笨驴信息(IMFirewall)博客

在本文中，我将介绍如何在RouterOS和WSG上网行为管理网关之间使用openvpn组建site-to-site VPN。网络拓扑图如下：

本例中，我们把WSG作为openvpn的服务端，RouterOS作为openvpn的客户端。反过来的配置也基本类似。

在本文中，我将介绍如何在RouterOS和WSG上网行为管理网关之间创建IPSec隧道。网络拓扑图如下：

本例中，我们把WSG作为IPSec的服务端，RouterOS作为IPSec的客户端。反过来的配置也基本类似。

众所周知，SSL加密的通讯数据，比如https，pops, imaps, smtps，由于在通讯过程中进行非对称加密，其数据是密文传输的；导致网络监控不能直接监控到其内容，也无法对内容中的信息进行深度过滤。作为专业的上网行为管理系统，WFilter NGF在最新版本中，新增了“SSL监控模块”。该SSL监控模块，可以充当SSL的中间人进行证书拦截，从而解析出SSL加密的数据内容。利用该模块，可以实现如下内容：

1. 记录https网站的页面内容、发帖内容。
   

2. 对https网站的访问进行深度过滤，比如禁止https网站的下载文件格式、禁止在https网页上传附件等。

3. 记录pops, imaps, smtps的邮件内容。

4. 对pops, imaps, smtps的邮件进行深度过滤，比如设置邮件发送接收黑白名单，禁止发送附件等等。

由于公网IP地址不够用，一些网络运营商只给拨号用户提供二级IP地址。换句话说，你的网关获取到的只是一个内网IP地址，在公网上是不可达的。这个事实，会给拨号上网的企业带来如下问题：

1. 无法实现依赖端口映射的业务功能。
   

2. 无法实现直接VPN组网。

在本文中，我将介绍一种通过云主机来进行中转的VPN组网方式。你只需要购买一台有固定IP地址的云主机，即可实现多地VPN组网。既节省了专线的费用，而且云主机还可以用来搭建Web服务或者其他服务。网络拓扑图如下：

WFilter NGF的“运营管理”模块，集成了用户管理、实时带宽限制、累计流量限制、用户Portal通知等功能。适合酒店、ISP等进行带宽的运营管控。在酒店网络管理、上网行为管理方案和小区宽带运营商的网络管理这两篇教程中，我们介绍了“运营管理”的基本功能。

还有一点要补充的，就是对于超流量用户的策略管控。如下图，我们增加了一个“累计带宽”策略，一旦超流量后，就会自动把用户加到“限制上网组“。

在WSG上网行为管理网关的初步设置详细教程中，我们介绍了WSG上网行为管理网关的初步设置，该文档中，我们采用了网关部署的方式。在实际使用中，网桥部署方式也极为常见；用网桥的方式来部署WSG上网行为管理，是完全透明部署，不需要修改现有的网络参数，也不需要更改路由器和交换机的配置。网络拓扑图如下：

网桥部署有如下优点：

• 不需要修改现有的网络设置。

• 无需断网，即插即用。

• 功能一样强大：上网行为记录、行为管理、流控都可以实现。

• 硬件bypass（要看具体型号），即使网桥设备掉电，也可以保证不断网。
  

1. 网桥部署的准备工作

首先需要给WSG设备分配一个静态IP地址。该IP用于远程访问WSG设备，进行Web认证等远程访问操作。需要注意如下几点：

对人员流动比较频繁的局域网来说，首要的一个问题就是要进行网络的准入认证，记录用户的身份信息和上网日志。从而使网络行为有据可查，也能满足职能部门的督察需要。WFilter NGF中的几种认证机制，优缺点比较如下：

1. 用户名密码认证。需要维护用户名密码，适合人员比较固定的网络。
   

2. 微信WiFi认证。微信WiFi的流程是打开公众号即可上网，并且记录微信的openid。适合在人员流动大的网络环境中做营销推广。

3. 手机短信认证。通过手机接收验证码来上网，记录手机号和上网记录。适合人员流动比较大的网络环境留存身份信息和上网审计记录。
   

本文中， 我将结合一个实际例子来介绍WFilter NGF（WSG网关）的短信认证功能。

企业为了满足出差人员，在家人员的办公需要，往往需要开通远程办公功能。使得员工可以通过互联网连接到公司内网进行工作。在WFilter NGF中，“OpenVPN服务端“和“PPTP服务端”这两个模块都可以满足远程办公的需要。相对而言，OpenVPN的配置复杂，但是安全性更高一些。

本例中，我将演示如何用WFilter NGF的OpenVPN服务端模块来实现远程办公。

企业微信是腾讯微信团队为企业打造的专业办公管理工具，现在很多企业用企业微信来进行办公沟通。但是一些企业开通了微信后，却发现员工会花大量时间用在个人微信聊天、朋友圈上面。所以，为了不影响工作效率，在使用企业微信的同时还需要禁止个人微信的使用。

本文将介绍如何用WSG上网行为管理网关来实现“允许企业微信的同时屏蔽个人微信”。

很多企业为了工作需要都申请了多WAN接入。而大部分的多WAN口设备在默认配置下都是直接负载均衡；以WSG上网行为管理网关为例，默认配置是这样的：

1. 运营商分流。电信网站的访问会优先走电信线路，联通站点优先走联通线路。
   

2. 负载均衡。根据wan口的带宽大小进行负载均衡。

在企业的网络内部有着很多重要的IT资源，比如：OA服务器、ERP服务器等，这些业务主机一旦停止工作或者被攻击，会直接影响业务的正常运行，带来重大损失。在有线网络的情况下，安全性还是比较可靠的。而现阶段绝大部分企业都提供了无线上网；客户机只要知道了无线密码，就可以接入企业的局域网，导致安全隐患。而关键的一点在于你的无线密码并不安全：

1. aircrack等软件可以对无线密码进行暴力破解。
   

2. 一旦有员工安装了wifi钥匙等软件，你的无线就等于是公开的。

3. 访客网络和办公网络分开的方式，并不能阻止访客连接办公网络。（访客可以直接询问密码，或者通过wifi钥匙等软件接入）
   

HTTPS（HTTP over SSL）由于其通讯协议的特殊性，域名信息和访问的URL等都处于SSL加密保护下；所以大部分的路由器系统都无法对https网站的域名进行过滤和屏蔽。而诸如WFilter这样的专业级上网行为管理产品，则可以对流量进行深度分析，并提取出https通讯中的域名信息，从而进行过滤屏蔽。

如下图，WFilter可以提取出网站证书中的域名信息。

由于无线的便利性，越来越多的企业局域网采用无线办公的方式。而因为无线网络的特殊性，如果缺乏上网行为管理和流控手段，会导致无线缓慢、网络不可用等情况。而且无线网络更加容易产生广播风暴。所以，在WiFi无线局域网中部署上网行为管理和流控是非常必要的。

本文中，我就将来介绍WiFi局域网的上网行为管理方案。

1. 常用的网络拓扑

1. 首先，由于无线路由器的稳定性不高，所以主路由不推荐用无线设备。可以用一台有线路由器做网关，后面串接上网行为管理设备。或者直接用上网行为管理做网关。
   

2. 推荐采用瘦AP的组网方式。通过AC控制器统一管理。

钉钉作为一个免费智能移动办公平台，受到很多公司的欢迎。但是对于网络权限设置比较严格的局域网来说，如何开放钉钉一直是一个难题。之前钉小密给了个局域网需要白名单的一些IP段，参见：https://tieba.baidu.com/p/4358596988 ，但是根据我们的测试，文中的IP段并不能覆盖钉钉需要的IP范围。而且在钉钉的官网已经找不到官方的相关文档了。

为了放行钉钉，我们技术人员做了相关测试。本文，我就来介绍下在WSG上网行为管理网关中如何放行钉钉。钉钉的使用需要通过https访问钉钉相关的网站，另外还有自己的通讯协议（端口443）。所以要放行钉钉，我们需要放行DNS、钉钉和TLS这三个协议。如下图：

合理的IP地址分配是网络安全和网络管理的基础，IP地址管理直接影响着企业员工的工作效率及企业的信息安全。

1. 行政管理方法

首先，应当以行政命令的方式规定IP地址管理的权限、流程，以及相应的惩罚手段。如以下这个例子：

广播风暴和网络环路，虽然两者的原理不一样，但是其物理表现却比较相似：“交换机灯狂闪，同时内网丢包或者ping值变高。”作为一名网管，需要可以迅速判断故障的原因，从而制定不同的解决方案。两者的主要差别如下：

1. 广播风暴只在特定的条件下出现，所以广播风暴是不持续的。而环路是持续存在的。
   

2. 广播风暴由局域网架构的缺陷导致，而网络环路属于网络故障。

3. 网络环路对网络的影响比较大，丢包和ping值都要比广播风暴严重的多。

4. 广播风暴需要通过划分VLAN来解决。网络环路只需要拔掉环路设备或者网线即可。

有经验的网管，还可以通过抓包来区别风暴和环路。如果你不会抓包分析，也可以总结故障出现的规律来进行判断。下面我再介绍下WFilter里面的网络健康度检测插件是如何区分广播风暴和环路的。

在微信需要多大带宽？微信的最低带宽要求 这篇文章中，我们测试了微信的最低带宽要求。今天我们再来测试下手机QQ的最低带宽要求。具体的测试步骤如下：

1. 不做任何限速

如下图，不做任何限速，打开手机QQ带宽占用只有几KB；不过在发送文件时，带宽占用上升到80KBps。

微信目前已经成为一个不可或缺的通讯工具。在带宽有限的情况下，要保证微信的正常使用，究竟需要多大的带宽呢？为了研究此问题，我们做了如下的测试。

1. 不做任何限速

如上图所示，微信的初始化大概占用了50KBps的带宽，而发送文字消息的带宽占用则小于1kBps。

我们一般把WSG上网行为管理的使用分为三个步骤：安装部署、基本配置、策略配置。

1. 安装部署：把设备安装到网络中，使网络能正常工作。
   

2. 基础配置：DHCP和VLAN设置、防火墙策略、端口映射、分组设置等基本配置。

3. 策略配置：上网行为的审计策略、过滤策略、查询和报表等功能和配置。

在本文中，我将介绍WSG网关的安装部署的具体步骤。用户拿到设备后，按此步骤即可完成安装部署工作，并且开通远程管理访问。使技术人员可以进行远程协助配置。

来宾用户、流动人员比较多的局域网，如果不对来宾上网进行管控，不但会占用企业带宽资源，还会带来安全隐患和政策风险。对于企业环境来说，一般推荐来宾和办公网络采用不同的无线SSID，分开进行管控。具体方案如下：

1. 来宾和办公网络采用不同的无线SSID。
   

2. 对来宾和办公采用不同的限速和行为管理策略。

3. 来宾和办公网络采用不同的VLAN，并且不允许来宾访问公司内网。

4. 不但要设置不同的无线密码，而且需要进行IP-MAC绑定等策略，禁止来宾用户接入到办公网络。

对于企业局域网来说，一个合理的IP地址分配是网络安全和网络管理的基础，IP地址管理的好坏直接影响着企业员工的工作效率及企业的信息安全。
局域网的IP地址分配，需要考虑到如下方面：

1. 服务器的IP地址段和办公电脑的IP地址段要区分开。

2. 手机、pad等移动设备需要自动获取IP。

3. 无线由于安全性比较低，一般需要用VLAN进行隔离。

4. 每个网段的客户机数量不宜过多，有线250以内，无线150以内比较合理。否则会引起网络风暴。
   

下面是我总结的企业局域网IP地址分配方案，希望能对大家有帮助。

现在无线组网越来越普遍，但是不合理的组网方案，往往会导致无线接入缓慢、网络卡的情况。根据我们的经验和抓包分析，由于无线设备（包括AP、AC等）在通讯过程会更多的依赖广播包，非常容易出现广播风暴。无线网络的稳定运行，请注意如下几点：

1. 首先要合理的进行AP布局，保证无线信号强度、并且避免无线信号的互相干扰。

2. 合理的VLAN划分。无线设备的广播包比较多，非常容易产生广播风暴。一个VLAN容纳的无线设备要控制在200以内。

3. 主路由网关的性能要强劲，并且设置上网行为管理策略和流控策略。
   

4. 定期检测广播风暴等网络问题

某企业由于网络架设比较早，网络设备和网络结构已经不再适合当前的网络需要。为了更好的实现网络管理和信息安全的需要，提出了如下升级改造需求：

1. 带宽扩容，采用两条宽带接入。
   

2. 内网需要划分不同的VLAN，分为办公、监控、生产几大网段。

3. 内网客户机需要进行严格的IP-MAC绑定，只有绑定后的设备才可以接入。

4. 全网上网行为审计记录。

5. 部署上网行为管理策略，建立上网秩序。

对于局域网而言，断网基本上都是灾难性的，领导、同事立刻唉声占道、催个不停。作为一名网络管理人员，不可避免经常会碰到断网的情况。保持冷静的头脑，迅速的定位问题所在，可以说是一个网管必备的基本素养。

本文中，我将介绍几条dos下的命令，掌握好这几条命令，一分钟内就可以定位断网原因。