上班时间刷刷朋友圈,一眨眼半小时就过去了。不但会影响工作效率,而且朋友圈的视频会占用大量的带宽。所以对企业管理人员来说,很多时候需要禁止员工在工作时段刷朋友圈。但是行政手段要和技术手段配合,才可以发挥真正的作用。
本文将介绍如何用WFilter NGF(WSG网关)来禁止朋友圈的视频。
上班时间刷刷朋友圈,一眨眼半小时就过去了。不但会影响工作效率,而且朋友圈的视频会占用大量的带宽。所以对企业管理人员来说,很多时候需要禁止员工在工作时段刷朋友圈。但是行政手段要和技术手段配合,才可以发挥真正的作用。
本文将介绍如何用WFilter NGF(WSG网关)来禁止朋友圈的视频。
当我们看到app store有更新的时候,总是忍不住要去点击下。可你知道点击的一刹那要消耗多少流量吗?根据WFilter的监控,在WiFi状态下,app store的更新速度可以达到几兆。初步估算下,如果同一个局域网有十个人同时打开app store进行更新,那么百兆带宽瞬间就可以被占满。如下图:
WFilter NGF(WSG上网行为管理网关)的“Web认证模块”主要包括两个部分:“用户名认证”和“营销认证”。
用户名认证:输入用户名口令来认证上网。
营销认证:国内主要是“微信WiFi”,国外主要用“Facebook WiFi”。
本文中,我将简单介绍如何用WFilter NGF(WSG上网行为管理网关)来实现微信扫码上网。
163和腾讯的企业邮箱,给企业带来了很大的便利。很多企业都采用两家的企业邮箱服务,有的企业出于信息安全的考虑,需要对企业邮箱的外发内容进行监管。本文中,我将简单介绍企业邮箱监控的两个重点关注的方面:
网页版的企业邮箱监控。
客户端收发的企业邮箱监控。
IP-MAC绑定一直是局域网管理的一个重要部分。但是其实现却往往比较复杂,一般会有如下问题:
大部分路由器的IP-MAC绑定功能比较局限。一般就是简单的ARP绑定。客户机手动修改IP等方式来突破。
路由器由于硬件限制,允许的IP-MAC绑定条目比较少,一般在256条以内。
交换机上进行IP-MAC绑定,配置和维护的工作量会比较大。
三层交换机的IP-MAC绑定往往需要专业技术人员才可以操作。
今天,我要介绍的是一种非常简单方便的IP-MAC绑定方式,无需修改交换机和路由器,不改变当前网络结构和配置,即插即用,web界面配置。非常简单方便就可以实现对局域网内客户机的IP-MAC绑定。具体介绍如下:
《绝地求生》(PUBG) 是一款突破性的战术竞技类游戏,凭借其独特创新的玩法模式,写实风格带来的代入感和沉浸感深受玩家喜爱。目前,吃鸡类游戏深受用户喜爱,也涌现了一大批的同款端游和手游。
对于上网行为管理来说,我们要讨论的是如何禁止局域网客户机(电脑和手机)玩这类游戏。在本文中,我将演示如何用WSG-500E(WFilter NGF系统)来屏蔽局域网用户玩吃鸡类游戏。
很多局域网考虑到安全需要,会部署两台核心交换机做双机热备。在这样的情况下,如果要旁路部署上网行为管理软件,需要在两台核心上都配置端口镜像,从而实现不间断的监控管理。拓扑图如下:
微信作为现在很常用的一个通讯软件,很多企业在管理时不想把微信完全禁止掉,但是微信的传文件和视频聊天等行为会占用大量带宽,并且影响网络安全。所以很多我们的WFilter用户,都会在局域网内把微信传文件和微信视频禁止掉。
本文将演示如何用WSG-200E来配置微信视频聊天的屏蔽。
说到https,不得不提http(HyperText Transfer Protocol)这个互联网上用的最广泛的网络协议,其技术架构,协议功能,协议原理百度或者google都有详细解释。而https(Hyper Text Transfer Protocol over Secure Socket Layer)多就多在这个S上,SSL加密,通常理解,https就是http加入SSL加密层变成以安全为目标的http传输。那么SSL是个啥呢,SSL是一个目前应用非常广泛的一种非对称加密方式,也是公认破解不了的。安全,又好用,所以才能广泛应用,除了http,邮件的pop3,smtp,IM通讯等等,都能用上,是个很好的加密方式。起初用https通常都是金融类网站用到财务交易,时光如水,岁月如歌,IT技术一日百里的飞速发展,现在很多门户网站,企业网站也都逐渐使用https协议,这个也是事实的趋势。概念就是这个概念了,那么https如何监控管理呢?以下说明是献给非专业IT技术人员,非专业码农的。为了大家都能明白,可能有些叙述比较幼稚和粗浅,请多多理解。
WSG-200E上网行为管理网关,不是用的最顶尖高端的硬件设备,但是对于150-300人局域网范围,真的是性价比最高的一款。系统采用了WFilter NGF企业级上网行为管理系统,在硬件方面,采用了Intel B75的主板架构,I3-32200的酷睿4核CPU,主频高达3.3GHz.实实在在的优质选型。
WSG-500E上网行为管理设备是WFilter系列上网行为管理中性能非常强悍的一款设备,系统采用了WFilter NGF企业级上网行为管理系统,在硬件方面,采用了Intel B75的主板架构,I5-3450的酷睿4核CPU,主频高达3.1GHz。很多用户对这个性能缺少形象的概念,让我来简单比较下:
普通的路由器芯片,比如典型的MTK7620芯片,主频是580MHz。
D525工控机,CPU是4核1.8GHz。性能至少是MTK的3-4倍。
WSG-500E的I5-3450,采用了新的设计,性能差不多又是D525的3-4倍。
配合4G的DDR3内存,6个千兆端口,构建了性能强悍的WSG-500E。这款设备,虽然官方推荐是500Mbps的带宽,实测可以达到900-920M,而且网络访问很顺畅,一点也不卡顿。
这里说的大型局域网是500-1000台局域网环境,一般是一栋楼,厂房或者学校。大型局域网的组网方案已经非常成熟了。大网络,多了防火墙,核心交换机,不同需求的服务器。这里就不一一赘述,这里重点介绍大局域网的上网行为管理方案。大网环境数据量大,各种协议走的很复杂。很多网安厂家把第二代防火墙的概念
(Next Generation Firewall)包括了上网行为管理概念,专业的上网行为管理是无法被代替的。协议分析,应用层解析,上网日志记录,审计等模块需要大量的运算,后期需要专业的研发团队维护升级。所以不应该被防火墙,杀毒的概念混乱。上网方式这三十年发生了天翻地覆的变化,网络协议一年又一年的更新,应用协议天天有新出,移动上网方式的应用都已经变成日常行为了。各种病毒方式已经不像原始方式文件打开,有的时候甚至点开一个不安全的网站会导致病毒入侵,所以内网管控不仅仅是上网效率提高,还有上网行为管控,网址库,协议库过滤,才会让局域网上网内网安全兼得。
提到上网行为管理,最初想到的内容记录、聊天内容、邮件内容、文件传输内容、网页浏览记录等等。但是再往深里研究,对于有一定规模的局域网,内容审计的意义并不是很大,聊天几句话、浏览的几个网站都是瞬间的意识。所以,企业的对员工聊天内容的审计实在没有太大的意义。况且国内主流的QQ和微信的通讯,腾讯公司早就进行了协议改进和安全强化,加上微信QQ都可以绑定银行卡。所以,网络监控解析QQ和微信的内容,理论上已经不现实。对于企业网络管理来说,规整的上网秩序、上网内容的报表分析以及信息安全才是王道。
WSG-200P上网行为管理路由是一款性价比非常高的上网行为管理设备。和WSG的企业版(E系列)相比,虽然没有上网记录、域账号等功能,但是就上网行为管理和流控来说,与E系列基本是一样的,可以提供专业的上网行为管理和流控。下面让我们一起来看看WSG-200P这款企业级上网行为管理路由有哪些亮点功能吧。
这里说的小型局域网是50台左右上网设备(电脑加手机),出口带宽不超过100兆的局域网。比较普遍的组网方案设备,路由,交换机,无线路由,对于小局域网足够了。但是对于企业,公共网络来说,管理是必不可少的。
常规小型局域网组网一般是这样的:
作者:笨小驴 | 分类:企业网络安全方案设计 | 浏览:5556 | 评论:0
上网行为管理网关、防火墙、路由,不管是硬件还是软件,其基本原理都是一样的。硬件产品其实就是软件包灌到硬件设备里面打包成一个整体设备。而上网行为管理、防火墙和路由的共同点,都是部署在局域网出口的,大部分都基于LINUX系统进行的定制开发。如果是软件方式,安装时需要用一台专门的服务器。所以,产品性能的指标取决于两方面:硬件配置和软件系统。那么产品的选择,主要在这两方面进行优选。以下是一些简单的介绍:
一、从软件内核角度来说,路由系统、防火墙系统、上网行为管理网关系统,都是在LINUX上裁剪开发出来的。但是这些系统各自的功能侧重点、和性能指标都是完全不一样的。如下图:
这里说的网桥部署,是透明网桥部署。有的局域网环境里面,路由暂时不想被代替,那么WSG上网行为管理网关可以用网桥部署的方式接在局域网里面。
网桥模式下,只用到LAN和WAN1这两个端口。其他端口都不起作用。
WSG接在路由器(防火墙)和交换机之间。
内网交换机接在LAN口。
上层设备(路由器或者防火墙)接在WAN1口。
上网行为管理网关不管是在功能还是在性能上,都是完爆路由器的。随着生产力的提高,硬件设备的成本也逐步降低,普及也越来越广(例如电器的价格越来越低)。上网行为管理网关部署也将成为一个趋势,因为网关除了拥有专业路由的功能以外,还有专业的网络管理功能,和专业防火墙功能,这个都是路由硬件芯片做不到的。
那么上网行为管理设备应该如何部署呢?其实很简单,就是和路由器一样,直接把路由器的相关配置移植到行为管理设备上,把之前的路由器替换掉即可。
WSG系列上网行为管理网关是WFilter系列上网行为管理产品的经典之作,软件系统采用了WFilter NGF企业级上网行为管理系统,而且在硬件的选型上绝不吝啬,都是优选的工控机。比如WSG-50E的D525 CPU(推荐50用户),放在其他厂商,至少都是100-200台的环境的宣传了。下面让我们一起来看看WSG-50E这款企业级上网行为管理硬件网关有哪些特殊功能吧。
第一印象就是盒子好大,比一般的路由器要大的多。开箱后,1U的铁壳机箱,相当于一台14寸笔记本的大小,还挺沉的。典型的企业级网络硬件设备,和华为思科的机器差不多。
1.1) 机器正面
全世界的路由,防火墙,网关,VPN服务器,各种服务器的设备可以说都是一样的构造:软件系统灌到硬件设备当中去。同时差别又很大:一两百就可以买到一个小路由,十万二十万才能购置一台重量级服务器。为什么差别这么大?其实就两样:硬件配置和软件系统。几百的小路由是那种路由芯片,过万的服务器最低intel X86的芯片。而用什么硬件设备,取决灌什么软件系统了。
以最普遍的路由器来说,都是基于嵌入式系统裁剪出来的。一些经典的路由系统,比如Routeros,系统很轻巧,运算压力也不大,简单的芯片就可以承载。而防火墙系统、上网行为管理系统,还需要在LINUX的基础上,做大量的开发。所以对硬件需求,一定要有个强劲的CPU,以及大容量的硬盘和内存才足够。普遍都用工控机来实现。
就上网行为管理设备来说,首先WSG上网行为管理网关,系统基于LINUX独立系统,支持海量协议库和网址库。这点就决定了硬件的配置级别一定不是路由芯片可以满足的。
在最新版的WFilter NGF中,新增了“ip-mac历史查询”的功能,可以实现如下功能:
记录局域网客户机的ip、mac、mac厂商的历史记录。
支持网桥和网关部署模式,即使是网桥模式,也可以记录ip-mac信息。
启用“mac地址收集器”功能后,可以跨三层交换机获取实际的ip mac信息。
无线上网已经是企业员工的基本需求,企业为了满足员工的无线上网需要,大部分都部署了无线路由器或者无线AP设备。但是,不加管理的无线接入无疑会威胁企业的信息安全,并且给带宽带来较大压力。
本文将介绍如何对局域网的无线设备进行管理和流控。一般而言,无线的部署有如下两种方案:
多个无线路由器或者胖AP,采用云管理的方案。
集中AC管理加瘦AP的部署方案。
随身WIFI非常方便,USB大小的东西,电脑一插,手机就可以无线上网了,但是企业局域网来说,其实是个让网络管理头疼的东西,随身WIFI的带宽用的都是局域网带宽资源,员工或者什么人偷偷把随身WIFI接在电脑上,看视频,玩APP,占用带宽,影响资源。但是实际管理上又很难抓到,因为一插一拔瞬间的工夫就搞定了。那么有了我们的WFilter-ICF,WFilter-NGF或者WSG的E系列,这个问题完全不是问题,我们可以检测到局域网哪些电脑接了随身WIFI,WIFI下有什么手机。那么第一步检测到了,
旁路部署实现上网监控的好处显而易见,旁路在网络上,对网络没有任何影响。上网监控机器关机也不会影响网络流通,对监控服务器配置要求不用太高,也无需联网。
WFilter-ICF目前也是国内外最典型的旁路监控原理的上网行为管理软件。注意哦,WFilter-ICF本身就是一个旁路原理的上网行为管理软件,下面介绍的只是ICF的部署方式。
微信WiFi,又名“微信连WiFi”。这个功能要求连接WiFi的用户关注公众号后上网,既可以推广公众号,还可以显示广告位,具备很实用的商业价值。微信WiFi认证的实现,有如下办法:
广告路由器。直接把微信WiFi集成在无线路由器中,通过路由器界面或者云管理来进行配置。
认证网关(网桥) + 无线AP的方式。由认证网关网桥来进行微信WiFi认证,无线AP只提供无线接入。
旁路软件 + 无线AP的方式。由旁路软件来推送认证页面,无线AP只提供无线接入。
这三种方案,广告路由器的方案比较适合小环境,成本和实施都非常的简单。如果网络有一定规模,不适合部署多个广告路由器时,就需要考虑第二和第三种方案。“认证网关”和“旁路软件”的主要差别在于部署模式。