笨驢信息(IMFirewall)博客

通過用上網行為管理限制電腦的網絡訪問，管控終端可以訪問的外網站點，可以實現只允許終端使用指定的網絡軟件。請注意，網絡管控只能管控網絡軟件，并不能限制單機軟件。

本文中，我將以WSG上網行為管理為例，使終端電腦只能使用“虛幻引擎”這個軟件。

1. 首先，配置“應用過濾”禁止所有外網

用WSG上網行為管理很容易就可以屏蔽一臺網絡終端訪問外網，本文中，我將演示如何用WSG上網行為管理來配置策略禁止一臺電腦訪問外網。

1. 在應用過濾中新增策略

在“模塊”-“行為管理”-“應用過濾”中新增策略，選擇“增加一個全新的配置”。

“公司辦公網，想要實現電腦可以登陸微信，但其他網站均不允許打開。目的是允許辦公人員在電腦上使用微信，但是不允許他們瀏覽網頁和其他與網絡有關的內容。”這樣的需求，我們可以通過在局域網內網橋部署一臺WSG上網管理軟件來實現，網絡結構如下：

現在越來越多的企業開始關注網絡安全，但是辦公網絡安全現狀還不容樂觀。首先，領導層和員工的安全意識不高。一些員工在密碼設置、郵件和文件收發等方面缺少安全意識，很容易使企業網絡受到攻擊和病毒感染。而且一些企業缺少網絡安全應急預案，沒有做好數據備份，一旦在發生網絡攻擊事件時響應遲緩造成巨大損失。其次，缺少網絡安全設備；一些企業網絡還沒有安裝防火墻和入侵檢測設備，一旦被攻擊就抵擋防御。所以，企業網絡安全最需要注重如下幾個方面：

網絡安全已經是企業局域網不可忽視的安全問題。那么企業網絡安全的防護技術有哪些呢？主要包括如下幾點：防火墻、入侵檢測和防御、DDoS防護、內網上網管控。本文中，我將以WSG上網行為管理為例，介紹企業網絡防護技術。

1. 防火墻

防火墻是網絡防護的第一道門戶。企業的網絡防護需要對來自外網的訪問進行限制。比如：阻止外網訪問防火墻，限制外網訪問端口映射的IP范圍等。

電腦一旦被安裝了挖礦程序，會帶來很多危害：占用大量的電力和運算資源、拖慢機器、感染局域網內的其他終端......所以，挖礦行為目前是被各級部門明令禁止的，一旦被上級部門檢測到有挖礦行為，很可能會被阻止互聯網接入直至整改完成。當接到上級部門通告時，作為網管人員需要怎樣去處置解決這個問題呢？

被上級部門檢測到，一般存在如下三種情況：

1. 訪問了礦池或者虛擬貨幣服務器的目標IP

2. 訪問了“挖礦”域名（HTTP/HTTPS）

3. 查詢了“挖礦”域名（DNS）

企業內部的ERP、OA服務器很多都是通過端口映射到公網的，這樣就不可避免會招來攻擊。如下圖：

公司網絡準入認證方案是網絡安全的基礎，該方案通過對網絡的接入設備進行統一的認證和訪問授權管理，以保證內網的網絡安全。對于企業局域網來說，比較常見的網絡準入認證方案包括802.1X、Portal認證，還有基于企業微信、釘釘等第三方的app認證。

802.1X的認證方式需要支持802.1X的交換機設備，且配置比較復雜，對于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網行為管理網關的Portal認證、第三方認證等功能來實現企業網絡的準入認證。

作為網管技術人員，你一定會因為IP沖突感到煩惱過。IP沖突會導致電腦上不了網，因為業務正常運行等。一旦發現IP地址沖突，在網絡設備上是解決不了的，唯一的解決辦法就是找到沖突的這臺終端并且修改其IP地址或者改成自動獲取IP；而預防IP沖突的唯一辦法就是：自動獲取IP。通過DHCP服務器，統一規劃分配IP，這樣就避免了IP沖突的問題。一般來說，可以采用如下的網絡規劃：

• 服務器、打印機等設備都采用固定IP的方式。

• 辦公電腦自動獲取IP

• 無線設備自動獲取IP

本文以WSG上網行為管理為例，介紹如何檢測、管理IP地址沖突。

上級部門通知局域網內存在僵尸木馬要求網絡進行整改，作為網管人員需要怎樣去處置解決這個問題呢？首先，上級部門只能檢測到局域網總出口的IP地址，并不能識別終端的IP地址。當網內的終端數量比較多時，每臺電腦做病毒查殺的工作量太大了，網管人員會很頭疼這個問題。

比較合理的方案是在局域網內部署一臺入侵檢測系統，通過對網絡數據包進行分析檢測，從而發現問題主機。在本文中，我將以“WSG上網行為管理”為例，來介紹如何進行內網的木馬檢測。

WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，這兩個模塊的檢測原理都是入侵檢測snort。如下圖：

WSG上網行為管理的“IP-MAC綁定”功能非常強大，可以實現IP-MAC綁定、ARP綁定、分配靜態IP等功能。但是配置IP-MAC綁定需要預先收集mac地址并且分配IP，還是有一定的工作量的。在本文中，我將介紹基于用戶認證的IP-MAC綁定功能，其實現原理是：“用戶一旦認證成功就會自動配置IP-MAC綁定”，這樣不但實現了用戶認證，而且固定了IP和mac地址；可以說是IP-MAC綁定的一個有效功能補充。具體的步驟如下：

當你有多臺WSG時，你可能會想把上網日志和統計數據集中保存和管理。集中保存可以保存更長日期的歷史數據，也更加便于管理。本文中，我將介紹如何搭建WSG數據中心管理系統來實現數據的集中存儲管理。

1. WSG數據中心的搭建

WSG數據中心安裝在一臺windows電腦上，該系統的搭建需要安裝以下產品：

1. SQL Server數據庫，所有的日志數據都會被導入到SQL Server數據庫中。

2. FTP服務器，用于提供FTP上傳服務。

3. WFilterDC（WFilter數據中心管理系統），該系統可以導入數據并且提供查詢和統計等功能。

企業網絡信息安全問題日益突出，為了加強企業內部的網絡安全建設，網絡管理技術人員應當從如下幾個方面來設計網絡安全解決方案：

1. 合理的制度和管理

首先需要有完善的網絡安全管理制度，根據企業的實際工作需要制定符合公司實際情況的管理制度和措施來保證網絡的正常運行和網絡的安全運行，并且配備專業的技術人員負責管理維護內網的計算機和網絡設備。

越來越多的企事業單位開始重視信息安全，企業的技術資料、客戶信息等一旦發生信息泄露，會給企業帶來不可估計的損失。即使是網絡環境比較簡單的中小企業，也一樣會受到網絡安全的威脅。如果不注重網絡安全，往往會導致企業的重大損失。本文中，我將從網絡安全的角度，來論述如何保障公司內網的網絡信息安全。主要涉及到如下四點：

1. 合理的網絡架構
   

2. 了解內網的終端
   

3. 管控到外網的訪問

4. 管控來自外網的訪問
   

為了保障網絡安全，提高員工工作效率，企業有必要部署上網行為管理。上網行為管理可對企業內部員工的上網行為進行全方位有效管理，保護Web訪問安全，降低互聯網使用風險，避免機密信息泄露，提升工作效率，限制下載和視頻P等嚴重消耗帶寬的應用，保障企業核心業務帶寬。

根據《中華人民共和國網絡安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計算機信息網絡國際聯網安全保護管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯網安全保護技術措施規定》(第七條、第八條、第十一條)等相關法律規定：

1. 提供WiFi上網服務的公共場所，必須落實上網實名認證。

2. 提供上網服務的公共場所，必須至少保存六十天的上網記錄備份。

短信實名認證是目前最穩定、最普遍的實名認證方案。對于絕大部分WiFi網絡而言，只需要在網絡出口處部署一臺WSG上網行為管理設備，就可以同時實現短信認證和上網記錄的功能，滿足網絡安全法的安全要求。WSG上網行為管理的WiFi短信認證方案，具備如下優勢：

1. 一臺設備就可以滿足認證+審計+安全的功能需求。
   

2. 對內網的網絡設備沒有要求，不需要更改現有的無線方案。

3. 透明部署、即插即用。

網絡拓撲圖如下：

局域網內電腦中了木馬病毒，會有帶來下述壞處：

1. 感染內網其他電腦。

2. 大量攻擊數據的存在，使得網絡緩慢，被攻擊的電腦運行緩慢。

發現內網電腦中毒后，一般都會采取重新安裝系統，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進行病毒查殺。有些殺毒軟件或者防火墻可以檢測到內網的攻擊源，本文中，我將介紹如何用WSG上網行為管理的“木馬檢測”功能來進行檢測。WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，如下圖：

WSG的應用特征庫已經包含了“QQ小程序”和“微信小程序”這兩個應用特征，只要把對應的應用設置成“禁止”即可屏蔽所有的小程序。但是在實際使用過程中，有些用戶只想屏蔽游戲類的小程序，同時允許其他的小程序功能。本文，我將結合管唄上網行為管理，來演示如何實現該需求。

方案一：直接屏蔽“QQ小程序”和“微信小程序”

在“上網策略”的“APP”中，搜索小程序，把QQ小程序和微信小程序設置成“禁止”。這樣的效果是直接把所有的小程序都禁用掉。如下圖：

WFilter的擴展插件系統有一系列實用的擴展插件。本文中，我將介紹插件中的“遠程喚醒”功能，該功能可以給指定的電腦發送WOL（Wake on LAN）數據包，從而實現遠程喚醒和遠程開機。

具體步驟如下：

1. 搜索IP或者MAC地址

輸入IP地址、MAC地址、機器名備注等信息，可以查詢出終端列表。如下圖：

在“WSG撥號上網如何配置IPv6地址？”一文中，我們介紹了如何在撥號上網的情況下開啟IPv6，如文中所述撥號上網時IPv6地址主要都是通過自動獲取來實現的。對于靜態固定IPv6地址來說，配置方式就不一樣了。你需要合理的劃分自己的網段。

IPv6不僅能解決網絡地址資源數量的問題，而且也解決了多種接入設備連入互聯網的障礙。本文中，我將介紹WSG上網行為管理在撥號上網時如何啟用和配置IPv6地址。

1. 首先在外網口開啟IPv6

配置外網口時，需要在外網口啟用IPv6。

在防火墻、上網行為管理如何實現雙機熱備一文中，我們介紹了如何用兩條外線來實現網絡雙機熱備。在有些情況下，一些用戶還需要對同一條線路做雙機熱備。準確的說，外線只有一條，但是要確保防火墻/上網行為管理設備是可以實現熱備的。這種情況下，和防火墻、上網行為管理如何實現雙機熱備一文不同的是，我們需要同時在“內網口”和“外網口”上都開啟虛擬IP。這樣的效果就是：內網口和外網口都工作虛擬IP上，一旦主設備故障，可以迅速切換到備份設備上去。

多條外線時，我們一般都會配置線路負載均衡或者線路分流。線路均衡負載的配置，請參考：同運營商多條外線如何做負載均衡？ 有時候用戶只希望單純的實現一個線路備份的功能，意思就是正常只用一條外線，另外一條外線只在主線路故障時才啟用。本文我就來介紹一下如何用WSG網關來實現兩條線路自動主備切換。

笨驢SD-WAN盒子可以非常方便的實現多地組網，無需修改現有網絡結構，無需替換現有的網絡設備，只要在兩地通過旁路方式分別接一臺SDWAN盒子即可組建虛擬局域網。網絡結構如下圖：

本文將介紹笨驢SD-WAN盒子的首次安裝步驟。

1. 接線方式

如圖所示，SD-WAN盒子這款硬件有如下配置：

• 一個以太網網口，默認自動獲取IP。

• 自帶wifi（SID: wfilter-sdwan，無線網段是192.168.120.0/24）