一些企事業(yè)單位為了信息安全的目的，需要在允許終端訪問外網(wǎng)的同時屏蔽一切外發(fā)行為，即只能瀏覽和下載但是不允許外發(fā)和上傳。這個功能是比較專業(yè)的功能，需要專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以實現(xiàn)。以WSG上網(wǎng)行為管理為例，WSG上網(wǎng)行為管理中有個“智能過濾”功能，該功能會檢測所有網(wǎng)絡(luò)連接并且進行統(tǒng)計，一旦發(fā)現(xiàn)上傳的數(shù)據(jù)量超過設(shè)置的閾值，就會禁止這個連接從而屏蔽上傳行為。如下圖所示：

甲方有些業(yè)務(wù)系統(tǒng)出于安全需要，會綁定登錄的IP地址只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業(yè)務(wù)系統(tǒng)，也必須走總公司的寬帶才可以。在如何實現(xiàn)分公司訪問指定地址的時候走總部流量一文中，我們介紹了通過PPTP來實現(xiàn)分公司走總公司線路的解決方案。本文中，我將介紹Openvpn的實現(xiàn)方案，openvpn不需要GRE協(xié)議，穿透性和安全性都比PPTP要強大。以下是具體的配置步驟：

1. 服務(wù)端的配置

在總部的WSG上面，需要開啟OpenVPN服務(wù)端，選擇用戶名認證，推送路由里面既要推送總部的內(nèi)網(wǎng)網(wǎng)段，也要推送甲方系統(tǒng)的IP地址。如下圖：

網(wǎng)絡(luò)滲透攻擊會嚴重威脅到企業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。攻擊者會有針對性地對某個目標網(wǎng)絡(luò)進行攻擊，以獲取其內(nèi)部的商業(yè)資料，進行網(wǎng)絡(luò)破壞等。一旦其獲取了目標網(wǎng)絡(luò)中網(wǎng)站服務(wù)器的權(quán)限，還會利用此臺服務(wù)器，繼續(xù)入侵目標網(wǎng)絡(luò)，獲取整個網(wǎng)絡(luò)中所有主機的權(quán)限。為了實現(xiàn)滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡單的Web腳本漏洞攻擊。攻擊者會綜合運用遠程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網(wǎng)絡(luò)。

防御網(wǎng)絡(luò)滲透攻擊，主要從如下方面入手：

• 采用安全的網(wǎng)絡(luò)架構(gòu)，杜絕未知接入。

• 部署網(wǎng)絡(luò)安全設(shè)備，精確識別和抵御攻擊行為。

• 配置策略阻止未知來源的網(wǎng)絡(luò)連接。