提到上網(wǎng)行為管理，最初想到的內(nèi)容記錄、聊天內(nèi)容、郵件內(nèi)容、文件傳輸內(nèi)容、網(wǎng)頁瀏覽記錄等等。但是再往深里研究，對于有一定規(guī)模的局域網(wǎng)，內(nèi)容審計(jì)的意義并不是很大，聊天幾句話、瀏覽的幾個網(wǎng)站都是瞬間的意識。所以，企業(yè)的對員工聊天內(nèi)容的審計(jì)實(shí)在沒有太大的意義。況且國內(nèi)主流的QQ和微信的通訊，騰訊公司早就進(jìn)行了協(xié)議改進(jìn)和安全強(qiáng)化，加上微信QQ都可以綁定銀行卡。所以，網(wǎng)絡(luò)監(jiān)控解析QQ和微信的內(nèi)容，理論上已經(jīng)不現(xiàn)實(shí)。對于企業(yè)網(wǎng)絡(luò)管理來說，規(guī)整的上網(wǎng)秩序、上網(wǎng)內(nèi)容的報(bào)表分析以及信息安全才是王道。

WSG-200P上網(wǎng)行為管理路由是一款性價比非常高的上網(wǎng)行為管理設(shè)備。和WSG的企業(yè)版（E系列）相比，雖然沒有上網(wǎng)記錄、域賬號等功能，但是就上網(wǎng)行為管理和流控來說，與E系列基本是一樣的，可以提供專業(yè)的上網(wǎng)行為管理和流控。下面讓我們一起來看看WSG-200P這款企業(yè)級上網(wǎng)行為管理路由有哪些亮點(diǎn)功能吧。

這里說的小型局域網(wǎng)是50臺左右上網(wǎng)設(shè)備（電腦加手機(jī)），出口帶寬不超過100兆的局域網(wǎng)。比較普遍的組網(wǎng)方案設(shè)備，路由，交換機(jī)，無線路由，對于小局域網(wǎng)足夠了。但是對于企業(yè)，公共網(wǎng)絡(luò)來說，管理是必不可少的。

常規(guī)小型局域網(wǎng)組網(wǎng)一般是這樣的：

作者:笨小驢 | 分類:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì) | 瀏覽:6225 | 評論:0

上網(wǎng)行為管理網(wǎng)關(guān)、防火墻、路由，不管是硬件還是軟件，其基本原理都是一樣的。硬件產(chǎn)品其實(shí)就是軟件包灌到硬件設(shè)備里面打包成一個整體設(shè)備。而上網(wǎng)行為管理、防火墻和路由的共同點(diǎn)，都是部署在局域網(wǎng)出口的，大部分都基于LINUX系統(tǒng)進(jìn)行的定制開發(fā)。如果是軟件方式，安裝時需要用一臺專門的服務(wù)器。所以，產(chǎn)品性能的指標(biāo)取決于兩方面：硬件配置和軟件系統(tǒng)。那么產(chǎn)品的選擇，主要在這兩方面進(jìn)行優(yōu)選。以下是一些簡單的介紹：

一、從軟件內(nèi)核角度來說，路由系統(tǒng)、防火墻系統(tǒng)、上網(wǎng)行為管理網(wǎng)關(guān)系統(tǒng)，都是在LINUX上裁剪開發(fā)出來的。但是這些系統(tǒng)各自的功能側(cè)重點(diǎn)、和性能指標(biāo)都是完全不一樣的。如下圖：

這里說的網(wǎng)橋部署，是透明網(wǎng)橋部署。有的局域網(wǎng)環(huán)境里面，路由暫時不想被代替，那么WSG上網(wǎng)行為管理網(wǎng)關(guān)可以用網(wǎng)橋部署的方式接在局域網(wǎng)里面。

• 網(wǎng)橋模式下，只用到LAN和WAN1這兩個端口。其他端口都不起作用。

• WSG接在路由器（防火墻）和交換機(jī)之間。

• 內(nèi)網(wǎng)交換機(jī)接在LAN口。

• 上層設(shè)備（路由器或者防火墻）接在WAN1口。

上網(wǎng)行為管理網(wǎng)關(guān)不管是在功能還是在性能上，都是完爆路由器的。隨著生產(chǎn)力的提高，硬件設(shè)備的成本也逐步降低，普及也越來越廣（例如電器的價格越來越低）。上網(wǎng)行為管理網(wǎng)關(guān)部署也將成為一個趨勢，因?yàn)榫W(wǎng)關(guān)除了擁有專業(yè)路由的功能以外，還有專業(yè)的網(wǎng)絡(luò)管理功能，和專業(yè)防火墻功能，這個都是路由硬件芯片做不到的。

那么上網(wǎng)行為管理設(shè)備應(yīng)該如何部署呢？其實(shí)很簡單，就是和路由器一樣，直接把路由器的相關(guān)配置移植到行為管理設(shè)備上，把之前的路由器替換掉即可。

WSG系列上網(wǎng)行為管理網(wǎng)關(guān)是WFilter系列上網(wǎng)行為管理產(chǎn)品的經(jīng)典之作，軟件系統(tǒng)采用了WFilter NGF企業(yè)級上網(wǎng)行為管理系統(tǒng)，而且在硬件的選型上絕不吝嗇，都是優(yōu)選的工控機(jī)。比如WSG-50E的D525 CPU（推薦50用戶），放在其他廠商，至少都是100-200臺的環(huán)境的宣傳了。下面讓我們一起來看看WSG-50E這款企業(yè)級上網(wǎng)行為管理硬件網(wǎng)關(guān)有哪些特殊功能吧。

1. 外觀一覽

第一印象就是盒子好大，比一般的路由器要大的多。開箱后，1U的鐵殼機(jī)箱，相當(dāng)于一臺14寸筆記本的大小，還挺沉的。典型的企業(yè)級網(wǎng)絡(luò)硬件設(shè)備，和華為思科的機(jī)器差不多。

1.1) 機(jī)器正面

全世界的路由，防火墻，網(wǎng)關(guān)，VPN服務(wù)器，各種服務(wù)器的設(shè)備可以說都是一樣的構(gòu)造：軟件系統(tǒng)灌到硬件設(shè)備當(dāng)中去。同時差別又很大：一兩百就可以買到一個小路由，十萬二十萬才能購置一臺重量級服務(wù)器。為什么差別這么大？其實(shí)就兩樣：硬件配置和軟件系統(tǒng)。幾百的小路由是那種路由芯片，過萬的服務(wù)器最低intel X86的芯片。而用什么硬件設(shè)備，取決灌什么軟件系統(tǒng)了。

以最普遍的路由器來說，都是基于嵌入式系統(tǒng)裁剪出來的。一些經(jīng)典的路由系統(tǒng)，比如Routeros，系統(tǒng)很輕巧，運(yùn)算壓力也不大，簡單的芯片就可以承載。而防火墻系統(tǒng)、上網(wǎng)行為管理系統(tǒng)，還需要在LINUX的基礎(chǔ)上，做大量的開發(fā)。所以對硬件需求，一定要有個強(qiáng)勁的CPU，以及大容量的硬盤和內(nèi)存才足夠。普遍都用工控機(jī)來實(shí)現(xiàn)。

就上網(wǎng)行為管理設(shè)備來說，首先WSG上網(wǎng)行為管理網(wǎng)關(guān)，系統(tǒng)基于LINUX獨(dú)立系統(tǒng)，支持海量協(xié)議庫和網(wǎng)址庫。這點(diǎn)就決定了硬件的配置級別一定不是路由芯片可以滿足的。

在最新版的WFilter NGF中，新增了“ip-mac歷史查詢”的功能，可以實(shí)現(xiàn)如下功能：

1. 記錄局域網(wǎng)客戶機(jī)的ip、mac、mac廠商的歷史記錄。

2. 支持網(wǎng)橋和網(wǎng)關(guān)部署模式，即使是網(wǎng)橋模式，也可以記錄ip-mac信息。

3. 啟用“mac地址收集器”功能后，可以跨三層交換機(jī)獲取實(shí)際的ip mac信息。

   
   

無線上網(wǎng)已經(jīng)是企業(yè)員工的基本需求，企業(yè)為了滿足員工的無線上網(wǎng)需要，大部分都部署了無線路由器或者無線AP設(shè)備。但是，不加管理的無線接入無疑會威脅企業(yè)的信息安全，并且給帶寬帶來較大壓力。

1. 概述

本文將介紹如何對局域網(wǎng)的無線設(shè)備進(jìn)行管理和流控。一般而言，無線的部署有如下兩種方案：

1. 多個無線路由器或者胖AP，采用云管理的方案。

2. 集中AC管理加瘦AP的部署方案。

隨身WIFI非常方便，USB大小的東西，電腦一插，手機(jī)就可以無線上網(wǎng)了，但是企業(yè)局域網(wǎng)來說，其實(shí)是個讓網(wǎng)絡(luò)管理頭疼的東西，隨身WIFI的帶寬用的都是局域網(wǎng)帶寬資源，員工或者什么人偷偷把隨身WIFI接在電腦上，看視頻，玩APP，占用帶寬，影響資源。但是實(shí)際管理上又很難抓到，因?yàn)橐徊逡话嗡查g的工夫就搞定了。那么有了我們的WFilter-ICF,WFilter-NGF或者WSG的E系列，這個問題完全不是問題，我們可以檢測到局域網(wǎng)哪些電腦接了隨身WIFI，WIFI下有什么手機(jī)。那么第一步檢測到了，

旁路部署實(shí)現(xiàn)上網(wǎng)監(jiān)控的好處顯而易見，旁路在網(wǎng)絡(luò)上，對網(wǎng)絡(luò)沒有任何影響。上網(wǎng)監(jiān)控機(jī)器關(guān)機(jī)也不會影響網(wǎng)絡(luò)流通，對監(jiān)控服務(wù)器配置要求不用太高，也無需聯(lián)網(wǎng)。

WFilter-ICF目前也是國內(nèi)外最典型的旁路監(jiān)控原理的上網(wǎng)行為管理軟件。注意哦，WFilter-ICF本身就是一個旁路原理的上網(wǎng)行為管理軟件，下面介紹的只是ICF的部署方式。

微信WiFi，又名“微信連WiFi”。這個功能要求連接WiFi的用戶關(guān)注公眾號后上網(wǎng)，既可以推廣公眾號，還可以顯示廣告位，具備很實(shí)用的商業(yè)價值。微信WiFi認(rèn)證的實(shí)現(xiàn)，有如下辦法：

1. 廣告路由器。直接把微信WiFi集成在無線路由器中，通過路由器界面或者云管理來進(jìn)行配置。

2. 認(rèn)證網(wǎng)關(guān)（網(wǎng)橋） + 無線AP的方式。由認(rèn)證網(wǎng)關(guān)網(wǎng)橋來進(jìn)行微信WiFi認(rèn)證，無線AP只提供無線接入。

3. 旁路軟件 + 無線AP的方式。由旁路軟件來推送認(rèn)證頁面，無線AP只提供無線接入。

這三種方案，廣告路由器的方案比較適合小環(huán)境，成本和實(shí)施都非常的簡單。如果網(wǎng)絡(luò)有一定規(guī)模，不適合部署多個廣告路由器時，就需要考慮第二和第三種方案。“認(rèn)證網(wǎng)關(guān)”和“旁路軟件”的主要差別在于部署模式。

所謂串聯(lián)部署，顧名思義就是串接在網(wǎng)絡(luò)里面，所有數(shù)據(jù)都會流經(jīng)過監(jiān)控系統(tǒng)，從而可以讓監(jiān)控系統(tǒng)解析，還原；還可以實(shí)現(xiàn)中間人技術(shù)（HTTPS,SSL監(jiān)控）。這樣部署可以直接深入網(wǎng)絡(luò)，對網(wǎng)絡(luò)管理，協(xié)議分析，內(nèi)容審計(jì)更加全面到位。

串聯(lián)部署方案兩種形式：

無線上網(wǎng)的被監(jiān)控端主要都是手機(jī)、PAD，也包括無線上網(wǎng)的電腦。手機(jī)的安卓系統(tǒng)以及蘋果系統(tǒng)底層都是不開放的，所以沒有任何辦法安裝監(jiān)控客戶端。所以無線監(jiān)控只有一個方式，就是網(wǎng)絡(luò)監(jiān)控。網(wǎng)絡(luò)監(jiān)控的部署分兩種，串聯(lián)監(jiān)控部署以及旁路監(jiān)控部署。

現(xiàn)在很多企業(yè)局域網(wǎng)都是全無線覆蓋，給員工和客戶的網(wǎng)絡(luò)接入提供了很大的便利。無論在公司或者廠區(qū)的任何位置，都可以很方便的接入到公司局域網(wǎng)和互聯(lián)網(wǎng)。但是這樣也帶來了不可避免的安全性問題：一旦有未經(jīng)授權(quán)的網(wǎng)絡(luò)接入，不但會占用寶貴的帶寬資源；而且會帶來病毒、黑客攻擊等局域網(wǎng)安全問題。

所以，局域網(wǎng)在做無線覆蓋的同時，一定要考慮到安全問題。一般來說，可以從兩方面入手：

1. 合理的劃分VLAN。無線接入應(yīng)當(dāng)處于單獨(dú)的VLAN，并且控制該VLAN對企業(yè)內(nèi)部資源的訪問。即使有惡意的攻擊，也可以被控制在無線VLAN內(nèi)部。

2. 對無線上網(wǎng)的設(shè)備進(jìn)行用戶認(rèn)證。

3. 對無線上網(wǎng)的設(shè)備進(jìn)行ip-mac綁定。

4. 記錄無線上網(wǎng)的上網(wǎng)記錄，包括ip地址、mac地址、網(wǎng)站訪問等信息。供需要時查詢。

無線設(shè)備的應(yīng)用，不管是生活上，還是企業(yè)應(yīng)用，現(xiàn)在多么深多么廣無需在累贅說明。就企業(yè)信息管理，網(wǎng)絡(luò)管理來說，WIFI的管理也是企業(yè)上網(wǎng)行為管理的一個重要的部分。網(wǎng)絡(luò)監(jiān)控對于WIFI的優(yōu)勢還是非常明顯的，網(wǎng)絡(luò)監(jiān)控走的網(wǎng)絡(luò)層面，那么被監(jiān)控的設(shè)備就沒有要求，不管是手機(jī)還是電腦，或者PAD，也不管是windows系統(tǒng)還是MAC系統(tǒng)或者LINUX系統(tǒng)，統(tǒng)統(tǒng)都可以監(jiān)控管理。

作者:笨小驢 | 分類:WiFi監(jiān)控管理方案 | 瀏覽:8308 | 評論:0

之前有用戶反映過一個挺困擾的問題：就是騰訊的QQ經(jīng)常會自動下載QQ電腦管家和QQ瀏覽器，占用大量的帶寬資源，而且給PC機(jī)的管理帶來麻煩。如圖，你只要點(diǎn)擊“一鍵領(lǐng)取”，就會自動下載并安裝騰訊的相關(guān)軟件。

本文中，我將介紹如何用WFilter ICF來禁止這些軟件的自動下載安裝。

上網(wǎng)行為管理的部署方式主要有旁路、網(wǎng)關(guān)、網(wǎng)橋這三種部署方式。在之前的一篇博客“企業(yè)上網(wǎng)行為管理部署方案”中，我們已經(jīng)簡單介紹了三種方案的優(yōu)缺點(diǎn)。那么在本文中，我們再側(cè)重介紹下“網(wǎng)橋”和“網(wǎng)關(guān)”兩種模式的優(yōu)缺點(diǎn)比較。

經(jīng)常有用戶問到上網(wǎng)行為管理是軟件好還是硬件好，實(shí)際上硬件從本質(zhì)上來說也是軟件，只不過是預(yù)裝好的系統(tǒng)。所以從功能上來說，硬件和軟件并沒有區(qū)別，差別主要在穩(wěn)定性、兼容性和服務(wù)上。

本文將著重從穩(wěn)定性、兼容性、服務(wù)上討論上網(wǎng)行為管理軟件和硬件的區(qū)別。

企業(yè)在部署上網(wǎng)行為管理時，對方案的選擇需要考慮如下因素：

1. 是否需要改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)？

2. 是否需要對現(xiàn)有設(shè)備進(jìn)行重新配置？

3. 對現(xiàn)有網(wǎng)絡(luò)穩(wěn)定性和網(wǎng)速的影響。

4. 網(wǎng)絡(luò)結(jié)構(gòu)改造的工作量。

除非現(xiàn)有的設(shè)備面臨升級換代，我相信大部分人都不會選擇替換現(xiàn)有的設(shè)備和改變網(wǎng)絡(luò)結(jié)構(gòu)。那么首選的方案就是兩個：“旁路部署方案”和“網(wǎng)橋部署方案”。這兩個方案，都可以透明部署，無需改變現(xiàn)有結(jié)構(gòu)，也不會帶來對性能和網(wǎng)速的影響。具體的比較如下：

現(xiàn)在大部分企業(yè)或多或少都會有一些業(yè)務(wù)要發(fā)布到互聯(lián)網(wǎng)上供外網(wǎng)訪問，比如：ERP系統(tǒng)、OA系統(tǒng)等。為了保證這些業(yè)務(wù)的正常運(yùn)行，需要提供一個穩(wěn)定的帶寬保障，如何解決內(nèi)網(wǎng)辦公和外網(wǎng)訪問的帶寬共享，也是一個讓大部分網(wǎng)管頭疼的問題。

本文中，我將結(jié)合一個實(shí)際的網(wǎng)絡(luò)改造例子，來介紹如何保障互聯(lián)網(wǎng)業(yè)務(wù)的帶寬。

1. 網(wǎng)絡(luò)結(jié)構(gòu)介紹

本例中，用戶之前用的是一個普通的多WAN口路由器，接了三根光纖（兩個固定IP），用兩個固定IP分別映射到內(nèi)網(wǎng)的OA系統(tǒng)和ERP系統(tǒng)。在實(shí)際使用中，由于內(nèi)網(wǎng)的流量比較高，外網(wǎng)用戶經(jīng)常會反映連接不上ERP/OA系統(tǒng)。結(jié)合公司的上網(wǎng)行為管理系統(tǒng)，決定購買一臺“WSG-500E上網(wǎng)行為管理網(wǎng)關(guān)”，替代掉現(xiàn)有的路由器。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

有些用戶為了提高網(wǎng)速，一味的申請更多的帶寬，其實(shí)是不足取的。要保證局域網(wǎng)的網(wǎng)速，帶寬雖然不可或缺，但是正確的組網(wǎng)方式和管理手段更加重要。在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，出口帶寬500K/人就完全可以滿足正常的上網(wǎng)需要，舉例來說，100人50M帶寬，50人20M帶寬。

本文中，我將介紹一個典型的多線路局域網(wǎng)改造方案。

對于一個小型的局域網(wǎng)環(huán)境（終端數(shù)少于50）來說，一個企業(yè)級上網(wǎng)行為管理路由器就可以實(shí)現(xiàn)基本的上網(wǎng)行為管理功能。當(dāng)然，路由器的功能比較局限，對于上網(wǎng)內(nèi)容記錄、上網(wǎng)統(tǒng)計(jì)、網(wǎng)址庫過濾等高級功能，你就需要部署一臺專業(yè)的上網(wǎng)行為管理來實(shí)現(xiàn)了。

本文中，我將介紹少于50客戶端的局域網(wǎng)，如何部署一臺專業(yè)的上網(wǎng)行為管理設(shè)備？

你需要一臺雙網(wǎng)卡的PC機(jī)或者x86架構(gòu)的工控機(jī)，安裝上WFilter NGF上網(wǎng)行為管理系統(tǒng)。

很多局域網(wǎng)采用的是“防火墻/路由--三層交換機(jī)--二層交換機(jī)”的拓?fù)浣Y(jié)構(gòu)，而由于三層交換機(jī)的配置相對來說比較復(fù)雜，在這樣的局域網(wǎng)中部署上網(wǎng)行為管理，用戶往往會面臨如下的一些問題：

1. 找不到交換機(jī)的管理員用戶名和口令。
   

2. 沒有技術(shù)人員可以修改交換機(jī)的配置。

3. 沒有交換機(jī)廠商技術(shù)支持。

其實(shí)在有三層交換機(jī)的網(wǎng)絡(luò)環(huán)境中部署上網(wǎng)行為管理并不困難。在本文中，我將分別介紹“網(wǎng)橋部署”和“網(wǎng)關(guān)部署”的兩種方案。我們的方案，都盡量避免了對交換機(jī)的配置進(jìn)行修改。