出入方向的流量都要识别和控制

很多组织的安全人员存在一个认识上的误区，以为只要考虑如何保护内网资源免受外部攻击就万事大吉了。

攻击者可能主动从外网发起攻击，也可能在受害者经常访问的网站上挂马或设置陷阱，实施路过式下载或水坑攻击。这些守株待兔式的攻击手法，使得恶意软件隐藏在合法流量中进入内网。此外，攻击者渗透成功以后，通常还需要继续下载恶意软件、连接C&C服务器、通过隐蔽通道向外传输数据，等等。另外，组织内部资产也可能被攻击者挟持，去攻击其他网络，无形中成为网络犯罪的“帮凶”。安全人员必须同时关注由内而外的安全威胁，保护自己，也避免攻击别人。

例如，你需要建立一个合法网站和应用的白名单，只允许访问特定网站和应用的出站流量。攻击者需要下载恶意软件到内网，才能完全控制系统。限制用户上网行为可以极大地减小攻击面。

实施严格的出入方向流量控制是保证网络安全的关键手段。为了达成这个目标，安全人员需要了解攻击者常用的攻击手段，有针对性地设计和调整业务方案。在此基础上，通过安全策略来管控出入方向的流量。例如：渗透到内网的恶意软件通常都通过DNS隐蔽通道来建立C&C连接、窃取数据。一个最有效的办法就是限制DNS请求的目的地址为组织自建的DNS服务器，或者组织验证可信的DNS服务器。表4-1是某企业使用114DNS的例子。首先，允许内网所有设备向114DNS发起DNS解析请求，通常使用基于UDP的DNS服务就可以了；然后，禁止内网设备通过UDP和TCP方式访问其他DNS服务器。相应的，你需要使用DHCP服务器为客户端分配114DNS服务器。