在网络边缘拦截恶意软件和钓鱼攻击
本技术参考指南概述了实施网络级威胁防护的架构、部署和业务影响,旨在保护网络边缘的非托管访客和物联网设备安全。它为 IT 领导者提供了主动拦截恶意软件和钓鱼攻击的可操作指南。
收听本指南
查看播客转录

执行摘要
对于管理高人流量场所的 CTO 和网络架构师而言,保护非托管设备的安全是一项关键的运营挑战。您无法在访客的智能手机上部署终端代理,也无法依赖用户主动规避恶意链接。本指南详细介绍了如何实施网络级威胁防护,在恶意软件和钓鱼攻击到达访客设备之前,在网络边缘将其拦截。通过 DNS 过滤和威胁情报集成在网关处执行安全策略,场所可以主动保护 BYOD、IoT 和访客流量。这种方法减少了事件响应开销,确保了符合 GDPR 和 PCI DSS 等标准,并为 Hospitality 、 Retail 和 Transport 行业的 Guest WiFi 用户维护了一个安全的环境。
技术深度剖析
网络边缘防护架构
网络边缘恶意软件防护将安全执行点从终端转移到了网关。当设备连接到场所网络并尝试解析域名时,DNS 查询会被边缘网关拦截。该查询不会进行标准的解析,而是根据持续更新的威胁情报源进行评估。

如果该域名与恶意软件分发、钓鱼活动或僵尸网络命令与控制(C2)基础设施相关联,DNS 请求将被丢弃。连接在下载任何恶意负载之前就会被切断。这种主动拦截可防止横向移动,并保护场所的 IP 声誉。
核心组件
- DNS 过滤引擎:检查所有出站 DNS 请求。配置此引擎以拦截已知的公共 DoH(DNS over HTTPS)解析器,对于防止用户绕过场所的安全 DNS 至关重要。
- 威胁情报集成:订阅全球情报源,根据声誉、新注册域名状态和已知恶意活动对域名进行实时分类。
- 策略执行:根据用户角色(例如,员工与访客)和内容类别应用细粒度规则,确保符合 IWF Compliance for Public WiFi Networks in the UK 。
实施指南
部署网络边缘保护需要采取分阶段的方法,以便在实现最大安全覆盖的同时将干扰降至最低。
步骤 1:网络分段
确保使用 VLAN 对网络进行合理分段。访客流量、企业员工、IoT 设备和 POS 系统必须处于隔离的分段上。这可以在设备加入网络前遭到入侵时,限制其爆炸半径。
步骤 2:网关配置
配置您的边缘路由器或防火墙,将所有 DNS 流量转发至安全的 DNS 过滤服务。实施防火墙规则,阻止除已批准的安全解析服务器之外,针对任何其他目的地的端口 53 (DNS) 和端口 853 (DoT) 的出站流量。欲了解更多关于现代网络优化的信息,请参阅 办公室 WiFi:优化您的现代办公室 WiFi 网络 。
步骤 3:策略定义
建立基准策略。在全球范围内阻止已知的恶意类别。对于内容过滤,应用针对特定场所的策略 - 例如,与普通零售相比,在 医疗保健 环境中实施更严格的过滤。
最佳实践
- 细粒度策略应用:避免因一刀切的阻断而产生支持工单。使用与您的身份提供商集成的基于角色的访问控制 (RBAC)(例如 Purple 的 Connect 许可)。
- 全面日志记录:保留 DNS 查询和被阻止威胁的完整审计踪迹。这对于事件响应和合规性报告至关重要。详细要求请参阅 阐释 2026 年 IT 安全审计踪迹的定义 。
- 持续监控:使用 WiFi Analytics 实时监控网络性能和安全事件。
故障排除与风险缓解
处理加密 DNS
现代操作系统越来越多地使用 DoH 和 DoT,这些协议会加密 DNS 查询,并可能绕过传统的边缘过滤。为了缓解这一问题,请维护一份已知的公共 DoH 解析服务器(例如 8.8.8.8 和 1.1.1.1)的最新阻止列表,以强制设备回退到通过标准端口 53 提供的场所安全 DNS。
过度阻止合法流量
激进的威胁情报数据源有时会标记合法域名,尤其是用于营销活动的新注册域名。建立快速白名单流程,并授权 IT 运维团队快速解决误报问题。

投资回报率与业务影响
网络边缘恶意软件防护的商业案例建立在降低风险和提高运营效率的基础之上。通过在网关处阻断威胁,场馆无需支付与针对 BYOD 和访客设备的终端安全相关的每个设备许可费用。它还显著减少了 IT 服务台员工在调查受损设备或处理黑名单 IP 地址上所花费的时间。由此带来的安全、可靠的连接不仅提升了访客体验,还保护了场馆的品牌声誉。
关键定义
网络边缘
本地网络连接到互联网的边界,通常由路由器、防火墙或网关管理。
这是为非托管设备部署安全控制的最佳位置,因为所有流量都必须通过它。
DNS 过滤
通过拦截 DNS 查询并根据策略或威胁情报源对其进行评估,从而阻止对某些网站或 IP 地址访问的过程。
用于在传输任何数据之前,主动阻止设备连接到恶意域名。
汇洞技术 (Sinkholing)
将恶意流量重定向到安全、受控的 IP 地址,而不是其预定目的地。
当访客设备尝试连接恶意软件服务器时,边缘网关会重定向该请求,以防止感染。
威胁情报源
关于潜在或当前网络威胁的持续更新数据流,包括已知的恶意域名和 IP 地址。
边缘网关使用这些情报源来做出是否允许或拦截流量的实时决策。
DoH (DNS over HTTPS)
一种通过 HTTPS 协议执行远程域名系统解析并对数据进行加密的协议。
虽然 DoH 有利于隐私保护,但它可能会绕过企业边缘过滤,除非明确拦截已知的 DoH 解析器。
VLAN 划分
将单个物理网络划分为多个逻辑网络以隔离流量。
这对于将不可信的访客流量与敏感的企业或 POS 系统隔离至关重要。
BYOD (自带设备)
允许员工或访客在组织的网络上使用其个人设备的做法。
BYOD 设备通常是非托管的,这使得端点安全无法实现,因此必须依靠网络边缘防护。
审计追踪
系统活动的时间顺序记录,包括 DNS 查询和被拦截的连接。
符合 PCI-DSS 和 GDPR 等框架的合规性要求,以证明安全控制措施正在运行。
应用实例
一家拥有 500 间客房的酒店需要保护访客 WiFi 的安全,同时确保物联网设备(智能电视、客房控制系统)免受外部命令与控制服务器的侵害。
部署具有 DNS 过滤功能的网络边缘网关。将网络划分为访客、物联网和企业 VLAN。配置网关以拦截来自物联网和访客 VLAN 的所有 DNS 查询,并将其转发给安全 DNS 服务。对物联网 VLAN 应用严格的策略,仅允许解析已知且必需的域名(白名单),同时对访客 VLAN 应用标准威胁拦截策略。
一家大型连锁零售商由于访客设备在连接店内 WiFi 时发送垃圾邮件,导致频繁被列入 IP 黑名单。
实施具有实时威胁情报源的网络边缘恶意软件防护。配置防火墙以拦截所有访客流量的传出 SMTP(端口 25)。启用 DNS 过滤,将发往已知僵尸网络和垃圾邮件分发域名的请求重定向(汇洞机制)。
练习题
Q1. 体育场网络管理员注意到,虽然启用了 DNS 过滤,但某些访客设备仍能访问已知的恶意域名。最可能的原因是什么?应该如何解决?
提示:考虑可能会绕过标准端口 53 过滤的现代协议。
查看标准答案
设备可能正在使用诸如 HTTPS 加密 DNS (DoH) 或 TLS 加密 DNS (DoT) 之类的加密 DNS 协议,这些协议会绕过标准的 53 端口过滤。管理员应更新防火墙规则,以阻止已知的公共 DoH/DoT 解析器,并阻止 853 端口上的出站流量,从而强制设备回退到场所的安全 DNS。
Q2. 在医院环境中部署网络边缘保护时,访客 WiFi 与医疗 IoT 设备 VLAN 之间的策略应该有何不同?
提示:考虑最小权限原则和可预测行为的概念。
查看标准答案
访客 WiFi 应使用标准的威胁拦截策略(根据 IWF 指南拦截恶意软件、钓鱼网站和不当内容),但通常允许访问互联网。医疗 IoT VLAN 应使用严格的“默认拒绝”策略并配合白名单,仅允许与特定的、必需的供应商服务器进行通信。IoT 设备具有可预测的流量模式,这使得白名单机制非常高效。
Q3. 零售客户希望实施边缘过滤,但担心拦截最新注册的合规营销活动域名。应该实施什么流程?
提示:重点关注运营工作流程以及平衡安全与业务需求。
查看标准答案
实施快速白名单工作流程。虽然“新注册域名”是一个常见的威胁类别,但 IT 团队应建立一个流程,在营销活动启动前快速验证并白名单化营销团队提供的域名,以确保安全措施不会阻碍业务运营。
继续阅读本系列
DNS Over HTTPS (DoH):对公共 WiFi 过滤的影响
本技术参考指南阐述了 DNS over HTTPS (DoH) 如何绕过公共 WiFi 网络上传统的端口 53 内容过滤。它为网络架构师和 IT 经理提供了切实可行且与厂商无关的缓解策略,以帮助他们在企业环境中重新获得可见性、强制执行合规性并确保访客接入的安全。
公共 WiFi 法律责任:为什么内容过滤是强制性的
本技术参考指南概述了提供未过滤公共 WiFi 的法律和运营风险,详细说明了为什么内容过滤是场所运营商的强制性部署要求。它提供了可操作的架构策略、实施步骤和风险缓解策略,以保护网络免受非法活动、版权侵权和监管合规性问题的影响。场所运营商和 CTO 将找到具体的案例研究、决策框架和配置指南,以实施具有防御性、合规的宾客 WiFi 环境。
英国公共WiFi网络的IWF合规性
本权威指南详细说明了在英国各场所实施IWF合规公共WiFi网络的技术要求、架构和部署策略。它为IT领导者提供了切实可行的框架,以降低法律风险,同时保持高性能的网络访问。