笨驴信息(IMFirewall)博客

无线上网的被监控端主要都是手机、PAD，也包括无线上网的电脑。手机的安卓系统以及苹果系统底层都是不开放的，所以没有任何办法安装监控客户端。所以无线监控只有一个方式，就是网络监控。网络监控的部署分两种，串联监控部署以及旁路监控部署。

现在很多企业局域网都是全无线覆盖，给员工和客户的网络接入提供了很大的便利。无论在公司或者厂区的任何位置，都可以很方便的接入到公司局域网和互联网。但是这样也带来了不可避免的安全性问题：一旦有未经授权的网络接入，不但会占用宝贵的带宽资源；而且会带来病毒、黑客攻击等局域网安全问题。

所以，局域网在做无线覆盖的同时，一定要考虑到安全问题。一般来说，可以从两方面入手：

1. 合理的划分VLAN。无线接入应当处于单独的VLAN，并且控制该VLAN对企业内部资源的访问。即使有恶意的攻击，也可以被控制在无线VLAN内部。

2. 对无线上网的设备进行用户认证。

3. 对无线上网的设备进行ip-mac绑定。

4. 记录无线上网的上网记录，包括ip地址、mac地址、网站访问等信息。供需要时查询。

无线设备的应用，不管是生活上，还是企业应用，现在多么深多么广无需在累赘说明。就企业信息管理，网络管理来说，WIFI的管理也是企业上网行为管理的一个重要的部分。网络监控对于WIFI的优势还是非常明显的，网络监控走的网络层面，那么被监控的设备就没有要求，不管是手机还是电脑，或者PAD，也不管是windows系统还是MAC系统或者LINUX系统，统统都可以监控管理。

作者:笨小驴 | 分类:WiFi监控管理方案 | 浏览:7053 | 评论:0

之前有用户反映过一个挺困扰的问题：就是腾讯的QQ经常会自动下载QQ电脑管家和QQ浏览器，占用大量的带宽资源，而且给PC机的管理带来麻烦。如图，你只要点击“一键领取”，就会自动下载并安装腾讯的相关软件。

本文中，我将介绍如何用WFilter ICF来禁止这些软件的自动下载安装。

上网行为管理的部署方式主要有旁路、网关、网桥这三种部署方式。在之前的一篇博客“企业上网行为管理部署方案”中，我们已经简单介绍了三种方案的优缺点。那么在本文中，我们再侧重介绍下“网桥”和“网关”两种模式的优缺点比较。

经常有用户问到上网行为管理是软件好还是硬件好，实际上硬件从本质上来说也是软件，只不过是预装好的系统。所以从功能上来说，硬件和软件并没有区别，差别主要在稳定性、兼容性和服务上。

本文将着重从稳定性、兼容性、服务上讨论上网行为管理软件和硬件的区别。

企业在部署上网行为管理时，对方案的选择需要考虑如下因素：

1. 是否需要改变现有的网络结构？

2. 是否需要对现有设备进行重新配置？

3. 对现有网络稳定性和网速的影响。

4. 网络结构改造的工作量。

除非现有的设备面临升级换代，我相信大部分人都不会选择替换现有的设备和改变网络结构。那么首选的方案就是两个：“旁路部署方案”和“网桥部署方案”。这两个方案，都可以透明部署，无需改变现有结构，也不会带来对性能和网速的影响。具体的比较如下：

现在大部分企业或多或少都会有一些业务要发布到互联网上供外网访问，比如：ERP系统、OA系统等。为了保证这些业务的正常运行，需要提供一个稳定的带宽保障，如何解决内网办公和外网访问的带宽共享，也是一个让大部分网管头疼的问题。

本文中，我将结合一个实际的网络改造例子，来介绍如何保障互联网业务的带宽。

1. 网络结构介绍

本例中，用户之前用的是一个普通的多WAN口路由器，接了三根光纤（两个固定IP），用两个固定IP分别映射到内网的OA系统和ERP系统。在实际使用中，由于内网的流量比较高，外网用户经常会反映连接不上ERP/OA系统。结合公司的上网行为管理系统，决定购买一台“WSG-500E上网行为管理网关”，替代掉现有的路由器。网络结构图如下：

有些用户为了提高网速，一味的申请更多的带宽，其实是不足取的。要保证局域网的网速，带宽虽然不可或缺，但是正确的组网方式和管理手段更加重要。在当前的网络环境下，出口带宽500K/人就完全可以满足正常的上网需要，举例来说，100人50M带宽，50人20M带宽。

本文中，我将介绍一个典型的多线路局域网改造方案。

对于一个小型的局域网环境（终端数少于50）来说，一个企业级上网行为管理路由器就可以实现基本的上网行为管理功能。当然，路由器的功能比较局限，对于上网内容记录、上网统计、网址库过滤等高级功能，你就需要部署一台专业的上网行为管理来实现了。

本文中，我将介绍少于50客户端的局域网，如何部署一台专业的上网行为管理设备？

你需要一台双网卡的PC机或者x86架构的工控机，安装上WFilter NGF上网行为管理系统。

很多局域网采用的是“防火墙/路由--三层交换机--二层交换机”的拓扑结构，而由于三层交换机的配置相对来说比较复杂，在这样的局域网中部署上网行为管理，用户往往会面临如下的一些问题：

1. 找不到交换机的管理员用户名和口令。
   

2. 没有技术人员可以修改交换机的配置。

3. 没有交换机厂商技术支持。

其实在有三层交换机的网络环境中部署上网行为管理并不困难。在本文中，我将分别介绍“网桥部署”和“网关部署”的两种方案。我们的方案，都尽量避免了对交换机的配置进行修改。

电脑修改IP，最直接的结果，会导致这个电脑不能上网，如果改成另外一台电脑的IP，那么IP会冲突，两个电脑都没法上网。这样的问题，不是大问题，但是却很麻烦，如果是想在本机禁止，网上有一水的经验和方法，就不一一介绍的。但是如果碰到员工自己的电脑，或者网管的爪子伸不到电脑上，那么如果在网络层管理呢？

1. 如果您是域环境，做禁止修改IP也好做的。给每台电脑设置固定IP地址，且不开放管理员权限（客户机无法自行修改）。这个方案只能对电脑起作用，一般在域环境的局域网用的比较多。如图中的组策略配置。

WFilter NGF的整个系统设计都遵循了API设计的原则，甚至可以说，现有的WFilterNGF的UI就是基于我们的API系统开发而成。本文，将结合一个简单的例子，来演示下WFilter NGF的API调用。需求很简单：“调用WFilter的API，对某个IP进行限速和Web过滤。”

首先，要进行WFilterNGF的相关配置。

由于限速和Web过滤是分开的模块，那么我们的思路是建立一个“虚拟组”，对这个虚拟组配置限速和Web过滤策略，API调用只需要把这个IP加入到虚拟组即可。

这个世界有矛就有盾，既然有IP-MAC绑定的技术，总归就有人会尝试去突破这个绑定。一般来说，无非是通过”修改IP地址“和”修改MAC地址“两种方式。

1. IP地址的修改很简单，在“本地连接”里面，修改TCP/IP的属性就可以，如图：

随着移动终端使用越来越广泛，WIFI也是漫天遍野都是，但是企业局域网里面私接路由或者电脑上插了随身WIFI，看视频或者下载什么，对于局域网带宽消耗很大，最直接的也非常影响了工作状态。如果把IP绑定以后，能否杜绝这一现象呢？一半的一半，私接路由可以拒绝，但是随身WIFI不行。

1. 先说私接路由，这里的私接路由，是局域网里面某个大神自己带个小无线路由器，往角落里面交换机上一插，然后就可以无线上网了，那么这个时候如果想要阻止这位大神，需要采用那个NGF或者WSG网关的IP绑定策略，采取这样的策略，随便什么无线路由，或者电脑直接插都无法上网，这样配置，那么局域网里面电脑擅自修改IP，也无法上网。这样的IP管理的妥妥的。一人一P，人改P不改。

交换机上配置IP-mac绑定，主要需要考虑两个因素：

1. 该交换机是否开启DHCP服务？

2. 是采用端口绑定还是ARP绑定？

端口绑定或者ARP绑定，只是强制了IP-MAC的对应关系。但是，对于自动获取IP地址的客户机而言，还需要在DHCP服务器上分配固定IP才可以；否则客户机重新获取IP后，就会联不了网。所以，一个完善的IP-MAC绑定方案，既要考虑DHCP的静态地址分配，还要考虑IP-MAC的实际绑定实现。对于三层交换机而言，分为两种情况：

对于企业的办公局域网来说，IP-MAC绑定带来的好处是显而易见的。但是各企业在具体实施的过程中，应当根据各自局域网的特点，结合行政手段，有计划、有目的的进行实施。

首先，获取管理层的支持，颁布行政命令。

如果没有相应的行政命令，员工会不断的尝试手动修改IP来绕开监管。从而导致不断的IP地址冲突等网络问题。所以在行政命令上，需要做到：

1. 禁止私自修改IP。

2. 禁止私接路由器、随身wifi等设备。

以上行为一旦发现，配合一定的惩罚手段，可以减少技术手段的工作负担。

对局域网设备进行IP-MAC绑定是网络管理的一个重要手段，可以有效的防止IP盗用、IP滥用、IP地址冲突等异常情况。

IP-MAC绑定可以采用多种方法来实现，本文中，我将介绍一些常用的局域网IP-MAC绑定方案。

1. 域的组策略禁止修改IP

给每台电脑设置固定IP地址，且不开放管理员权限（客户机无法自行修改）。这个方案只能对电脑起作用，一般在域环境的局域网用的比较多。如图中的组策略配置。

IP地址冲突是一个非常常见的网络问题，电脑甲本来用的IPA的，不知道怎么回事，改成电脑乙的IPB了，那么做直接的结果就是电脑甲和乙都没法上网，这种事故真的是平常事故，但是一出来，就不能上网了，如果没有合适的检测工具，IT或者网管为这样事故头疼愈烈的时候多呢。

1. 要有一个好的检测工具，这样网络问题可以初步判断出来。这个功能我们我们的WFilter的所有产品以及WSG的所有产品都有的。检测到IP和MAC地址冲突了，具体情况看的妥妥的。

很多公司出于安全考虑，需要对IP-MAC地址进行绑定。IP-MAC绑定可以采用多种方法来实现，本文中，我将介绍各款交换机是如何进行IP-MAC绑定的。请注意，本文中的IP-MAC绑定是基于端口做的绑定，要求客户机必须固定IP地址才可以联网。

思科2950

#进入配置模式

Switch#config terminal

#进入具体端口配置模式

Switch(config)#Interface fastethernet 0/1

#配置端口安全模式

#配置该端口要绑定的主机的MAC地址

Switch(config-if )#switchport port-security mac-address MAC(主机的MAC地址) ip-address 192.168.x.x

WFilter NGF上网行为管理系统专为企事业单位的局域网量身打造，今天我来介绍下为什么说WFilter NGF更适合做企业的局域网环境。

1. 上网行为管理、流控、防火墙、VPN、VLAN等N合一

很多厂商的上网行为管理、防火墙、VPN都是单独的产品，企业实现这些功能必须要买多台设备，不但导致高额的投入，而且设备的维护管理也比较麻烦。而WFilter NGF系统集成了“上网行为管理”、“防火墙”、“流控”、“VPN”以及划分VLAN的功能。只需要一台设备，即可满足企业的多种需求，大大降低企业的运营成本，能够防止外部攻击及内部威胁，并将复杂化的网络环境简便化，方便后期的运营与维护。

WFilter ICF（超级嗅探狗）是一款为企事业单位的局域网量身打造的上网行为管理软件，今天我来介绍下为什么说WFilter ICF更适合做企业的上网行为管理？

1. 更适合企业需求的网址库和协议库

上网行为管理的核心是”网址库“和”协议库“。没有哪家的产品可以涵盖所有的网站和协议，所以网址库和协议库的设计直接就体现了产品的适用对象。举例来说：有的协议库主要针对各种网游，那么这个产品的主要适用对象一定是网吧这样的客户，用于做游戏的加速。

而WFilter的网址库和协议库，都是和企业网络管理息息相关的，比如用于提高工作效率的”游戏类“、”聊天类“等，用于节省带宽的”流媒体类“、“下载类”等，用于信息安全的“文件传输类”、“邮件类”、“网盘和文件分享类”等。

WFilter NGF的IPSec VPN模块，可以很方便的在企业总部和分支机构之间创建VPN局域网，利用现有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来，组成一个大的局域网。网络拓扑图如下：

IPSec隧道建立成功后，总部以及各分支的内网之间就可以直接互相访问。下面是具体的配置步骤：

1. 为什么要进行IP-mac绑定？

IP-MAC绑定是网络管理的一个重要手段，在局域网内启用IP-MAC绑定，可以给您带来如下好处：

1. 只有通过绑定的设备才可以接入网络，从而有效的防止了私接设备。

2. 大部分上网和流控策略都是基于IP地址的，需要绑定IP和MAC才可以更好的应用上网策略。

3. 实现有效的上网记录和上网统计。如果不绑定，那么记录统计不能有效的定位到具体用户。

4. 节省IP资源，防止IP盗用。
   

5. 减少ARP攻击，杜绝IP地址冲突，从而提高网络的稳定性。

所以，对于企业的办公局域网来说，IP-MAC绑定带来的好处是显而易见的。我建议任何有条件的局域网都进行ip-mac绑定，至少做到部分绑定（比如：办公设备绑定、手机设备自动分配），这样可以有效的提高网络安全性和稳定性。

软路由系统是一个非常常熟开源的系统了，功能是以路由功能为主。很多网络技术人员或者网络部署小达人，自力更生，最小成本去找一个最大功能的路由。这个真的非常好，节约成本，且部署了很有成就感，但是路由系统毕竟功能有限，局域网管理，网络层面的，应用层面的，防火墙上的，如果方方面面都想管理到，那代价肯定不在小型局域网的范围以内。今天推荐一个比路由系统的要先进很多的上网行为管理系统，这个系统灌在工控机里面或者安装在电脑上，那就是个第二代防火墙设备，这样的系统怎么就不能用小型局域网里面呢，笨驴技术给免费提供给您，让您的小网络转起来。