企業為了滿足出差人員,在家人員的辦公需要,往往需要開通遠程辦公功能。使得員工可以通過互聯網連接到公司內網進行工作。在WFilter NGF中,“OpenVPN服務端“和“PPTP服務端”這兩個模塊都可以滿足遠程辦公的需要。相對而言,OpenVPN的配置復雜,但是安全性更高一些。
本例中,我將演示如何用WFilter NGF的OpenVPN服務端模塊來實現遠程辦公。
企業為了滿足出差人員,在家人員的辦公需要,往往需要開通遠程辦公功能。使得員工可以通過互聯網連接到公司內網進行工作。在WFilter NGF中,“OpenVPN服務端“和“PPTP服務端”這兩個模塊都可以滿足遠程辦公的需要。相對而言,OpenVPN的配置復雜,但是安全性更高一些。
本例中,我將演示如何用WFilter NGF的OpenVPN服務端模塊來實現遠程辦公。
企業微信是騰訊微信團隊為企業打造的專業辦公管理工具,現在很多企業用企業微信來進行辦公溝通。但是一些企業開通了微信后,卻發現員工會花大量時間用在個人微信聊天、朋友圈上面。所以,為了不影響工作效率,在使用企業微信的同時還需要禁止個人微信的使用。
本文將介紹如何用WSG上網行為管理網關來實現“允許企業微信的同時屏蔽個人微信”。
很多企業為了工作需要都申請了多WAN接入。而大部分的多WAN口設備在默認配置下都是直接負載均衡;以WSG上網行為管理網關為例,默認配置是這樣的:
運營商分流。電信網站的訪問會優先走電信線路,聯通站點優先走聯通線路。
負載均衡。根據wan口的帶寬大小進行負載均衡。
在企業的網絡內部有著很多重要的IT資源,比如:OA服務器、ERP服務器等,這些業務主機一旦停止工作或者被攻擊,會直接影響業務的正常運行,帶來重大損失。在有線網絡的情況下,安全性還是比較可靠的。而現階段絕大部分企業都提供了無線上網;客戶機只要知道了無線密碼,就可以接入企業的局域網,導致安全隱患。而關鍵的一點在于你的無線密碼并不安全:
aircrack等軟件可以對無線密碼進行暴力破解。
一旦有員工安裝了wifi鑰匙等軟件,你的無線就等于是公開的。
訪客網絡和辦公網絡分開的方式,并不能阻止訪客連接辦公網絡。(訪客可以直接詢問密碼,或者通過wifi鑰匙等軟件接入)
HTTPS(HTTP over SSL)由于其通訊協議的特殊性,域名信息和訪問的URL等都處于SSL加密保護下;所以大部分的路由器系統都無法對https網站的域名進行過濾和屏蔽。而諸如WFilter這樣的專業級上網行為管理產品,則可以對流量進行深度分析,并提取出https通訊中的域名信息,從而進行過濾屏蔽。
由于無線的便利性,越來越多的企業局域網采用無線辦公的方式。而因為無線網絡的特殊性,如果缺乏上網行為管理和流控手段,會導致無線緩慢、網絡不可用等情況。而且無線網絡更加容易產生廣播風暴。所以,在WiFi無線局域網中部署上網行為管理和流控是非常必要的。
本文中,我就將來介紹WiFi局域網的上網行為管理方案。
首先,由于無線路由器的穩定性不高,所以主路由不推薦用無線設備。可以用一臺有線路由器做網關,后面串接上網行為管理設備。或者直接用上網行為管理做網關。
推薦采用瘦AP的組網方式。通過AC控制器統一管理。
釘釘作為一個免費智能移動辦公平臺,受到很多公司的歡迎。但是對于網絡權限設置比較嚴格的局域網來說,如何開放釘釘一直是一個難題。之前釘小密給了個局域網需要白名單的一些IP段,參見: ,但是根據我們的測試,文中的IP段并不能覆蓋釘釘需要的IP范圍。而且在釘釘的官網已經找不到官方的相關文檔了。
為了放行釘釘,我們技術人員做了相關測試。本文,我就來介紹下在WSG上網行為管理網關中如何放行釘釘。釘釘的使用需要通過https訪問釘釘相關的網站,另外還有自己的通訊協議(端口443)。所以要放行釘釘,我們需要放行DNS、釘釘和TLS這三個協議。如下圖:
合理的IP地址分配是網絡安全和網絡管理的基礎,IP地址管理直接影響著企業員工的工作效率及企業的信息安全。
首先,應當以行政命令的方式規定IP地址管理的權限、流程,以及相應的懲罰手段。如以下這個例子:
廣播風暴和網絡環路,雖然兩者的原理不一樣,但是其物理表現卻比較相似:“交換機燈狂閃,同時內網丟包或者ping值變高。”作為一名網管,需要可以迅速判斷故障的原因,從而制定不同的解決方案。兩者的主要差別如下:
廣播風暴只在特定的條件下出現,所以廣播風暴是不持續的。而環路是持續存在的。
廣播風暴由局域網架構的缺陷導致,而網絡環路屬于網絡故障。
網絡環路對網絡的影響比較大,丟包和ping值都要比廣播風暴嚴重的多。
廣播風暴需要通過劃分VLAN來解決。網絡環路只需要拔掉環路設備或者網線即可。
有經驗的網管,還可以通過抓包來區別風暴和環路。如果你不會抓包分析,也可以總結故障出現的規律來進行判斷。下面我再介紹下WFilter里面的網絡健康度檢測插件是如何區分廣播風暴和環路的。
在微信需要多大帶寬?微信的最低帶寬要求 這篇文章中,我們測試了微信的最低帶寬要求。今天我們再來測試下手機QQ的最低帶寬要求。具體的測試步驟如下:
如下圖,不做任何限速,打開手機QQ帶寬占用只有幾KB;不過在發送文件時,帶寬占用上升到80KBps。
微信目前已經成為一個不可或缺的通訊工具。在帶寬有限的情況下,要保證微信的正常使用,究竟需要多大的帶寬呢?為了研究此問題,我們做了如下的測試。
如上圖所示,微信的初始化大概占用了50KBps的帶寬,而發送文字消息的帶寬占用則小于1kBps。
我們一般把WSG上網行為管理的使用分為三個步驟:安裝部署、基本配置、策略配置。
安裝部署:把設備安裝到網絡中,使網絡能正常工作。
基礎配置:DHCP和VLAN設置、防火墻策略、端口映射、分組設置等基本配置。
策略配置:上網行為的審計策略、過濾策略、查詢和報表等功能和配置。
在本文中,我將介紹WSG網關的安裝部署的具體步驟。用戶拿到設備后,按此步驟即可完成安裝部署工作,并且開通遠程管理訪問。使技術人員可以進行遠程協助配置。
來賓用戶、流動人員比較多的局域網,如果不對來賓上網進行管控,不但會占用企業帶寬資源,還會帶來安全隱患和政策風險。對于企業環境來說,一般推薦來賓和辦公網絡采用不同的無線SSID,分開進行管控。具體方案如下:
來賓和辦公網絡采用不同的無線SSID。
對來賓和辦公采用不同的限速和行為管理策略。
來賓和辦公網絡采用不同的VLAN,并且不允許來賓訪問公司內網。
不但要設置不同的無線密碼,而且需要進行IP-MAC綁定等策略,禁止來賓用戶接入到辦公網絡。
對于企業局域網來說,一個合理的IP地址分配是網絡安全和網絡管理的基礎,IP地址管理的好壞直接影響著企業員工的工作效率及企業的信息安全。
局域網的IP地址分配,需要考慮到如下方面:
服務器的IP地址段和辦公電腦的IP地址段要區分開。
手機、pad等移動設備需要自動獲取IP。
無線由于安全性比較低,一般需要用VLAN進行隔離。
每個網段的客戶機數量不宜過多,有線250以內,無線150以內比較合理。否則會引起網絡風暴。
下面是我總結的企業局域網IP地址分配方案,希望能對大家有幫助。
現在無線組網越來越普遍,但是不合理的組網方案,往往會導致無線接入緩慢、網絡卡的情況。根據我們的經驗和抓包分析,由于無線設備(包括AP、AC等)在通訊過程會更多的依賴廣播包,非常容易出現廣播風暴。無線網絡的穩定運行,請注意如下幾點:
首先要合理的進行AP布局,保證無線信號強度、并且避免無線信號的互相干擾。
合理的VLAN劃分。無線設備的廣播包比較多,非常容易產生廣播風暴。一個VLAN容納的無線設備要控制在200以內。
主路由網關的性能要強勁,并且設置上網行為管理策略和流控策略。
定期檢測廣播風暴等網絡問題
某企業由于網絡架設比較早,網絡設備和網絡結構已經不再適合當前的網絡需要。為了更好的實現網絡管理和信息安全的需要,提出了如下升級改造需求:
帶寬擴容,采用兩條寬帶接入。
內網需要劃分不同的VLAN,分為辦公、監控、生產幾大網段。
內網客戶機需要進行嚴格的IP-MAC綁定,只有綁定后的設備才可以接入。
全網上網行為審計記錄。
部署上網行為管理策略,建立上網秩序。
對于局域網而言,斷網基本上都是災難性的,領導、同事立刻唉聲占道、催個不停。作為一名網絡管理人員,不可避免經常會碰到斷網的情況。保持冷靜的頭腦,迅速的定位問題所在,可以說是一個網管必備的基本素養。
本文中,我將介紹幾條dos下的命令,掌握好這幾條命令,一分鐘內就可以定位斷網原因。
很多企業為了解決網速不夠用的問題,都升級了帶寬資源。比如50M升級到100M,或者干脆多拉幾根外線。但是,很多用戶發現,帶寬升級了但是網絡還是慢。
本文中,我整理了企業帶寬優化的三點要求。帶寬升級后,一定要注意這三點,才能真正的享受帶寬升級帶來的更好寬帶體驗。
隨著互聯網的飛速發展,對帶寬的要求也越來越高。一些辦公軟件動輒就需要幾個G,視頻會議、視頻播放等都需要穩定的帶寬資源保障;而且員工的辦公和娛樂需要也會占用了大量的帶寬。
這種情況下,不但需要對企業的帶寬進行升級,而且要對帶寬的使用進行更加合理的分配和管理;才可以有效的提高網速和優化帶寬的使用效率。本文中,我將列出我們在網絡升級中需要重點關注的幾點建議,從而真正的達到優化帶寬的目的。
由于企業業務的需要,很多企業都會申請專線接入。但是專線的費用比較高,如果用專線來提供辦公上網就會非常浪費。所以一般推薦“專線+家庭帶寬“的方式:
一根較小帶寬的專線接入(比如20M專線),用于提供業務相關的網絡服務。
一根較大帶寬的家庭帶寬,用于提供辦公上網。
不合法(私接)的DHCP服務,會使局域網其他客戶機獲取到錯誤的IP地址,從而導致上不了網。為了診斷此問題,WFilter的網絡健康度檢測插件的再次升級添加了"DHCP沖突檢測”的功能。具體步驟如下圖:
本文將介紹如何用WFilter NGF來實現短信認證網關,以及短信平臺的具體實現步驟。
WFilter NGF的短信發送通過調用Web API來實現,支持Web API接口的短信平臺很多(一些短信貓也可以支持Web API)。下文中,我們以阿里云的短信服務為例。首先需要創建AccessKey,如下圖:
ping命令可以說是網絡管理中最常用的一個命令行工具了,利用ping可以非常迅速的診斷出網絡問題。今天,我就來教大家如何用ping來檢測網絡問題。
當網絡緩慢,上不了網時,請按如下步驟來執行ping命令:
首先要先ping內網的網關地址,確保內網是暢通的。如下圖:
內網的丟包率應該為0,有線ping值一般在1ms以內,無線ping值1ms-20ms之間。如果存在丟包或者ping值很高,那么問題就在內網。需要排查內網網線、環路、交換機等設備問題。
我們在選擇網關設備的時候,經常會面臨選擇路由器還是專業網關(x86架構工控機)的問題。本文將從硬件角度來解釋這兩者的差別。
兩者的硬件架構都由CPU、存儲、內存(RAM)組成,但是配件的差別非常大。
這里說的硬件防火墻,就是專業防火墻,入侵檢測,主動防御,病毒防護,這些基本的以外,還有殺毒庫,針對病毒查殺。這樣的硬件防火墻一般過萬,甚至過大幾萬。什么樣的局域網環境才需要呢。毋庸置疑,經濟上得是一個寬裕的局域網。技術上以及必要性上呢。
其實就一個必要性,局域網里面有對外網發布的WEB服務,比如WEB服務器,郵件服務器等。這樣可以從互聯互直接訪問,容易遭遇黑客,攻擊,這樣的環境,不管大小,千萬別吝嗇,買一臺硬防,有力又有利。
但是如果只是普通局域網,沒有需要外部訪問的服務器 ,有的路由上甚至連做端口映射 外部也就訪問不到內部的服務器了
那么就沒有必要安裝硬件防火墻了。哪怕有ERP,有組網VPN,用不用專業硬件防火墻,技術上真的不重要,國內現在運營商已經把常見的80端口都禁止掉了,直接通過80端口連不了。而普通局域網要注重的則是內網安全,內網安全防護好了,外網自然也不會有任何問題。所謂安全,所謂防護,所謂上網行為管理,并不是局域網出了問題了,才來解決,而是平時上網建立良好的上網秩序,規范上網行為和內容,養成良好的上網行為習慣,網絡自然健康通暢。