办公室里那台共享打印机,昨天突然开始打印一堆乱码文件,没人操作却自动运行。排查半天才发现,是内网某台设备被入侵,通过打印服务发起了攻击。这类问题背后,往往和网关安全策略的配置与审计缺失有关。
打印扫描设备也是网络入口
很多人觉得打印机、扫描仪只是外设,不涉及核心数据。但实际上,现代多功能一体机都连着内网,有的甚至支持远程访问、邮件发送、云同步。它们和服务器一样,拥有IP地址、开放端口,自然也成为黑客的潜在突破口。
比如某企业使用支持SMB协议的扫描仪,允许员工直接扫描到共享文件夹。如果网关没对SMB流量做策略限制,外部攻击者就可能伪装成内部设备,直接向扫描仪发送指令,甚至上传恶意脚本。
安全策略要细到具体动作
光在网关上开启防火墙还不够。必须配置具体的安全策略,比如只允许可信IP访问打印服务的端口(通常是9100、515、631),禁止外部网络发起扫描上传请求。这些规则需要明确写入网关策略表。
以常见的iptables为例,可以添加如下规则:
# 允许内网段访问打印机端口
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 9100 -j ACCEPT
# 拒绝其他所有外部访问
iptables -A FORWARD -p tcp --dport 9100 -j DROP配置了策略,还得留痕迹
策略配完不是终点。关键是要打开审计日志功能,记录每一次策略匹配的动作。比如某次来自公网的IP尝试连接打印机端口,虽然被拒绝,但这条记录必须留下来。
在Cisco ASA这类网关设备上,可以通过命令启用策略命中日志:
access-list OUTSIDE_IN extended permit tcp any host 192.168.1.100 eq 9100 log alerts日志会记录时间、源IP、目标、动作等信息。一旦发生异常打印或扫描行为,管理员能快速回溯:是不是有人绕过策略?是不是规则漏配?
审计日志要定期看,别堆成“电子垃圾”
很多单位开了日志,但从不查看,等于白搭。建议每周抽十分钟翻一翻最近的告警记录。比如发现某个陌生IP频繁尝试连接扫描仪的FTP端口,可能就是有人在探测弱点。
更进一步,可以把日志接入SIEM系统,设置关键词告警,如“PRINT”、“SCAN”、“DENY to port 9100”,一旦触发就发邮件提醒。
别让打印扫描设备成为安全盲区。一套完整的网关策略,加上持续的审计追踪,才能真正守住办公室的“纸面防线”。