企业出于工作的需要，一般会映射一些内网主机供外网访问。比如：ERP系统、财务系统、CRM系统，甚至一些内网主机的远程桌面等等。分公司、出差员工在外网通过互联网就可以访问到内网资源，给工作带来了很大的便利。但是，不加限制和保护的端口映射访问，给网络安全带来了很大的挑战。

端口映射的内网主机安全，主要考虑如下几点：

1. 被映射的内网主机要安装防火墙，并且确保已经打了各项安全补丁。

2. 限制访问端的IP地址，阻止从其他地区连入。一般可以在网关防火墙上进行配置，限制能访问映射主机的IP地址。

3. 避免常用的端口。比如你用默认的3389端口，那么攻击程序立刻就知道这是远程桌面服务，从而就可以采用对应的渗透手动来攻击。采用一些不常用的端口可以起到一定的保护作用。

4. 部署入侵防御，一旦发现外网攻击时，可以及时阻止攻击者的IP地址。从而保护内网主机。

本文中，我将介绍如何用WSG网关中的“入侵防御”功能来保护内网主机资源。

1. 选择入侵防御的检测网卡

选择内网一侧的网卡，如果有多个内网网段，则选择要保护的内网主机网段。“自动选择”时，系统会自动在所有的内网网卡上开启检测。

2. 指定网段参数

定义要保护的内网网段。“自动选择”时，会自动选择所有的内网网段，以及常见的Web、FTP等端口。如果有内部的服务器需要保护，建议您点击“编辑所有参数”并在网段参数和端口参数中定义内网的服务器IP地址以及开放的服务端口。如下图，我们把要保护的内网IP地址都添加定义。

3. 选择特征库

对于内网服务器的保护，建议选择“恶意软件攻击”、“系统漏洞攻击”、“服务漏洞攻击”即可。如图：

4. 检查状态和日志

开启上述选项后，IPS系统即可开始工作。点击“记录查询”和“状态”图标，可以查看到当前的工作状态和日志信息。