很多局域網需要向外網提供服務,比如ERP、OA系統,或者需要進行虛擬局域網組網等。而由于公網IP資源越來越緊張,大部分寬帶都不能獲取到公網IP;這些情況下,企業只能選擇運營商的企業專線。和普通的寬帶相比,企業專線有如下特點:
獨享帶寬,速度有保障。
可以申請固定公網IP。
不過專線的費用比較昂貴,如下圖:
很多局域網需要向外網提供服務,比如ERP、OA系統,或者需要進行虛擬局域網組網等。而由于公網IP資源越來越緊張,大部分寬帶都不能獲取到公網IP;這些情況下,企業只能選擇運營商的企業專線。和普通的寬帶相比,企業專線有如下特點:
獨享帶寬,速度有保障。
可以申請固定公網IP。
不過專線的費用比較昂貴,如下圖:
對于一些安全性要求比較高的局域網來說,有時候只允許客戶機訪問指定的網站,其他網絡行為一律禁止。這時候我們就需要用到“網站白名單”功能(只允許訪問下列網站)。具體的配置如下圖:
“只允許訪問下列網站”功能開啟后,客戶機只能訪問允許的站點。其他網頁一律訪問不了。
選擇應用對象和生效時間
企業微信,是騰訊微信團隊為企業打造的專業辦公管理工具。與微信一致的溝通體驗,豐富免費的OA應用,并與微信消息、小程序、微信支付等互通,助力企業高效辦公和管理。在“如何實現釘釘掃描二維碼進行Web認證登錄?”一文中,我們介紹了如何用釘釘掃碼認證上網。而一些局域網采用的是企業微信來做辦公管理。本文,我將結合WSG上網行為管理網關(WFilter NGF)中的“Web認證”功能,介紹如何利用企業微信的掃描二維碼功能來實現內網用戶的Web認證登錄。該功能有如下優勢:
直接用企業微信掃碼登錄,無需在WSG系統內創建用戶。
可以自動獲取并記錄企業微信的員工姓名。
可以基于企業微信員工姓名配置上網策略和統計。
一些配置的步驟和截圖如下:
釘釘(DingTalk)是阿里巴巴集團專為中國企業打造的免費溝通和協同的多端平臺。釘釘因中國企業而生,幫助中國企業通過系統化的解決方案(微應用),全方位提升中國企業溝通和協同效率。一些局域網為了信息安全和管理需要,需要用戶進行Web認證后才可以使用局域網,并且記錄該用戶賬號的上網內容。
本文,我將結合WSG上網行為管理網關(WFilter NGF)中的“Web認證”功能,介紹如何利用釘釘的掃描二維碼功能來實現內網用戶的Web認證登錄。該功能有如下優勢:
直接用釘釘掃碼登錄,無需在WSG系統內創建用戶。
可以自動獲取并記錄釘釘的員工姓名。
可以基于釘釘員工姓名配置上網策略和統計。
一些配置的步驟和截圖如下:
在《同運營商多條外線如何做負載均衡?》一文中,我們介紹了多條外線(同一個運營商)時如何進行負載均衡。在實際使用中,很多用戶的外線是不同運營商的(比如一條電信和一條移動)。對于大部分用戶來說,采用《同運營商多條外線如何做負載均衡?》中的方案,即可產生多線疊加的效果。但是不同運營商多條外線直接進行均衡并不是最優化的方案,主要在于DNS的原因:“假設某終端DNS查詢某域名時,獲取的是運營商A的IP;而在后續訪問的過程中,卻會被均衡到運營商B,這樣就不夠優化了。”解決的方案主要涉及到兩個技術:
運營商分流,根據目的IP來自動選擇運營商線路(即電信IP走電信線路,移動IP走移動線路)。
DNS重定向,配置DNS重定向規則來設置客戶機的默認DNS(也間接決定了客戶機的線路)。
WFilter NGF(WSG)已經內置了“運營商分流”策略,基于各大運營商的IP段來選擇各自的線路,如下圖,點擊狀態標志啟用這條“運營商分流”策略即可。
局域網出于帶寬的需要,經常會采用多外線接入的方式,一則可以帶寬疊加,提示帶寬;再則還可以互為備份,一旦一條線路中斷,另外一條線路可以繼續使用,保障網絡的正常運行。
本文將介紹如何用WFilter NGF(WSG)來實現同ISP多外線的負載均衡和線路檢測。
同運營商沒有線路DNS的問題,可以直接進行負載均衡,在“多線均衡”模塊里面,創建負載均衡的線路方案即可。如圖:
局域網內的私接路由器、私接隨身WiFi等行為,不但會讓其他客戶機繞開上網行為管理的管控,破壞局域網上網秩序;而且會干擾企業WiFi的無線信號。所以在企業局域網中,一般都是嚴禁私接路由器的。
在“WFilter是如何來屏蔽和禁用隨身wifi的?”一文中,我們介紹了如何使用“隨身WiFi和私接路由檢測插件”來檢測和懲罰局域網內的私接行為。該插件使用簡單方便,而且功能強大;一直倍受用戶喜愛。在最新版的WFilter NGF系統中(1.1.2019.03.25版本),我們已經把該插件集成到NGF的主系統中來(共享檢測模塊)。除了“隨身WiFi和私接路由檢測插件”的功能外,該共享檢測模塊還可以支持共享檢測的歷史記錄查詢,并且可以把檢測到的客戶機加入虛擬懲罰組來實現更多的管控策略。一些配置介紹如下圖:
企業局域網為了業務發展需要和辦公上網的需要,很多都申請了“專線+ADSL寬帶”的多線接入模式。這樣的模式有如下優點:
既滿足了固定公網IP(專線)的需要,又滿足了辦公上網的需要(ADSL寬帶)。
可以減少昂貴的專線投入。比如采用“10M的專線+100M的ADSL寬帶”這樣的結合模式,可以大大的減少專線的投入。
需要注意的是,不合理的負載均衡配置會浪費寶貴的專線資源,并且達不到良好的帶寬效果。本文中,我將結合WSG網關來介紹這種情況下,如何正確的配置策略路由和負載均衡。
首先,建議采用如下的配置原則:
不要把專線和ADSL做負載均衡。專線和ADSL的原理、運營商都不一樣,負載均衡會把兩者都拖累。
專線資源是寶貴的,應該專款專用,只提供給業務主機和服務器網段。
辦公上網全部走ADSL(把專線資源用來做辦公上網是極大的浪費)
以下是一些相關的配置截圖:
1. 添加“電信專線100%”的線路方案
《英魂之刃》 是由網龍公司開發,由騰訊公司獨家代理的全球首款微端類DOTA對戰網游。游戲基于DOTA游戲特色打造,采用網龍公司獨家研發的S3引擎,以濃郁的中國風、穿越古今的英雄亂斗以及快節奏的競技對戰,在短短兩年內一躍成為千萬活躍用戶級別的MOBA人氣新寵。
本文將介紹如何使用WFilter NGF(WSG網關)的“”功能來屏蔽局域網玩《英魂之刃》。
點擊“配置”->“系統“->“更新設置”里面的“立即檢查更新”,可以檢查更新并且把您的特征庫(網址庫和協議庫)升級到最新版本。如果不點擊,也會在每天的凌晨自動檢查更新。如下圖:
由于公網IP資源越來越緊張,現在很多運營商給撥號上網的用戶只分配內網IP地址,如下圖所示:
這樣的運營商內網IP是外網不可達的(即使用動態域名也不起作用)。而企業由于業務需要,比如虛擬局域網組網、辦公OA系統、ERP系統等,都需要有公網IP才可以實現。公網IP的解決,目前主要有三種方案:
申請固定IP專線。穩定且速度有保障,缺點是費用高。
云方案。把業務主機都搬到云上,直接通過云主機來訪問。費用比較低,缺點是云主機不能本地維護,且搬遷工作量都不小。
云主機+內網穿透方案。通過云主機做跳板來實現內網穿透,既可以復用現有的業務系統,又解決了公網IP的問題。第三種方案的成本是最低的,但是配置比較復雜。本文將對第三種方案做詳細介紹。
有些企業為了信息安全需要,需要對企業的郵件收發進行監管。比如:“只允許使用公司郵箱來發郵件,且記錄公司郵箱的收發內容,從而達到管理目的。”
本文中,我將介紹如何使用WFilter NGF的郵件過濾功能來對郵件的發件人進行白名單限制(只允許白名單中的郵箱發送郵件),有兩個方案:
禁止所有的網頁郵件和客戶端郵件。同時把公司郵件服務器的IP地址加到“例外設置”中。(需要公司有專門的郵件服務器)
如果公司沒有專門的郵件服務器,通過購買租用公開的郵件服務。要進行郵件過濾,則需要用到WFilter NGF中的郵件過濾模塊。
本文中,我將詳細介紹下第二種方式的具體步驟。
郵件收發協議,除了標準的SMTP/IMAP/POP3外,還有一些私有協議:比如Lotusnote, 網易閃電郵等。為了對郵件發件人進行過濾,需要禁止其他的私有郵件協議,只開放標準協議。如下圖:
在“應用過濾”模塊中,把這些郵件協議設置為允許:發送郵件(SMTP)、接收郵件(POP3)、接收郵件(IMAP)、SMTP發送帶附件的郵件、SMTP發送混合格式郵件、以及SSL加密的SMTP/POP3/IMAP。
在如何對來賓用戶進行上網行為管理中,我們介紹了基于VLAN或者DHCP范圍來區分來訪人員和普通辦公人員。在本文中,我將介紹另外一種較典型的方式:“對辦公人員進行IP-MAC綁定;并要求來訪人員Web認證。”
首先需要在IP-MAC綁定中錄入辦公人員的IP和MAC地址(略)。然后再進行下述配置:
IP-MAC綁定后,辦公電腦DHCP獲取的都是綁定的IP地址。為了區分辦公電腦和來訪人員的IP地址,我們首先需要設置DHCP的范圍和辦公電腦綁定的IP范圍區分開。
蘋果(IOS)、以及一些新的andriod和windows系統,在連接網絡時,會自動檢測網絡是否連通以及是否存在認證頁面(Captive Web Portal),一旦發現網絡需要認證,操作系統會自動彈出認證頁面供用戶進行認證。這個功能最早是在IOS上實現的,所以一些老版本的安卓系統或者windows系統并不會自動彈出認證頁面。
WFilter NGF中的“Web認證”完全按照Web Portal認證的標準來實現,在WFilter NGF中開啟”Web認證“后,也會存在一部分系統不能自動彈出認證頁面的情況。一般有如下原因:
客戶機操作系統比較老舊。安卓4.0和windows 8.0之前的版本都不支持自動彈出。
客戶機的瀏覽器問題導致不能自動打開瀏覽器。
本文中,我將結合WSG的相關功能來介紹如何解決此問題。一般而言有三種辦法,具體描述如下:
林子大了什么鳥都有,局域網內總有一些不自覺的員工違反公司條例,占用大量帶寬進行下載視頻之類的活動。碰到這樣的情況,網管技術人員會很惱火。針對這樣的情況,WFilter NGF(WSG網關)里面的“懲罰組”功能,可以臨時的設置懲罰策略進行上網限制和流控。
給懲罰組定義一個比較嚴格的限速,并且把懲罰組的策略拖動到限速策略的第一行。如下圖:
現在很多下載站都優先推廣高速下載器下載,一不小心就會下載一個未知內容的xxxx@xxxx.exe這樣的文件。給局域網的安全帶來很大的隱患。如圖:
在本文中,我將介紹如何用WFilter ICF(超級嗅探狗)來禁止高速下載器的下載。
在阿里云短信認證網關的具體實現這篇文章中,我們介紹了如何使用阿里云的php sdk來實現短信認證功能。在實際使用中,有一些用戶不具備開發sdk的技術能力。所以在最新版的WFilter NGF系統中,我們集成了阿里云的SDK模塊。用戶無需搭建SDK的web服務等環境,即可實現阿里云短信認證的功能。
本文中,我將結合阿里云短信平臺來介紹WFilter NGF的短信認證功能。
首先要創建AccessKey
根據《中華人民共和國網絡安全法》(第十條、第二十一條、第二十四條)、《中華人民共和國反恐怖主義法》(第十九條、第二十一條)、《計算機信息網絡國際聯網安全保護管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯網安全保護技術措施規定》(第七條、第八條、第十一條)等相關法律規定,公共無線上網場所應當落實相關網絡安全保護技術措施。而從2018年11月1日開始正式施行的《公安機關互聯網安全監督檢查規定》(公安部令第151號),是網絡安全執法檢查工作與《網絡安全法》的深度結合,對執法過程進行了詳細的規定,使得監督檢查工作做到依法檢查、依法處置。簡單的說,有兩條需要值得我們重點關注的地方:
1. 提供WiFi上網服務的公共場所,必須落實上網實名認證。
2. 提供上網服務的公共場所,必須至少保存六十天的上網記錄備份。
自從2014年騰訊推出“微信連Wi-Fi”功能以來,“微信WiFi”一度成為商業公眾號的吸粉利器。手機連接WiFi即可自動打開公眾號,或者掃描二維碼打開公眾號。既滿足了客戶WiFi上網,又可以滿足商家漲粉的需要。
在本文中,我將介紹如何在RouterOS和WSG上網行為管理網關之間使用openvpn組建site-to-site VPN。網絡拓撲圖如下:
本例中,我們把WSG作為openvpn的服務端,RouterOS作為openvpn的客戶端。反過來的配置也基本類似。
在本文中,我將介紹如何在RouterOS和WSG上網行為管理網關之間創建IPSec隧道。網絡拓撲圖如下:
本例中,我們把WSG作為IPSec的服務端,RouterOS作為IPSec的客戶端。反過來的配置也基本類似。
眾所周知,SSL加密的通訊數據,比如https,pops, imaps, smtps,由于在通訊過程中進行非對稱加密,其數據是密文傳輸的;導致網絡監控不能直接監控到其內容,也無法對內容中的信息進行深度過濾。作為專業的上網行為管理系統,WFilter NGF在最新版本中,新增了“SSL監控模塊”。該SSL監控模塊,可以充當SSL的中間人進行證書攔截,從而解析出SSL加密的數據內容。利用該模塊,可以實現如下內容:
記錄https網站的頁面內容、發帖內容。
對https網站的訪問進行深度過濾,比如禁止https網站的下載文件格式、禁止在https網頁上傳附件等。
記錄pops, imaps, smtps的郵件內容。
對pops, imaps, smtps的郵件進行深度過濾,比如設置郵件發送接收黑白名單,禁止發送附件等等。
由于公網IP地址不夠用,一些網絡運營商只給撥號用戶提供二級IP地址。換句話說,你的網關獲取到的只是一個內網IP地址,在公網上是不可達的。這個事實,會給撥號上網的企業帶來如下問題:
無法實現依賴端口映射的業務功能。
無法實現直接VPN組網。
在本文中,我將介紹一種通過云主機來進行中轉的VPN組網方式。你只需要購買一臺有固定IP地址的云主機,即可實現多地VPN組網。既節省了專線的費用,而且云主機還可以用來搭建Web服務或者其他服務。網絡拓撲圖如下:
WFilter NGF的“運營管理”模塊,集成了用戶管理、實時帶寬限制、累計流量限制、用戶Portal通知等功能。適合酒店、ISP等進行帶寬的運營管控。在酒店網絡管理、上網行為管理方案和小區寬帶運營商的網絡管理這兩篇教程中,我們介紹了“運營管理”的基本功能。
還有一點要補充的,就是對于超流量用戶的策略管控。如下圖,我們增加了一個“累計帶寬”策略,一旦超流量后,就會自動把用戶加到“限制上網組“。
在WSG上網行為管理網關的初步設置詳細教程中,我們介紹了WSG上網行為管理網關的初步設置,該文檔中,我們采用了網關部署的方式。在實際使用中,網橋部署方式也極為常見;用網橋的方式來部署WSG上網行為管理,是完全透明部署,不需要修改現有的網絡參數,也不需要更改路由器和交換機的配置。網絡拓撲圖如下:
網橋部署有如下優點:
不需要修改現有的網絡設置。
無需斷網,即插即用。
功能一樣強大:上網行為記錄、行為管理、流控都可以實現。
硬件bypass(要看具體型號),即使網橋設備掉電,也可以保證不斷網。
首先需要給WSG設備分配一個靜態IP地址。該IP用于遠程訪問WSG設備,進行Web認證等遠程訪問操作。需要注意如下幾點:
對人員流動比較頻繁的局域網來說,首要的一個問題就是要進行網絡的準入認證,記錄用戶的身份信息和上網日志。從而使網絡行為有據可查,也能滿足職能部門的督察需要。WFilter NGF中的幾種認證機制,優缺點比較如下:
用戶名密碼認證。需要維護用戶名密碼,適合人員比較固定的網絡。
微信WiFi認證。微信WiFi的流程是打開公眾號即可上網,并且記錄微信的openid。適合在人員流動大的網絡環境中做營銷推廣。
手機短信認證。通過手機接收驗證碼來上網,記錄手機號和上網記錄。適合人員流動比較大的網絡環境留存身份信息和上網審計記錄。
本文中, 我將結合一個實際例子來介紹WFilter NGF(WSG網關)的短信認證功能。