笨驴信息(IMFirewall)博客

很多网络环境目前都采用光纤的连接方式，比如主交换机到其他楼层交换机采用光口连接，再从楼层交换机的RJ45电口连接到其他网络设备。这种网络环境中，很多情况下都采用透明网桥的方式部署上网行为管理。本文中，我将介绍如何把上网行为管理的透明网桥串接到光口交换机和电口交换机中间。主要有如下两种方式：

1. 采用支持光口的上网行为管理设备

如下图，以WSG-500E为例，该型号有6个千兆电口和2个千兆光口，可以把网桥创建在一个光口和一个电口上。光口接上层的汇聚交换机，电口接下面的二层交换机。

很多企事业单位需要对电脑的外网访问采用严格的控制策略，比如只允许工作网站、只允许使用163邮箱等。本文中，我将以WSG上网行为管理为例，来演示如何实现网站白名单功能。

具体的配置逻辑是：先在“应用过滤”中禁止所有的网络应用，然后再把要放行的内容加到“例外设置”里面。因为“例外设置”的优先级是最高的，这样就达到了管控的效果，被管控的终端只能访问指定

勒索软件对企业数据有着毁灭性的破坏力，而且企业中了勒索病毒后，如果没有相关的数据备份，要么承担损失，要么只能支付赎金。因此勒索软件的种类和扩散逐年递增，防御勒索软件工作成为了企业数据安全防护工作中的众矢之的。

勒索软件的传播途径和工作原理主要有两种：

1). 通过攻击windows服务器漏洞入侵到企业内网，然后再进行大面积的攻击感染。

2). 通过邮件、网站挂马、文件等方式，先感染个人电脑，然后攻击整个局域网。

WSG上网行为管理网关的“短信认证”功能，可以对网内的终端进行短信实名认证，记录手机号以及对应的上网内容。在有些情况下，用户需要指定短信认证的手机号，未授权的手机号不允许做短信认证。在本文中，我将结合WSG的短信认证功能，来介绍如何限制认证的手机号码。

1. 编辑认证页面

在“web认证”-“第三方认证”的短信认证中，点击“编辑认证页面”，可以看到认证页面信息。如下图：

企业的网络环境有很多重要信息，不能被未授权的用户访问到，也不能泄露到外网。所以，很多企业对公司的WiFi使用，都要求手机进行实名认证，只有认证过的手机才可以接入。并且记录上网内容和上网策略。本文中，我将介绍如何用WSG上网行为管理网关来实现内部手机的实名上网。

一些企事业单位出于安全考虑，需要做内外网分离。举例来说，需要达到如下的技术要求：

1. 生产网、办公网、外网三网隔离。

2. 启用网络准入，对非规定允许接入的设备禁止其接入网络。
   

3. 上网数据留存。

在本文中，我将结合WSG上网行为管理来阐述如何实现内外网分离。

WFilter NGF上网行为管理系统（WSG网关）提供了丰富的系统调用API接口，具体的API接口请参考：WFilter API接口。在本文中，我将介绍如何用WFilter的API接口来直接查询数据库。以php为例，流程如下：

1. 下载并引用WFilterNGF的php sdk。
   

2. 调用login接口，获取登录的session。

3. 调用query_db这个api接口，可以直接查询数据库。

query_db需要两个参数，第一个参数是数据库名，第二个参数是查询的sql语句。如下图：

在如何用OpenVPN实现远程办公？一文中，我们介绍了如何用openvpn 2.4.7版本拨入WSG。在本文中，我将介绍如何用openvpn connnect3.2.3来拨入WSG的openvpn。最新版本的openvpn connect更加好用，而且支持开机自动启动。

Openvpn服务端的配置过程不再赘述，请参考前文：如何用OpenVPN实现远程办公？下面只介绍openvpn connect的安装部分：

1. 安装openvpn connect

WSG的Openvpn服务端模块，主要用于远程办公拨入和多地组网。Openvpn拨入后，在默认配置情况下，只有“推送路由”的访问才会走vpn隧道。客户端的外网数据仍然走的是自己的外网线路。在有些情况下，你可能需要让openvpn客户端的所有外网数据都经过vpn连接。要实现此功能，需要一系列的步骤，具体步骤如下：

有些单位出于网络安全的需要，只允许使用公司的邮箱来收发邮件；其余的邮件方式一律屏蔽掉。在本文中，我将介绍如何用“WSG上网行为管理”来进行相关策略的配置。具体步骤如下：

出于安全目的和相关政策要求，大部分WiFi都需要对WiFi终端进行上网实名认证，并且保留一定时间内终端的上网记录。实名认证目前主要都是通过短信认证来实现。在本文中，我将介绍如何用微信小程序来实现WiFi上网实名认证。微信小程序做上网实名认证具备如下优势：

1. 配置简单快捷。
   

2. 无需依赖其他平台。

3. 不产生任何费用。

相关的配置步骤如下：

企业的内网存放着很多重要信息，比如公司的技术资料、客户信息等。一旦发生信息泄露，会给企业带来不可估计的损失。信息安全是系统工程，涉及到管理行政手段，文件加密技术、网络安全技术等各方面。本文中，我将从网络架构的角度，来论述如何保障内网的信息安全。主要涉及到如下两点：

1. 如何防范非法接入？

2. 如何保障重要信息的安全？

酒店和宾馆WiFi出于安全目的和政策要求，需要对WiFi终端进行上网实名认证，并且保留终端上网的上网记录。WSG上网行为管理网关，既可以满足上网日志的记录，又可以实现上网实名认证，是公共WiFi上网行为管理的首选产品。在本文中，我将介绍如何结合客户实际的网络环境来部署WSG上网行为管理网关。主要包括如下步骤：

1. WSG上网行为管理的部署
   

2. 上网日志的保留天数

3. 开启实名认证

4. 制作实名认证的二维码

局域网内部有一些查询资料的公共电脑，一般是多人使用。出于安全考虑，需要记录每个人的上网记录。WFilter NGF（WSG网关）默认配置就可以记录上网内容，但是因为公共电脑人员不固定，所以需要配合Web认证。本文中，我将介绍如何用Web认证来对内网公共电脑进行实名上网记录。

内部的实名认证，主要有如下方式：

1. 用户名密码认证。可以在“账号管理”里面添加账号；如果公司有现成的AD域、企业邮箱、Radius等；也可以配置WSG到域/radius/邮箱认证。
   

2. 钉钉认证、企业微信认证。可以直接用手机钉钉app或者手机微信app扫码认证。

很多情况下，局域网内部的一些终端，比如领导电脑、移动pos机、内网服务器等，需要不加限制的访问外网（即不受到任何上网行为策略的管控）。在WFilter NGF（WSG上网行为管理）中，我们主要通过“例外设置”来实现。本例中，我将介绍如何用例外设置来实现终端白名单的功能。

WFilter NGF（WSG上网行为管理）的WebVPN功能，既可以支持用户名密码认证登录，还可以支持钉钉扫码和企业微信扫码登录。WebVPN的用户验证方式如下图：

在本文中，我将介绍如何给WebVPN添加钉钉扫码认证和企业微信扫码认证功能。

WSG上网行为管理的“事件查看器”中记录了一系列的事件、告警以及错误信息，包括操作日志、wan口联通状况、入侵攻击事件、以及自定义的关键词告警、流量告警和新增设备告警等事件日志。传统的邮件告警方式已经越来不能满足实时通知的需要。在本文中，我将介绍如何利用企业微信机器人来实现事件日志的实时发送。具体步骤如下：

1. 创建企业微信机器人

在手机版的企业微信群聊中，添加群机器人，并记录webhook的URL地址。如下图：

WSG的“事件查看器”中记录了一系列的事件、告警以及错误信息，包括操作日志、wan口联通状况、入侵攻击事件、以及自定义的关键词告警、流量告警和新增设备告警等事件日志。传统的邮件告警方式已经越来不能满足实时通知的需要。在本文中，我将介绍如何利用钉钉机器人来实现事件日志的实时发送。具体步骤如下：

1. 添加钉钉机器人

首先需要在钉钉pc版的群助手里面添加机器人

ZeroTier可以在无公网IP的情况下提供便捷的虚拟局域网组网和内网穿透方案。简单来说, ZeroTier就是一个VLAN组建工具，主要有如下的优势和缺点：

• 配置非常简单，只需要在官网创建Network。客户端直接加入Network即可。

• 跨平台: ZeroTier提供了windows, macOS, linux, Android, iOS...几乎全平台的客户端, 你可以把任意平台的设备接入VLAN。

• 免费可以支持100个设备组网。
  

• 缺点：官网只提供英文，没有中文版。

本文中，我将结合WSG上网行为管理网关，介绍如何用ZeroTier来实现远程办公拨入和内网穿透。

在企事业的WiFi环境中，需要对手机的上网进行实名管理，记录上网内容并且设置一定的管理策略。本文中，我将介绍如何用WSG上网行为管理网关来对WiFi手机上网进行实名管理。

手机的上网实名认证，主要包括如下方法：

1. MAC绑定；把手机的MAC地址绑定到姓名。

2. 短信认证；通过短信认证来获取手机号，基于手机号进行实名。

3. 用户名密码认证；手机上网时需要输入用户名密码，从而认证到每个人。

4. 二维码认证；由审核员扫描二维码进行审核并且录入姓名。

5. 钉钉、企业微信认证；用钉钉app和企业微信app扫码认证上网。
   

6. 微信小程序认证；通过微信小程序获取手机号码，从而实现实名上网。
   

每个方法各有优缺点，用户可以基于实际情况选择合适的认证方式。

不加管控的局域网下载，不但会占用大量的带宽资源，而且下载不明类型的软件程序等会给局域网来的病毒等危害。在本文中，我将结合WSG上网行为管理网关，来介绍如何屏蔽局域网的下载行为。

下载行为的管控，主要从以下几个方面来入手：

1. 屏蔽各类下载站的访问。

2. 屏蔽各类下载工具、P2P下载软件等。

3. 禁止网盘等文件传输。

4. 屏蔽网页上的文件下载。

企业的无线网络经常会迎来一些访客，如果对访客不进行用户实名认证和上网记录，则会给企业的网络带来一定的风险。WSG的WiFi上网实名认证，可以支持“用户名密码认证”“短信认证”、“钉钉认证”、“企业微信认证”。

网络安全现在已经是互联网领域的重要问题，网络安全引发的事故也一直呈上升趋势。中小企业虽然网络环境比较简单，但是一样会受到网络安全的威胁。如果不注重网络安全，往往会导致企业的重大损失。下面我们就一起来看看中小企业面临的常见网络安全威胁：

企业出于工作的需要，一般会映射一些内网主机供外网访问。比如：ERP系统、财务系统、CRM系统，甚至一些内网主机的远程桌面等等。分公司、出差员工在外网通过互联网就可以访问到内网资源，给工作带来了很大的便利。但是，不加限制和保护的端口映射访问，给网络安全带来了很大的挑战。

端口映射的内网主机安全，主要考虑如下几点：

1. 被映射的内网主机要安装防火墙，并且确保已经打了各项安全补丁。

2. 限制访问端的IP地址，阻止从其他地区连入。一般可以在网关防火墙上进行配置，限制能访问映射主机的IP地址。

3. 避免常用的端口。比如你用默认的3389端口，那么攻击程序立刻就知道这是远程桌面服务，从而就可以采用对应的渗透手动来攻击。采用一些不常用的端口可以起到一定的保护作用。

4. 部署入侵防御，一旦发现外网攻击时，可以及时阻止攻击者的IP地址。从而保护内网主机。

近年来公安部持续推出护网行动，以战养兵，推进关键信息基础设施的安全监测、应急响应等保障能力。为积极响应护网行动，做好安全防守工作；本文中，我将结合WSG上网行为管理网关来介绍网络边界的安全防护工作。服务器安全、内网安全并不在本文讨论的课题内。