笨驢信息(IMFirewall)博客

在阿里云短信認證網關的具體實現這篇文章中，我們介紹了如何使用阿里云的php sdk來實現短信認證功能。在實際使用中，有一些用戶不具備開發sdk的技術能力。所以在最新版的WFilter NGF系統中，我們集成了阿里云的SDK模塊。用戶無需搭建SDK的web服務等環境，即可實現阿里云短信認證的功能。

本文中，我將結合阿里云短信平臺來介紹WFilter NGF的短信認證功能。

1. 阿里云短信平臺相關配置

首先要創建AccessKey

根據《中華人民共和國網絡安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計算機信息網絡國際聯網安全保護管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯網安全保護技術措施規定》(第七條、第八條、第十一條)等相關法律規定，公共無線上網場所應當落實相關網絡安全保護技術措施。而從2018年11月1日開始正式施行的《公安機關互聯網安全監督檢查規定》（公安部令第151號），是網絡安全執法檢查工作與《網絡安全法》的深度結合，對執法過程進行了詳細的規定，使得監督檢查工作做到依法檢查、依法處置。簡單的說，有兩條需要值得我們重點關注的地方：

1. 提供WiFi上網服務的公共場所，必須落實上網實名認證。

2. 提供上網服務的公共場所，必須至少保存六十天的上網記錄備份。

自從2014年騰訊推出“微信連Wi-Fi”功能以來，“微信WiFi”一度成為商業公眾號的吸粉利器。手機連接WiFi即可自動打開公眾號，或者掃描二維碼打開公眾號。既滿足了客戶WiFi上網，又可以滿足商家漲粉的需要。

在本文中，我將介紹如何在RouterOS和WSG上網行為管理網關之間使用openvpn組建site-to-site VPN。網絡拓撲圖如下：

本例中，我們把WSG作為openvpn的服務端，RouterOS作為openvpn的客戶端。反過來的配置也基本類似。

在本文中，我將介紹如何在RouterOS和WSG上網行為管理網關之間創建IPSec隧道。網絡拓撲圖如下：

本例中，我們把WSG作為IPSec的服務端，RouterOS作為IPSec的客戶端。反過來的配置也基本類似。

眾所周知，SSL加密的通訊數據，比如https，pops, imaps, smtps，由于在通訊過程中進行非對稱加密，其數據是密文傳輸的；導致網絡監控不能直接監控到其內容，也無法對內容中的信息進行深度過濾。作為專業的上網行為管理系統，WFilter NGF在最新版本中，新增了“SSL監控模塊”。該SSL監控模塊，可以充當SSL的中間人進行證書攔截，從而解析出SSL加密的數據內容。利用該模塊，可以實現如下內容：

1. 記錄https網站的頁面內容、發帖內容。
   

2. 對https網站的訪問進行深度過濾，比如禁止https網站的下載文件格式、禁止在https網頁上傳附件等。

3. 記錄pops, imaps, smtps的郵件內容。

4. 對pops, imaps, smtps的郵件進行深度過濾，比如設置郵件發送接收黑白名單，禁止發送附件等等。

由于公網IP地址不夠用，一些網絡運營商只給撥號用戶提供二級IP地址。換句話說，你的網關獲取到的只是一個內網IP地址，在公網上是不可達的。這個事實，會給撥號上網的企業帶來如下問題：

1. 無法實現依賴端口映射的業務功能。
   

2. 無法實現直接VPN組網。

在本文中，我將介紹一種通過云主機來進行中轉的VPN組網方式。你只需要購買一臺有固定IP地址的云主機，即可實現多地VPN組網。既節省了專線的費用，而且云主機還可以用來搭建Web服務或者其他服務。網絡拓撲圖如下：

WFilter NGF的“運營管理”模塊，集成了用戶管理、實時帶寬限制、累計流量限制、用戶Portal通知等功能。適合酒店、ISP等進行帶寬的運營管控。在酒店網絡管理、上網行為管理方案和小區寬帶運營商的網絡管理這兩篇教程中，我們介紹了“運營管理”的基本功能。

還有一點要補充的，就是對于超流量用戶的策略管控。如下圖，我們增加了一個“累計帶寬”策略，一旦超流量后，就會自動把用戶加到“限制上網組“。

在WSG上網行為管理網關的初步設置詳細教程中，我們介紹了WSG上網行為管理網關的初步設置，該文檔中，我們采用了網關部署的方式。在實際使用中，網橋部署方式也極為常見；用網橋的方式來部署WSG上網行為管理，是完全透明部署，不需要修改現有的網絡參數，也不需要更改路由器和交換機的配置。網絡拓撲圖如下：

網橋部署有如下優點：

• 不需要修改現有的網絡設置。

• 無需斷網，即插即用。

• 功能一樣強大：上網行為記錄、行為管理、流控都可以實現。

• 硬件bypass（要看具體型號），即使網橋設備掉電，也可以保證不斷網。
  

1. 網橋部署的準備工作

首先需要給WSG設備分配一個靜態IP地址。該IP用于遠程訪問WSG設備，進行Web認證等遠程訪問操作。需要注意如下幾點：

對人員流動比較頻繁的局域網來說，首要的一個問題就是要進行網絡的準入認證，記錄用戶的身份信息和上網日志。從而使網絡行為有據可查，也能滿足職能部門的督察需要。WFilter NGF中的幾種認證機制，優缺點比較如下：

1. 用戶名密碼認證。需要維護用戶名密碼，適合人員比較固定的網絡。
   

2. 微信WiFi認證。微信WiFi的流程是打開公眾號即可上網，并且記錄微信的openid。適合在人員流動大的網絡環境中做營銷推廣。

3. 手機短信認證。通過手機接收驗證碼來上網，記錄手機號和上網記錄。適合人員流動比較大的網絡環境留存身份信息和上網審計記錄。
   

本文中， 我將結合一個實際例子來介紹WFilter NGF（WSG網關）的短信認證功能。

企業為了滿足出差人員，在家人員的辦公需要，往往需要開通遠程辦公功能。使得員工可以通過互聯網連接到公司內網進行工作。在WFilter NGF中，“OpenVPN服務端“和“PPTP服務端”這兩個模塊都可以滿足遠程辦公的需要。相對而言，OpenVPN的配置復雜，但是安全性更高一些。

本例中，我將演示如何用WFilter NGF的OpenVPN服務端模塊來實現遠程辦公。

企業微信是騰訊微信團隊為企業打造的專業辦公管理工具，現在很多企業用企業微信來進行辦公溝通。但是一些企業開通了微信后，卻發現員工會花大量時間用在個人微信聊天、朋友圈上面。所以，為了不影響工作效率，在使用企業微信的同時還需要禁止個人微信的使用。

本文將介紹如何用WSG上網行為管理網關來實現“允許企業微信的同時屏蔽個人微信”。

很多企業為了工作需要都申請了多WAN接入。而大部分的多WAN口設備在默認配置下都是直接負載均衡；以WSG上網行為管理網關為例，默認配置是這樣的：

1. 運營商分流。電信網站的訪問會優先走電信線路，聯通站點優先走聯通線路。
   

2. 負載均衡。根據wan口的帶寬大小進行負載均衡。

在企業的網絡內部有著很多重要的IT資源，比如：OA服務器、ERP服務器等，這些業務主機一旦停止工作或者被攻擊，會直接影響業務的正常運行，帶來重大損失。在有線網絡的情況下，安全性還是比較可靠的。而現階段絕大部分企業都提供了無線上網；客戶機只要知道了無線密碼，就可以接入企業的局域網，導致安全隱患。而關鍵的一點在于你的無線密碼并不安全：

1. aircrack等軟件可以對無線密碼進行暴力破解。
   

2. 一旦有員工安裝了wifi鑰匙等軟件，你的無線就等于是公開的。

3. 訪客網絡和辦公網絡分開的方式，并不能阻止訪客連接辦公網絡。（訪客可以直接詢問密碼，或者通過wifi鑰匙等軟件接入）
   

HTTPS（HTTP over SSL）由于其通訊協議的特殊性，域名信息和訪問的URL等都處于SSL加密保護下；所以大部分的路由器系統都無法對https網站的域名進行過濾和屏蔽。而諸如WFilter這樣的專業級上網行為管理產品，則可以對流量進行深度分析，并提取出https通訊中的域名信息，從而進行過濾屏蔽。

如下圖，WFilter可以提取出網站證書中的域名信息。

由于無線的便利性，越來越多的企業局域網采用無線辦公的方式。而因為無線網絡的特殊性，如果缺乏上網行為管理和流控手段，會導致無線緩慢、網絡不可用等情況。而且無線網絡更加容易產生廣播風暴。所以，在WiFi無線局域網中部署上網行為管理和流控是非常必要的。

本文中，我就將來介紹WiFi局域網的上網行為管理方案。

1. 常用的網絡拓撲

1. 首先，由于無線路由器的穩定性不高，所以主路由不推薦用無線設備。可以用一臺有線路由器做網關，后面串接上網行為管理設備。或者直接用上網行為管理做網關。
   

2. 推薦采用瘦AP的組網方式。通過AC控制器統一管理。

釘釘作為一個免費智能移動辦公平臺，受到很多公司的歡迎。但是對于網絡權限設置比較嚴格的局域網來說，如何開放釘釘一直是一個難題。之前釘小密給了個局域網需要白名單的一些IP段，參見：https://tieba.baidu.com/p/4358596988 ，但是根據我們的測試，文中的IP段并不能覆蓋釘釘需要的IP范圍。而且在釘釘的官網已經找不到官方的相關文檔了。

為了放行釘釘，我們技術人員做了相關測試。本文，我就來介紹下在WSG上網行為管理網關中如何放行釘釘。釘釘的使用需要通過https訪問釘釘相關的網站，另外還有自己的通訊協議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘和TLS這三個協議。如下圖：

合理的IP地址分配是網絡安全和網絡管理的基礎，IP地址管理直接影響著企業員工的工作效率及企業的信息安全。

1. 行政管理方法

首先，應當以行政命令的方式規定IP地址管理的權限、流程，以及相應的懲罰手段。如以下這個例子：

廣播風暴和網絡環路，雖然兩者的原理不一樣，但是其物理表現卻比較相似：“交換機燈狂閃，同時內網丟包或者ping值變高。”作為一名網管，需要可以迅速判斷故障的原因，從而制定不同的解決方案。兩者的主要差別如下：

1. 廣播風暴只在特定的條件下出現，所以廣播風暴是不持續的。而環路是持續存在的。
   

2. 廣播風暴由局域網架構的缺陷導致，而網絡環路屬于網絡故障。

3. 網絡環路對網絡的影響比較大，丟包和ping值都要比廣播風暴嚴重的多。

4. 廣播風暴需要通過劃分VLAN來解決。網絡環路只需要拔掉環路設備或者網線即可。

有經驗的網管，還可以通過抓包來區別風暴和環路。如果你不會抓包分析，也可以總結故障出現的規律來進行判斷。下面我再介紹下WFilter里面的網絡健康度檢測插件是如何區分廣播風暴和環路的。

在微信需要多大帶寬？微信的最低帶寬要求 這篇文章中，我們測試了微信的最低帶寬要求。今天我們再來測試下手機QQ的最低帶寬要求。具體的測試步驟如下：

1. 不做任何限速

如下圖，不做任何限速，打開手機QQ帶寬占用只有幾KB；不過在發送文件時，帶寬占用上升到80KBps。

微信目前已經成為一個不可或缺的通訊工具。在帶寬有限的情況下，要保證微信的正常使用，究竟需要多大的帶寬呢？為了研究此問題，我們做了如下的測試。

1. 不做任何限速

如上圖所示，微信的初始化大概占用了50KBps的帶寬，而發送文字消息的帶寬占用則小于1kBps。

我們一般把WSG上網行為管理的使用分為三個步驟：安裝部署、基本配置、策略配置。

1. 安裝部署：把設備安裝到網絡中，使網絡能正常工作。
   

2. 基礎配置：DHCP和VLAN設置、防火墻策略、端口映射、分組設置等基本配置。

3. 策略配置：上網行為的審計策略、過濾策略、查詢和報表等功能和配置。

在本文中，我將介紹WSG網關的安裝部署的具體步驟。用戶拿到設備后，按此步驟即可完成安裝部署工作，并且開通遠程管理訪問。使技術人員可以進行遠程協助配置。

來賓用戶、流動人員比較多的局域網，如果不對來賓上網進行管控，不但會占用企業帶寬資源，還會帶來安全隱患和政策風險。對于企業環境來說，一般推薦來賓和辦公網絡采用不同的無線SSID，分開進行管控。具體方案如下：

1. 來賓和辦公網絡采用不同的無線SSID。
   

2. 對來賓和辦公采用不同的限速和行為管理策略。

3. 來賓和辦公網絡采用不同的VLAN，并且不允許來賓訪問公司內網。

4. 不但要設置不同的無線密碼，而且需要進行IP-MAC綁定等策略，禁止來賓用戶接入到辦公網絡。

對于企業局域網來說，一個合理的IP地址分配是網絡安全和網絡管理的基礎，IP地址管理的好壞直接影響著企業員工的工作效率及企業的信息安全。
局域網的IP地址分配，需要考慮到如下方面：

1. 服務器的IP地址段和辦公電腦的IP地址段要區分開。

2. 手機、pad等移動設備需要自動獲取IP。

3. 無線由于安全性比較低，一般需要用VLAN進行隔離。

4. 每個網段的客戶機數量不宜過多，有線250以內，無線150以內比較合理。否則會引起網絡風暴。
   

下面是我總結的企業局域網IP地址分配方案，希望能對大家有幫助。

現在無線組網越來越普遍，但是不合理的組網方案，往往會導致無線接入緩慢、網絡卡的情況。根據我們的經驗和抓包分析，由于無線設備（包括AP、AC等）在通訊過程會更多的依賴廣播包，非常容易出現廣播風暴。無線網絡的穩定運行，請注意如下幾點：

1. 首先要合理的進行AP布局，保證無線信號強度、并且避免無線信號的互相干擾。

2. 合理的VLAN劃分。無線設備的廣播包比較多，非常容易產生廣播風暴。一個VLAN容納的無線設備要控制在200以內。

3. 主路由網關的性能要強勁，并且設置上網行為管理策略和流控策略。
   

4. 定期檢測廣播風暴等網絡問題