笨驴信息(IMFirewall)博客

相对于传统方案而言，SD-WAN有着无可比拟的优势，很多局域网都采用了SD-WAN的智能组网和远程办公方案。SD-WAN的网络规划主要考虑如下三个方面：

• 多地虚拟组网

• 远程办公拨入

• 网管技术支持

所以，我们在配置SD-WAN网络时候，主要考虑这三个需求就可以。

如图：

在“如何用SD-WAN实现多地组网？”一文中，我们介绍了如何用SD-WAN来实现多地组网。实际上SD-WAN不仅可以用于多地组网，而且可以用于远程办公拨入。

和传统的远程办公方案相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

本文中，我将介绍如何用SD-WAN实现远程办公拨入。

1. 网络拓扑图

SD-WAN不需要固定公网IP也可以实现远程办公拨入。如下图，该局域网通过一台WSG网关连接外网，内网网段是192.168.10.0/24。

SD-WAN即软件定义广域网，可以实现异地智能组网，远程办公拨入。和传统的VPN相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

• 既能实现多地异地组网，又可以实现远程办公拨入。

本文中，我将介绍如何用WSG自带的SD-WAN来实现多地异地虚拟组网。

现在的视频资源非常多，抖音、爱奇艺、腾讯视频、优酷......可以说是数不胜数。而对于公司局域网来说，手机刷视频不但严重影响工作效率，而且是一个非常耗费网络带宽的一个行为。

本文中，我将以WSG上网行为管理为例，介绍如何在公司局域网内禁止手机刷抖音等视频。

局域网内如果有电脑感染了木马病毒，是一件让人很头疼的事情。对成百上千台电脑一台一台的进行查杀，简直就和大海捞针一样，需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展，大部分情况下最终只能一台一台的杀毒整理。

从技术原理上来说，上级部门是在网络上层部署了入侵检测系统，对网络流量进行分析，从中识别出木马病毒的特征；由于出口处做了网络地址转换，上级部门只能检测到公网IP，而无法知道实际中毒的电脑。所以，你只需要在本地局域网中部署了入侵检测，就可以检测到本地的中毒电脑的IP地址和MAC地址。然后就可以直接对电脑进行查杀了。

如下图，在WSG上网行为管理的“安全防护”-“入侵防御”中，点击“IPS检测项”，就可以看到入侵防御的各个选项。

当您有多台WSG设备时，如果有一个集中可以查看多台设备、网络状态的综合页面，是不是很有吸引力？在本文中，我将介绍如何用php调用WSG的API，来自己DIY一个集中管控平台。该平台的源代码框架如下：

1. index.htm： 定义页面结构。

2. apidemo.php：php脚本，主要是处理API的调用。

3. apidemo.js：脚本，主要处理页面的显示逻辑。

具体步骤如下：

一些企事业单位的局域网出于安全需要，必须指定的mac地址才可以联网和访问服务器资源。在本例中，我将结合WSG上网行为管理网关，来介绍如何通过客户机的MAC地址来对客户端进行身份认证，只有通过认证的客户端设备才可以访问网络资源。网络结构图如下：

作者:笨小驴 | 分类:企业网络安全方案设计 | 浏览:5728 | 评论:0

有些业务系统出于安全需要，会限制登录的IP地址，比如只允许总公司的IP访问。这种情况下，分公司如果想要访问该业务系统，也必须走总公司的宽带才可以。要实现这个需求，一般有以下解决方案：

1). 方案一：分公司的电脑先拨入总公司的VPN，走总公司线路访问外网。

2). 方案二：分公司和总公司之间组建site-to-site虚拟局域网，分公司电脑通过总部的代理服务器访问业务系统。

3). 方案三：分公司和总公司之间组建site-to-site虚拟局域网，通过在分公司的网关上指定分流访问。

方案一需要在每台电脑上都拨入VPN，配置和维护都比较麻烦；方案二需要在总部搭建代理服务器；所以相对来说方案三最为方便快捷。本例中，我将结合WSG上网行为管理网关，介绍如何通过多线均衡和VPN客户端来实现分公司走总部线路访问业务系统（方案三）。

该视频简要介绍了WSG上网行为管理的各项功能。

相对于二层交换机的网络环境，在三层交换机环境下部署上网行为管理的步骤要复杂一些，差别主要在“静态路由”和“MAC地址收集器”，还有上层防火墙的一些安全策略的影响。在本文中，我将结合一次实际的安装经历，介绍三层环境下用网桥模式部署WSG上网行为管理的一些常见问题。

1. 配置并部署网桥

本例中，网关是华为USG防火墙172.16.200.253，三层交换机是172.16.200.254，子网掩码都是255.255.255.0。既然200段IP是足够的，所以我就直接把管理口设置在网桥上面，把WSG的IP设置为172.16.200.252，网关地址和DNS是防火墙的IP地址172.16.200.253。

WFilter NGF上网行为管理系统支持“Logo修改器”扩展插件，可以实现如下功能：

1. 自定义产品名

2. 自定义产品Logo图标

3. 自定义网站链接

4. 自定义界面皮肤

该“Logo修改器”扩展插件的使用界面如下图：

采用钉钉做上网实名认证存在很多优势，比如：

1. 可以直接利用钉钉中现有的组织架构，不需要另行创建认证的账号。
   

2. 和短信认证相比，不会产生费用。

3. 电脑和手机都可以支持。

4. 可以自动获取并记录钉钉的员工姓名。

5. 可以基于钉钉员工姓名配置上网策略和统计。

在“域账号”中，我们介绍了在server 2003/2008下如何设置adclient登录注销脚本。如果您用的是server 2016之后的windows系统，配置步骤略有差异。本文将介绍如何在server 2016下配置登录注销脚本。具体步骤如下：

1. 打开组策略编辑器

右键点击“组策略管理”中域的“组策略对象”下面的“Default Domain Policy”。

很多公司出于工作需要，都会提供远程办公拨入的VPN，供员工在外地可以连接到企业内网处理工作。但是这也带来一些安全方面的隐患；所以很多情况下，我们需要对外网拨入后的访问权限进行控制。

在本例中，我将结合WSG上网行为管理网关的openvpn来介绍如何限制外网拨入后的访问权限。

网管技术人员经常需要处理网站打不开的问题，而网站打不开可能有很多原因，作为一名合格的网络技术人员，需要可以快速定位问题所在，然后加以解决。

本文中，我将介绍网站打不开的常见原因以及对应的解决方法。

1. 网站自身问题

2. DNS解析问题

3. 线路不通

4. 网络安全策略

本文将介绍如何用阿里云的短信服务来实现WiFi上网实名认证。

1. 申请阿里云账号并完成实名认证

首先你要申请一个阿里云账号，因为短信服务是需要审核的，所以账号最好要用企业为主体并且完成实名认证。如果是个人账号，那么申请短信签名和模板时，流程会复杂一些。企业主体完成实名认证后，界面是这样的：

2. 申请短信服务

然后在“产品和服务”中选择“短信服务”，并且购买适合的套餐。

在局域网内部署WSG上网行为管理后，可以对全网的上网行为进行分析、记录和统计。除了内置的一系列报表外，你还可以利用WSG的自定义报表功能，来实现更强大的统计功能。在本文中，我将介绍如何用WSG的统计报表，来对员工找工作的行为进行分析告警，从而使公司领导了解员工的工作心态，减少公司损失。

1. 首先，创建一个自定义报表。

如下图，选择“网页统计”-“网页浏览次数统计”，勾选“保存该报表”，点击保存后，再点击“设置”。

采用企业微信做上网实名认证存在很多优势，比如：

1. 可以直接利用企业微信中现有的组织架构，不需要另行创建认证的账号。
   

2. 和短信认证相比，不会产生费用。

3. 电脑和手机都可以支持。

4. 可以自动获取并记录企业微信的员工姓名。

5. 可以基于企业微信员工姓名配置上网策略和统计。

很多网络环境目前都采用光纤的连接方式，比如主交换机到其他楼层交换机采用光口连接，再从楼层交换机的RJ45电口连接到其他网络设备。这种网络环境中，很多情况下都采用透明网桥的方式部署上网行为管理。本文中，我将介绍如何把上网行为管理的透明网桥串接到光口交换机和电口交换机中间。主要有如下两种方式：

1. 采用支持光口的上网行为管理设备

如下图，以WSG-500E为例，该型号有6个千兆电口和2个千兆光口，可以把网桥创建在一个光口和一个电口上。光口接上层的汇聚交换机，电口接下面的二层交换机。

很多企事业单位需要对电脑的外网访问采用严格的控制策略，比如只允许工作网站、只允许使用163邮箱等。本文中，我将以WSG上网行为管理为例，来演示如何实现网站白名单功能。

具体的配置逻辑是：先在“应用过滤”中禁止所有的网络应用，然后再把要放行的内容加到“例外设置”里面。因为“例外设置”的优先级是最高的，这样就达到了管控的效果，被管控的终端只能访问指定

勒索软件对企业数据有着毁灭性的破坏力，而且企业中了勒索病毒后，如果没有相关的数据备份，要么承担损失，要么只能支付赎金。因此勒索软件的种类和扩散逐年递增，防御勒索软件工作成为了企业数据安全防护工作中的众矢之的。

勒索软件的传播途径和工作原理主要有两种：

1). 通过攻击windows服务器漏洞入侵到企业内网，然后再进行大面积的攻击感染。

2). 通过邮件、网站挂马、文件等方式，先感染个人电脑，然后攻击整个局域网。

WSG上网行为管理网关的“短信认证”功能，可以对网内的终端进行短信实名认证，记录手机号以及对应的上网内容。在有些情况下，用户需要指定短信认证的手机号，未授权的手机号不允许做短信认证。在本文中，我将结合WSG的短信认证功能，来介绍如何限制认证的手机号码。

1. 编辑认证页面

在“web认证”-“第三方认证”的短信认证中，点击“编辑认证页面”，可以看到认证页面信息。如下图：

企业的网络环境有很多重要信息，不能被未授权的用户访问到，也不能泄露到外网。所以，很多企业对公司的WiFi使用，都要求手机进行实名认证，只有认证过的手机才可以接入。并且记录上网内容和上网策略。本文中，我将介绍如何用WSG上网行为管理网关来实现内部手机的实名上网。

一些企事业单位出于安全考虑，需要做内外网分离。举例来说，需要达到如下的技术要求：

1. 生产网、办公网、外网三网隔离。

2. 启用网络准入，对非规定允许接入的设备禁止其接入网络。
   

3. 上网数据留存。

在本文中，我将结合WSG上网行为管理来阐述如何实现内外网分离。

WFilter NGF上网行为管理系统（WSG网关）提供了丰富的系统调用API接口，具体的API接口请参考：WFilter API接口。在本文中，我将介绍如何用WFilter的API接口来直接查询数据库。以php为例，流程如下：

1. 下载并引用WFilterNGF的php sdk。
   

2. 调用login接口，获取登录的session。

3. 调用query_db这个api接口，可以直接查询数据库。

query_db需要两个参数，第一个参数是数据库名，第二个参数是查询的sql语句。如下图：