WSG上网行为管理网关是基于WFilter NGF的上网行为管理硬件网关,上网认证系统、入侵防御系统和防火墙。该设备性能强劲,功能丰富,有着很多特色功能,包括如下几个方面:
1. 硬件特色
多个千兆万兆端口(不同型号有差异)
WAN/LAN可配置
采用x86架构的高性能CPU,性能远超路由器
WSG上网行为管理网关是基于WFilter NGF的上网行为管理硬件网关,上网认证系统、入侵防御系统和防火墙。该设备性能强劲,功能丰富,有着很多特色功能,包括如下几个方面:
多个千兆万兆端口(不同型号有差异)
WAN/LAN可配置
采用x86架构的高性能CPU,性能远超路由器
对局域网进行漏洞扫描,可以提前发现内网的安全漏洞,比如弱密码、系统漏洞、未授权访问等问题;及时修复这些问题,可以有效地避免黑客攻击等安全事件的发生,保护企业或组织的信息资产安全。在本例中,我将结合WSG上网行为管理的“漏洞扫描”功能,介绍如何对局域网电脑进行漏洞扫描,以及相应的整改操作。
在“漏洞扫描”模块中新增扫描任务,输入扫描的目标网段,指定任务运行的时间,保存配置。
WSG自带的openvpn服务端集成了openvpn服务,可以让外网终端拨入到公司内部局域网。WSG的openvpn服务端采用了ca证书和用户名密码认证双重认证,安全性和穿透性都很高。下面是具体的步骤介绍:
在“VPN-openvpn服务端”中开启openvpn服务,选择用户名认证。推送路由里面配置的是允许外网访问的本地局域网网段,如果允许外网终端通过公司线路访问外网也可以在这里配置允许访问的外网网段。
有时候不同运营商之间的GRE协议是不通的,会导致PPTP连接不上。而L2TP工作在UDP 1701端口,和PPTP相比穿透性更强,而PPTP需要开通TCP 1723和GRE协议才可以。
本例中,我将介绍WSG上网行为管理的L2TP的用法。如下图:
VPN类型选择L2TP
有些局域网出于安全需要,需要进行互联网接入备案。互联网接入备案,也就是网络准入的。但是要满足网监部门的要求,还需要关注以下功能:
能否进行网络准入认证?
能否记录上网行为、上网行为审计?
能否提供网络安全防护功能?
WSG上网行为管理有着强大的报表系统,可以实现对于网站访问、流量、工作效率、网络访问趋势等一系列的统计功能。在本文中,我将以每日流量统计为例,配置一个自动发送的流量统计报表。
在“查询统计”-“统计报表”的报表列表中,点击“新增”。
WSG的入侵防御和木马检测模块基于snort特征库,可以检测和阻止各类网络攻击,这两个模块会对网络中的数据通信进行检测还原,匹配其中的木马特征,一旦匹配到特征时就触发告警和阻断。
WSG上网行为管理通过安装在网络出口处,可以对局域网内终端的上网行为进行审计记录,从而保障企事业单位的信息安全,提供一年以上的上网审计记录,使上网行为有据可查。那么,WSG上网行为管理可以审计哪些内容呢?本文将为您作详细介绍。
WSG上网行为审计系统一般部署在网络出口处即可对全网进行审计记录,既可作为网络的主路由器,也可以做透明网桥串接在路由器和交换机之间。网络拓扑图如下:
一些企事业单位为了信息安全的目的,需要在允许终端访问外网的同时屏蔽一切外发行为,即只能浏览和下载但是不允许外发和上传。这个功能是比较专业的功能,需要专业的上网行为管理产品才可以实现。以WSG上网行为管理为例,WSG上网行为管理中有个“智能过滤”功能,该功能会检测所有网络连接并且进行统计,一旦发现上传的数据量超过设置的阈值,就会禁止这个连接从而屏蔽上传行为。如下图所示:
甲方有些业务系统出于安全需要,会绑定登录的IP地址只允许总公司的IP访问。这种情况下,分公司如果想要访问该业务系统,也必须走总公司的宽带才可以。在如何实现分公司访问指定地址的时候走总部流量一文中,我们介绍了通过PPTP来实现分公司走总公司线路的解决方案。本文中,我将介绍Openvpn的实现方案,openvpn不需要GRE协议,穿透性和安全性都比PPTP要强大。以下是具体的配置步骤:
在总部的WSG上面,需要开启OpenVPN服务端,选择用户名认证,推送路由里面既要推送总部的内网网段,也要推送甲方系统的IP地址。如下图:
网络渗透攻击会严重威胁到企业的网络安全和数据安全。攻击者会有针对性地对某个目标网络进行攻击,以获取其内部的商业资料,进行网络破坏等。一旦其获取了目标网络中网站服务器的权限,还会利用此台服务器,继续入侵目标网络,获取整个网络中所有主机的权限。为了实现渗透攻击,攻击者采用的攻击方式绝不仅此于一种简单的Web脚本漏洞攻击。攻击者会综合运用远程溢出、木马攻击、密码破解、嗅探、ARP欺骗等多种攻击方式,逐步控制网络。
防御网络渗透攻击,主要从如下方面入手:
采用安全的网络架构,杜绝未知接入。
部署网络安全设备,精确识别和抵御攻击行为。
配置策略阻止未知来源的网络连接。
为了网络安全的需要,很多企事业单位都在局域网内部署了上网认证系统。但是怎样来选择一套适合自己的上网认证系统呢?我建议从以下方面来考虑:
可选择的多种认证手段。需要和对内部员工、来访人员提供不同的认证手段。
认证方式的选择。如果是企业内部员工认证,建议用户名密码认证。如果是流动人员或者访客,建议使用短信认证(记录手机号)
可以和认证集成的上网审计系统。做了认证但是不记录上网日志是没有意义的。必须要部署和认证系统集成的上网审计系统,能把上网记录和认证的用户名关联到一起,做到有据可查。这才是认证的意义所在。
上网认证是网络安全的基础,只有认证后的终端才允许接入。对于企事业的局域网来说,比较常见的网络认证方案包括802.1X、Web Portal认证,还有基于企业微信、钉钉等第三方的app认证。由于802.1X的认证方式需要支持802.1X的交换机设备,且配置比较复杂,对于大部分用户来说并不适用。本文中,我将介绍利用WSG上网行为管理网关的Web Portal认证、第三方认证、访客认证等功能。
WSG的访客认证主要包括三种认证方式:
短信认证;通过短信平台发送短信来验证用户手机号,从而实现实名认证的需要。
微信小程序认证;终端需要在微信小程序中授权获取手机号,从而记录手机号实名上网。
二维码认证;终端需要把二维码提供给审核人员,审核人员人工审核后上网。
WSG的短信认证可以对网络内部终端进行实名上网认证,短信认证的配置截图如下:
企业在规划网络架构时,一般都会区分员工网络和访客网络,并且实现不同的上网认证方式,比如员工采用用户名密码认证,访客采用短信实名认证。但是有些网络由于设计缺陷,不区分内部员工和访客,为了实现上网认证,需要对同一个网段同时启用短信认证和用户名认证。本文中,我将介绍如何同时启用短信认证和用户名认证。
通过用上网行为管理限制电脑的网络访问,管控终端可以访问的外网站点,可以实现只允许终端使用指定的网络软件。请注意,网络管控只能管控网络软件,并不能限制单机软件。
本文中,我将以WSG上网行为管理为例,使终端电脑只能使用“虚幻引擎”这个软件。
用WSG上网行为管理很容易就可以屏蔽一台网络终端访问外网,本文中,我将演示如何用WSG上网行为管理来配置策略禁止一台电脑访问外网。
在“模块”-“行为管理”-“应用过滤”中新增策略,选择“增加一个全新的配置”。
“公司办公网,想要实现电脑可以登陆微信,但其他网站均不允许打开。目的是允许办公人员在电脑上使用微信,但是不允许他们浏览网页和其他与网络有关的内容。”这样的需求,我们可以通过在局域网内网桥部署一台WSG上网管理软件来实现,网络结构如下:
现在越来越多的企业开始关注网络安全,但是办公网络安全现状还不容乐观。首先,领导层和员工的安全意识不高。一些员工在密码设置、邮件和文件收发等方面缺少安全意识,很容易使企业网络受到攻击和病毒感染。而且一些企业缺少网络安全应急预案,没有做好数据备份,一旦在发生网络攻击事件时响应迟缓造成巨大损失。其次,缺少网络安全设备;一些企业网络还没有安装防火墙和入侵检测设备,一旦被攻击就抵挡防御。所以,企业网络安全最需要注重如下几个方面:
网络安全已经是企业局域网不可忽视的安全问题。那么企业网络安全的防护技术有哪些呢?主要包括如下几点:防火墙、入侵检测和防御、DDoS防护、内网上网管控。本文中,我将以WSG上网行为管理为例,介绍企业网络防护技术。
防火墙是网络防护的第一道门户。企业的网络防护需要对来自外网的访问进行限制。比如:阻止外网访问防火墙,限制外网访问端口映射的IP范围等。
电脑一旦被安装了挖矿程序,会带来很多危害:占用大量的电力和运算资源、拖慢机器、感染局域网内的其他终端......所以,挖矿行为目前是被各级部门明令禁止的,一旦被上级部门检测到有挖矿行为,很可能会被阻止互联网接入直至整改完成。当接到上级部门通告时,作为网管人员需要怎样去处置解决这个问题呢?
被上级部门检测到,一般存在如下三种情况:
访问了矿池或者虚拟货币服务器的目标IP
访问了“挖矿”域名(HTTP/HTTPS)
查询了“挖矿”域名(DNS)
企业内部的ERP、OA服务器很多都是通过端口映射到公网的,这样就不可避免会招来攻击。如下图:
公司网络准入认证方案是网络安全的基础,该方案通过对网络的接入设备进行统一的认证和访问授权管理,以保证内网的网络安全。对于企业局域网来说,比较常见的网络准入认证方案包括802.1X、Portal认证,还有基于企业微信、钉钉等第三方的app认证。
802.1X的认证方式需要支持802.1X的交换机设备,且配置比较复杂,对于大部分用户来说并不适用。本文中,我将介绍利用WSG上网行为管理网关的Portal认证、第三方认证等功能来实现企业网络的准入认证。
作为网管技术人员,你一定会因为IP冲突感到烦恼过。IP冲突会导致电脑上不了网,因为业务正常运行等。一旦发现IP地址冲突,在网络设备上是解决不了的,唯一的解决办法就是找到冲突的这台终端并且修改其IP地址或者改成自动获取IP;而预防IP冲突的唯一办法就是:自动获取IP。通过DHCP服务器,统一规划分配IP,这样就避免了IP冲突的问题。一般来说,可以采用如下的网络规划:
服务器、打印机等设备都采用固定IP的方式。
办公电脑自动获取IP
无线设备自动获取IP
本文以WSG上网行为管理为例,介绍如何检测、管理IP地址冲突。