笨驴信息(IMFirewall)博客

当我们看到app store有更新的时候，总是忍不住要去点击下。可你知道点击的一刹那要消耗多少流量吗？根据WFilter的监控，在WiFi状态下，app store的更新速度可以达到几兆。初步估算下，如果同一个局域网有十个人同时打开app store进行更新，那么百兆带宽瞬间就可以被占满。如下图：

WFilter NGF（WSG上网行为管理网关）的“Web认证模块”主要包括两个部分：“用户名认证”和“营销认证”。

1. 用户名认证：输入用户名口令来认证上网。

2. 营销认证：国内主要是“微信WiFi”，国外主要用“Facebook WiFi”。

本文中，我将简单介绍如何用WFilter NGF（WSG上网行为管理网关）来实现微信扫码上网。

163和腾讯的企业邮箱，给企业带来了很大的便利。很多企业都采用两家的企业邮箱服务，有的企业出于信息安全的考虑，需要对企业邮箱的外发内容进行监管。本文中，我将简单介绍企业邮箱监控的两个重点关注的方面：

1. 网页版的企业邮箱监控。
   

2. 客户端收发的企业邮箱监控。
   

IP-MAC绑定一直是局域网管理的一个重要部分。但是其实现却往往比较复杂，一般会有如下问题：

1. 大部分路由器的IP-MAC绑定功能比较局限。一般就是简单的ARP绑定。客户机手动修改IP等方式来突破。
   

2. 路由器由于硬件限制，允许的IP-MAC绑定条目比较少，一般在256条以内。

3. 交换机上进行IP-MAC绑定，配置和维护的工作量会比较大。

4. 三层交换机的IP-MAC绑定往往需要专业技术人员才可以操作。
   

今天，我要介绍的是一种非常简单方便的IP-MAC绑定方式，无需修改交换机和路由器，不改变当前网络结构和配置，即插即用，web界面配置。非常简单方便就可以实现对局域网内客户机的IP-MAC绑定。具体介绍如下：

《绝地求生》(PUBG) 是一款突破性的战术竞技类游戏，凭借其独特创新的玩法模式，写实风格带来的代入感和沉浸感深受玩家喜爱。目前，吃鸡类游戏深受用户喜爱，也涌现了一大批的同款端游和手游。

对于上网行为管理来说，我们要讨论的是如何禁止局域网客户机（电脑和手机）玩这类游戏。在本文中，我将演示如何用WSG-500E（WFilter NGF系统）来屏蔽局域网用户玩吃鸡类游戏。

很多局域网考虑到安全需要，会部署两台核心交换机做双机热备。在这样的情况下，如果要旁路部署上网行为管理软件，需要在两台核心上都配置端口镜像，从而实现不间断的监控管理。拓扑图如下：

微信作为现在很常用的一个通讯软件，很多企业在管理时不想把微信完全禁止掉，但是微信的传文件和视频聊天等行为会占用大量带宽，并且影响网络安全。所以很多我们的WFilter用户，都会在局域网内把微信传文件和微信视频禁止掉。

本文将演示如何用WSG-200E来配置微信视频聊天的屏蔽。

说到https，不得不提http（HyperText Transfer Protocol）这个互联网上用的最广泛的网络协议，其技术架构，协议功能，协议原理百度或者google都有详细解释。而https（Hyper Text Transfer Protocol over Secure Socket Layer）多就多在这个S上，SSL加密，通常理解，https就是http加入SSL加密层变成以安全为目标的http传输。那么SSL是个啥呢，SSL是一个目前应用非常广泛的一种非对称加密方式，也是公认破解不了的。安全，又好用，所以才能广泛应用，除了http,邮件的pop3,smtp，IM通讯等等，都能用上，是个很好的加密方式。起初用https通常都是金融类网站用到财务交易，时光如水，岁月如歌，IT技术一日百里的飞速发展，现在很多门户网站，企业网站也都逐渐使用https协议，这个也是事实的趋势。概念就是这个概念了，那么https如何监控管理呢？以下说明是献给非专业IT技术人员，非专业码农的。为了大家都能明白，可能有些叙述比较幼稚和粗浅，请多多理解。

WSG-200E上网行为管理网关，不是用的最顶尖高端的硬件设备，但是对于150-300人局域网范围，真的是性价比最高的一款。系统采用了WFilter NGF企业级上网行为管理系统，在硬件方面，采用了Intel B75的主板架构，I3-32200的酷睿4核CPU，主频高达3.3GHz.实实在在的优质选型。

WSG-500E上网行为管理设备是WFilter系列上网行为管理中性能非常强悍的一款设备，系统采用了WFilter NGF企业级上网行为管理系统，在硬件方面，采用了Intel B75的主板架构，I5-3450的酷睿4核CPU，主频高达3.1GHz。很多用户对这个性能缺少形象的概念，让我来简单比较下：

1. 普通的路由器芯片，比如典型的MTK7620芯片，主频是580MHz。

2. D525工控机，CPU是4核1.8GHz。性能至少是MTK的3-4倍。

3. WSG-500E的I5-3450，采用了新的设计，性能差不多又是D525的3-4倍。
   

配合4G的DDR3内存，6个千兆端口，构建了性能强悍的WSG-500E。这款设备，虽然官方推荐是500Mbps的带宽，实测可以达到900-920M，而且网络访问很顺畅，一点也不卡顿。

这里说的大型局域网是500-1000台局域网环境，一般是一栋楼，厂房或者学校。大型局域网的组网方案已经非常成熟了。大网络，多了防火墙，核心交换机，不同需求的服务器。这里就不一一赘述，这里重点介绍大局域网的上网行为管理方案。大网环境数据量大，各种协议走的很复杂。很多网安厂家把第二代防火墙的概念

（Next Generation Firewall）包括了上网行为管理概念，专业的上网行为管理是无法被代替的。协议分析，应用层解析，上网日志记录，审计等模块需要大量的运算，后期需要专业的研发团队维护升级。所以不应该被防火墙，杀毒的概念混乱。上网方式这三十年发生了天翻地覆的变化，网络协议一年又一年的更新，应用协议天天有新出，移动上网方式的应用都已经变成日常行为了。各种病毒方式已经不像原始方式文件打开，有的时候甚至点开一个不安全的网站会导致病毒入侵，所以内网管控不仅仅是上网效率提高，还有上网行为管控，网址库，协议库过滤，才会让局域网上网内网安全兼得。

提到上网行为管理，最初想到的内容记录、聊天内容、邮件内容、文件传输内容、网页浏览记录等等。但是再往深里研究，对于有一定规模的局域网，内容审计的意义并不是很大，聊天几句话、浏览的几个网站都是瞬间的意识。所以，企业的对员工聊天内容的审计实在没有太大的意义。况且国内主流的QQ和微信的通讯，腾讯公司早就进行了协议改进和安全强化，加上微信QQ都可以绑定银行卡。所以，网络监控解析QQ和微信的内容，理论上已经不现实。对于企业网络管理来说，规整的上网秩序、上网内容的报表分析以及信息安全才是王道。

WSG-200P上网行为管理路由是一款性价比非常高的上网行为管理设备。和WSG的企业版（E系列）相比，虽然没有上网记录、域账号等功能，但是就上网行为管理和流控来说，与E系列基本是一样的，可以提供专业的上网行为管理和流控。下面让我们一起来看看WSG-200P这款企业级上网行为管理路由有哪些亮点功能吧。

这里说的小型局域网是50台左右上网设备（电脑加手机），出口带宽不超过100兆的局域网。比较普遍的组网方案设备，路由，交换机，无线路由，对于小局域网足够了。但是对于企业，公共网络来说，管理是必不可少的。

常规小型局域网组网一般是这样的：

作者:笨小驴 | 分类:企业网络安全方案设计 | 浏览:5453 | 评论:0

上网行为管理网关、防火墙、路由，不管是硬件还是软件，其基本原理都是一样的。硬件产品其实就是软件包灌到硬件设备里面打包成一个整体设备。而上网行为管理、防火墙和路由的共同点，都是部署在局域网出口的，大部分都基于LINUX系统进行的定制开发。如果是软件方式，安装时需要用一台专门的服务器。所以，产品性能的指标取决于两方面：硬件配置和软件系统。那么产品的选择，主要在这两方面进行优选。以下是一些简单的介绍：

一、从软件内核角度来说，路由系统、防火墙系统、上网行为管理网关系统，都是在LINUX上裁剪开发出来的。但是这些系统各自的功能侧重点、和性能指标都是完全不一样的。如下图：

这里说的网桥部署，是透明网桥部署。有的局域网环境里面，路由暂时不想被代替，那么WSG上网行为管理网关可以用网桥部署的方式接在局域网里面。

• 网桥模式下，只用到LAN和WAN1这两个端口。其他端口都不起作用。

• WSG接在路由器（防火墙）和交换机之间。

• 内网交换机接在LAN口。

• 上层设备（路由器或者防火墙）接在WAN1口。

上网行为管理网关不管是在功能还是在性能上，都是完爆路由器的。随着生产力的提高，硬件设备的成本也逐步降低，普及也越来越广（例如电器的价格越来越低）。上网行为管理网关部署也将成为一个趋势，因为网关除了拥有专业路由的功能以外，还有专业的网络管理功能，和专业防火墙功能，这个都是路由硬件芯片做不到的。

那么上网行为管理设备应该如何部署呢？其实很简单，就是和路由器一样，直接把路由器的相关配置移植到行为管理设备上，把之前的路由器替换掉即可。

WSG系列上网行为管理网关是WFilter系列上网行为管理产品的经典之作，软件系统采用了WFilter NGF企业级上网行为管理系统，而且在硬件的选型上绝不吝啬，都是优选的工控机。比如WSG-50E的D525 CPU（推荐50用户），放在其他厂商，至少都是100-200台的环境的宣传了。下面让我们一起来看看WSG-50E这款企业级上网行为管理硬件网关有哪些特殊功能吧。

1. 外观一览

第一印象就是盒子好大，比一般的路由器要大的多。开箱后，1U的铁壳机箱，相当于一台14寸笔记本的大小，还挺沉的。典型的企业级网络硬件设备，和华为思科的机器差不多。

1.1) 机器正面

全世界的路由，防火墙，网关，VPN服务器，各种服务器的设备可以说都是一样的构造：软件系统灌到硬件设备当中去。同时差别又很大：一两百就可以买到一个小路由，十万二十万才能购置一台重量级服务器。为什么差别这么大？其实就两样：硬件配置和软件系统。几百的小路由是那种路由芯片，过万的服务器最低intel X86的芯片。而用什么硬件设备，取决灌什么软件系统了。

以最普遍的路由器来说，都是基于嵌入式系统裁剪出来的。一些经典的路由系统，比如Routeros，系统很轻巧，运算压力也不大，简单的芯片就可以承载。而防火墙系统、上网行为管理系统，还需要在LINUX的基础上，做大量的开发。所以对硬件需求，一定要有个强劲的CPU，以及大容量的硬盘和内存才足够。普遍都用工控机来实现。

就上网行为管理设备来说，首先WSG上网行为管理网关，系统基于LINUX独立系统，支持海量协议库和网址库。这点就决定了硬件的配置级别一定不是路由芯片可以满足的。

在最新版的WFilter NGF中，新增了“ip-mac历史查询”的功能，可以实现如下功能：

1. 记录局域网客户机的ip、mac、mac厂商的历史记录。

2. 支持网桥和网关部署模式，即使是网桥模式，也可以记录ip-mac信息。

3. 启用“mac地址收集器”功能后，可以跨三层交换机获取实际的ip mac信息。

   
   

无线上网已经是企业员工的基本需求，企业为了满足员工的无线上网需要，大部分都部署了无线路由器或者无线AP设备。但是，不加管理的无线接入无疑会威胁企业的信息安全，并且给带宽带来较大压力。

1. 概述

本文将介绍如何对局域网的无线设备进行管理和流控。一般而言，无线的部署有如下两种方案：

1. 多个无线路由器或者胖AP，采用云管理的方案。

2. 集中AC管理加瘦AP的部署方案。

随身WIFI非常方便，USB大小的东西，电脑一插，手机就可以无线上网了，但是企业局域网来说，其实是个让网络管理头疼的东西，随身WIFI的带宽用的都是局域网带宽资源，员工或者什么人偷偷把随身WIFI接在电脑上，看视频，玩APP，占用带宽，影响资源。但是实际管理上又很难抓到，因为一插一拔瞬间的工夫就搞定了。那么有了我们的WFilter-ICF,WFilter-NGF或者WSG的E系列，这个问题完全不是问题，我们可以检测到局域网哪些电脑接了随身WIFI，WIFI下有什么手机。那么第一步检测到了，

旁路部署实现上网监控的好处显而易见，旁路在网络上，对网络没有任何影响。上网监控机器关机也不会影响网络流通，对监控服务器配置要求不用太高，也无需联网。

WFilter-ICF目前也是国内外最典型的旁路监控原理的上网行为管理软件。注意哦，WFilter-ICF本身就是一个旁路原理的上网行为管理软件，下面介绍的只是ICF的部署方式。

微信WiFi，又名“微信连WiFi”。这个功能要求连接WiFi的用户关注公众号后上网，既可以推广公众号，还可以显示广告位，具备很实用的商业价值。微信WiFi认证的实现，有如下办法：

1. 广告路由器。直接把微信WiFi集成在无线路由器中，通过路由器界面或者云管理来进行配置。

2. 认证网关（网桥） + 无线AP的方式。由认证网关网桥来进行微信WiFi认证，无线AP只提供无线接入。

3. 旁路软件 + 无线AP的方式。由旁路软件来推送认证页面，无线AP只提供无线接入。

这三种方案，广告路由器的方案比较适合小环境，成本和实施都非常的简单。如果网络有一定规模，不适合部署多个广告路由器时，就需要考虑第二和第三种方案。“认证网关”和“旁路软件”的主要差别在于部署模式。

所谓串联部署，顾名思义就是串接在网络里面，所有数据都会流经过监控系统，从而可以让监控系统解析，还原；还可以实现中间人技术（HTTPS,SSL监控）。这样部署可以直接深入网络，对网络管理，协议分析，内容审计更加全面到位。

串联部署方案两种形式：