“MAC地址認證”通過客戶機的MAC地址來對客戶端進行身份認證,只有通過認證的客戶端設備才可以訪問網絡以及服務器資源。網絡結構圖如下:
17
2019
09
10
2019
09
蘋果iphone如何開啟SSL監控,IOS怎樣安裝ca證書?
WFilter的“SSL監控”模塊,可以對https以及SSL加密的smtp/imap/pop3的內容進行解密從而記錄其內容。該SSL監控模塊,既可以對電腦進行管控,而且對手機一樣生效。但是要不影響客戶機的正常使用,首先需要在客戶機上安裝ca證書。電腦上安裝ca證書比較簡單,我們不再贅述。本文中,我將介紹如何在蘋果手機(iphone)上安裝SSL監控的ca證書,從而實現對iphone的SSL監控。
1. 開啟SSL監控
09
2019
09
公司網絡慢如何解決,怎樣診斷網絡卡的原因?
企業局域網由于網絡環境復雜;終端數量、設備數量都比較多;經常會出現網絡卡頓等故障。一旦網絡變慢時,面對復雜的網絡環境,網管技術人員需要迅速并且準確的診斷出問題所在,并且加以解決。本文中,我將盡量描述網絡變卡變慢的常見原因以及診斷方法。大體來說,網絡卡頓的原因有如下方面:
外網原因:運營商線路故障、帶寬不夠,路由器軟硬件故障等。
內網原因:內網的設備故障、病毒攻擊、網絡設置等原因。
所以在斷網、網絡卡頓時,第一步要判斷問題出在內網還是外網,然后再進行后續的診斷。
05
2019
09
企業局域網無線組網方案
無線網絡由于安全性比較低,企事業單位的無線組網需要考慮如下因素:
有線網段和無線網段互相隔離。
辦公無線和訪客無線也需要互相隔離。
每個網段的無線終端建議控制在150以內,避免廣播風暴。
員工內網要做接入認證或者設備綁定。
對訪客進行實名認證(可選)
一般采用這樣的網絡結構圖:
30
2019
08
WSG網橋部署的兩種配置方式。
WSG上網行為管理做透明網橋部署有很多優勢:
即插即用,不影響現有網絡。
不需要修改原有設備的配置(交換機、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使機器斷電死機也不會斷網。
30
2019
08
酒店無線WiFi實名認證方案
由于政策要求和網絡安全的需要,現在絕大部分的酒店無線WiFi都要求實名認證。只有實名認證過的設備才允許連接酒店的WiFi網絡,并且記錄和留存該終端的上網內容。
一般來說實名認證都采用短信認證的方式,由于手機號是已經經過實名認證的,記錄手機號就等于是實現了實名認證上網。網絡結構可以采用如下的部署方式,用一臺WSG上網行為管理做主路由(也可以做透明網橋部署)。
29
2019
08
上網行為管理如何添加網站白名單(包括https網站)?
WFilter上網行為管理,包括WFilter ICF和WFilter NGF(WSG網關),都可以對http和https的站點進行網站黑白名單控制。如圖:
作者:笨小驢 | 分類:網頁過濾方案 | 瀏覽:8484 | 評論:0
28
2019
08
無線WiFi怎樣實現實名認證?
不管是企業內網的私有WiFi,還是公共WiFi網絡;出于安全性需要以及相關政策法規的要求,都要對WiFi無線上網的用戶進行實名認證。本文中,我將結合WSG上網行為管理網關介紹如何實現無線WiFi的實名認證。
1. 微信連WiFi
騰訊從2014年推出的微信WiFi服務,可以用微信掃碼進行認證,從而記錄微信的openid。不過由于apple公司的接口調整,微信WiFi已經暫停服務。所以通過微信來進行實名認證已經不可行了。
27
2019
08
無線路由器怎樣改成AP模式?
二級路由器默認都啟用了網絡地址轉換,會把客戶機的IP地址和mac地址都轉換成路由器的IP和mac。這樣從上層的行為管理來看,只能看到路由器的IP地址。要區分二級路由下面的終端,必須把二級路由器改成AP模式(也就是無線交換機模式)。
27
2019
08
如何有效的管控外發文件?屏蔽USB和禁止通過網絡外發文件。
局域網的文件泄露,主要是通過usb拷貝以及網絡傳輸的方式。我們在企業外發文件管控方案總結一文中,已經介紹了多種管控外發文件的方案。在本文中,我將介紹利用WSG上網行為管理網關如何來有效的管控外發文件。
1. 首先要屏蔽電腦的usb存儲設備。
需要在windows電腦的組策略里面禁止配置,把“禁止安裝可移動設備“修改成”已啟用“即可。當然,管理員權限就不能給使用者啦,要不然再把這個策略改回去就不起作用了。
23
2019
08
局域網通過IP地址如何找到電腦的位置?
當防火墻檢測到某個IP存在病毒攻擊或者異常流量時,網管技術人員往往需要到電腦上面進行后續操作。而對于自動獲取IP的局域網來說,如何定位IP地址的電腦位置一直是一個技術難題。如果沒有好的工具,最笨的辦法就是一臺一臺電腦進行查看,通過比對IP地址和mac地址來定位。那么還有哪些聰明一些的辦法呢?
1. 在三層交換機上查看ARP表
有網管交換機時,可以在網管交換機上查看arp表找到該IP地址所在的端口,然后根據端口順藤摸瓜,從而定位電腦的物理位置。比如,在交換機上執行“disp arp”命令(不同型號的交換機命令不一樣),可以得到如下結果:
20
2019
08
上網行為管理如何應對mac地址克隆和IP盜用?
在部署了上網行為管理的局域網內,總會有人想各種各樣的辦法來突破上網管控。常見的方法有:
-
IP地址盜用。
-
MAC地址克隆。
首先可以考慮不開放管理員權限,或者采用域控的方式禁止客戶機自行修改網絡設置等辦法。其次也可以通過上網行為管理的管控策略來阻止這些行為。本文中,我來介紹下如何用WSG上網行為管理網關來應對IP地址盜用和MAC地址克隆。
19
2019
08
局域網IP限速怎么配置?限速多少比較合適?
由于視頻和下載可以輕易的占用大量帶寬,為了網絡的穩定運行,大部分局域網都會對客戶端進行一定的限速。本文中,我將介紹如何根據帶寬來做限速,限速設置多少比較合理?
1. 限速多少比較合理?
正常的辦公上網,每個終端至少需要2Mbit的帶寬才夠用;平均值如果低于2Mbit需要考慮增加接入帶寬。假設你有200Mbit的帶寬,有50個終端,那么平均下來每個終端可以分配到4Mbit;但是考慮到不是所有人都會在同時全速下載,可以給每個終端分配8-10Mbit的帶寬。如下圖:
16
2019
08
IP地址沖突怎么解決?
IP地址沖突一般是由于手動設置IP的原因,綜合來說有如下兩種可能性:
A電腦和B電腦都手工設置了同樣的IP地址。
A電腦自動獲取,B電腦手動設置了和A電腦一樣的IP地址。
出現IP地址沖突時,通過arp -a命令,可以看到沖突對方的MAC地址。如下圖:
15
2019
08
三層交換機怎樣設置MAC白名單?只允許指定的MAC地址上網。
在三層交換機環境下,由于三層交換機屏蔽了終端的實際mac地址,上層的上網行為管理在不開啟“MAC地址收集器”的情況下,是檢測不到終端的實際mac地址的。這樣也就不能實現mac地址黑白名單的功能。網絡結構如下圖:
13
2019
08
Web認證如何放行不同的操作系統?
在WFilter NGF(WSG上網行為管理網關)的”Web認證“配置中,可以基于IP范圍來配置要進行Web認證的客戶端。實際使用中,有些局域網電腦和手機無線終端都混雜在同一個網段,這種情況下,如果要只對電腦做認證,或者只對手機做認證,就不能通過IP范圍來實現了。需要修改默認的認證頁面,基于瀏覽器的useragent來獲取客戶端操作系統類型,并且判斷是否放行(無需認證直接放行)。
如下圖,點擊”編輯Web認證頁面”,然后點擊源代碼圖標。
13
2019
08
手機釘釘怎么掃碼進行Web認證?
在上網行為管理如何實現釘釘掃描二維碼進行Web認證登錄這篇文章中,我們介紹了如何用手機釘釘掃碼登錄電腦。電腦在上外網之前,需要用手機釘釘掃描二維碼才可以使用網絡,并且記錄該用戶賬號的上網內容。而在實際使用中,有些用戶還想對手機上外網進行用戶認證,從而可以識別到手機的員工姓名并記錄上網日志。
本文中,我將介紹如何用手機釘釘掃碼對自身手機進行Web認證。
在認證前,該手機是無法上外網的。大部分手機會自動彈出Web認證頁面(也可以手動在瀏覽器里面打開),如下圖:
08
2019
08
Web認證如何對接第三方認證平臺?
WSG上網行為管理網關(WFilter NGF)的Web認證功能非常強大,可以支持多種用戶名認證(本地用戶、郵箱認證、域認證、Radius認證等),還可以支持短信認證、微信認證、釘釘認證等第三方認證。不過在有些情況下,用戶還希望WSG可以對接第三方的Web認證界面,即通過其他的Web認證系統進行認證,而由WSG來實現上網管控和上網記錄。本例中,我將介紹如何用WSG來對接第三方Web認證平臺。
首先,開啟WSG的Web認證功能。
“Web認證”的需求是對需要管控的員工網段開啟認證,一些電腦不開啟認證。如圖:
1. 設置要管控的IP范圍
2. 設置一個合理的超時重新認證時間,1440就是每天都需要重新認證一次。
3. 領導的mac地址加到“例外的MAC地址”
05
2019
08
如何屏蔽QQ和微信的外發文件?
出于信息安全的考慮,很多企業不允許工作電腦外發文件,但是QQ和微信又是常見的辦公工具。所以“既允許QQ和微信聊天,同時又不允許外發文件”,一直是企業管理的一個難題。其實上網行為管理技術經過十幾年的發展,已經可以精確的識別出文件傳輸和普通聊天的協議特征。專業的上網行為管理產品,都可以單獨屏蔽QQ和微信傳文件。以WSG上網行為管理網關為例,在“行為管理”的“應用過濾”中,搜索QQ,可以看到20多個QQ相關的應用協議,包括QQ聊天、QQ發文件、QQ接收文件、QQ游戲等各種相關應用。如下圖:
12
2019
07
WSG上網行為管理如何屏蔽勒索病毒攻擊?
勒索病毒是一種新型電腦病毒。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。由于其巨大的破壞性,勒索病毒可以說是“談虎色變”。
11
2019
07
如何用網橋模式實現IPSec單臂VPN?
WSG上網行為管理(WFilter NGF)既可以做網關部署,也可以做網橋部署。在網橋部署模式下,WSG的IPSec VPN和OpenVPN一樣是可用的,可以實現單臂模式的VPN組網。網絡結構如下圖:
本文將結合WSG介紹如何實現IPSec VPN的單臂部署。
11
2019
07
如何用openvpn組建兩地虛擬局域網?
現在大部分虛擬局域網的組建都通過IPSec的方式,其實用openvpn來組網也是很不錯的方案。跟IPSec相比,openvpn的功能更加強大和靈活:
可以修改端口和通訊方式。
可以實現用戶名認證和證書認證兩種認證方式。
可以對客戶端分配IP,從而實現更加細致的防火墻權限控制。
本文將簡單介紹openvpn組網的一些簡單步驟,如果您要用openvpn實現遠程辦公撥入,請參考:如何用OpenVPN實現遠程辦公?
17
2019
06
WSG上網行為管理的路由部署模式介紹
WFilter NGF(WSG上網行為管理網關)支持網關和網橋兩種部署模式:
網關模式:WSG作為整個局域網的網關,提供NAT服務。
網橋模式:WSG作為透明網橋串接在局域網中。
在有些情況下,我們需要采用純路由模式(WSG只做路由轉接,不進行NAT轉換)。本例中,我將介紹如何用WSG來搭建路由模式的上網行為管理。
網絡結構如下圖:
具體配置步驟如下:
12
2019
06
如何禁止從https站點下載exe等格式的文件?
在WFilter NGF(WSG上網行為管理網關)的“網頁過濾”模塊中,我們可以設置”文件下載”的過濾規則;比如禁止exe可執行文件,或者壓縮文件的下載。如下圖:
24
2019
05
如何控制IPSec VPN的對端訪問權限?
IPSec VPN 技術在IP傳輸上通過加密隧道,在用公網傳送內部專網的內容的同時,保證內部數據的安全性,從而實現企業總部與各分支機構組建虛擬局域網的需要。IPSec組網的具體步驟,請參考:一次典型的IPSec VPN組網方案。很多情況下,我們還需要控制對端的訪問權限。在本文中,我將介紹WFilter NGF中的IPSec VPN訪問權限。
1. 防火墻規則的選項
IPSec隧道的配置中,”防火墻規則“有“自動”和“手動”兩個選項: