對局域網(wǎng)進行漏洞掃描，可以提前發(fā)現(xiàn)內(nèi)網(wǎng)的安全漏洞，比如弱密碼、系統(tǒng)漏洞、未授權(quán)訪問等問題；及時修復這些問題，可以有效地避免黑客攻擊等安全事件的發(fā)生，保護企業(yè)或組織的信息資產(chǎn)安全。在本例中，我將結(jié)合WSG上網(wǎng)行為管理的“漏洞掃描”功能，介紹如何對局域網(wǎng)電腦進行漏洞掃描，以及相應的整改操作。

1. 添加掃描任務

在“漏洞掃描”模塊中新增掃描任務，輸入掃描的目標網(wǎng)段，指定任務運行的時間，保存配置。

電腦一旦被安裝了挖礦程序，會帶來很多危害：占用大量的電力和運算資源、拖慢機器、感染局域網(wǎng)內(nèi)的其他終端......所以，挖礦行為目前是被各級部門明令禁止的，一旦被上級部門檢測到有挖礦行為，很可能會被阻止互聯(lián)網(wǎng)接入直至整改完成。當接到上級部門通告時，作為網(wǎng)管人員需要怎樣去處置解決這個問題呢？

被上級部門檢測到，一般存在如下三種情況：

1. 訪問了礦池或者虛擬貨幣服務器的目標IP

2. 訪問了“挖礦”域名（HTTP/HTTPS）

3. 查詢了“挖礦”域名（DNS）

上級部門通知局域網(wǎng)內(nèi)存在僵尸木馬要求網(wǎng)絡進行整改，作為網(wǎng)管人員需要怎樣去處置解決這個問題呢？首先，上級部門只能檢測到局域網(wǎng)總出口的IP地址，并不能識別終端的IP地址。當網(wǎng)內(nèi)的終端數(shù)量比較多時，每臺電腦做病毒查殺的工作量太大了，網(wǎng)管人員會很頭疼這個問題。

比較合理的方案是在局域網(wǎng)內(nèi)部署一臺入侵檢測系統(tǒng)，通過對網(wǎng)絡數(shù)據(jù)包進行分析檢測，從而發(fā)現(xiàn)問題主機。在本文中，我將以“WSG上網(wǎng)行為管理”為例，來介紹如何進行內(nèi)網(wǎng)的木馬檢測。

WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，這兩個模塊的檢測原理都是入侵檢測snort。如下圖：

局域網(wǎng)內(nèi)電腦中了木馬病毒，會有帶來下述壞處：

1. 感染內(nèi)網(wǎng)其他電腦。

2. 大量攻擊數(shù)據(jù)的存在，使得網(wǎng)絡緩慢，被攻擊的電腦運行緩慢。

發(fā)現(xiàn)內(nèi)網(wǎng)電腦中毒后，一般都會采取重新安裝系統(tǒng)，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進行病毒查殺。有些殺毒軟件或者防火墻可以檢測到內(nèi)網(wǎng)的攻擊源，本文中，我將介紹如何用WSG上網(wǎng)行為管理的“木馬檢測”功能來進行檢測。WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，如下圖：

局域網(wǎng)內(nèi)如果有電腦感染了木馬病毒，是一件讓人很頭疼的事情。對成百上千臺電腦一臺一臺的進行查殺，簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網(wǎng)管人員面對上級部門發(fā)來的整改函一籌莫展，大部分情況下最終只能一臺一臺的殺毒整理。

從技術(shù)原理上來說，上級部門是在網(wǎng)絡上層部署了入侵檢測系統(tǒng)，對網(wǎng)絡流量進行分析，從中識別出木馬病毒的特征；由于出口處做了網(wǎng)絡地址轉(zhuǎn)換，上級部門只能檢測到公網(wǎng)IP，而無法知道實際中毒的電腦。所以，你只需要在本地局域網(wǎng)中部署了入侵檢測，就可以檢測到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對電腦進行查殺了。

如下圖，在WSG上網(wǎng)行為管理的“安全防護”-“入侵防御”中，點擊“IPS檢測項”，就可以看到入侵防御的各個選項。

勒索軟件對企業(yè)數(shù)據(jù)有著毀滅性的破壞力，而且企業(yè)中了勒索病毒后，如果沒有相關(guān)的數(shù)據(jù)備份，要么承擔損失，要么只能支付贖金。因此勒索軟件的種類和擴散逐年遞增，防御勒索軟件工作成為了企業(yè)數(shù)據(jù)安全防護工作中的眾矢之的。

勒索軟件的傳播途徑和工作原理主要有兩種：

1). 通過攻擊windows服務器漏洞入侵到企業(yè)內(nèi)網(wǎng)，然后再進行大面積的攻擊感染。

2). 通過郵件、網(wǎng)站掛馬、文件等方式，先感染個人電腦，然后攻擊整個局域網(wǎng)。