Win10的自动更新非常的频繁,而且windows的更新很耗带宽资源。所以,如果网内的windows电脑比较多,那么一旦windows发布了新的更新包,会占用大量的网络带宽资源。
当然,windows的更新很多都是安全方面的更新,保持系统更新有助于提高终端的安全,我们并不建议关闭更新。不过,有些网络为了节省带宽资源,需要屏蔽局域网内电脑的自动更新。在没有部署上网行为管理的情况下,你需要在路由器或者网关设备上屏蔽站点“.*(officecdn|mp|updates)\.microsoft\.com“(正则表达式)和".*\.windowsupdate\.com”(正则表达式)。“windows更新”的通讯协议描述如下图:
日前,深圳市网络与信息安全信息通报中心发出紧急通告,指出目前知名远程办公工具TeamViewer已经被境外黑客组织APT41攻破,提醒企业组织做好防护措施。也就是说,APT41已经攻破TeamViewer公司的所有防护体,并取得有相关数据权限,危险等级非常高。在teamviewer官方提供解决方案和发布相关补丁之前,我们建议用户暂停teamviewer软件的使用,避免造成不必要的损失。
以下是teamviewer通讯方式介绍,以及如何用WSG上网行为管理来禁止teamviewer。
teamviewer在启动时,首先会连接teamviewer官网(http和https方式都有),来获取ID和路由信息。如果直接连接不了,teamviewer还会获取本机的代理配置,尝试通过代理服务器去连接。
teamviewer后续的点对点远程控制,大部分通过的端口是tcp 5938。也存在其他动态端口的通讯数据。
有些公司为了安全需要,只允许使用微信等指定软件,同时屏蔽所有的其他网站和软件。这样的管理需求,必须要用专业的上网行为管理产品才可以实现。以我司的WSG上网行为管理为例,只需要两条行为管理规则,即可实现该功能。配置的思路是“应用过滤屏蔽所有+例外设置开通部分应用”这两者结合的方式。下面是具体配置的步骤介绍:
如图,应用过滤添加规则,禁止所有应用的访问。
WSG上网行为管理的一些型号,如WSG-500E、WSG-XE都可以支持光口,设备接口如下图:
本文我将介绍如何来使用WSG上网行为管理的光纤接口。
IOS系统的自动更新非常耗带宽,每次IOS版本更新动辄好几个G。每次IOS推出新版本,都是对企业带宽资源的一大考验。
WFilter NGF上网行为管理系统(WSG网关)提供了丰富的系统调用API接口,具体的API接口请参考:WFilter API接口。在本文中,我将介绍如何用WFilter的API接口来直接访问统计报表系统。
如图,WFilter中有一系列的内置统计报表,您也可以自己定义需要的报表格式。
本文将介绍如何用WSG上网行为管理网关来记录局域网内的邮件收发内容。邮件收发主要有两种方式:
客户端邮件,比如outlook, foxmail,thundbird等客户端。
网页邮件,国内比较普遍的是qq和163的网页邮件。
“MAC地址认证”通过客户机的MAC地址来对客户端进行身份认证,只有通过认证的客户端设备才可以访问网络以及服务器资源。网络结构图如下:
WFilter的“SSL监控”模块,可以对https以及SSL加密的smtp/imap/pop3的内容进行解密从而记录其内容。该SSL监控模块,既可以对电脑进行管控,而且对手机一样生效。但是要不影响客户机的正常使用,首先需要在客户机上安装ca证书。电脑上安装ca证书比较简单,我们不再赘述。本文中,我将介绍如何在苹果手机(iphone)上安装SSL监控的ca证书,从而实现对iphone的SSL监控。
企业局域网由于网络环境复杂;终端数量、设备数量都比较多;经常会出现网络卡顿等故障。一旦网络变慢时,面对复杂的网络环境,网管技术人员需要迅速并且准确的诊断出问题所在,并且加以解决。本文中,我将尽量描述网络变卡变慢的常见原因以及诊断方法。大体来说,网络卡顿的原因有如下方面:
外网原因:运营商线路故障、带宽不够,路由器软硬件故障等。
内网原因:内网的设备故障、病毒攻击、网络设置等原因。
所以在断网、网络卡顿时,第一步要判断问题出在内网还是外网,然后再进行后续的诊断。
无线网络由于安全性比较低,企事业单位的无线组网需要考虑如下因素:
有线网段和无线网段互相隔离。
办公无线和访客无线也需要互相隔离。
每个网段的无线终端建议控制在150以内,避免广播风暴。
员工内网要做接入认证或者设备绑定。
对访客进行实名认证(可选)
一般采用这样的网络结构图:
WSG上网行为管理做透明网桥部署有很多优势:
即插即用,不影响现有网络。
不需要修改原有设备的配置(交换机、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使机器断电死机也不会断网。
由于政策要求和网络安全的需要,现在绝大部分的酒店无线WiFi都要求实名认证。只有实名认证过的设备才允许连接酒店的WiFi网络,并且记录和留存该终端的上网内容。
一般来说实名认证都采用短信认证的方式,由于手机号是已经经过实名认证的,记录手机号就等于是实现了实名认证上网。网络结构可以采用如下的部署方式,用一台WSG上网行为管理做主路由(也可以做透明网桥部署)。
WFilter上网行为管理,包括WFilter ICF和WFilter NGF(WSG网关),都可以对http和https的站点进行网站黑白名单控制。如图:
作者:笨小驴 | 分类:网页过滤方案 | 浏览:8968 | 评论:0
不管是企业内网的私有WiFi,还是公共WiFi网络;出于安全性需要以及相关政策法规的要求,都要对WiFi无线上网的用户进行实名认证。本文中,我将结合WSG上网行为管理网关介绍如何实现无线WiFi的实名认证。
腾讯从2014年推出的微信WiFi服务,可以用微信扫码进行认证,从而记录微信的openid。不过由于apple公司的接口调整,微信WiFi已经暂停服务。所以通过微信来进行实名认证已经不可行了。
二级路由器默认都启用了网络地址转换,会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看,只能看到路由器的IP地址。要区分二级路由下面的终端,必须把二级路由器改成AP模式(也就是无线交换机模式)。
局域网的文件泄露,主要是通过usb拷贝以及网络传输的方式。我们在企业外发文件管控方案总结一文中,已经介绍了多种管控外发文件的方案。在本文中,我将介绍利用WSG上网行为管理网关如何来有效的管控外发文件。
需要在windows电脑的组策略里面禁止配置,把“禁止安装可移动设备“修改成”已启用“即可。当然,管理员权限就不能给使用者啦,要不然再把这个策略改回去就不起作用了。
当防火墙检测到某个IP存在病毒攻击或者异常流量时,网管技术人员往往需要到电脑上面进行后续操作。而对于自动获取IP的局域网来说,如何定位IP地址的电脑位置一直是一个技术难题。如果没有好的工具,最笨的办法就是一台一台电脑进行查看,通过比对IP地址和mac地址来定位。那么还有哪些聪明一些的办法呢?
有网管交换机时,可以在网管交换机上查看arp表找到该IP地址所在的端口,然后根据端口顺藤摸瓜,从而定位电脑的物理位置。比如,在交换机上执行“disp arp”命令(不同型号的交换机命令不一样),可以得到如下结果:
在部署了上网行为管理的局域网内,总会有人想各种各样的办法来突破上网管控。常见的方法有:
IP地址盗用。
MAC地址克隆。
首先可以考虑不开放管理员权限,或者采用域控的方式禁止客户机自行修改网络设置等办法。其次也可以通过上网行为管理的管控策略来阻止这些行为。本文中,我来介绍下如何用WSG上网行为管理网关来应对IP地址盗用和MAC地址克隆。
由于视频和下载可以轻易的占用大量带宽,为了网络的稳定运行,大部分局域网都会对客户端进行一定的限速。本文中,我将介绍如何根据带宽来做限速,限速设置多少比较合理?
正常的办公上网,每个终端至少需要2Mbit的带宽才够用;平均值如果低于2Mbit需要考虑增加接入带宽。假设你有200Mbit的带宽,有50个终端,那么平均下来每个终端可以分配到4Mbit;但是考虑到不是所有人都会在同时全速下载,可以给每个终端分配8-10Mbit的带宽。如下图:
IP地址冲突一般是由于手动设置IP的原因,综合来说有如下两种可能性:
A电脑和B电脑都手工设置了同样的IP地址。
A电脑自动获取,B电脑手动设置了和A电脑一样的IP地址。
出现IP地址冲突时,通过arp -a命令,可以看到冲突对方的MAC地址。如下图:
在三层交换机环境下,由于三层交换机屏蔽了终端的实际mac地址,上层的上网行为管理在不开启“MAC地址收集器”的情况下,是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图:
在WFilter NGF(WSG上网行为管理网关)的”Web认证“配置中,可以基于IP范围来配置要进行Web认证的客户端。实际使用中,有些局域网电脑和手机无线终端都混杂在同一个网段,这种情况下,如果要只对电脑做认证,或者只对手机做认证,就不能通过IP范围来实现了。需要修改默认的认证页面,基于浏览器的useragent来获取客户端操作系统类型,并且判断是否放行(无需认证直接放行)。
如下图,点击”编辑Web认证页面”,然后点击源代码图标。
在上网行为管理如何实现钉钉扫描二维码进行Web认证登录这篇文章中,我们介绍了如何用手机钉钉扫码登录电脑。电脑在上外网之前,需要用手机钉钉扫描二维码才可以使用网络,并且记录该用户账号的上网内容。而在实际使用中,有些用户还想对手机上外网进行用户认证,从而可以识别到手机的员工姓名并记录上网日志。
本文中,我将介绍如何用手机钉钉扫码对自身手机进行Web认证。
在认证前,该手机是无法上外网的。大部分手机会自动弹出Web认证页面(也可以手动在浏览器里面打开),如下图:
WSG上网行为管理网关(WFilter NGF)的Web认证功能非常强大,可以支持多种用户名认证(本地用户、邮箱认证、域认证、Radius认证等),还可以支持短信认证、微信认证、钉钉认证等第三方认证。不过在有些情况下,用户还希望WSG可以对接第三方的Web认证界面,即通过其他的Web认证系统进行认证,而由WSG来实现上网管控和上网记录。本例中,我将介绍如何用WSG来对接第三方Web认证平台。
“Web认证”的需求是对需要管控的员工网段开启认证,一些电脑不开启认证。如图:
1. 设置要管控的IP范围
2. 设置一个合理的超时重新认证时间,1440就是每天都需要重新认证一次。
3. 领导的mac地址加到“例外的MAC地址”
