如何通过防火墙策略有效阻止局域网内使用向日葵远程桌面

一、基础层面：识别向日葵通信特征与端口行为

向日葵远程控制软件主要依赖TCP 5938端口进行初始连接，但其高级版本支持HTTPS加密隧道（443端口）以及P2P直连模式，部分客户端甚至采用动态端口规避检测。因此，仅依靠静态端口封禁（如关闭5938）无法实现彻底阻断。

• TCP 5938：默认通信端口，常用于主控与被控端握手
• HTTPS over 443：用于穿透NAT或绕过企业防火墙
• DNS解析请求：频繁访问 sunlogin.oray.com、page.sunlogin.oray.com 等域名
• UDP随机端口：P2P模式下可能启用UPnP自动映射端口

在传统防火墙配置中，若未开启应用层识别功能，此类流量极易伪装成正常Web流量通过。

二、进阶策略：结合深度包检测（DPI）与应用层网关（ALG）

为提升识别精度，需部署具备DPI能力的下一代防火墙（NGFW），例如华为USG系列、Fortinet FortiGate或Palo Alto PA系列设备。这些设备可基于协议指纹和行为模式识别加密流量中的向日葵特征。

三、精准拦截：基于域名与IP信誉的联动防御机制

向日葵服务端依赖Oray云平台进行ID注册与中继转发，其核心通信目标包括以下关键域名：

可在DNS层级实施拦截：

1. 在内网DNS服务器设置响应策略，对上述域名返回空应答（NXDOMAIN）或指向本地黑洞IP
2. 部署DNS安全网关（如Cisco Umbrella）实施云端分类过滤
3. 结合SIEM系统记录异常DNS查询行为，辅助溯源审计

四、强化网络准入：MAC/IP绑定与802.1X认证协同控制

为防止非法终端接入后运行向日葵，建议实施严格的网络准入控制（NAC）。通过绑定合法设备的MAC地址与IP地址，并结合IEEE 802.1X认证机制，确保只有授权设备才能获得网络权限。

# 示例：华为交换机MAC-IP绑定配置
arp static 192.168.10.100 00e0-fc12-3456
interface GigabitEthernet0/0/1
 port-security enable
 port-security mac-address sticky

同时，在DHCP服务器上启用动态ARP检测（DAI）与IP Source Guard，防止伪造IP/MAC绕过策略。

五、终端管控：应对便携式免安装版向日葵的挑战

员工通过U盘运行免安装版向日葵是常见绕过手段。为此需构建终端安全管理闭环：

具体措施包括：

• 部署EDR（终端检测与响应）系统，如奇安信天擎、深信服EDR，实时监控可疑进程注入
• 启用Windows AppLocker或Intune应用控制策略，限制非标准路径程序执行
• 关闭自动播放功能，禁用脚本解释器（如PowerShell无签名执行）
• 定期推送安全基线检查，识别已安装或临时运行的远控软件痕迹