笨驴信息(IMFirewall)博客

很多局域网需要向外网提供服务，比如ERP、OA系统，或者需要进行虚拟局域网组网等。而由于公网IP资源越来越紧张，大部分宽带都不能获取到公网IP；这些情况下，企业只能选择运营商的企业专线。和普通的宽带相比，企业专线有如下特点：

1. 独享带宽，速度有保障。
   

2. 可以申请固定公网IP。

不过专线的费用比较昂贵，如下图：

对于一些安全性要求比较高的局域网来说，有时候只允许客户机访问指定的网站，其他网络行为一律禁止。这时候我们就需要用到“网站白名单”功能（只允许访问下列网站）。具体的配置如下图：

1. 在网页过滤中开启“只允许访问下列网站”

“只允许访问下列网站”功能开启后，客户机只能访问允许的站点。其他网页一律访问不了。

选择应用对象和生效时间

企业微信,是腾讯微信团队为企业打造的专业办公管理工具。与微信一致的沟通体验,丰富免费的OA应用,并与微信消息、小程序、微信支付等互通,助力企业高效办公和管理。在“如何实现钉钉扫描二维码进行Web认证登录？”一文中，我们介绍了如何用钉钉扫码认证上网。而一些局域网采用的是企业微信来做办公管理。本文，我将结合WSG上网行为管理网关（WFilter NGF）中的“Web认证”功能，介绍如何利用企业微信的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势：

1. 直接用企业微信扫码登录，无需在WSG系统内创建用户。
   

2. 可以自动获取并记录企业微信的员工姓名。

3. 可以基于企业微信员工姓名配置上网策略和统计。

一些配置的步骤和截图如下：

钉钉（DingTalk）是阿里巴巴集团专为中国企业打造的免费沟通和协同的多端平台。钉钉因中国企业而生，帮助中国企业通过系统化的解决方案（微应用），全方位提升中国企业沟通和协同效率。一些局域网为了信息安全和管理需要，需要用户进行Web认证后才可以使用局域网，并且记录该用户账号的上网内容。

本文，我将结合WSG上网行为管理网关（WFilter NGF）中的“Web认证”功能，介绍如何利用钉钉的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势：

1. 直接用钉钉扫码登录，无需在WSG系统内创建用户。
   

2. 可以自动获取并记录钉钉的员工姓名。

3. 可以基于钉钉员工姓名配置上网策略和统计。

一些配置的步骤和截图如下：

在《同运营商多条外线如何做负载均衡？》一文中，我们介绍了多条外线（同一个运营商）时如何进行负载均衡。在实际使用中，很多用户的外线是不同运营商的（比如一条电信和一条移动）。对于大部分用户来说，采用《同运营商多条外线如何做负载均衡？》中的方案，即可产生多线叠加的效果。但是不同运营商多条外线直接进行均衡并不是最优化的方案，主要在于DNS的原因：“假设某终端DNS查询某域名时，获取的是运营商A的IP；而在后续访问的过程中，却会被均衡到运营商B，这样就不够优化了。”解决的方案主要涉及到两个技术：

1. 运营商分流，根据目的IP来自动选择运营商线路（即电信IP走电信线路，移动IP走移动线路）。
   

2. DNS重定向，配置DNS重定向规则来设置客户机的默认DNS（也间接决定了客户机的线路）。

1. 运营商分流

WFilter NGF（WSG）已经内置了“运营商分流”策略，基于各大运营商的IP段来选择各自的线路，如下图，点击状态标志启用这条“运营商分流”策略即可。

局域网出于带宽的需要，经常会采用多外线接入的方式，一则可以带宽叠加，提示带宽；再则还可以互为备份，一旦一条线路中断，另外一条线路可以继续使用，保障网络的正常运行。

本文将介绍如何用WFilter NGF（WSG）来实现同ISP多外线的负载均衡和线路检测。

1. 配置负载均衡

同运营商没有线路DNS的问题，可以直接进行负载均衡，在“多线均衡”模块里面，创建负载均衡的线路方案即可。如图：

局域网内的私接路由器、私接随身WiFi等行为，不但会让其他客户机绕开上网行为管理的管控，破坏局域网上网秩序；而且会干扰企业WiFi的无线信号。所以在企业局域网中，一般都是严禁私接路由器的。

在“WFilter是如何来屏蔽和禁用随身wifi的？”一文中，我们介绍了如何使用“随身WiFi和私接路由检测插件”来检测和惩罚局域网内的私接行为。该插件使用简单方便，而且功能强大；一直倍受用户喜爱。在最新版的WFilter NGF系统中（1.1.2019.03.25版本），我们已经把该插件集成到NGF的主系统中来（共享检测模块）。除了“随身WiFi和私接路由检测插件”的功能外，该共享检测模块还可以支持共享检测的历史记录查询，并且可以把检测到的客户机加入虚拟惩罚组来实现更多的管控策略。一些配置介绍如下图：

企业局域网为了业务发展需要和办公上网的需要，很多都申请了“专线+ADSL宽带”的多线接入模式。这样的模式有如下优点：

1. 既满足了固定公网IP（专线）的需要，又满足了办公上网的需要（ADSL宽带）。
   

2. 可以减少昂贵的专线投入。比如采用“10M的专线+100M的ADSL宽带”这样的结合模式，可以大大的减少专线的投入。

需要注意的是，不合理的负载均衡配置会浪费宝贵的专线资源，并且达不到良好的带宽效果。本文中，我将结合WSG网关来介绍这种情况下，如何正确的配置策略路由和负载均衡。

首先，建议采用如下的配置原则：

1. 不要把专线和ADSL做负载均衡。专线和ADSL的原理、运营商都不一样，负载均衡会把两者都拖累。

2. 专线资源是宝贵的，应该专款专用，只提供给业务主机和服务器网段。
   

3. 办公上网全部走ADSL（把专线资源用来做办公上网是极大的浪费）

以下是一些相关的配置截图：

1. 添加“电信专线100%”的线路方案

《英魂之刃》 是由网龙公司开发，由腾讯公司独家代理的全球首款微端类DOTA对战网游。游戏基于DOTA游戏特色打造，采用网龙公司独家研发的S3引擎，以浓郁的中国风、穿越古今的英雄乱斗以及快节奏的竞技对战，在短短两年内一跃成为千万活跃用户级别的MOBA人气新宠。

本文将介绍如何使用WFilter NGF（WSG网关）的“应用过滤”功能来屏蔽局域网玩《英魂之刃》。

1. 首先，确保您的特征库是最新版本。

点击“配置”->“系统“->“更新设置”里面的“立即检查更新”，可以检查更新并且把您的特征库（网址库和协议库）升级到最新版本。如果不点击，也会在每天的凌晨自动检查更新。如下图：

由于公网IP资源越来越紧张，现在很多运营商给拨号上网的用户只分配内网IP地址，如下图所示：

这样的运营商内网IP是外网不可达的（即使用动态域名也不起作用）。而企业由于业务需要，比如虚拟局域网组网、办公OA系统、ERP系统等，都需要有公网IP才可以实现。公网IP的解决，目前主要有三种方案：

1. 申请固定IP专线。稳定且速度有保障，缺点是费用高。
   

2. 云方案。把业务主机都搬到云上，直接通过云主机来访问。费用比较低，缺点是云主机不能本地维护，且搬迁工作量都不小。

3. 云主机+内网穿透方案。通过云主机做跳板来实现内网穿透，既可以复用现有的业务系统，又解决了公网IP的问题。第三种方案的成本是最低的，但是配置比较复杂。本文将对第三种方案做详细介绍。

有些企业为了信息安全需要，需要对企业的邮件收发进行监管。比如：“只允许使用公司邮箱来发邮件，且记录公司邮箱的收发内容，从而达到管理目的。”

本文中，我将介绍如何使用WFilter NGF的邮件过滤功能来对邮件的发件人进行白名单限制（只允许白名单中的邮箱发送邮件），有两个方案：

1. 禁止所有的网页邮件和客户端邮件。同时把公司邮件服务器的IP地址加到“例外设置”中。（需要公司有专门的邮件服务器）
   

2. 如果公司没有专门的邮件服务器，通过购买租用公开的邮件服务。要进行邮件过滤，则需要用到WFilter NGF中的邮件过滤模块。

本文中，我将详细介绍下第二种方式的具体步骤。

1. 只允许部分邮件收发协议

邮件收发协议，除了标准的SMTP/IMAP/POP3外，还有一些私有协议：比如Lotusnote, 网易闪电邮等。为了对邮件发件人进行过滤，需要禁止其他的私有邮件协议，只开放标准协议。如下图：

在“应用过滤”模块中，把这些邮件协议设置为允许：发送邮件（SMTP）、接收邮件（POP3）、接收邮件（IMAP）、SMTP发送带附件的邮件、SMTP发送混合格式邮件、以及SSL加密的SMTP/POP3/IMAP。

在如何对来宾用户进行上网行为管理中，我们介绍了基于VLAN或者DHCP范围来区分来访人员和普通办公人员。在本文中，我将介绍另外一种较典型的方式：“对办公人员进行IP-MAC绑定；并要求来访人员Web认证。”

首先需要在IP-MAC绑定中录入办公人员的IP和MAC地址（略）。然后再进行下述配置：

1. 设置DHCP范围

IP-MAC绑定后，办公电脑DHCP获取的都是绑定的IP地址。为了区分办公电脑和来访人员的IP地址，我们首先需要设置DHCP的范围和办公电脑绑定的IP范围区分开。

苹果（IOS）、以及一些新的andriod和windows系统，在连接网络时，会自动检测网络是否连通以及是否存在认证页面（Captive Web Portal），一旦发现网络需要认证，操作系统会自动弹出认证页面供用户进行认证。这个功能最早是在IOS上实现的，所以一些老版本的安卓系统或者windows系统并不会自动弹出认证页面。

WFilter NGF中的“Web认证”完全按照Web Portal认证的标准来实现，在WFilter NGF中开启”Web认证“后，也会存在一部分系统不能自动弹出认证页面的情况。一般有如下原因：

1. 客户机操作系统比较老旧。安卓4.0和windows 8.0之前的版本都不支持自动弹出。
   

2. 客户机的浏览器问题导致不能自动打开浏览器。
   

本文中，我将结合WSG的相关功能来介绍如何解决此问题。一般而言有三种办法，具体描述如下：

林子大了什么鸟都有，局域网内总有一些不自觉的员工违反公司条例，占用大量带宽进行下载视频之类的活动。碰到这样的情况，网管技术人员会很恼火。针对这样的情况，WFilter NGF(WSG网关）里面的“惩罚组”功能，可以临时的设置惩罚策略进行上网限制和流控。

1. 定义惩罚组限速策略

给惩罚组定义一个比较严格的限速，并且把惩罚组的策略拖动到限速策略的第一行。如下图：

现在很多下载站都优先推广高速下载器下载，一不小心就会下载一个未知内容的xxxx@xxxx.exe这样的文件。给局域网的安全带来很大的隐患。如图：

在本文中，我将介绍如何用WFilter ICF（超级嗅探狗）来禁止高速下载器的下载。

在阿里云短信认证网关的具体实现这篇文章中，我们介绍了如何使用阿里云的php sdk来实现短信认证功能。在实际使用中，有一些用户不具备开发sdk的技术能力。所以在最新版的WFilter NGF系统中，我们集成了阿里云的SDK模块。用户无需搭建SDK的web服务等环境，即可实现阿里云短信认证的功能。

本文中，我将结合阿里云短信平台来介绍WFilter NGF的短信认证功能。

1. 阿里云短信平台相关配置

首先要创建AccessKey

根据《中华人民共和国网络安全法》（第十条、第二十一条、第二十四条）、《中华人民共和国反恐怖主义法》（第十九条、第二十一条）、《计算机信息网络国际联网安全保护管理办法》(第十条、第十一条、第十二条、第十七条)、《互联网安全保护技术措施规定》(第七条、第八条、第十一条)等相关法律规定，公共无线上网场所应当落实相关网络安全保护技术措施。而从2018年11月1日开始正式施行的《公安机关互联网安全监督检查规定》（公安部令第151号），是网络安全执法检查工作与《网络安全法》的深度结合，对执法过程进行了详细的规定，使得监督检查工作做到依法检查、依法处置。简单的说，有两条需要值得我们重点关注的地方：

1. 提供WiFi上网服务的公共场所，必须落实上网实名认证。

2. 提供上网服务的公共场所，必须至少保存六十天的上网记录备份。

自从2014年腾讯推出“微信连Wi-Fi”功能以来，“微信WiFi”一度成为商业公众号的吸粉利器。手机连接WiFi即可自动打开公众号，或者扫描二维码打开公众号。既满足了客户WiFi上网，又可以满足商家涨粉的需要。

在本文中，我将介绍如何在RouterOS和WSG上网行为管理网关之间使用openvpn组建site-to-site VPN。网络拓扑图如下：

本例中，我们把WSG作为openvpn的服务端，RouterOS作为openvpn的客户端。反过来的配置也基本类似。

在本文中，我将介绍如何在RouterOS和WSG上网行为管理网关之间创建IPSec隧道。网络拓扑图如下：

本例中，我们把WSG作为IPSec的服务端，RouterOS作为IPSec的客户端。反过来的配置也基本类似。

众所周知，SSL加密的通讯数据，比如https，pops, imaps, smtps，由于在通讯过程中进行非对称加密，其数据是密文传输的；导致网络监控不能直接监控到其内容，也无法对内容中的信息进行深度过滤。作为专业的上网行为管理系统，WFilter NGF在最新版本中，新增了“SSL监控模块”。该SSL监控模块，可以充当SSL的中间人进行证书拦截，从而解析出SSL加密的数据内容。利用该模块，可以实现如下内容：

1. 记录https网站的页面内容、发帖内容。
   

2. 对https网站的访问进行深度过滤，比如禁止https网站的下载文件格式、禁止在https网页上传附件等。

3. 记录pops, imaps, smtps的邮件内容。

4. 对pops, imaps, smtps的邮件进行深度过滤，比如设置邮件发送接收黑白名单，禁止发送附件等等。

由于公网IP地址不够用，一些网络运营商只给拨号用户提供二级IP地址。换句话说，你的网关获取到的只是一个内网IP地址，在公网上是不可达的。这个事实，会给拨号上网的企业带来如下问题：

1. 无法实现依赖端口映射的业务功能。
   

2. 无法实现直接VPN组网。

在本文中，我将介绍一种通过云主机来进行中转的VPN组网方式。你只需要购买一台有固定IP地址的云主机，即可实现多地VPN组网。既节省了专线的费用，而且云主机还可以用来搭建Web服务或者其他服务。网络拓扑图如下：

WFilter NGF的“运营管理”模块，集成了用户管理、实时带宽限制、累计流量限制、用户Portal通知等功能。适合酒店、ISP等进行带宽的运营管控。在酒店网络管理、上网行为管理方案和小区宽带运营商的网络管理这两篇教程中，我们介绍了“运营管理”的基本功能。

还有一点要补充的，就是对于超流量用户的策略管控。如下图，我们增加了一个“累计带宽”策略，一旦超流量后，就会自动把用户加到“限制上网组“。

在WSG上网行为管理网关的初步设置详细教程中，我们介绍了WSG上网行为管理网关的初步设置，该文档中，我们采用了网关部署的方式。在实际使用中，网桥部署方式也极为常见；用网桥的方式来部署WSG上网行为管理，是完全透明部署，不需要修改现有的网络参数，也不需要更改路由器和交换机的配置。网络拓扑图如下：

网桥部署有如下优点：

• 不需要修改现有的网络设置。

• 无需断网，即插即用。

• 功能一样强大：上网行为记录、行为管理、流控都可以实现。

• 硬件bypass（要看具体型号），即使网桥设备掉电，也可以保证不断网。
  

1. 网桥部署的准备工作

首先需要给WSG设备分配一个静态IP地址。该IP用于远程访问WSG设备，进行Web认证等远程访问操作。需要注意如下几点：

对人员流动比较频繁的局域网来说，首要的一个问题就是要进行网络的准入认证，记录用户的身份信息和上网日志。从而使网络行为有据可查，也能满足职能部门的督察需要。WFilter NGF中的几种认证机制，优缺点比较如下：

1. 用户名密码认证。需要维护用户名密码，适合人员比较固定的网络。
   

2. 微信WiFi认证。微信WiFi的流程是打开公众号即可上网，并且记录微信的openid。适合在人员流动大的网络环境中做营销推广。

3. 手机短信认证。通过手机接收验证码来上网，记录手机号和上网记录。适合人员流动比较大的网络环境留存身份信息和上网审计记录。
   

本文中， 我将结合一个实际例子来介绍WFilter NGF（WSG网关）的短信认证功能。