現(xiàn)在很多下載站都優(yōu)先推廣高速下載器下載，一不小心就會下載一個未知內(nèi)容的xxxx@xxxx.exe這樣的文件。給局域網(wǎng)的安全帶來很大的隱患。如圖：

在本文中，我將介紹如何用WFilter ICF（超級嗅探狗）來禁止高速下載器的下載。

在阿里云短信認(rèn)證網(wǎng)關(guān)的具體實現(xiàn)這篇文章中，我們介紹了如何使用阿里云的php sdk來實現(xiàn)短信認(rèn)證功能。在實際使用中，有一些用戶不具備開發(fā)sdk的技術(shù)能力。所以在最新版的WFilter NGF系統(tǒng)中，我們集成了阿里云的SDK模塊。用戶無需搭建SDK的web服務(wù)等環(huán)境，即可實現(xiàn)阿里云短信認(rèn)證的功能。

本文中，我將結(jié)合阿里云短信平臺來介紹WFilter NGF的短信認(rèn)證功能。

1. 阿里云短信平臺相關(guān)配置

首先要創(chuàng)建AccessKey

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》(第七條、第八條、第十一條)等相關(guān)法律規(guī)定，公共無線上網(wǎng)場所應(yīng)當(dāng)落實相關(guān)網(wǎng)絡(luò)安全保護技術(shù)措施。而從2018年11月1日開始正式施行的《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》（公安部令第151號），是網(wǎng)絡(luò)安全執(zhí)法檢查工作與《網(wǎng)絡(luò)安全法》的深度結(jié)合，對執(zhí)法過程進行了詳細(xì)的規(guī)定，使得監(jiān)督檢查工作做到依法檢查、依法處置。簡單的說，有兩條需要值得我們重點關(guān)注的地方：

1. 提供WiFi上網(wǎng)服務(wù)的公共場所，必須落實上網(wǎng)實名認(rèn)證。

2. 提供上網(wǎng)服務(wù)的公共場所，必須至少保存六十天的上網(wǎng)記錄備份。

自從2014年騰訊推出“微信連Wi-Fi”功能以來，“微信WiFi”一度成為商業(yè)公眾號的吸粉利器。手機連接WiFi即可自動打開公眾號，或者掃描二維碼打開公眾號。既滿足了客戶WiFi上網(wǎng)，又可以滿足商家漲粉的需要。

在本文中，我將介紹如何在RouterOS和WSG上網(wǎng)行為管理網(wǎng)關(guān)之間使用openvpn組建site-to-site VPN。網(wǎng)絡(luò)拓?fù)鋱D如下：

本例中，我們把WSG作為openvpn的服務(wù)端，RouterOS作為openvpn的客戶端。反過來的配置也基本類似。

在本文中，我將介紹如何在RouterOS和WSG上網(wǎng)行為管理網(wǎng)關(guān)之間創(chuàng)建IPSec隧道。網(wǎng)絡(luò)拓?fù)鋱D如下：

本例中，我們把WSG作為IPSec的服務(wù)端，RouterOS作為IPSec的客戶端。反過來的配置也基本類似。

眾所周知，SSL加密的通訊數(shù)據(jù)，比如https，pops, imaps, smtps，由于在通訊過程中進行非對稱加密，其數(shù)據(jù)是密文傳輸?shù)模粚?dǎo)致網(wǎng)絡(luò)監(jiān)控不能直接監(jiān)控到其內(nèi)容，也無法對內(nèi)容中的信息進行深度過濾。作為專業(yè)的上網(wǎng)行為管理系統(tǒng)，WFilter NGF在最新版本中，新增了“SSL監(jiān)控模塊”。該SSL監(jiān)控模塊，可以充當(dāng)SSL的中間人進行證書攔截，從而解析出SSL加密的數(shù)據(jù)內(nèi)容。利用該模塊，可以實現(xiàn)如下內(nèi)容：

1. 記錄https網(wǎng)站的頁面內(nèi)容、發(fā)帖內(nèi)容。
   

2. 對https網(wǎng)站的訪問進行深度過濾，比如禁止https網(wǎng)站的下載文件格式、禁止在https網(wǎng)頁上傳附件等。

3. 記錄pops, imaps, smtps的郵件內(nèi)容。

4. 對pops, imaps, smtps的郵件進行深度過濾，比如設(shè)置郵件發(fā)送接收黑白名單，禁止發(fā)送附件等等。

由于公網(wǎng)IP地址不夠用，一些網(wǎng)絡(luò)運營商只給撥號用戶提供二級IP地址。換句話說，你的網(wǎng)關(guān)獲取到的只是一個內(nèi)網(wǎng)IP地址，在公網(wǎng)上是不可達(dá)的。這個事實，會給撥號上網(wǎng)的企業(yè)帶來如下問題：

1. 無法實現(xiàn)依賴端口映射的業(yè)務(wù)功能。
   

2. 無法實現(xiàn)直接VPN組網(wǎng)。

在本文中，我將介紹一種通過云主機來進行中轉(zhuǎn)的VPN組網(wǎng)方式。你只需要購買一臺有固定IP地址的云主機，即可實現(xiàn)多地VPN組網(wǎng)。既節(jié)省了專線的費用，而且云主機還可以用來搭建Web服務(wù)或者其他服務(wù)。網(wǎng)絡(luò)拓?fù)鋱D如下：

WFilter NGF的“運營管理”模塊，集成了用戶管理、實時帶寬限制、累計流量限制、用戶Portal通知等功能。適合酒店、ISP等進行帶寬的運營管控。在酒店網(wǎng)絡(luò)管理、上網(wǎng)行為管理方案和小區(qū)寬帶運營商的網(wǎng)絡(luò)管理這兩篇教程中，我們介紹了“運營管理”的基本功能。

還有一點要補充的，就是對于超流量用戶的策略管控。如下圖，我們增加了一個“累計帶寬”策略，一旦超流量后，就會自動把用戶加到“限制上網(wǎng)組“。

在WSG上網(wǎng)行為管理網(wǎng)關(guān)的初步設(shè)置詳細(xì)教程中，我們介紹了WSG上網(wǎng)行為管理網(wǎng)關(guān)的初步設(shè)置，該文檔中，我們采用了網(wǎng)關(guān)部署的方式。在實際使用中，網(wǎng)橋部署方式也極為常見；用網(wǎng)橋的方式來部署WSG上網(wǎng)行為管理，是完全透明部署，不需要修改現(xiàn)有的網(wǎng)絡(luò)參數(shù)，也不需要更改路由器和交換機的配置。網(wǎng)絡(luò)拓?fù)鋱D如下：

網(wǎng)橋部署有如下優(yōu)點：

• 不需要修改現(xiàn)有的網(wǎng)絡(luò)設(shè)置。

• 無需斷網(wǎng)，即插即用。

• 功能一樣強大：上網(wǎng)行為記錄、行為管理、流控都可以實現(xiàn)。

• 硬件bypass（要看具體型號），即使網(wǎng)橋設(shè)備掉電，也可以保證不斷網(wǎng)。
  

1. 網(wǎng)橋部署的準(zhǔn)備工作

首先需要給WSG設(shè)備分配一個靜態(tài)IP地址。該IP用于遠(yuǎn)程訪問WSG設(shè)備，進行Web認(rèn)證等遠(yuǎn)程訪問操作。需要注意如下幾點：

對人員流動比較頻繁的局域網(wǎng)來說，首要的一個問題就是要進行網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證，記錄用戶的身份信息和上網(wǎng)日志。從而使網(wǎng)絡(luò)行為有據(jù)可查，也能滿足職能部門的督察需要。WFilter NGF中的幾種認(rèn)證機制，優(yōu)缺點比較如下：

1. 用戶名密碼認(rèn)證。需要維護用戶名密碼，適合人員比較固定的網(wǎng)絡(luò)。
   

2. 微信WiFi認(rèn)證。微信WiFi的流程是打開公眾號即可上網(wǎng)，并且記錄微信的openid。適合在人員流動大的網(wǎng)絡(luò)環(huán)境中做營銷推廣。

3. 手機短信認(rèn)證。通過手機接收驗證碼來上網(wǎng)，記錄手機號和上網(wǎng)記錄。適合人員流動比較大的網(wǎng)絡(luò)環(huán)境留存身份信息和上網(wǎng)審計記錄。
   

本文中， 我將結(jié)合一個實際例子來介紹WFilter NGF（WSG網(wǎng)關(guān)）的短信認(rèn)證功能。

企業(yè)為了滿足出差人員，在家人員的辦公需要，往往需要開通遠(yuǎn)程辦公功能。使得員工可以通過互聯(lián)網(wǎng)連接到公司內(nèi)網(wǎng)進行工作。在WFilter NGF中，“OpenVPN服務(wù)端“和“PPTP服務(wù)端”這兩個模塊都可以滿足遠(yuǎn)程辦公的需要。相對而言，OpenVPN的配置復(fù)雜，但是安全性更高一些。

本例中，我將演示如何用WFilter NGF的OpenVPN服務(wù)端模塊來實現(xiàn)遠(yuǎn)程辦公。

企業(yè)微信是騰訊微信團隊為企業(yè)打造的專業(yè)辦公管理工具，現(xiàn)在很多企業(yè)用企業(yè)微信來進行辦公溝通。但是一些企業(yè)開通了微信后，卻發(fā)現(xiàn)員工會花大量時間用在個人微信聊天、朋友圈上面。所以，為了不影響工作效率，在使用企業(yè)微信的同時還需要禁止個人微信的使用。

本文將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來實現(xiàn)“允許企業(yè)微信的同時屏蔽個人微信”。

很多企業(yè)為了工作需要都申請了多WAN接入。而大部分的多WAN口設(shè)備在默認(rèn)配置下都是直接負(fù)載均衡；以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，默認(rèn)配置是這樣的：

1. 運營商分流。電信網(wǎng)站的訪問會優(yōu)先走電信線路，聯(lián)通站點優(yōu)先走聯(lián)通線路。
   

2. 負(fù)載均衡。根據(jù)wan口的帶寬大小進行負(fù)載均衡。

在企業(yè)的網(wǎng)絡(luò)內(nèi)部有著很多重要的IT資源，比如：OA服務(wù)器、ERP服務(wù)器等，這些業(yè)務(wù)主機一旦停止工作或者被攻擊，會直接影響業(yè)務(wù)的正常運行，帶來重大損失。在有線網(wǎng)絡(luò)的情況下，安全性還是比較可靠的。而現(xiàn)階段絕大部分企業(yè)都提供了無線上網(wǎng)；客戶機只要知道了無線密碼，就可以接入企業(yè)的局域網(wǎng)，導(dǎo)致安全隱患。而關(guān)鍵的一點在于你的無線密碼并不安全：

1. aircrack等軟件可以對無線密碼進行暴力破解。
   

2. 一旦有員工安裝了wifi鑰匙等軟件，你的無線就等于是公開的。

3. 訪客網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)分開的方式，并不能阻止訪客連接辦公網(wǎng)絡(luò)。（訪客可以直接詢問密碼，或者通過wifi鑰匙等軟件接入）
   

HTTPS（HTTP over SSL）由于其通訊協(xié)議的特殊性，域名信息和訪問的URL等都處于SSL加密保護下；所以大部分的路由器系統(tǒng)都無法對https網(wǎng)站的域名進行過濾和屏蔽。而諸如WFilter這樣的專業(yè)級上網(wǎng)行為管理產(chǎn)品，則可以對流量進行深度分析，并提取出https通訊中的域名信息，從而進行過濾屏蔽。

如下圖，WFilter可以提取出網(wǎng)站證書中的域名信息。

由于無線的便利性，越來越多的企業(yè)局域網(wǎng)采用無線辦公的方式。而因為無線網(wǎng)絡(luò)的特殊性，如果缺乏上網(wǎng)行為管理和流控手段，會導(dǎo)致無線緩慢、網(wǎng)絡(luò)不可用等情況。而且無線網(wǎng)絡(luò)更加容易產(chǎn)生廣播風(fēng)暴。所以，在WiFi無線局域網(wǎng)中部署上網(wǎng)行為管理和流控是非常必要的。

本文中，我就將來介紹WiFi局域網(wǎng)的上網(wǎng)行為管理方案。

1. 常用的網(wǎng)絡(luò)拓?fù)?/h2>

1. 首先，由于無線路由器的穩(wěn)定性不高，所以主路由不推薦用無線設(shè)備。可以用一臺有線路由器做網(wǎng)關(guān)，后面串接上網(wǎng)行為管理設(shè)備?；蛘咧苯佑蒙暇W(wǎng)行為管理做網(wǎng)關(guān)。
   

2. 推薦采用瘦AP的組網(wǎng)方式。通過AC控制器統(tǒng)一管理。

釘釘作為一個免費智能移動辦公平臺，受到很多公司的歡迎。但是對于網(wǎng)絡(luò)權(quán)限設(shè)置比較嚴(yán)格的局域網(wǎng)來說，如何開放釘釘一直是一個難題。之前釘小密給了個局域網(wǎng)需要白名單的一些IP段，參見：https://tieba.baidu.com/p/4358596988 ，但是根據(jù)我們的測試，文中的IP段并不能覆蓋釘釘需要的IP范圍。而且在釘釘?shù)墓倬W(wǎng)已經(jīng)找不到官方的相關(guān)文檔了。

為了放行釘釘，我們技術(shù)人員做了相關(guān)測試。本文，我就來介紹下在WSG上網(wǎng)行為管理網(wǎng)關(guān)中如何放行釘釘。釘釘?shù)氖褂眯枰ㄟ^https訪問釘釘相關(guān)的網(wǎng)站，另外還有自己的通訊協(xié)議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘和TLS這三個協(xié)議。如下圖：

合理的IP地址分配是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理的基礎(chǔ)，IP地址管理直接影響著企業(yè)員工的工作效率及企業(yè)的信息安全。

1. 行政管理方法

首先，應(yīng)當(dāng)以行政命令的方式規(guī)定IP地址管理的權(quán)限、流程，以及相應(yīng)的懲罰手段。如以下這個例子：

廣播風(fēng)暴和網(wǎng)絡(luò)環(huán)路，雖然兩者的原理不一樣，但是其物理表現(xiàn)卻比較相似：“交換機燈狂閃，同時內(nèi)網(wǎng)丟包或者ping值變高。”作為一名網(wǎng)管，需要可以迅速判斷故障的原因，從而制定不同的解決方案。兩者的主要差別如下：

1. 廣播風(fēng)暴只在特定的條件下出現(xiàn)，所以廣播風(fēng)暴是不持續(xù)的。而環(huán)路是持續(xù)存在的。
   

2. 廣播風(fēng)暴由局域網(wǎng)架構(gòu)的缺陷導(dǎo)致，而網(wǎng)絡(luò)環(huán)路屬于網(wǎng)絡(luò)故障。

3. 網(wǎng)絡(luò)環(huán)路對網(wǎng)絡(luò)的影響比較大，丟包和ping值都要比廣播風(fēng)暴嚴(yán)重的多。

4. 廣播風(fēng)暴需要通過劃分VLAN來解決。網(wǎng)絡(luò)環(huán)路只需要拔掉環(huán)路設(shè)備或者網(wǎng)線即可。

有經(jīng)驗的網(wǎng)管，還可以通過抓包來區(qū)別風(fēng)暴和環(huán)路。如果你不會抓包分析，也可以總結(jié)故障出現(xiàn)的規(guī)律來進行判斷。下面我再介紹下WFilter里面的網(wǎng)絡(luò)健康度檢測插件是如何區(qū)分廣播風(fēng)暴和環(huán)路的。

在微信需要多大帶寬？微信的最低帶寬要求 這篇文章中，我們測試了微信的最低帶寬要求。今天我們再來測試下手機QQ的最低帶寬要求。具體的測試步驟如下：

1. 不做任何限速

如下圖，不做任何限速，打開手機QQ帶寬占用只有幾KB；不過在發(fā)送文件時，帶寬占用上升到80KBps。

微信目前已經(jīng)成為一個不可或缺的通訊工具。在帶寬有限的情況下，要保證微信的正常使用，究竟需要多大的帶寬呢？為了研究此問題，我們做了如下的測試。

1. 不做任何限速

如上圖所示，微信的初始化大概占用了50KBps的帶寬，而發(fā)送文字消息的帶寬占用則小于1kBps。

我們一般把WSG上網(wǎng)行為管理的使用分為三個步驟：安裝部署、基本配置、策略配置。

1. 安裝部署：把設(shè)備安裝到網(wǎng)絡(luò)中，使網(wǎng)絡(luò)能正常工作。
   

2. 基礎(chǔ)配置：DHCP和VLAN設(shè)置、防火墻策略、端口映射、分組設(shè)置等基本配置。

3. 策略配置：上網(wǎng)行為的審計策略、過濾策略、查詢和報表等功能和配置。

在本文中，我將介紹WSG網(wǎng)關(guān)的安裝部署的具體步驟。用戶拿到設(shè)備后，按此步驟即可完成安裝部署工作，并且開通遠(yuǎn)程管理訪問。使技術(shù)人員可以進行遠(yuǎn)程協(xié)助配置。

來賓用戶、流動人員比較多的局域網(wǎng)，如果不對來賓上網(wǎng)進行管控，不但會占用企業(yè)帶寬資源，還會帶來安全隱患和政策風(fēng)險。對于企業(yè)環(huán)境來說，一般推薦來賓和辦公網(wǎng)絡(luò)采用不同的無線SSID，分開進行管控。具體方案如下：

1. 來賓和辦公網(wǎng)絡(luò)采用不同的無線SSID。
   

2. 對來賓和辦公采用不同的限速和行為管理策略。

3. 來賓和辦公網(wǎng)絡(luò)采用不同的VLAN，并且不允許來賓訪問公司內(nèi)網(wǎng)。

4. 不但要設(shè)置不同的無線密碼，而且需要進行IP-MAC綁定等策略，禁止來賓用戶接入到辦公網(wǎng)絡(luò)。

對于企業(yè)局域網(wǎng)來說，一個合理的IP地址分配是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理的基礎(chǔ)，IP地址管理的好壞直接影響著企業(yè)員工的工作效率及企業(yè)的信息安全。
局域網(wǎng)的IP地址分配，需要考慮到如下方面：

1. 服務(wù)器的IP地址段和辦公電腦的IP地址段要區(qū)分開。

2. 手機、pad等移動設(shè)備需要自動獲取IP。

3. 無線由于安全性比較低，一般需要用VLAN進行隔離。

4. 每個網(wǎng)段的客戶機數(shù)量不宜過多，有線250以內(nèi)，無線150以內(nèi)比較合理。否則會引起網(wǎng)絡(luò)風(fēng)暴。
   

下面是我總結(jié)的企業(yè)局域網(wǎng)IP地址分配方案，希望能對大家有幫助。