王辉煌

摘要：外网指互联网，内网指企业内网。外网计算机未经许可接入内网，内网计算机非法连接外网都属于违规外联。本文对此做处理分析和解决方法。

一、非法接入：外网计算机未经许可接入内网网络。

二、非法外联：内网计算机连接外网（断开内网连接外网或者同时连接内外网络）。违规外联的常见具体表现形式：

1、个人笔记本、台式机未经许可私自接入内网。2、内网计算机断开内网接入外网。3、内网计算机通过无线网卡等同时连接内外网。

违规外联使原本封闭的系统环境暴露在互联网之中，内部网络将面临病毒、木马、非授权访问、数据泄密、数据篡改等多种安全威胁。对电力企业而言，危害更甚，2013年伊朗“震网”大停电，2015年乌克兰电网攻击事件，2020年巴西电力公司、欧洲EDP公司遭勒索软件攻击都是前车之鉴。“没有网络安全就没有国家安全”，网络安全的重要性毋庸置疑。但是，我们很多的企业在网络安全层面没有相应的技术与设备，这个时候企业内网与互联网物理隔离就是保障内网安全的一道性命攸关的“防火墙”，而违规外联就是这道“防火墙”最大的漏洞，本文介绍的防止违规外联的方法简单易行，值得推广。

针对违规外联中外部设备非法接入，我们可以通过内网交换机ARP-static或IP-MAC-interface-vlan绑定，acl与QOS策略限流等技术手段，防止外部设备在没有授权的情况下，随意加入到内网当中，杜绝IP地址被盗用出现网络安全威胁的情况。这里以最简单的静态IP-MAC绑定为例，介绍如何防止外部设备非法接入内网。

如果公司使用的是思科交换机，则应在特权模式先作如下类似配置Cisco(config)# arp X.X.X.X H-H-H  arpa

经测试新连接一台设备192.168.1.6，无法连接公司内网，实现外部设备在没有授权情况下无法连接公司内网。

针对违规外联中非法外联，内网计算机连接外网，常用且有效的方法就是在内网终端安装违规外联防护软件，一旦监测内网终端访问到互联网，立即阻断网络，并告警信息回传至运行监测中心。但是这种方案成本较高。本文介绍一种利用Windows系统IP筛选器（Windows系统家庭版及部分简易系统未安装本地IP安全策略，可自行安装，或者对系统进行升级），通过配置IP筛选器，禁用内网终端访问外部网络，实现内网终端无法外联的方法。

外网属性与内网属性最明显的区别在于网段属性，无论在IPv6协议标准下，还是在目前IPv4协议标准下，内、外网的使用的是不同网段，这一特征都存在。外网使用的是公网IP网段，而内网使用的是私网IP网段，利用这个特征，通过配置计算机终端本地IP筛选器，放行内网IP数据流，同时阻断内网计算机访问外网，就可以阻断内网计算机非法外联。一个Windows终端只能同时运行一个IP安全策略，但是一个IP安全策略可以同时运行多个IP筛选器。IP筛选器操作中“permit”优先级高于“deny”，即当一个IP网段在一个运行的IP安全策略内，被一个IP筛选器阻止，但是被另一个IP筛选器放行时，最终本策略还是放行该IP网段的流量。这样我们就可以配置两个IP筛选器，一个筛选器“deny”阻止所有网络IP流量，另一IP筛选器“permit”放行某公司10.0.0.0-10.255.255.255（掩码8位）、和192.168.0.0-192.168.255.255（掩码16位）私网地址的内网流量，实现内网终端无法访问访问外网，但是访问内网络却不受任何限制。

企业内网多使用私网地址中的某段或多段，现以某某公司为例，该公司使用10.0.0.0-10.255.255.255、192.168.0.0-192.168.255.255这两个网段私网地址作为企业内网，我们通过配置IP筛选器阻断公网地址，放行10.0段、192.168段私网地址，阻断内网计算机终端侧非法外联。

具体配置如下：打开电脑，快捷键“Win+R”，输入“secpol.msc”点击回车快速进入并创建一个本地名字为“防违规外联”的本地安全策略。

接着，添加IP筛选器并重命名，选择IP流量源和目的地址，这里我们选择“任何IP地址”，接着，选中我们新增的禁用所有网络IP筛选器，为筛选器选择操作，这里选择“no”，点击“编辑”，确定筛选器操作的是“阻止”，点击确定,这样就完成禁用所有网络IP的筛选器设置了。

再次添加IP筛选器并设置筛选器操作，放行公司私网10.0.0.0-10.255.255.255、192.168.0.0-192.168.255.255地址，确定筛选器操作是“许可”，点击“应用”。这样就完成“防违规外联”IP安全策略的配置，接着选中它，分配即可。

经测试，达到预期目的，可以访问公司内网地址10.0.0.0-10.255.255.255、192.168.0.0-192.168.255.255地址没有任何问题，无法访问外网。

对没有使用私网192段私网地址地址段的企业内网，我们可以在IP筛选器中禁用192段私网地址即可实禁止现内网计算机的非法外联，这是因为受制于IPv4地址资源不足问题，运行商网络在存在多层NAT(网络地址转换),我们末端局域网设备（路由器、无线网卡、360WiFi等），在和外网通信时获取到的地址是192段私网地址中的某个IP，我们在内网计算机上禁用这一地址段，即可在最初的NAT网络层阻断设备与运营商网络设备的通信，阻断非法外联。

另外，综合考虑本机NAT对应的本地运营商公网地址，出口路由地址，结合着IP筛选器内IP流量源、IP流量目标、相应一个特定DNS名称等、IP协议类型，可以给我们的内网终端计算机量身定做免费的“防火墙”。如果企业内网中有很多计算机终端时，一台一台手动配置很浪费时间，我们可以通过策略导出一个.msc文件，策略导入后分配，来实现大批量应用。

结束语：随着当今社会计算机科学与技术的迅速发展,计算机所能满足的工作已不限于文件处理、网络浏览以及实时通讯,当今已是互联网时代,对于企业来说,无论信息内网还是信息外网都已经与互联网产生密不可分的联系,信息共享和大数据利用已经是当今信息发展的主旋律.企业虽然实现了资源共享,但同时也带来了网络安全隐患,企业网络逐渐成为黑客攻击的主要目标.近年来诸如勒索病毒等黑客组织日益猖狂,已有很多企业因网络安全事故造成的非常大的经济损失,因此加强企业网络防护能力已成为企业发展重中之重.

参考文献(3)

[1]丁春晖.对计算机网络构建及維护措施的研究[J].煤炭技术,2014,(1).199-201.

[2]姚擎.计算机网络安全策略与技术的研究[J].计算机光盘软件与应用,2014,(11).173-173,175.

[3]吕金刚,王永杰,鲜明.计算机网络信息安全技术分析[J].中国新通信,2006,(15).21-25.