在WFilter NGF(WSG上網行為管理網關)的”Web認證“配置中,可以基于IP范圍來配置要進行Web認證的客戶端。實際使用中,有些局域網電腦和手機無線終端都混雜在同一個網段,這種情況下,如果要只對電腦做認證,或者只對手機做認證,就不能通過IP范圍來實現了。需要修改默認的認證頁面,基于瀏覽器的useragent來獲取客戶端操作系統類型,并且判斷是否放行(無需認證直接放行)。
如下圖,點擊”編輯Web認證頁面”,然后點擊源代碼圖標。
13
2019
08
13
2019
08
手機釘釘怎么掃碼進行Web認證?
在上網行為管理如何實現釘釘掃描二維碼進行Web認證登錄這篇文章中,我們介紹了如何用手機釘釘掃碼登錄電腦。電腦在上外網之前,需要用手機釘釘掃描二維碼才可以使用網絡,并且記錄該用戶賬號的上網內容。而在實際使用中,有些用戶還想對手機上外網進行用戶認證,從而可以識別到手機的員工姓名并記錄上網日志。
本文中,我將介紹如何用手機釘釘掃碼對自身手機進行Web認證。
在認證前,該手機是無法上外網的。大部分手機會自動彈出Web認證頁面(也可以手動在瀏覽器里面打開),如下圖:
作者:笨小驢 | 分類:無線WiFi實名認證方案 | 瀏覽:8088 | 評論:0
08
2019
08
Web認證如何對接第三方認證平臺?
WSG上網行為管理網關(WFilter NGF)的Web認證功能非常強大,可以支持多種用戶名認證(本地用戶、郵箱認證、域認證、Radius認證等),還可以支持短信認證、微信認證、釘釘認證等第三方認證。不過在有些情況下,用戶還希望WSG可以對接第三方的Web認證界面,即通過其他的Web認證系統進行認證,而由WSG來實現上網管控和上網記錄。本例中,我將介紹如何用WSG來對接第三方Web認證平臺。
首先,開啟WSG的Web認證功能。
“Web認證”的需求是對需要管控的員工網段開啟認證,一些電腦不開啟認證。如圖:
1. 設置要管控的IP范圍
2. 設置一個合理的超時重新認證時間,1440就是每天都需要重新認證一次。
3. 領導的mac地址加到“例外的MAC地址”
作者:笨小驢 | 分類:無線WiFi實名認證方案 | 瀏覽:3092 | 評論:0
05
2019
08
如何屏蔽QQ和微信的外發文件?
出于信息安全的考慮,很多企業不允許工作電腦外發文件,但是QQ和微信又是常見的辦公工具。所以“既允許QQ和微信聊天,同時又不允許外發文件”,一直是企業管理的一個難題。其實上網行為管理技術經過十幾年的發展,已經可以精確的識別出文件傳輸和普通聊天的協議特征。專業的上網行為管理產品,都可以單獨屏蔽QQ和微信傳文件。以WSG上網行為管理網關為例,在“行為管理”的“應用過濾”中,搜索QQ,可以看到20多個QQ相關的應用協議,包括QQ聊天、QQ發文件、QQ接收文件、QQ游戲等各種相關應用。如下圖:
作者:笨小驢 | 分類:網絡外發文件管控方案 | 瀏覽:18782 | 評論:0
12
2019
07
WSG上網行為管理如何屏蔽勒索病毒攻擊?
勒索病毒是一種新型電腦病毒。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。由于其巨大的破壞性,勒索病毒可以說是“談虎色變”。
作者:笨小驢 | 分類:企業網絡準入認證方案 | 瀏覽:3318 | 評論:0
11
2019
07
如何用網橋模式實現IPSec單臂VPN?
WSG上網行為管理(WFilter NGF)既可以做網關部署,也可以做網橋部署。在網橋部署模式下,WSG的IPSec VPN和OpenVPN一樣是可用的,可以實現單臂模式的VPN組網。網絡結構如下圖:
本文將結合WSG介紹如何實現IPSec VPN的單臂部署。
作者:笨小驢 | 分類:異地組網方案,SD-WAN | 瀏覽:7675 | 評論:0
11
2019
07
如何用openvpn組建兩地虛擬局域網?
現在大部分虛擬局域網的組建都通過IPSec的方式,其實用openvpn來組網也是很不錯的方案。跟IPSec相比,openvpn的功能更加強大和靈活:
可以修改端口和通訊方式。
可以實現用戶名認證和證書認證兩種認證方式。
可以對客戶端分配IP,從而實現更加細致的防火墻權限控制。
本文將簡單介紹openvpn組網的一些簡單步驟,如果您要用openvpn實現遠程辦公撥入,請參考:如何用OpenVPN實現遠程辦公?
作者:笨小驢 | 分類:異地組網方案,SD-WAN | 瀏覽:18552 | 評論:0
17
2019
06
WSG上網行為管理的路由部署模式介紹
WFilter NGF(WSG上網行為管理網關)支持網關和網橋兩種部署模式:
網關模式:WSG作為整個局域網的網關,提供NAT服務。
網橋模式:WSG作為透明網橋串接在局域網中。
在有些情況下,我們需要采用純路由模式(WSG只做路由轉接,不進行NAT轉換)。本例中,我將介紹如何用WSG來搭建路由模式的上網行為管理。
網絡結構如下圖:
具體配置步驟如下:
作者:笨小驢 | 分類:企業局域網組網方案 | 瀏覽:5520 | 評論:0
12
2019
06
如何禁止從https站點下載exe等格式的文件?
在WFilter NGF(WSG上網行為管理網關)的“網頁過濾”模塊中,我們可以設置”文件下載”的過濾規則;比如禁止exe可執行文件,或者壓縮文件的下載。如下圖:
作者:笨小驢 | 分類:網頁過濾方案 | 瀏覽:5071 | 評論:0
24
2019
05
如何控制IPSec VPN的對端訪問權限?
IPSec VPN 技術在IP傳輸上通過加密隧道,在用公網傳送內部專網的內容的同時,保證內部數據的安全性,從而實現企業總部與各分支機構組建虛擬局域網的需要。IPSec組網的具體步驟,請參考:一次典型的IPSec VPN組網方案。很多情況下,我們還需要控制對端的訪問權限。在本文中,我將介紹WFilter NGF中的IPSec VPN訪問權限。
1. 防火墻規則的選項
IPSec隧道的配置中,”防火墻規則“有“自動”和“手動”兩個選項:
作者:笨小驢 | 分類:異地組網方案,SD-WAN | 瀏覽:6714 | 評論:0
22
2019
05
企業需要申請多大寬帶的專線?如何節省專線費用?
很多局域網需要向外網提供服務,比如ERP、OA系統,或者需要進行虛擬局域網組網等。而由于公網IP資源越來越緊張,大部分寬帶都不能獲取到公網IP;這些情況下,企業只能選擇運營商的企業專線。和普通的寬帶相比,企業專線有如下特點:
獨享帶寬,速度有保障。
可以申請固定公網IP。
不過專線的費用比較昂貴,如下圖:
作者:笨小驢 | 分類:多線負載均衡方案 | 瀏覽:15285 | 評論:0
10
2019
05
如何實現網站白名單控制,只允許訪問指定站點?
對于一些安全性要求比較高的局域網來說,有時候只允許客戶機訪問指定的網站,其他網絡行為一律禁止。這時候我們就需要用到“網站白名單”功能(只允許訪問下列網站)。具體的配置如下圖:
1. 在網頁過濾中開啟“只允許訪問下列網站”
“只允許訪問下列網站”功能開啟后,客戶機只能訪問允許的站點。其他網頁一律訪問不了。
選擇應用對象和生效時間
作者:笨小驢 | 分類:上網行為管理方案 | 瀏覽:5846 | 評論:0
25
2019
04
如何實現企業微信掃描二維碼進行Web認證?
企業微信,是騰訊微信團隊為企業打造的專業辦公管理工具。與微信一致的溝通體驗,豐富免費的OA應用,并與微信消息、小程序、微信支付等互通,助力企業高效辦公和管理。在“如何實現釘釘掃描二維碼進行Web認證登錄?”一文中,我們介紹了如何用釘釘掃碼認證上網。而一些局域網采用的是企業微信來做辦公管理。本文,我將結合WSG上網行為管理網關(WFilter NGF)中的“Web認證”功能,介紹如何利用企業微信的掃描二維碼功能來實現內網用戶的Web認證登錄。該功能有如下優勢:
直接用企業微信掃碼登錄,無需在WSG系統內創建用戶。
可以自動獲取并記錄企業微信的員工姓名。
可以基于企業微信員工姓名配置上網策略和統計。
一些配置的步驟和截圖如下:
作者:笨小驢 | 分類:無線WiFi實名認證方案 | 瀏覽:12967 | 評論:0
23
2019
04
上網行為管理如何實現釘釘掃描二維碼進行Web認證登錄?
釘釘(DingTalk)是阿里巴巴集團專為中國企業打造的免費溝通和協同的多端平臺。釘釘因中國企業而生,幫助中國企業通過系統化的解決方案(微應用),全方位提升中國企業溝通和協同效率。一些局域網為了信息安全和管理需要,需要用戶進行Web認證后才可以使用局域網,并且記錄該用戶賬號的上網內容。
本文,我將結合WSG上網行為管理網關(WFilter NGF)中的“Web認證”功能,介紹如何利用釘釘的掃描二維碼功能來實現內網用戶的Web認證登錄。該功能有如下優勢:
直接用釘釘掃碼登錄,無需在WSG系統內創建用戶。
可以自動獲取并記錄釘釘的員工姓名。
可以基于釘釘員工姓名配置上網策略和統計。
一些配置的步驟和截圖如下:
作者:笨小驢 | 分類:無線WiFi實名認證方案 | 瀏覽:10470 | 評論:0
10
2019
04
多運營商混合多線如何做負載均衡?
在《同運營商多條外線如何做負載均衡?》一文中,我們介紹了多條外線(同一個運營商)時如何進行負載均衡。在實際使用中,很多用戶的外線是不同運營商的(比如一條電信和一條移動)。對于大部分用戶來說,采用《同運營商多條外線如何做負載均衡?》中的方案,即可產生多線疊加的效果。但是不同運營商多條外線直接進行均衡并不是最優化的方案,主要在于DNS的原因:“假設某終端DNS查詢某域名時,獲取的是運營商A的IP;而在后續訪問的過程中,卻會被均衡到運營商B,這樣就不夠優化了。”解決的方案主要涉及到兩個技術:
-
運營商分流,根據目的IP來自動選擇運營商線路(即電信IP走電信線路,移動IP走移動線路)。
-
DNS重定向,配置DNS重定向規則來設置客戶機的默認DNS(也間接決定了客戶機的線路)。
1. 運營商分流
WFilter NGF(WSG)已經內置了“運營商分流”策略,基于各大運營商的IP段來選擇各自的線路,如下圖,點擊狀態標志啟用這條“運營商分流”策略即可。
作者:笨小驢 | 分類:多線負載均衡方案 | 瀏覽:6950 | 評論:0
01
2019
04
同運營商多條外線如何做負載均衡?
局域網出于帶寬的需要,經常會采用多外線接入的方式,一則可以帶寬疊加,提示帶寬;再則還可以互為備份,一旦一條線路中斷,另外一條線路可以繼續使用,保障網絡的正常運行。
本文將介紹如何用WFilter NGF(WSG)來實現同ISP多外線的負載均衡和線路檢測。
1. 配置負載均衡
同運營商沒有線路DNS的問題,可以直接進行負載均衡,在“多線均衡”模塊里面,創建負載均衡的線路方案即可。如圖:
作者:笨小驢 | 分類:多線負載均衡方案 | 瀏覽:5205 | 評論:0
26
2019
03
如何檢測和禁止局域網內二級路由和網絡共享?
局域網內的私接路由器、私接隨身WiFi等行為,不但會讓其他客戶機繞開上網行為管理的管控,破壞局域網上網秩序;而且會干擾企業WiFi的無線信號。所以在企業局域網中,一般都是嚴禁私接路由器的。
在“WFilter是如何來屏蔽和禁用隨身wifi的?”一文中,我們介紹了如何使用“隨身WiFi和私接路由檢測插件”來檢測和懲罰局域網內的私接行為。該插件使用簡單方便,而且功能強大;一直倍受用戶喜愛。在最新版的WFilter NGF系統中(1.1.2019.03.25版本),我們已經把該插件集成到NGF的主系統中來(共享檢測模塊)。除了“隨身WiFi和私接路由檢測插件”的功能外,該共享檢測模塊還可以支持共享檢測的歷史記錄查詢,并且可以把檢測到的客戶機加入虛擬懲罰組來實現更多的管控策略。一些配置介紹如下圖:
作者:笨小驢 | 分類:WiFi監控管理方案 | 瀏覽:9146 | 評論:0
25
2019
03
專線和ADSL混合多線如何做負載均衡和策略路由?
企業局域網為了業務發展需要和辦公上網的需要,很多都申請了“專線+ADSL寬帶”的多線接入模式。這樣的模式有如下優點:
既滿足了固定公網IP(專線)的需要,又滿足了辦公上網的需要(ADSL寬帶)。
可以減少昂貴的專線投入。比如采用“10M的專線+100M的ADSL寬帶”這樣的結合模式,可以大大的減少專線的投入。
需要注意的是,不合理的負載均衡配置會浪費寶貴的專線資源,并且達不到良好的帶寬效果。本文中,我將結合WSG網關來介紹這種情況下,如何正確的配置策略路由和負載均衡。
首先,建議采用如下的配置原則:
不要把專線和ADSL做負載均衡。專線和ADSL的原理、運營商都不一樣,負載均衡會把兩者都拖累。
專線資源是寶貴的,應該專款專用,只提供給業務主機和服務器網段。
辦公上網全部走ADSL(把專線資源用來做辦公上網是極大的浪費)
以下是一些相關的配置截圖:
1. 添加“電信專線100%”的線路方案
作者:笨小驢 | 分類:多線負載均衡方案 | 瀏覽:4294 | 評論:0
21
2019
03
如何禁止英魂之刃手游?
《英魂之刃》 是由網龍公司開發,由騰訊公司獨家代理的全球首款微端類DOTA對戰網游。游戲基于DOTA游戲特色打造,采用網龍公司獨家研發的S3引擎,以濃郁的中國風、穿越古今的英雄亂斗以及快節奏的競技對戰,在短短兩年內一躍成為千萬活躍用戶級別的MOBA人氣新寵。
本文將介紹如何使用WFilter NGF(WSG網關)的“應用過濾”功能來屏蔽局域網玩《英魂之刃》。
1. 首先,確保您的特征庫是最新版本。
點擊“配置”->“系統“->“更新設置”里面的“立即檢查更新”,可以檢查更新并且把您的特征庫(網址庫和協議庫)升級到最新版本。如果不點擊,也會在每天的凌晨自動檢查更新。如下圖:
作者:笨小驢 | 分類:禁止網絡游戲 | 瀏覽:4266 | 評論:0
20
2019
03
沒有公網IP如何實現內網穿透?
由于公網IP資源越來越緊張,現在很多運營商給撥號上網的用戶只分配內網IP地址,如下圖所示:
這樣的運營商內網IP是外網不可達的(即使用動態域名也不起作用)。而企業由于業務需要,比如虛擬局域網組網、辦公OA系統、ERP系統等,都需要有公網IP才可以實現。公網IP的解決,目前主要有三種方案:
申請固定IP專線。穩定且速度有保障,缺點是費用高。
云方案。把業務主機都搬到云上,直接通過云主機來訪問。費用比較低,缺點是云主機不能本地維護,且搬遷工作量都不小。
云主機+內網穿透方案。通過云主機做跳板來實現內網穿透,既可以復用現有的業務系統,又解決了公網IP的問題。第三種方案的成本是最低的,但是配置比較復雜。本文將對第三種方案做詳細介紹。
作者:笨小驢 | 分類:企業局域網組網方案 | 瀏覽:20587 | 評論:0
15
2019
03
如何過濾郵件的發送者,只允許使用公司郵箱來發送郵件?
有些企業為了信息安全需要,需要對企業的郵件收發進行監管。比如:“只允許使用公司郵箱來發郵件,且記錄公司郵箱的收發內容,從而達到管理目的。”
本文中,我將介紹如何使用WFilter NGF的郵件過濾功能來對郵件的發件人進行白名單限制(只允許白名單中的郵箱發送郵件),有兩個方案:
禁止所有的網頁郵件和客戶端郵件。同時把公司郵件服務器的IP地址加到“例外設置”中。(需要公司有專門的郵件服務器)
如果公司沒有專門的郵件服務器,通過購買租用公開的郵件服務。要進行郵件過濾,則需要用到WFilter NGF中的郵件過濾模塊。
本文中,我將詳細介紹下第二種方式的具體步驟。
1. 只允許部分郵件收發協議
郵件收發協議,除了標準的SMTP/IMAP/POP3外,還有一些私有協議:比如Lotusnote, 網易閃電郵等。為了對郵件發件人進行過濾,需要禁止其他的私有郵件協議,只開放標準協議。如下圖:
在“應用過濾”模塊中,把這些郵件協議設置為允許:發送郵件(SMTP)、接收郵件(POP3)、接收郵件(IMAP)、SMTP發送帶附件的郵件、SMTP發送混合格式郵件、以及SSL加密的SMTP/POP3/IMAP。
作者:笨小驢 | 分類:郵件監控方案 | 瀏覽:8586 | 評論:0
14
2019
03
如何對來訪人員進行Web用戶名認證?
在如何對來賓用戶進行上網行為管理中,我們介紹了基于VLAN或者DHCP范圍來區分來訪人員和普通辦公人員。在本文中,我將介紹另外一種較典型的方式:“對辦公人員進行IP-MAC綁定;并要求來訪人員Web認證。”
首先需要在IP-MAC綁定中錄入辦公人員的IP和MAC地址(略)。然后再進行下述配置:
1. 設置DHCP范圍
IP-MAC綁定后,辦公電腦DHCP獲取的都是綁定的IP地址。為了區分辦公電腦和來訪人員的IP地址,我們首先需要設置DHCP的范圍和辦公電腦綁定的IP范圍區分開。
作者:笨小驢 | 分類:無線WiFi實名認證方案 | 瀏覽:3433 | 評論:0
22
2019
01
有些系統不能自動彈出Web認證頁面是什么原因?如何改進?
蘋果(IOS)、以及一些新的andriod和windows系統,在連接網絡時,會自動檢測網絡是否連通以及是否存在認證頁面(Captive Web Portal),一旦發現網絡需要認證,操作系統會自動彈出認證頁面供用戶進行認證。這個功能最早是在IOS上實現的,所以一些老版本的安卓系統或者windows系統并不會自動彈出認證頁面。
WFilter NGF中的“Web認證”完全按照Web Portal認證的標準來實現,在WFilter NGF中開啟”Web認證“后,也會存在一部分系統不能自動彈出認證頁面的情況。一般有如下原因:
客戶機操作系統比較老舊。安卓4.0和windows 8.0之前的版本都不支持自動彈出。
客戶機的瀏覽器問題導致不能自動打開瀏覽器。
本文中,我將結合WSG的相關功能來介紹如何解決此問題。一般而言有三種辦法,具體描述如下:
作者:笨小驢 | 分類:無線WiFi實名認證方案 | 瀏覽:8053 | 評論:0
16
2019
01
WFilter如何實現懲罰組限速?
林子大了什么鳥都有,局域網內總有一些不自覺的員工違反公司條例,占用大量帶寬進行下載視頻之類的活動。碰到這樣的情況,網管技術人員會很惱火。針對這樣的情況,WFilter NGF(WSG網關)里面的“懲罰組”功能,可以臨時的設置懲罰策略進行上網限制和流控。
1. 定義懲罰組限速策略
給懲罰組定義一個比較嚴格的限速,并且把懲罰組的策略拖動到限速策略的第一行。如下圖:
作者:笨小驢 | 分類:局域網限速軟件 | 瀏覽:4098 | 評論:0
31
2018
12
怎樣禁止惱人的高速下載器?
現在很多下載站都優先推廣高速下載器下載,一不小心就會下載一個未知內容的xxxx@xxxx.exe這樣的文件。給局域網的安全帶來很大的隱患。如圖:
在本文中,我將介紹如何用WFilter ICF(超級嗅探狗)來禁止高速下載器的下載。
作者:笨小驢 | 分類:網絡管理方案 | 瀏覽:5092 | 評論:0
- 關注我們
-
微信公眾號:
- 控制面板
- 網站分類
- 搜索