WSG上網行為管理的“IP-MAC綁定”功能非常強大,可以實現IP-MAC綁定、ARP綁定、分配靜態IP等功能。但是配置IP-MAC綁定需要預先收集mac地址并且分配IP,還是有一定的工作量的。在本文中,我將介紹基于用戶認證的IP-MAC綁定功能,其實現原理是:“用戶一旦認證成功就會自動配置IP-MAC綁定”,這樣不但實現了用戶認證,而且固定了IP和mac地址;可以說是IP-MAC綁定的一個有效功能補充。具體的步驟如下:
13
2023
04
13
2023
04
如何搭建WSG數據中心管理系統來實現數據的集中存儲管理?
當你有多臺WSG時,你可能會想把上網日志和統計數據集中保存和管理。集中保存可以保存更長日期的歷史數據,也更加便于管理。本文中,我將介紹如何搭建WSG數據中心管理系統來實現數據的集中存儲管理。
1. WSG數據中心的搭建
WSG數據中心安裝在一臺windows電腦上,該系統的搭建需要安裝以下產品:
SQL Server數據庫,所有的日志數據都會被導入到SQL Server數據庫中。
FTP服務器,用于提供FTP上傳服務。
WFilterDC(WFilter數據中心管理系統),該系統可以導入數據并且提供查詢和統計等功能。
07
2023
02
企業網絡安全解決方案需要關注哪些方面?
企業網絡信息安全問題日益突出,為了加強企業內部的網絡安全建設,網絡管理技術人員應當從如下幾個方面來設計網絡安全解決方案:
1. 合理的制度和管理
首先需要有完善的網絡安全管理制度,根據企業的實際工作需要制定符合公司實際情況的管理制度和措施來保證網絡的正常運行和網絡的安全運行,并且配備專業的技術人員負責管理維護內網的計算機和網絡設備。
06
2023
02
企業應該如何保障公司網絡安全?
越來越多的企事業單位開始重視信息安全,企業的技術資料、客戶信息等一旦發生信息泄露,會給企業帶來不可估計的損失。即使是網絡環境比較簡單的中小企業,也一樣會受到網絡安全的威脅。如果不注重網絡安全,往往會導致企業的重大損失。本文中,我將從網絡安全的角度,來論述如何保障公司內網的網絡信息安全。主要涉及到如下四點:
合理的網絡架構
了解內網的終端
管控到外網的訪問
管控來自外網的訪問
18
2023
01
企業如何進行上網行為管理?
為了保障網絡安全,提高員工工作效率,企業有必要部署上網行為管理。上網行為管理可對企業內部員工的上網行為進行全方位有效管理,保護Web訪問安全,降低互聯網使用風險,避免機密信息泄露,提升工作效率,限制下載和視頻P等嚴重消耗帶寬的應用,保障企業核心業務帶寬。
17
2023
01
WiFi短信認證方案,局域網WiFi短信實名認證需要什么設備?
根據《中華人民共和國網絡安全法》(第十條、第二十一條、第二十四條)、《中華人民共和國反恐怖主義法》(第十九條、第二十一條)、《計算機信息網絡國際聯網安全保護管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯網安全保護技術措施規定》(第七條、第八條、第十一條)等相關法律規定:
1. 提供WiFi上網服務的公共場所,必須落實上網實名認證。
2. 提供上網服務的公共場所,必須至少保存六十天的上網記錄備份。
短信實名認證是目前最穩定、最普遍的實名認證方案。對于絕大部分WiFi網絡而言,只需要在網絡出口處部署一臺WSG上網行為管理設備,就可以同時實現短信認證和上網記錄的功能,滿足網絡安全法的安全要求。WSG上網行為管理的WiFi短信認證方案,具備如下優勢:
一臺設備就可以滿足認證+審計+安全的功能需求。
對內網的網絡設備沒有要求,不需要更改現有的無線方案。
透明部署、即插即用。
網絡拓撲圖如下:
15
2022
12
如何追蹤查找局域網內中了木馬病毒的電腦?
局域網內電腦中了木馬病毒,會有帶來下述壞處:
感染內網其他電腦。
大量攻擊數據的存在,使得網絡緩慢,被攻擊的電腦運行緩慢。
發現內網電腦中毒后,一般都會采取重新安裝系統,或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦,然后才可以進行病毒查殺。有些殺毒軟件或者防火墻可以檢測到內網的攻擊源,本文中,我將介紹如何用WSG上網行為管理的“木馬檢測”功能來進行檢測。WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊,如下圖:
22
2022
09
如何屏蔽QQ小程序和微信小程序中的游戲?
WSG的應用特征庫已經包含了“QQ小程序”和“微信小程序”這兩個應用特征,只要把對應的應用設置成“禁止”即可屏蔽所有的小程序。但是在實際使用過程中,有些用戶只想屏蔽游戲類的小程序,同時允許其他的小程序功能。本文,我將結合管唄上網行為管理,來演示如何實現該需求。
方案一:直接屏蔽“QQ小程序”和“微信小程序”
在“上網策略”的“APP”中,搜索小程序,把QQ小程序和微信小程序設置成“禁止”。這樣的效果是直接把所有的小程序都禁用掉。如下圖:
05
2022
09
如何遠程開啟公司電腦、遠程喚醒辦公電腦?
WFilter的擴展插件系統有一系列實用的擴展插件。本文中,我將介紹插件中的“遠程喚醒”功能,該功能可以給指定的電腦發送WOL(Wake on LAN)數據包,從而實現遠程喚醒和遠程開機。
具體步驟如下:
1. 搜索IP或者MAC地址
輸入IP地址、MAC地址、機器名備注等信息,可以查詢出終端列表。如下圖:
01
2022
08
WSG如何配置靜態IPv6地址?
在“WSG撥號上網如何配置IPv6地址?”一文中,我們介紹了如何在撥號上網的情況下開啟IPv6,如文中所述撥號上網時IPv6地址主要都是通過自動獲取來實現的。對于靜態固定IPv6地址來說,配置方式就不一樣了。你需要合理的劃分自己的網段。
01
2022
08
WSG撥號上網如何配置IPv6地址?
IPv6不僅能解決網絡地址資源數量的問題,而且也解決了多種接入設備連入互聯網的障礙。本文中,我將介紹WSG上網行為管理在撥號上網時如何啟用和配置IPv6地址。
1. 首先在外網口開啟IPv6
配置外網口時,需要在外網口啟用IPv6。
28
2022
07
防火墻怎樣做雙機熱備?
在防火墻、上網行為管理如何實現雙機熱備一文中,我們介紹了如何用兩條外線來實現網絡雙機熱備。在有些情況下,一些用戶還需要對同一條線路做雙機熱備。準確的說,外線只有一條,但是要確保防火墻/上網行為管理設備是可以實現熱備的。這種情況下,和防火墻、上網行為管理如何實現雙機熱備一文不同的是,我們需要同時在“內網口”和“外網口”上都開啟虛擬IP。這樣的效果就是:內網口和外網口都工作虛擬IP上,一旦主設備故障,可以迅速切換到備份設備上去。
26
2022
07
兩條外線如何進行線路備份?
多條外線時,我們一般都會配置線路負載均衡或者線路分流。線路均衡負載的配置,請參考:同運營商多條外線如何做負載均衡? 有時候用戶只希望單純的實現一個線路備份的功能,意思就是正常只用一條外線,另外一條外線只在主線路故障時才啟用。本文我就來介紹一下如何用WSG網關來實現兩條線路自動主備切換。
25
2022
07
旁路組網時如何配置靜態路由規則?
笨驢SD-WAN盒子可以非常方便的實現多地組網,無需修改現有網絡結構,無需替換現有的網絡設備,只要在兩地通過旁路方式分別接一臺SDWAN盒子即可組建虛擬局域網。網絡結構如下圖:
25
2022
07
笨驢SD-WAN盒子的首次安裝。
本文將介紹笨驢SD-WAN盒子的首次安裝步驟。
1. 接線方式
如圖所示,SD-WAN盒子這款硬件有如下配置:
一個以太網網口,默認自動獲取IP。
自帶wifi(SID: wfilter-sdwan,無線網段是192.168.120.0/24)
25
2022
07
遠程辦公怎樣連接公司網絡?
隨著疫情反反復復,主動或被動采取遠程辦公的公司越來越多。企業網絡除了滿足日常的局域網組網,還需要可以滿足員工在外、在家時可以隨時隨地接入到企業內網。傳統的做法一般需要企業申請帶固定IP的企業專線,通過該固定IP提供遠程撥入服務。而由于專線方案價格高,很多企業承受不了。在本文中,我將介紹沒有公網IP時如何通過SD-WAN的方案來實現遠程辦公撥入。網絡結構圖如下:
14
2022
07
防火墻、上網行為管理如何實現雙機熱備?
為了保障網絡的100%暢通,有些情況下需要用兩臺WSG設備來實現雙機熱備,一旦主服務器故障,幾秒鐘網絡就會切換到備份機上,從而實現保證流量業務不中斷,主備機無縫切換。在本文中,我將介紹如何用兩臺WSG上網行為管理來實現雙機熱備。
09
2022
05
怎樣禁止局域網內未加入域的電腦上網?
利用WSG的用戶認證和行為管理策略,可以對域用戶、非域用戶配置不同的上網策略。比如,你可以默認禁止所有的終端上網,當電腦加入域后,則可以根據賬號、OU等放行具體的訪問內容。本文中,我將介紹如何開啟域認證,并且屏蔽非域用戶上網。
29
2022
04
如何定位局域網中的風險主機?檢測到網內有風險主機怎么辦?
主管部門發出的安全風險報告,一般只能定位到局域網的公網IP。網管技術人員要處理解決該安全事件,還需要定位到具體的終端電腦。這個定位工作非常考驗網管的技術,沒有對應的技術儲備,加上沒有合適的工具的話,你就只能一臺電腦一臺電腦的殺毒了。
在如何檢測局域網內感染了木馬病毒的電腦?一文中,我們介紹了如何通過WSG上網行為管理網關的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說,開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進行查毒殺毒就可以了。有些情況下,由于特征庫版本不一致,或者檢測技術不一樣,也可能存在并沒有檢測到的情況。這時候,我們還可以通過自定義規則的方式,來擴大檢測的內容。在本文中,我將介紹如何自定義檢測規則。
08
2022
04
沒有公網IP如何實現異地組網?企業組建虛擬局域網是否一定要公網IP?
傳統的異地組網方式要求企業有帶固定公網IP的專線才可以實現;由于IPv4資源的短缺,運營商專線價格高企,大部分企業無法承擔高額的專線費用。為解決此問題,各大網絡廠商各顯神通,研發出了一系列的解決方案。本文中,我將介紹如何利用“SD-WAN技術”來實現沒有公網IP時的異地組網互聯。和傳統的VPN相比,SD-WAN有如下優勢:
自動尋址,無需公網IP。
點對點加密傳輸,無需通過服務器轉發,傳輸安全性高。
多平臺支持。有windows,安卓客戶端。
既能實現多地組網,又可以實現遠程辦公撥入。
07
2022
04
沒有公網IP時如何實現遠程辦公撥入?
隨著互聯網、數字化的迅速發展,遠程辦公、移動辦公、居家辦公已經是企業必備的網絡服務。企業網絡除了滿足日常的局域網組網,還需要可以滿足員工在外、在家時可以隨時隨地接入到企業內網。傳統的做法,一般有如下兩種:
1). 企業申請帶固定IP的企業專線,通過該固定IP提供遠程撥入服務。
2). 在路由器上綁定動態域名,通過動態域名來訪問。
近年以來,由于IPv4資源的短缺,運營商改為只分配內網的IPv4地址,導致動態域名這個方案已經不可行了。而專線方案價格高企,很多企業承受不了。
18
2022
03
如何利用WebVPN訪問網內的TCP服務?
在如何利用Web VPN來保護內網信息安全一文中,我們介紹了如何用WebVPN來訪問內網的Web服務器。WebVPN可以給內網服務器添加一層認證保護,只有認證過的用戶才可以訪問內網資源,從而有效的保護了內網數據的安全性。對于Web服務器來說,WebVPN是通過子域名的方式,每個web服務都需要對應一個不同的二級域名。在WFilter NGF的2.0版本中,我們給WebVPN添加了轉發到“TCP服務器”的功能,使WebVPN用戶可以在認證后訪問到指定的TCP服務器。以下是Web方式和TCP方式的差別和優缺點分析:
Web方式
-
只能轉發到指定的Web服務器。
-
每個Web服務器都必須對應一個二級子域名。
-
可以對Web站點的內容進行替換。
TCP方式
-
可以轉發到任意的TCP服務。比如內網的ssh,rdp等,也包括web服務。
-
每個TCP服務必須對應一個本地端口。
-
外網用戶必須經過認證才可以訪問TCP端口。
-
不能對內容進行修改。
01
2022
03
WSG怎么實現鏈路聚合和端口聚合?
鏈路聚合和端口聚合是兩個概念:
1). 鏈路聚合是指多條外線的情況下把多條外線聚合使用。該功能可以通過WSG的“多線均衡”模塊來實現。
2). 端口聚合是指在WSG上接多個內網交換機端口,從而提升內網的上聯帶寬。
21
2022
02
如何檢測局域網中的挖礦軟件和定位網絡中的挖礦電腦?
挖礦軟件會占用電腦的大量運算資源和電力資源,而且會引起主管部門的關注。局域網內有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情,對成百上千臺電腦一臺一臺的進行排查簡直就和大海撈針一樣,需要耗費大量的時間和人力。所以很多網管人員面對上級部門發來的整改函一籌莫展。
因為局域網出口做了NAT網絡地址轉換,上級部門只能檢測到公司的公網IP,所以只能靠公司內部的網管人員來排查具體的終端了。最笨的辦法就是一臺電腦一臺電腦的檢查,通過檢查程序列表和任務管理器來找挖礦程序。
本文中,我將介紹如何用WSG上網行為管理中的“入侵防御”功能來檢查挖礦電腦。因為WSG上網行為管理是部署在局域網內部的,所以可以檢測到本地挖礦電腦的IP地址和MAC地址,從而準確的定位到具體電腦。
16
2022
02
如何用SD-WAN給客戶提供遠程網管服務?
網管在做遠程技術支持的時候,需要連接到客戶的內網或者路由器。對于有公網IP的網絡,可以直接通過公網IP或者動態域名去訪問。由于現在運營商很多都只給內網IP,使得遠程技術支持必須要做內網穿透才可以。所以很多網管在做網絡維護的時候,還需要給用戶安裝FRP或者NPS的內網穿透服務,增加了維護的成本和復雜性。
在本文中,我將介紹如何通過SD-WAN的方式來給客戶提供遠程網管服務。SD-WAN和其他方式相比,可以自動尋址穿透,無需公網IP,也無需云主機轉發。具體步驟如下: