企業(yè)內(nèi)網(wǎng)的服務(wù)器都存有企業(yè)的重要信息，包括CRM用戶信息、技術(shù)資料等。所以內(nèi)網(wǎng)服務(wù)器的信息安全是企業(yè)網(wǎng)絡(luò)管理的重點。內(nèi)網(wǎng)服務(wù)器不但面臨外來的攻擊，也會受到來自內(nèi)部的攻擊。在本文中，我將介紹如何用WFilter NGF的入侵防御模塊來保護(hù)內(nèi)網(wǎng)服務(wù)器。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

WFilter NGF用網(wǎng)橋部署模式，接在內(nèi)網(wǎng)和服務(wù)器網(wǎng)段以及互聯(lián)網(wǎng)之間，既可以做外網(wǎng)上網(wǎng)行為管理，又可以保護(hù)服務(wù)器網(wǎng)段。

DDOS全稱Distributed Denial of Service，中文叫做“分布式拒絕服務(wù)”，就是利用大量合法的分布式服務(wù)器對目標(biāo)發(fā)送請求，從而導(dǎo)致正常合法用戶無法獲得服務(wù)。DDOS會耗盡網(wǎng)絡(luò)服務(wù)的資源，使服務(wù)器失去響應(yīng)，為實施下一步網(wǎng)絡(luò)攻擊來做準(zhǔn)備。比如用KaLi_Linux的hping3就可以很容易的實現(xiàn)DDOS攻擊。

1. DDOS攻擊的具體步驟

如圖，未受攻擊時，netstat -nat可以查看到只有少量的網(wǎng)絡(luò)鏈接。

在本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)結(jié)合中國移動的10086云MAS平臺，來實現(xiàn)局域網(wǎng)WiFi實名認(rèn)證。

1. 首先要在10086云MAS平臺中創(chuàng)建短信接口用戶。

對于三層交換機(jī)劃分多個VLAN的局域網(wǎng)來說，要設(shè)置IP-MAC綁定可真不容易。在三層交換機(jī)上進(jìn)行IP-MAC綁定，不但配置復(fù)雜而且維護(hù)工作量很大，所以大部分網(wǎng)管都不會直接在三層交換機(jī)上進(jìn)行綁定。在本文中，我將介紹用WSG上網(wǎng)行為管理，在網(wǎng)橋部署的模式下，如何來實現(xiàn)三層交換機(jī)下的IP和MAC綁定。

1. 先看下網(wǎng)絡(luò)拓?fù)鋱D。

Win10的自動更新非常的頻繁，而且windows的更新很耗帶寬資源。所以，如果網(wǎng)內(nèi)的windows電腦比較多，那么一旦windows發(fā)布了新的更新包，會占用大量的網(wǎng)絡(luò)帶寬資源。

當(dāng)然，windows的更新很多都是安全方面的更新，保持系統(tǒng)更新有助于提高終端的安全，我們并不建議關(guān)閉更新。不過，有些網(wǎng)絡(luò)為了節(jié)省帶寬資源，需要屏蔽局域網(wǎng)內(nèi)電腦的自動更新。在沒有部署上網(wǎng)行為管理的情況下，你需要在路由器或者網(wǎng)關(guān)設(shè)備上屏蔽站點“.*(officecdn|mp|updates)\.microsoft\.com“（正則表達(dá)式）和".*\.windowsupdate\.com”（正則表達(dá)式）。“windows更新”的通訊協(xié)議描述如下圖：

日前，深圳市網(wǎng)絡(luò)與信息安全信息通報中心發(fā)出緊急通告，指出目前知名遠(yuǎn)程辦公工具TeamViewer已經(jīng)被境外黑客組織APT41攻破，提醒企業(yè)組織做好防護(hù)措施。也就是說，APT41已經(jīng)攻破TeamViewer公司的所有防護(hù)體，并取得有相關(guān)數(shù)據(jù)權(quán)限，危險等級非常高。在teamviewer官方提供解決方案和發(fā)布相關(guān)補(bǔ)丁之前，我們建議用戶暫停teamviewer軟件的使用，避免造成不必要的損失。

以下是teamviewer通訊方式介紹，以及如何用WSG上網(wǎng)行為管理來禁止teamviewer。

1. teamviewer通訊方式

1. teamviewer在啟動時，首先會連接teamviewer官網(wǎng)（http和https方式都有），來獲取ID和路由信息。如果直接連接不了，teamviewer還會獲取本機(jī)的代理配置，嘗試通過代理服務(wù)器去連接。
   

2. teamviewer后續(xù)的點對點遠(yuǎn)程控制，大部分通過的端口是tcp 5938。也存在其他動態(tài)端口的通訊數(shù)據(jù)。

有些公司為了安全需要，只允許使用微信等指定軟件，同時屏蔽所有的其他網(wǎng)站和軟件。這樣的管理需求，必須要用專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以實現(xiàn)。以我司的WSG上網(wǎng)行為管理為例，只需要兩條行為管理規(guī)則，即可實現(xiàn)該功能。配置的思路是“應(yīng)用過濾屏蔽所有+例外設(shè)置開通部分應(yīng)用”這兩者結(jié)合的方式。下面是具體配置的步驟介紹：

1. 先在應(yīng)用過濾里面屏蔽所有

如圖，應(yīng)用過濾添加規(guī)則，禁止所有應(yīng)用的訪問。

WSG上網(wǎng)行為管理的一些型號，如WSG-500E、WSG-XE都可以支持光口，設(shè)備接口如下圖：

本文我將介紹如何來使用WSG上網(wǎng)行為管理的光纖接口。

IOS系統(tǒng)的自動更新非常耗帶寬，每次IOS版本更新動輒好幾個G。每次IOS推出新版本，都是對企業(yè)帶寬資源的一大考驗。

WFilter NGF上網(wǎng)行為管理系統(tǒng)（WSG網(wǎng)關(guān)）提供了豐富的系統(tǒng)調(diào)用API接口，具體的API接口請參考：WFilter API接口。在本文中，我將介紹如何用WFilter的API接口來直接訪問統(tǒng)計報表系統(tǒng)。

1. WFilter的統(tǒng)計報表系統(tǒng)

如圖，WFilter中有一系列的內(nèi)置統(tǒng)計報表，您也可以自己定義需要的報表格式。

本文將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來記錄局域網(wǎng)內(nèi)的郵件收發(fā)內(nèi)容。郵件收發(fā)主要有兩種方式：

1. 客戶端郵件，比如outlook, foxmail，thundbird等客戶端。
   

2. 網(wǎng)頁郵件，國內(nèi)比較普遍的是qq和163的網(wǎng)頁郵件。

“MAC地址認(rèn)證”通過客戶機(jī)的MAC地址來對客戶端進(jìn)行身份認(rèn)證，只有通過認(rèn)證的客戶端設(shè)備才可以訪問網(wǎng)絡(luò)以及服務(wù)器資源。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

WFilter的“SSL監(jiān)控”模塊，可以對https以及SSL加密的smtp/imap/pop3的內(nèi)容進(jìn)行解密從而記錄其內(nèi)容。該SSL監(jiān)控模塊，既可以對電腦進(jìn)行管控，而且對手機(jī)一樣生效。但是要不影響客戶機(jī)的正常使用，首先需要在客戶機(jī)上安裝ca證書。電腦上安裝ca證書比較簡單，我們不再贅述。本文中，我將介紹如何在蘋果手機(jī)（iphone）上安裝SSL監(jiān)控的ca證書，從而實現(xiàn)對iphone的SSL監(jiān)控。

1. 開啟SSL監(jiān)控

企業(yè)局域網(wǎng)由于網(wǎng)絡(luò)環(huán)境復(fù)雜；終端數(shù)量、設(shè)備數(shù)量都比較多；經(jīng)常會出現(xiàn)網(wǎng)絡(luò)卡頓等故障。一旦網(wǎng)絡(luò)變慢時，面對復(fù)雜的網(wǎng)絡(luò)環(huán)境，網(wǎng)管技術(shù)人員需要迅速并且準(zhǔn)確的診斷出問題所在，并且加以解決。本文中，我將盡量描述網(wǎng)絡(luò)變卡變慢的常見原因以及診斷方法。大體來說，網(wǎng)絡(luò)卡頓的原因有如下方面：

1. 外網(wǎng)原因：運營商線路故障、帶寬不夠，路由器軟硬件故障等。
   

2. 內(nèi)網(wǎng)原因：內(nèi)網(wǎng)的設(shè)備故障、病毒攻擊、網(wǎng)絡(luò)設(shè)置等原因。

所以在斷網(wǎng)、網(wǎng)絡(luò)卡頓時，第一步要判斷問題出在內(nèi)網(wǎng)還是外網(wǎng)，然后再進(jìn)行后續(xù)的診斷。

無線網(wǎng)絡(luò)由于安全性比較低，企事業(yè)單位的無線組網(wǎng)需要考慮如下因素：

1. 有線網(wǎng)段和無線網(wǎng)段互相隔離。
   

2. 辦公無線和訪客無線也需要互相隔離。

3. 每個網(wǎng)段的無線終端建議控制在150以內(nèi)，避免廣播風(fēng)暴。
   

4. 員工內(nèi)網(wǎng)要做接入認(rèn)證或者設(shè)備綁定。

5. 對訪客進(jìn)行實名認(rèn)證（可選）

一般采用這樣的網(wǎng)絡(luò)結(jié)構(gòu)圖：

WSG上網(wǎng)行為管理做透明網(wǎng)橋部署有很多優(yōu)勢：

1. 即插即用，不影響現(xiàn)有網(wǎng)絡(luò)。
   

2. 不需要修改原有設(shè)備的配置（交換機(jī)、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使機(jī)器斷電死機(jī)也不會斷網(wǎng)。

由于政策要求和網(wǎng)絡(luò)安全的需要，現(xiàn)在絕大部分的酒店無線WiFi都要求實名認(rèn)證。只有實名認(rèn)證過的設(shè)備才允許連接酒店的WiFi網(wǎng)絡(luò)，并且記錄和留存該終端的上網(wǎng)內(nèi)容。

一般來說實名認(rèn)證都采用短信認(rèn)證的方式，由于手機(jī)號是已經(jīng)經(jīng)過實名認(rèn)證的，記錄手機(jī)號就等于是實現(xiàn)了實名認(rèn)證上網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)可以采用如下的部署方式，用一臺WSG上網(wǎng)行為管理做主路由（也可以做透明網(wǎng)橋部署）。

WFilter上網(wǎng)行為管理，包括WFilter ICF和WFilter NGF（WSG網(wǎng)關(guān)），都可以對http和https的站點進(jìn)行網(wǎng)站黑白名單控制。如圖：

作者:笨小驢 | 分類:網(wǎng)頁過濾方案 | 瀏覽:9319 | 評論:0

不管是企業(yè)內(nèi)網(wǎng)的私有WiFi，還是公共WiFi網(wǎng)絡(luò)；出于安全性需要以及相關(guān)政策法規(guī)的要求，都要對WiFi無線上網(wǎng)的用戶進(jìn)行實名認(rèn)證。本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)介紹如何實現(xiàn)無線WiFi的實名認(rèn)證。

1. 微信連WiFi

騰訊從2014年推出的微信WiFi服務(wù)，可以用微信掃碼進(jìn)行認(rèn)證，從而記錄微信的openid。不過由于apple公司的接口調(diào)整，微信WiFi已經(jīng)暫停服務(wù)。所以通過微信來進(jìn)行實名認(rèn)證已經(jīng)不可行了。

二級路由器默認(rèn)都啟用了網(wǎng)絡(luò)地址轉(zhuǎn)換，會把客戶機(jī)的IP地址和mac地址都轉(zhuǎn)換成路由器的IP和mac。這樣從上層的行為管理來看，只能看到路由器的IP地址。要區(qū)分二級路由下面的終端，必須把二級路由器改成AP模式（也就是無線交換機(jī)模式）。

局域網(wǎng)的文件泄露，主要是通過usb拷貝以及網(wǎng)絡(luò)傳輸?shù)姆绞?。我們?a href="http://www.xsw11.com/blog/post/382.html" target="_blank">企業(yè)外發(fā)文件管控方案總結(jié)一文中，已經(jīng)介紹了多種管控外發(fā)文件的方案。在本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)如何來有效的管控外發(fā)文件。

1. 首先要屏蔽電腦的usb存儲設(shè)備。

需要在windows電腦的組策略里面禁止配置，把“禁止安裝可移動設(shè)備“修改成”已啟用“即可。當(dāng)然，管理員權(quán)限就不能給使用者啦，要不然再把這個策略改回去就不起作用了。

當(dāng)防火墻檢測到某個IP存在病毒攻擊或者異常流量時，網(wǎng)管技術(shù)人員往往需要到電腦上面進(jìn)行后續(xù)操作。而對于自動獲取IP的局域網(wǎng)來說，如何定位IP地址的電腦位置一直是一個技術(shù)難題。如果沒有好的工具，最笨的辦法就是一臺一臺電腦進(jìn)行查看，通過比對IP地址和mac地址來定位。那么還有哪些聰明一些的辦法呢？

1. 在三層交換機(jī)上查看ARP表

有網(wǎng)管交換機(jī)時，可以在網(wǎng)管交換機(jī)上查看arp表找到該IP地址所在的端口，然后根據(jù)端口順藤摸瓜，從而定位電腦的物理位置。比如，在交換機(jī)上執(zhí)行“disp arp”命令（不同型號的交換機(jī)命令不一樣），可以得到如下結(jié)果：

在部署了上網(wǎng)行為管理的局域網(wǎng)內(nèi)，總會有人想各種各樣的辦法來突破上網(wǎng)管控。常見的方法有：

1. IP地址盜用。
   

2. MAC地址克隆。

首先可以考慮不開放管理員權(quán)限，或者采用域控的方式禁止客戶機(jī)自行修改網(wǎng)絡(luò)設(shè)置等辦法。其次也可以通過上網(wǎng)行為管理的管控策略來阻止這些行為。本文中，我來介紹下如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來應(yīng)對IP地址盜用和MAC地址克隆。

由于視頻和下載可以輕易的占用大量帶寬，為了網(wǎng)絡(luò)的穩(wěn)定運行，大部分局域網(wǎng)都會對客戶端進(jìn)行一定的限速。本文中，我將介紹如何根據(jù)帶寬來做限速，限速設(shè)置多少比較合理？

1. 限速多少比較合理？

正常的辦公上網(wǎng)，每個終端至少需要2Mbit的帶寬才夠用；平均值如果低于2Mbit需要考慮增加接入帶寬。假設(shè)你有200Mbit的帶寬，有50個終端，那么平均下來每個終端可以分配到4Mbit；但是考慮到不是所有人都會在同時全速下載，可以給每個終端分配8-10Mbit的帶寬。如下圖：

IP地址沖突一般是由于手動設(shè)置IP的原因，綜合來說有如下兩種可能性：

1. A電腦和B電腦都手工設(shè)置了同樣的IP地址。
   

2. A電腦自動獲取，B電腦手動設(shè)置了和A電腦一樣的IP地址。

出現(xiàn)IP地址沖突時，通過arp -a命令，可以看到?jīng)_突對方的MAC地址。如下圖：