跳至主要内容

在网络边缘拦截恶意软件和钓鱼攻击

本技术参考指南概述了实施网络级威胁防护的架构、部署和业务影响,旨在保护网络边缘的非托管访客和物联网设备安全。它为 IT 领导者提供了主动拦截恶意软件和钓鱼攻击的可操作指南。

📖 3 分钟阅读📝 713 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
您好,欢迎观看本次 Purple 技术简报。我是您的主持人,今天我们将深入探讨场馆运营商的一项关键架构决策:在网络边缘拦截恶意软件和钓鱼网站。我们的交流对象是负责管理酒店、零售连锁店、体育场馆和公共场所网络的 IT 经理、网络架构师、CTO 以及运营总监。如果您负责管理宾客 WiFi 或大型公共网络,您一定深知无法管理这些设备所带来的头疼问题。您无法在宾客的智能手机上安装端点代理,更无法控制他们点击哪些链接。 那么,解决方案是什么?网络边缘保护。通过将安全执行点移至网关,您可以在威胁到达设备之前将其拦截。让我们从 DNS 过滤开始,剖析一下技术架构。 当设备连接到您的网络并尝试访问恶意域名(例如隐藏在短信中的钓鱼链接)时,DNS 查询会首先到达您的边缘网关。边缘网关不会解析该 IP 地址并放行流量,而是会根据实时威胁情报源检查该域名。如果该域名被标记为恶意域名,DNS 请求就会被汇沉(sinkhole)拦截。在下载任何恶意软件之前,连接就已经被切断。这是主动防御,而非被动响应。 让我们来看一个实际的应用场景。假设一家大型零售连锁店提供免费的宾客 WiFi。在节假日期间,客流量激增,每天有数千台未管理的设备进行连接。此时,针对该地区的一场模仿热门快递服务的定向钓鱼活动爆发了。如果没有边缘保护,宾客点击了链接,其设备在您的网络上被攻破,突然间您的 IP 信誉就会一落千丈,甚至更糟,攻击者会尝试针对您的 POS VLAN 进行横向移动。 有了网络边缘保护,在宾客点击恶意链接的那一刻,DNS 查询就会被拦截。边缘网关会发现该域名是三小时前注册的,并已被威胁情报标记。该连接会被阻止,宾客会看到一个安全的拦截页面,而您的网络依然安全无虞。无需任何端点代理。 这种架构还简化了合规性工作。无论您在零售业中需要应对 PCI-DSS,在欧洲需要应对 GDPR,还是在英国公共 WiFi 网络中需要应对 IWF 合规,边缘过滤都能提供审计所需的集中式日志记录和执行功能。您将拥有完整的 DNS 查询和已拦截威胁的审计跟踪记录。 现在,我们来讨论一下部署。最常见的误区是过度拦截,这会产生服务台工单并让宾客感到沮丧。关键在于细粒度的策略执行。如果您的营销团队经常快速搭建临时的活动网站,您肯定不希望对所有新注册的域名进行一刀切的拦截。 您需要采用分层方法。第 1 层是上游威胁情报 - 阻断已知的恶意攻击者、僵尸网络命令与控制服务器以及恶意软件分发点。第 2 层是基于类别的内容过滤,确保符合当地法规。第 3 层是访问控制,根据用户角色应用不同的策略。访客获得限制性策略,而企业 SSID 上的场馆员工则获得不同的策略。 加密 DNS 如何处理?如果不正确处理,诸如 DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 等协议可以绕过传统的边缘过滤。您的边缘架构必须考虑到这一点,方法是阻断已知的公共 DoH 解析器以强制回退到您的安全 DNS,或者对托管设备实施 SSL 检查,尽管后者对访客网络不可行。对于访客 WiFi,强制流量通过您的安全 DNS 并阻断替代端口是标准方法。 让我们进入基于常见客户问题的快速问答环节。 问题 1:边缘过滤会增加延迟吗? 回答:微乎其微。强大的边缘网关会缓存 DNS 响应,并使用任播路由到最近的威胁情报节点。增加的延迟通常在个位数毫秒级,用户根本察觉不到。 问题 2:这如何影响 ROI? 回答:ROI 是通过减少安全事件和简化管理来衡量的。您消除了 BYOD 设备端点安全的单设备许可成本。您还大幅减少了 IT 服务台在调查受损设备或处理被列入黑名单的 IP 地址上所花费的时间。 问题 3:这能保护 IoT 设备吗? 回答:是的。这是一个巨大的优势。酒店客房内的智能电视、零售店内的数字标牌或 POS 终端通常无法运行端点代理。边缘保护会自动覆盖它们,因为它们的所有流量都必须通过网关。 总结一下,仅靠端点保护对于现代场馆网络而言是远远不够的。您需要一个针对所有流量的单一执行点。网络边缘保护是主动的、具有成本效益的,并且覆盖了每一台托管或未托管的设备。它是安全访客 WiFi 和场馆网络的架构标准。 感谢您收听本次技术简报。请务必查看完整的参考指南,以获取详细的架构图、实施步骤以及关于 WiFi 分析和特定行业部署的进一步阅读。保持安全。

header_image.png

执行摘要

对于管理高人流量场所的 CTO 和网络架构师而言,保护非托管设备的安全是一项关键的运营挑战。您无法在访客的智能手机上部署终端代理,也无法依赖用户主动规避恶意链接。本指南详细介绍了如何实施网络级威胁防护,在恶意软件和钓鱼攻击到达访客设备之前,在网络边缘将其拦截。通过 DNS 过滤和威胁情报集成在网关处执行安全策略,场所可以主动保护 BYOD、IoT 和访客流量。这种方法减少了事件响应开销,确保了符合 GDPR 和 PCI DSS 等标准,并为 HospitalityRetailTransport 行业的 Guest WiFi 用户维护了一个安全的环境。

技术深度剖析

网络边缘防护架构

网络边缘恶意软件防护将安全执行点从终端转移到了网关。当设备连接到场所网络并尝试解析域名时,DNS 查询会被边缘网关拦截。该查询不会进行标准的解析,而是根据持续更新的威胁情报源进行评估。

architecture_overview.png

如果该域名与恶意软件分发、钓鱼活动或僵尸网络命令与控制(C2)基础设施相关联,DNS 请求将被丢弃。连接在下载任何恶意负载之前就会被切断。这种主动拦截可防止横向移动,并保护场所的 IP 声誉。

核心组件

  1. DNS 过滤引擎:检查所有出站 DNS 请求。配置此引擎以拦截已知的公共 DoH(DNS over HTTPS)解析器,对于防止用户绕过场所的安全 DNS 至关重要。
  2. 威胁情报集成:订阅全球情报源,根据声誉、新注册域名状态和已知恶意活动对域名进行实时分类。
  3. 策略执行:根据用户角色(例如,员工与访客)和内容类别应用细粒度规则,确保符合 IWF Compliance for Public WiFi Networks in the UK

实施指南

部署网络边缘保护需要采取分阶段的方法,以便在实现最大安全覆盖的同时将干扰降至最低。

步骤 1:网络分段

确保使用 VLAN 对网络进行合理分段。访客流量、企业员工、IoT 设备和 POS 系统必须处于隔离的分段上。这可以在设备加入网络前遭到入侵时,限制其爆炸半径。

步骤 2:网关配置

配置您的边缘路由器或防火墙,将所有 DNS 流量转发至安全的 DNS 过滤服务。实施防火墙规则,阻止除已批准的安全解析服务器之外,针对任何其他目的地的端口 53 (DNS) 和端口 853 (DoT) 的出站流量。欲了解更多关于现代网络优化的信息,请参阅 办公室 WiFi:优化您的现代办公室 WiFi 网络

步骤 3:策略定义

建立基准策略。在全球范围内阻止已知的恶意类别。对于内容过滤,应用针对特定场所的策略 - 例如,与普通零售相比,在 医疗保健 环境中实施更严格的过滤。

最佳实践

  • 细粒度策略应用:避免因一刀切的阻断而产生支持工单。使用与您的身份提供商集成的基于角色的访问控制 (RBAC)(例如 Purple 的 Connect 许可)。
  • 全面日志记录:保留 DNS 查询和被阻止威胁的完整审计踪迹。这对于事件响应和合规性报告至关重要。详细要求请参阅 阐释 2026 年 IT 安全审计踪迹的定义
  • 持续监控:使用 WiFi Analytics 实时监控网络性能和安全事件。

故障排除与风险缓解

处理加密 DNS

现代操作系统越来越多地使用 DoH 和 DoT,这些协议会加密 DNS 查询,并可能绕过传统的边缘过滤。为了缓解这一问题,请维护一份已知的公共 DoH 解析服务器(例如 8.8.8.8 和 1.1.1.1)的最新阻止列表,以强制设备回退到通过标准端口 53 提供的场所安全 DNS。

过度阻止合法流量

激进的威胁情报数据源有时会标记合法域名,尤其是用于营销活动的新注册域名。建立快速白名单流程,并授权 IT 运维团队快速解决误报问题。

comparison_chart.png

投资回报率与业务影响

网络边缘恶意软件防护的商业案例建立在降低风险和提高运营效率的基础之上。通过在网关处阻断威胁,场馆无需支付与针对 BYOD 和访客设备的终端安全相关的每个设备许可费用。它还显著减少了 IT 服务台员工在调查受损设备或处理黑名单 IP 地址上所花费的时间。由此带来的安全、可靠的连接不仅提升了访客体验,还保护了场馆的品牌声誉。

关键定义

网络边缘

本地网络连接到互联网的边界,通常由路由器、防火墙或网关管理。

这是为非托管设备部署安全控制的最佳位置,因为所有流量都必须通过它。

DNS 过滤

通过拦截 DNS 查询并根据策略或威胁情报源对其进行评估,从而阻止对某些网站或 IP 地址访问的过程。

用于在传输任何数据之前,主动阻止设备连接到恶意域名。

汇洞技术 (Sinkholing)

将恶意流量重定向到安全、受控的 IP 地址,而不是其预定目的地。

当访客设备尝试连接恶意软件服务器时,边缘网关会重定向该请求,以防止感染。

威胁情报源

关于潜在或当前网络威胁的持续更新数据流,包括已知的恶意域名和 IP 地址。

边缘网关使用这些情报源来做出是否允许或拦截流量的实时决策。

DoH (DNS over HTTPS)

一种通过 HTTPS 协议执行远程域名系统解析并对数据进行加密的协议。

虽然 DoH 有利于隐私保护,但它可能会绕过企业边缘过滤,除非明确拦截已知的 DoH 解析器。

VLAN 划分

将单个物理网络划分为多个逻辑网络以隔离流量。

这对于将不可信的访客流量与敏感的企业或 POS 系统隔离至关重要。

BYOD (自带设备)

允许员工或访客在组织的网络上使用其个人设备的做法。

BYOD 设备通常是非托管的,这使得端点安全无法实现,因此必须依靠网络边缘防护。

审计追踪

系统活动的时间顺序记录,包括 DNS 查询和被拦截的连接。

符合 PCI-DSS 和 GDPR 等框架的合规性要求,以证明安全控制措施正在运行。

应用实例

一家拥有 500 间客房的酒店需要保护访客 WiFi 的安全,同时确保物联网设备(智能电视、客房控制系统)免受外部命令与控制服务器的侵害。

部署具有 DNS 过滤功能的网络边缘网关。将网络划分为访客、物联网和企业 VLAN。配置网关以拦截来自物联网和访客 VLAN 的所有 DNS 查询,并将其转发给安全 DNS 服务。对物联网 VLAN 应用严格的策略,仅允许解析已知且必需的域名(白名单),同时对访客 VLAN 应用标准威胁拦截策略。

考官评语: 这种方法非常有效,因为它解决了无法在智能电视上安装端点代理的问题。通过将 VLAN 划分与细粒度的边缘过滤相结合,酒店在为物联网设备实现零信任原则的同时,确保了访客的无缝体验。

一家大型连锁零售商由于访客设备在连接店内 WiFi 时发送垃圾邮件,导致频繁被列入 IP 黑名单。

实施具有实时威胁情报源的网络边缘恶意软件防护。配置防火墙以拦截所有访客流量的传出 SMTP(端口 25)。启用 DNS 过滤,将发往已知僵尸网络和垃圾邮件分发域名的请求重定向(汇洞机制)。

考官评语: 拦截端口 25 是标准的最佳实践,但将其与边缘 DNS 过滤结合使用,可以从源头上防止受感染的设备访问其 C2 服务器,从而保护零售商的 IP 信誉并减少 ISP 警告。

练习题

Q1. 体育场网络管理员注意到,虽然启用了 DNS 过滤,但某些访客设备仍能访问已知的恶意域名。最可能的原因是什么?应该如何解决?

提示:考虑可能会绕过标准端口 53 过滤的现代协议。

查看标准答案

设备可能正在使用诸如 HTTPS 加密 DNS (DoH) 或 TLS 加密 DNS (DoT) 之类的加密 DNS 协议,这些协议会绕过标准的 53 端口过滤。管理员应更新防火墙规则,以阻止已知的公共 DoH/DoT 解析器,并阻止 853 端口上的出站流量,从而强制设备回退到场所的安全 DNS。

Q2. 在医院环境中部署网络边缘保护时,访客 WiFi 与医疗 IoT 设备 VLAN 之间的策略应该有何不同?

提示:考虑最小权限原则和可预测行为的概念。

查看标准答案

访客 WiFi 应使用标准的威胁拦截策略(根据 IWF 指南拦截恶意软件、钓鱼网站和不当内容),但通常允许访问互联网。医疗 IoT VLAN 应使用严格的“默认拒绝”策略并配合白名单,仅允许与特定的、必需的供应商服务器进行通信。IoT 设备具有可预测的流量模式,这使得白名单机制非常高效。

Q3. 零售客户希望实施边缘过滤,但担心拦截最新注册的合规营销活动域名。应该实施什么流程?

提示:重点关注运营工作流程以及平衡安全与业务需求。

查看标准答案

实施快速白名单工作流程。虽然“新注册域名”是一个常见的威胁类别,但 IT 团队应建立一个流程,在营销活动启动前快速验证并白名单化营销团队提供的域名,以确保安全措施不会阻碍业务运营。