對(duì)局域網(wǎng)進(jìn)行漏洞掃描，可以提前發(fā)現(xiàn)內(nèi)網(wǎng)的安全漏洞，比如弱密碼、系統(tǒng)漏洞、未授權(quán)訪問(wèn)等問(wèn)題；及時(shí)修復(fù)這些問(wèn)題，可以有效地避免黑客攻擊等安全事件的發(fā)生，保護(hù)企業(yè)或組織的信息資產(chǎn)安全。在本例中，我將結(jié)合WSG上網(wǎng)行為管理的“漏洞掃描”功能，介紹如何對(duì)局域網(wǎng)電腦進(jìn)行漏洞掃描，以及相應(yīng)的整改操作。

1. 添加掃描任務(wù)

在“漏洞掃描”模塊中新增掃描任務(wù)，輸入掃描的目標(biāo)網(wǎng)段，指定任務(wù)運(yùn)行的時(shí)間，保存配置。

電腦一旦被安裝了挖礦程序，會(huì)帶來(lái)很多危害：占用大量的電力和運(yùn)算資源、拖慢機(jī)器、感染局域網(wǎng)內(nèi)的其他終端......所以，挖礦行為目前是被各級(jí)部門明令禁止的，一旦被上級(jí)部門檢測(cè)到有挖礦行為，很可能會(huì)被阻止互聯(lián)網(wǎng)接入直至整改完成。當(dāng)接到上級(jí)部門通告時(shí)，作為網(wǎng)管人員需要怎樣去處置解決這個(gè)問(wèn)題呢？

被上級(jí)部門檢測(cè)到，一般存在如下三種情況：

1. 訪問(wèn)了礦池或者虛擬貨幣服務(wù)器的目標(biāo)IP

2. 訪問(wèn)了“挖礦”域名（HTTP/HTTPS）

3. 查詢了“挖礦”域名（DNS）

上級(jí)部門通知局域網(wǎng)內(nèi)存在僵尸木馬要求網(wǎng)絡(luò)進(jìn)行整改，作為網(wǎng)管人員需要怎樣去處置解決這個(gè)問(wèn)題呢？首先，上級(jí)部門只能檢測(cè)到局域網(wǎng)總出口的IP地址，并不能識(shí)別終端的IP地址。當(dāng)網(wǎng)內(nèi)的終端數(shù)量比較多時(shí)，每臺(tái)電腦做病毒查殺的工作量太大了，網(wǎng)管人員會(huì)很頭疼這個(gè)問(wèn)題。

比較合理的方案是在局域網(wǎng)內(nèi)部署一臺(tái)入侵檢測(cè)系統(tǒng)，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析檢測(cè)，從而發(fā)現(xiàn)問(wèn)題主機(jī)。在本文中，我將以“WSG上網(wǎng)行為管理”為例，來(lái)介紹如何進(jìn)行內(nèi)網(wǎng)的木馬檢測(cè)。

WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測(cè)”這兩個(gè)安全防護(hù)模塊，這兩個(gè)模塊的檢測(cè)原理都是入侵檢測(cè)snort。如下圖：

局域網(wǎng)內(nèi)電腦中了木馬病毒，會(huì)有帶來(lái)下述壞處：

1. 感染內(nèi)網(wǎng)其他電腦。

2. 大量攻擊數(shù)據(jù)的存在，使得網(wǎng)絡(luò)緩慢，被攻擊的電腦運(yùn)行緩慢。

發(fā)現(xiàn)內(nèi)網(wǎng)電腦中毒后，一般都會(huì)采取重新安裝系統(tǒng)，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進(jìn)行病毒查殺。有些殺毒軟件或者防火墻可以檢測(cè)到內(nèi)網(wǎng)的攻擊源，本文中，我將介紹如何用WSG上網(wǎng)行為管理的“木馬檢測(cè)”功能來(lái)進(jìn)行檢測(cè)。WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測(cè)”這兩個(gè)安全防護(hù)模塊，如下圖：

局域網(wǎng)內(nèi)如果有電腦感染了木馬病毒，是一件讓人很頭疼的事情。對(duì)成百上千臺(tái)電腦一臺(tái)一臺(tái)的進(jìn)行查殺，簡(jiǎn)直就和大海撈針一樣，需要耗費(fèi)大量的時(shí)間和人力。所以很多網(wǎng)管人員面對(duì)上級(jí)部門發(fā)來(lái)的整改函一籌莫展，大部分情況下最終只能一臺(tái)一臺(tái)的殺毒整理。

從技術(shù)原理上來(lái)說(shuō)，上級(jí)部門是在網(wǎng)絡(luò)上層部署了入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，從中識(shí)別出木馬病毒的特征；由于出口處做了網(wǎng)絡(luò)地址轉(zhuǎn)換，上級(jí)部門只能檢測(cè)到公網(wǎng)IP，而無(wú)法知道實(shí)際中毒的電腦。所以，你只需要在本地局域網(wǎng)中部署了入侵檢測(cè)，就可以檢測(cè)到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對(duì)電腦進(jìn)行查殺了。

如下圖，在WSG上網(wǎng)行為管理的“安全防護(hù)”-“入侵防御”中，點(diǎn)擊“IPS檢測(cè)項(xiàng)”，就可以看到入侵防御的各個(gè)選項(xiàng)。

勒索軟件對(duì)企業(yè)數(shù)據(jù)有著毀滅性的破壞力，而且企業(yè)中了勒索病毒后，如果沒(méi)有相關(guān)的數(shù)據(jù)備份，要么承擔(dān)損失，要么只能支付贖金。因此勒索軟件的種類和擴(kuò)散逐年遞增，防御勒索軟件工作成為了企業(yè)數(shù)據(jù)安全防護(hù)工作中的眾矢之的。

勒索軟件的傳播途徑和工作原理主要有兩種：

1). 通過(guò)攻擊windows服務(wù)器漏洞入侵到企業(yè)內(nèi)網(wǎng)，然后再進(jìn)行大面積的攻擊感染。

2). 通過(guò)郵件、網(wǎng)站掛馬、文件等方式，先感染個(gè)人電腦，然后攻擊整個(gè)局域網(wǎng)。