第 42 卷第 3 期
                                                       电力与能源
               3 6 0                                                                         2021 年 6 月

                                                                                     DOI : 10.11973 / dl y n y 202103022

                           基于      IDF      技术实现违规外联控制探究



                                             叶水勇 , 王文辉 , 蔡 翔               3
                                                     1
                                                                2
                        ( 1. 国网黄山供电公司, 安徽 黄山  245000 ; 2. 全球能源互联网研究院有限公司, 北京 102200 ;
                                           3. 国网安徽省电力公司, 安徽 合肥 230022 )


                   摘   要: 针对北信源 VRV 软件监控系统对客户端出现违规外联时只能进行阻断, 无法彻底杜绝违规外联事
                   件发生的问题, 通过采用基于 OfficeScan的模块化入侵防御防火墙IDF 进行控制, 可降低由于违规外联而导
                   致的内部信息外泄及病毒感染等风险; 应用防“ 违规外联” 防火墙, 可成功对信息内网违规外联事件以及域外
                   文件共享和打印进行了阻断, 实现了信息内网安全化、 规范化管理。
                   关键词: 违规外联; 入侵防护; 策略配置; 网络安全; IDF 防火墙
                   作者简介: 叶水勇( 1964 —), 男, 高级工程师, 从事电力行业信息化研究、 开发和应用工作。
                   中图分类号: TP393   文献标志码: A   文章编号: 2095-1256 ( 2021 ) 03-0360-02
                            RealizationofIlle g alOutreachControlBasedonIDFTechnolo gy

                                                   1                2           2
                                       YEShui y on g  , WANG Wenhui , CAIXian g
                       ( 1.StateGridHuan g shanPowerSu pp l yCom p an y , Huan g shan245000 , AnhuiProvince , China ;
                             2.GlobalEner gy InternetResearchInstituteCo. , Ltd. , Bei j in g102200 , China ;
                             3.StateGridAnhuiElectricPowerCo. , Heifei230022 , AnhuiProvince , China )


                  Abstract : TheVRVsoftwaremonitorin gandcontrols y stemcanonl yblocktheclientille g aloutreach , butcan
                  notcom p letel y eliminateille g aloutreachevents.Ado p tin gmodularintrusionintoIDFdefensefirewallbasedon
                  OfficeScancanreducetheriskofinternalinformationleaka g eandvirusinfectioncausedb y ille g aloutreach.
                  Thea pp licationofthefirewalla g ainst"ille g aloutreach"cansuccessfull yblocktheille g aloutreachin gevents
                  throu g htheIntranetandthefilesharin gandp rintin goutsidethedomain , realizin g thesecurit yandstandard-
                  izedmana g ementoftheIntranet.
                  Ke ywords : ille g aloutreach , intrusionp rotection , p olic y confi g uration , c y bersecurit y , theIDFfirewall

                   目前国家电网对违规外联的检查与控制主要                         火墙策略中, 添加相应的强制允许策略, 仅允许内
              是通过北信源 VRV 软件进行监控, 对客户端出                         网用户的 IP 范围进行数据交互, 丢弃将非内网
              现违规外联情况进行记录并阻断; 无法实现禁止                          IP 的数据包, 从而实现对违规外联的控制                 [ 3-4 ] 。
              违规外联的要求        [ 1-2 ] 。为防止发生违规外联事件,            1.2  实现过程
              信息部门必需通过其他的技术手段禁止信息内网                           1.2.1  服务器策略配置
              终端利用 3G 卡、 电话拨号、 WI-FI非法外联。                          在趋势控制台中新建一个“ 违规外联模板”,
                   为了有效地控制和管理公司内网计算机访问                         将多条防火墙规 则组合成一个模块部署到客户
              外网的“ 违规外联现象”, 本文通过采用基于 Of-                       端上  [ 5-6 ] 。
              ficeScan的模块化入侵防御防火墙 IDF 进行控                     1.2.2  客户端部署
              制, 可降低因为违规外联而导致的内部信息外泄                               对需要控制违规外联的客户端, 部署“ 违规外
              及病毒感染等风险。                                        联模板”。
              1  过程分析                                         2  效果展示

              1.1  原理分析                                       2.1  违规外联控制效果
                  IDF 入侵防护防火墙通过系统底层进行网络                            在安装防“ 违规外联” 防火墙的信息内网终端
              数据包的分析过滤功能; 通过在防“ 违规外联” 防                        上安装 3G 卡, 当 3G 卡拨号成功后, 终端能够获