WSG上網行為(wei)管(guan)理有(you)著強(qiang)大的(de)報表(biao)系(xi)統(tong)(tong)，可以實現對(dui)于網站(zhan)訪問(wen)、流量、工作效率、網絡訪問(wen)趨勢等一系(xi)列的(de)統(tong)(tong)計(ji)功(gong)能。在本(ben)文中，我將以每日流量統(tong)(tong)計(ji)為(wei)例，配置一個自(zi)動發送(song)的(de)流量統(tong)(tong)計(ji)報表(biao)。

1. 新增流量統計報表

在“查詢統計”-“統計報表”的報表列表中，點擊“新增”。

WSG上(shang)(shang)網(wang)(wang)(wang)行(xing)為管理通過安(an)裝(zhuang)在網(wang)(wang)(wang)絡出口(kou)處(chu)，可(ke)以(yi)對局域網(wang)(wang)(wang)內終端(duan)的(de)上(shang)(shang)網(wang)(wang)(wang)行(xing)為進行(xing)審計記錄，從(cong)而保障企事業單位(wei)的(de)信(xin)息安(an)全(quan)，提供(gong)一年以(yi)上(shang)(shang)的(de)上(shang)(shang)網(wang)(wang)(wang)審計記錄，使上(shang)(shang)網(wang)(wang)(wang)行(xing)為有據可(ke)查。那么(me)，WSG上(shang)(shang)網(wang)(wang)(wang)行(xing)為管理可(ke)以(yi)審計哪些內容呢(ni)？本文將為您作詳細介紹。

1. WSG的部署位置

WSG上網(wang)(wang)行(xing)為審計(ji)系統一般部署在網(wang)(wang)絡(luo)出口處即可(ke)對全網(wang)(wang)進行(xing)審計(ji)記錄，既(ji)可(ke)作為網(wang)(wang)絡(luo)的主路(lu)(lu)由器，也可(ke)以做透明(ming)網(wang)(wang)橋串接在路(lu)(lu)由器和交換(huan)機之間(jian)。網(wang)(wang)絡(luo)拓撲圖(tu)如(ru)下(xia)：

通過用上網(wang)行(xing)為管理(li)限制電腦的網(wang)絡(luo)訪問(wen)，管控終端(duan)(duan)可(ke)(ke)以訪問(wen)的外網(wang)站(zhan)點，可(ke)(ke)以實現(xian)只允許(xu)終端(duan)(duan)使用指定的網(wang)絡(luo)軟(ruan)件。請注(zhu)意，網(wang)絡(luo)管控只能管控網(wang)絡(luo)軟(ruan)件，并不能限制單機軟(ruan)件。

本文中，我將以WSG上網行為(wei)管理為(wei)例，使(shi)(shi)終端(duan)電(dian)腦只能(neng)使(shi)(shi)用“虛幻引(yin)擎”這(zhe)個軟件。

1. 首先，配置“應用過濾”禁止所有外網

為(wei)了保障網(wang)絡安全，提高員工(gong)工(gong)作(zuo)(zuo)效(xiao)率，企業(ye)(ye)有必要部(bu)署上(shang)網(wang)行(xing)(xing)為(wei)管(guan)理(li)(li)。上(shang)網(wang)行(xing)(xing)為(wei)管(guan)理(li)(li)可(ke)對企業(ye)(ye)內部(bu)員工(gong)的上(shang)網(wang)行(xing)(xing)為(wei)進(jin)行(xing)(xing)全方位有效(xiao)管(guan)理(li)(li)，保護Web訪問(wen)安全，降(jiang)低(di)互(hu)聯網(wang)使用風(feng)險(xian)，避(bi)免機(ji)密信息泄露，提升工(gong)作(zuo)(zuo)效(xiao)率，限制(zhi)下(xia)載和(he)視頻P等嚴重消耗帶寬(kuan)的應用，保障企業(ye)(ye)核心業(ye)(ye)務帶寬(kuan)。

利(li)用(yong)(yong)WSG的用(yong)(yong)戶認證和行為管理策略(lve)，可以對域(yu)用(yong)(yong)戶、非域(yu)用(yong)(yong)戶配(pei)置不同的上(shang)網(wang)策略(lve)。比如(ru)，你可以默(mo)認禁(jin)止所有(you)的終(zhong)端上(shang)網(wang)，當電(dian)腦加入域(yu)后，則可以根(gen)據(ju)賬號(hao)、OU等放(fang)行具體的訪(fang)問內(nei)容。本文中，我將介紹如(ru)何開啟(qi)域(yu)認證，并且(qie)屏蔽(bi)非域(yu)用(yong)(yong)戶上(shang)網(wang)。

現在的視頻資源(yuan)非常多，抖音、愛奇藝、騰訊視頻、優酷(ku)......可以(yi)說(shuo)是數(shu)不(bu)勝數(shu)。而對于公司局域網來(lai)說(shuo)，手機刷視頻不(bu)但嚴重影響工作效率，而且是一個非常耗費網絡帶(dai)寬的一個行(xing)為。

本文中，我將(jiang)以WSG上網(wang)(wang)行為(wei)管理為(wei)例(li)，介紹(shao)如何在公(gong)司局域網(wang)(wang)內禁止手機刷抖音(yin)等視頻。

該(gai)視頻簡要(yao)介紹(shao)了(le)WSG上網行為管理(li)的各項功能。

在局域網內部署WSG上(shang)網行為(wei)管理后，可(ke)(ke)以(yi)對(dui)全網的(de)上(shang)網行為(wei)進行分析(xi)、記錄和統計(ji)。除了(le)內置的(de)一系列報(bao)表外(wai)，你還(huan)可(ke)(ke)以(yi)利用WSG的(de)自定義報(bao)表功(gong)能(neng)，來實現更強大的(de)統計(ji)功(gong)能(neng)。在本文中，我將介紹如何用WSG的(de)統計(ji)報(bao)表，來對(dui)員(yuan)工(gong)(gong)找工(gong)(gong)作(zuo)的(de)行為(wei)進行分析(xi)告警，從而使公(gong)司(si)領導了(le)解(jie)員(yuan)工(gong)(gong)的(de)工(gong)(gong)作(zuo)心(xin)態(tai)，減少公(gong)司(si)損(sun)失。

1. 首先，創建一個自定義報表。

如下(xia)圖，選擇“網(wang)(wang)頁統計”-“網(wang)(wang)頁瀏覽次數統計”，勾選“保(bao)(bao)存該報表(biao)”，點擊(ji)保(bao)(bao)存后，再點擊(ji)“設置”。

很多企事業單(dan)位(wei)需要對(dui)電腦的外網(wang)訪問采用嚴(yan)格的控制策略，比如只允(yun)許(xu)工作網(wang)站(zhan)、只允(yun)許(xu)使用163郵箱(xiang)等(deng)。本(ben)文中，我將以WSG上網(wang)行為(wei)管理為(wei)例，來演示如何實現網(wang)站(zhan)白名單(dan)功(gong)能。

具體的配置邏輯是：先在“應用過濾”中禁止所有的網絡應用，然后再把要放行的內容加到“例外設置”里面。因為“例外設置”的優先級是最高的，這樣就達到了管控的效果，被管控的終端只能訪問指定

很多情況下，局域網(wang)(wang)(wang)內部(bu)的一些終端，比如(ru)領(ling)導電腦、移(yi)動pos機、內網(wang)(wang)(wang)服務器等，需要不加限制的訪問(wen)外網(wang)(wang)(wang)（即不受到任何(he)上網(wang)(wang)(wang)行為(wei)策略的管控）。在WFilter NGF（WSG上網(wang)(wang)(wang)行為(wei)管理）中，我們主要通過“例(li)外設(she)置(zhi)”來(lai)實現。本例(li)中，我將(jiang)介紹如(ru)何(he)用例(li)外設(she)置(zhi)來(lai)實現終端白名單的功能。

不(bu)(bu)加(jia)管控的(de)局(ju)域網(wang)下(xia)載(zai)，不(bu)(bu)但會占用大量的(de)帶寬資源，而(er)且下(xia)載(zai)不(bu)(bu)明類型的(de)軟件程序等(deng)會給局(ju)域網(wang)來的(de)病毒等(deng)危害。在本文中，我將結合WSG上網(wang)行(xing)為管理(li)網(wang)關(guan)，來介(jie)紹如何屏蔽局(ju)域網(wang)的(de)下(xia)載(zai)行(xing)為。

下載行為的管控(kong)，主要從以下幾個方(fang)面來(lai)入手：

1. 屏(ping)蔽(bi)各類(lei)下載站的訪問。

2. 屏蔽各類下載工具、P2P下載軟件等。

3. 禁止網盤等文件傳(chuan)輸。

4. 屏蔽網頁上(shang)的文件下載。

釘釘的(de)通(tong)訊過程比較復(fu)雜，需要(yao)用(yong)到(dao)釘釘相關的(de)網站(zhan)、阿里云平臺，還有一(yi)(yi)些私(si)有的(de)通(tong)訊協議。所(suo)以要(yao)達到(dao)“只(zhi)允許釘釘并且屏蔽其他網絡(luo)行為(wei)“這個(ge)管(guan)控效果，一(yi)(yi)般的(de)路由器是做不到(dao)的(de)，需要(yao)專業的(de)上網行為(wei)管(guan)理產品才可以。專業的上網行為管理產品可以準確識別出釘釘的流量并且加以管控。

釘(ding)釘(ding)的使(shi)用過程中必須連接(jie)外網，對于網絡權限設置比較嚴格的局域網來說，如何開放釘釘一直是一個難題。由于釘釘官方已經不再公布服務器的段，所以不能基于IP范圍來做管控。必須要有專業的上網行為管理產品，才可以準確識別出釘釘的流量并且加以管控。

本文，我就來介紹下在WSG上網(wang)(wang)行(xing)為管理(li)網(wang)(wang)關中如何(he)放行(xing)釘(ding)(ding)釘(ding)(ding)。釘(ding)(ding)釘(ding)(ding)的使用需(xu)(xu)要(yao)通(tong)過(guo)https訪問釘(ding)(ding)釘(ding)(ding)相關的網(wang)(wang)站(zhan)，另(ling)外還有自己的通(tong)訊協(xie)(xie)議（端(duan)口443）。所(suo)以要(yao)放行(xing)釘(ding)(ding)釘(ding)(ding)，我們需(xu)(xu)要(yao)放行(xing)DNS、釘(ding)(ding)釘(ding)(ding)這兩個應用協(xie)(xie)議，并且允(yun)許釘(ding)(ding)釘(ding)(ding)的相關網(wang)(wang)站(zhan)。具體(ti)的配置步驟如下：

在部署了上(shang)網(wang)行(xing)為管理的(de)局(ju)域網(wang)內，總會(hui)有人(ren)想各(ge)種各(ge)樣(yang)的(de)辦法(fa)來突破(po)上(shang)網(wang)管控。常見的(de)方法(fa)有：

1. IP地址盜用。
   

2. MAC地(di)址克隆(long)。

首(shou)先可以考慮不開(kai)放管理(li)(li)(li)員權(quan)限，或者采用(yong)(yong)域控(kong)的方式禁止(zhi)客(ke)戶機自行(xing)修(xiu)改(gai)網絡設置等辦法。其(qi)次也可以通過上(shang)網行(xing)為管理(li)(li)(li)的管控(kong)策略來(lai)阻止(zhi)這些行(xing)為。本文中，我來(lai)介紹下如何用(yong)(yong)WSG上(shang)網行(xing)為管理(li)(li)(li)網關來(lai)應對(dui)IP地(di)址盜用(yong)(yong)和MAC地(di)址克隆。

在三層(ceng)交換機環境下(xia)，由于三層(ceng)交換機屏(ping)蔽了終(zhong)端的實(shi)際mac地址，上層(ceng)的上網(wang)行為(wei)管理在不開啟“MAC地址收集器”的情況(kuang)下(xia)，是檢測不到終(zhong)端的實(shi)際mac地址的。這樣也(ye)就不能實(shi)現mac地址黑白(bai)名單的功能。網(wang)絡結構如下(xia)圖：

對于一些安全性要求比較高的(de)局域網來說，有(you)時候只(zhi)允許(xu)客戶機訪問指定的(de)網站，其他(ta)網絡行(xing)為一律禁止(zhi)。這(zhe)時候我們就需要用(yong)到“網站白名(ming)單”功(gong)能（只(zhi)允許(xu)訪問下列網站）。具體的(de)配置如下圖：

1. 在網頁過濾中開啟“只允許訪問下列網站”

“只允許訪問下列網站”功能開啟后，客戶機只能訪問允許的站點。其他網頁一律訪問不了。

選擇應用對象和生效時間

我們一般把WSG上網行為管理(li)的使用(yong)分為三個步驟：安裝部署、基本(ben)配置(zhi)、策(ce)略配置(zhi)。

1. 安裝部署：把設備安裝到網絡中，使網絡能正常工作。
   

2. 基礎配置(zhi)(zhi)(zhi)：DHCP和VLAN設置(zhi)(zhi)(zhi)、防火(huo)墻策略、端口(kou)映(ying)射、分(fen)組設置(zhi)(zhi)(zhi)等基本配置(zhi)(zhi)(zhi)。

3. 策略配置：上(shang)網(wang)行為的審計策略、過濾策略、查詢和報表等功能和配置。

在(zai)本(ben)文中，我將介紹WSG網關的安裝(zhuang)部(bu)署的具體步(bu)驟(zou)。用戶拿(na)到設備后(hou)，按此步(bu)驟(zou)即可(ke)完成安裝(zhuang)部(bu)署工作，并(bing)且開通遠(yuan)程管(guan)理訪問。使(shi)技術人員可(ke)以進(jin)行遠(yuan)程協(xie)助配置(zhi)。

2018俄羅斯世界杯大幕拉開，世界杯期間球迷們將通過各種途徑觀看世界杯。互聯網作為世界杯的主要承載媒體，也使得我們的網絡感受到了前所未有的壓力。對于各類企事業單位來說，首要保障公司業務所需的帶寬資源，同時也要人性化的滿足世界杯的激情需要。

因此在世界杯期間，無論是門戶網(wang)站、運營商或是企事業單位，都需(xu)要解(jie)決帶(dai)寬(kuan)分配和(he)流量管(guan)理的問題。既(ji)讓(rang)客戶和(he)員工可以觀看世界杯，同時又要讓(rang)企業的網(wang)絡帶(dai)寬(kuan)不被(bei)搶(qiang)占，關(guan)鍵應(ying)用的質量不受影響(xiang)。

相對于固(gu)定IP而言，自(zi)動獲取IP（DHCP）更加(jia)方便(bian)，而且不會導(dao)致IP地(di)址(zhi)沖突。但是對于局域網(wang)網(wang)絡(luo)管(guan)(guan)理而言，IP地(di)址(zhi)不固(gu)定就無法實現有(you)效(xiao)的管(guan)(guan)控。作為專業的上網(wang)行為管(guan)(guan)理廠家，WFilter系列上網(wang)行為管(guan)(guan)理產品針對該(gai)情(qing)況(kuang)可以提(ti)供兩種(zhong)解決方案(an)：

1.  先進行IP-mac地址(zhi)(zhi)綁定(ding)，然后基于IP地址(zhi)(zhi)管控。

2. 直接基于MAC地址進行管控。
   

以WFilter NGF（WSG網關）為例，具體配置介紹如下：

上網行(xing)為管理(li)網關、防火墻、路由(you)，不管是(shi)(shi)硬件還是(shi)(shi)軟件，其基本(ben)原理(li)都是(shi)(shi)一樣的(de)(de)(de)。硬件產(chan)品(pin)其實(shi)就是(shi)(shi)軟件包灌到硬件設備里面打包成一個整體設備。而(er)上網行(xing)為管理(li)、防火墻和(he)路由(you)的(de)(de)(de)共(gong)同點，都是(shi)(shi)部署在局域網出口的(de)(de)(de)，大部分(fen)都基于(yu)LINUX系統(tong)進行(xing)的(de)(de)(de)定制開發(fa)。如(ru)果(guo)是(shi)(shi)軟件方式，安裝時需要(yao)用一臺專門(men)的(de)(de)(de)服務器。所(suo)以，產(chan)品(pin)性能(neng)的(de)(de)(de)指標取決(jue)于(yu)兩方面：硬件配置和(he)軟件系統(tong)。那么產(chan)品(pin)的(de)(de)(de)選擇，主要(yao)在這兩方面進行(xing)優選。以下是(shi)(shi)一些簡單的(de)(de)(de)介(jie)紹(shao)：

一(yi)、從軟件(jian)內核(he)角度來(lai)說，路由系(xi)(xi)(xi)統(tong)、防火墻系(xi)(xi)(xi)統(tong)、上(shang)網行為管理網關系(xi)(xi)(xi)統(tong)，都(dou)是(shi)在(zai)LINUX上(shang)裁剪(jian)開發出來(lai)的(de)。但(dan)是(shi)這(zhe)些系(xi)(xi)(xi)統(tong)各(ge)自的(de)功能(neng)(neng)側重點(dian)、和性能(neng)(neng)指標(biao)都(dou)是(shi)完全不(bu)一(yi)樣的(de)。如(ru)下圖：

全(quan)世(shi)界的路由(you)，防火墻，網關，VPN服(fu)(fu)務(wu)器(qi)(qi)，各種服(fu)(fu)務(wu)器(qi)(qi)的設備(bei)可以(yi)說都是(shi)一樣的構造：軟(ruan)件(jian)系(xi)統(tong)(tong)(tong)灌到(dao)硬件(jian)設備(bei)當中去。同時差(cha)別又很大：一兩百(bai)就(jiu)可以(yi)買到(dao)一個(ge)小路由(you)，十(shi)(shi)萬(wan)二十(shi)(shi)萬(wan)才能購(gou)置一臺重量(liang)級服(fu)(fu)務(wu)器(qi)(qi)。為(wei)什么差(cha)別這么大？其實(shi)就(jiu)兩樣：硬件(jian)配置和軟(ruan)件(jian)系(xi)統(tong)(tong)(tong)。幾(ji)百(bai)的小路由(you)是(shi)那種路由(you)芯片，過萬(wan)的服(fu)(fu)務(wu)器(qi)(qi)最低intel X86的芯片。而用什么硬件(jian)設備(bei)，取決灌什么軟(ruan)件(jian)系(xi)統(tong)(tong)(tong)了。

以(yi)最普遍的(de)路(lu)由(you)器來說(shuo)，都是(shi)基于(yu)嵌(qian)入式系統(tong)(tong)裁剪(jian)出來的(de)。一(yi)些經典的(de)路(lu)由(you)系統(tong)(tong)，比如(ru)Routeros，系統(tong)(tong)很輕巧，運算壓力也(ye)不(bu)大，簡單的(de)芯片就可以(yi)承載。而(er)防火墻系統(tong)(tong)、上(shang)網行為管(guan)理系統(tong)(tong)，還需(xu)要(yao)在LINUX的(de)基礎上(shang)，做大量(liang)的(de)開發。所(suo)以(yi)對硬件需(xu)求，一(yi)定要(yao)有個強勁(jing)的(de)CPU，以(yi)及大容量(liang)的(de)硬盤和內存才足(zu)夠。普遍都用工控機(ji)來實現。

就上(shang)網(wang)行為管理設備來說，首(shou)先WSG上(shang)網(wang)行為管理網(wang)關，系(xi)統基于LINUX獨立系(xi)統，支(zhi)持海量協議庫和網(wang)址庫。這點就決(jue)定了硬件的(de)配置級別一定不是(shi)路(lu)由芯片可以滿足的(de)。

之前(qian)有用(yong)戶反(fan)映(ying)過(guo)一(yi)個挺困擾的(de)問題：就(jiu)是(shi)騰(teng)訊(xun)的(de)QQ經常會自動(dong)(dong)下載(zai)QQ電腦管家和QQ瀏覽器，占用(yong)大量的(de)帶寬資源，而(er)且給(gei)PC機(ji)的(de)管理帶來麻煩。如圖(tu)，你只要點擊“一(yi)鍵領取(qu)”，就(jiu)會自動(dong)(dong)下載(zai)并安(an)裝騰(teng)訊(xun)的(de)相關軟件。

本(ben)文中，我將介紹如何用(yong)WFilter ICF來禁止這些軟(ruan)件的自動下載(zai)安裝。

上網行為管理的部署方式主要有旁路、網關、網橋這三種部署方式。在之前的一篇博客“企業上網行為管理部署方案”中，我(wo)們(men)(men)已(yi)經簡單(dan)介紹了三(san)種(zhong)方案(an)的優缺點。那么在本文中，我(wo)們(men)(men)再側重介紹下“網橋”和“網關”兩種(zhong)模(mo)式的優缺點比(bi)較。

經常有用戶問到上網行為管理是軟件好還是硬件好，實際上硬件從本質上來說也是軟件，只不過是預裝好的系統。所以從功能上來說，硬件和軟件并沒有區別，差別主要在穩定性、兼容性和服務上。

本文將著重從穩定性、兼(jian)容性、服務上討論上網行為管理軟(ruan)件(jian)和硬件(jian)的區(qu)別。