要考慮如下幾個(gè)方面：

• 屏蔽通過網(wǎng)絡(luò)外發(fā)文件

• 屏蔽藍(lán)牙、usb等外設(shè)外發(fā)文件
  

• 文件加密
  

有些用戶為了信息安全的需要，要求禁止所有的外發(fā)文件。不過，外發(fā)文件的途徑有很多，如：

1. 上傳到網(wǎng)盤。

2. 通過QQ、FTP等軟件發(fā)文件。

3. 作為郵件附件發(fā)送。

在本文中，我將演示如何用WFilter ICF上網(wǎng)行為管理軟件來禁止網(wǎng)盤等文件傳輸方式。