叶水勇，王文辉，蔡 翔

(1. 国网黄山供电公司，安徽 黄山 245000； 2. 全球能源互联网研究院有限公司，北京 102200；3. 国网安徽省电力公司，安徽 合肥 230022)

目前国家电网对违规外联的检查与控制主要是通过北信源VRV软件进行监控，对客户端出现违规外联情况进行记录并阻断；无法实现禁止违规外联的要求[1-2]。为防止发生违规外联事件，信息部门必需通过其他的技术手段禁止信息内网终端利用3G卡、电话拨号、WI-FI非法外联。

为了有效地控制和管理公司内网计算机访问外网的“违规外联现象”，本文通过采用基于Office Scan的模块化入侵防御防火墙IDF进行控制，可降低因为违规外联而导致的内部信息外泄及病毒感染等风险。

1 过程分析

1.1 原理分析

IDF入侵防护防火墙通过系统底层进行网络数据包的分析过滤功能；通过在防“违规外联”防火墙策略中，添加相应的强制允许策略，仅允许内网用户的IP范围进行数据交互，丢弃将非内网IP的数据包，从而实现对违规外联的控制[3-4]。

1.2 实现过程

1.2.1 服务器策略配置

在趋势控制台中新建一个“违规外联模板”，将多条防火墙规则组合成一个模块部署到客户端上[5-6]。

1.2.2 客户端部署

对需要控制违规外联的客户端，部署“违规外联模板” 。

2 效果展示

2.1 违规外联控制效果

在安装防“违规外联”防火墙的信息内网终端上安装3G卡，当3G卡拨号成功后，终端能够获取到公网IP地址。但公网IP地址无法进行网络通信，同时IDF在10 s自动终止3G卡的拨号连接[7-8]。测试结果具体如下。

(1)3G上网卡无法进行有效的数据包传输。

(2)计算机无法通过3G上网卡访问互联网。

(3)3G上网卡在几秒钟后由于数据包不阻断，3G卡自动断开连接。

(4)对于客户端通过其他方式(如：无线AP等)访问互联网，IDF也能将其非内网数据包进行阻断。

2.2 管理后台——违规外联控制效果展示

当安装有防“违规外联”防火墙插件的客户端使用别的非法违规途径(如3G上网卡、无线网卡等)访问外网时将无法与外网进行通信，“插件管理器”控制台的自动记录“警报”信息会在后台显示[9-10]。

此时登陆到趋势IDF管理控制台中，在“防火墙事件”中也会产生相关的日志信息。

3 结语

通过防“违规外联”防火墙，可成功阻止信息内网计算机违规连接外网[11-12]。经过运行，网络安全性得到了加强，使信息内网的安全性得到提高，杜绝了违规外联事件，阻断了公司信息外泄的可能性，对公司整体财产起到安全保护作用。

防“违规外联”防火墙，成功对信息内网违规外联事件以及域外文件共享和打印进行了阻断，实现了信息内网安全化、规范化管理。提高了安全性，有效保障了信息内网的安全稳定运行。