WSG上網(wǎng)行為管理的webvpn功能，可以支持釘釘掃碼登錄。要實(shí)現(xiàn)該功能，你需要有公網(wǎng)域名、固定公網(wǎng)IP地址。本文將介紹具體的配置步驟。配置主要分為兩個(gè)部分：釘釘應(yīng)用開(kāi)發(fā)平臺(tái)的配置、WSG上網(wǎng)行為管理的webvpn配置。

1. 創(chuàng)建釘釘應(yīng)用

WSG上網(wǎng)行為管理網(wǎng)關(guān)是基于WFilter NGF的上網(wǎng)行為管理硬件網(wǎng)關(guān)，上網(wǎng)認(rèn)證系統(tǒng)、入侵防御系統(tǒng)和防火墻。該設(shè)備性能強(qiáng)勁，功能豐富，有著很多特色功能，包括如下幾個(gè)方面：

1. 硬件特色

• 多個(gè)千兆萬(wàn)兆端口（不同型號(hào)有差異）

• WAN/LAN可配置

• 采用x86架構(gòu)的高性能CPU，性能遠(yuǎn)超路由器

對(duì)局域網(wǎng)進(jìn)行漏洞掃描，可以提前發(fā)現(xiàn)內(nèi)網(wǎng)的安全漏洞，比如弱密碼、系統(tǒng)漏洞、未授權(quán)訪問(wèn)等問(wèn)題；及時(shí)修復(fù)這些問(wèn)題，可以有效地避免黑客攻擊等安全事件的發(fā)生，保護(hù)企業(yè)或組織的信息資產(chǎn)安全。在本例中，我將結(jié)合WSG上網(wǎng)行為管理的“漏洞掃描”功能，介紹如何對(duì)局域網(wǎng)電腦進(jìn)行漏洞掃描，以及相應(yīng)的整改操作。

1. 添加掃描任務(wù)

在“漏洞掃描”模塊中新增掃描任務(wù)，輸入掃描的目標(biāo)網(wǎng)段，指定任務(wù)運(yùn)行的時(shí)間，保存配置。

WSG自帶的openvpn服務(wù)端集成了openvpn服務(wù)，可以讓外網(wǎng)終端撥入到公司內(nèi)部局域網(wǎng)。WSG的openvpn服務(wù)端采用了ca證書(shū)和用戶名密碼認(rèn)證雙重認(rèn)證，安全性和穿透性都很高。下面是具體的步驟介紹：

1. 開(kāi)啟openvpn服務(wù)

在“VPN-openvpn服務(wù)端”中開(kāi)啟openvpn服務(wù)，選擇用戶名認(rèn)證。推送路由里面配置的是允許外網(wǎng)訪問(wèn)的本地局域網(wǎng)網(wǎng)段，如果允許外網(wǎng)終端通過(guò)公司線路訪問(wèn)外網(wǎng)也可以在這里配置允許訪問(wèn)的外網(wǎng)網(wǎng)段。

有時(shí)候不同運(yùn)營(yíng)商之間的GRE協(xié)議是不通的，會(huì)導(dǎo)致PPTP連接不上。而L2TP工作在UDP 1701端口，和PPTP相比穿透性更強(qiáng)，而PPTP需要開(kāi)通TCP 1723和GRE協(xié)議才可以。

本例中，我將介紹WSG上網(wǎng)行為管理的L2TP的用法。如下圖：

1. 開(kāi)啟PPTP/L2TP服務(wù)端

VPN類型選擇L2TP

有些局域網(wǎng)出于安全需要，需要進(jìn)行互聯(lián)網(wǎng)接入備案。互聯(lián)網(wǎng)接入備案，也就是網(wǎng)絡(luò)準(zhǔn)入的。但是要滿足網(wǎng)監(jiān)部門的要求，還需要關(guān)注以下功能：

1. 能否進(jìn)行網(wǎng)絡(luò)準(zhǔn)入認(rèn)證？

2. 能否記錄上網(wǎng)行為、上網(wǎng)行為審計(jì)？

3. 能否提供網(wǎng)絡(luò)安全防護(hù)功能？

WSG上網(wǎng)行為管理有著強(qiáng)大的報(bào)表系統(tǒng)，可以實(shí)現(xiàn)對(duì)于網(wǎng)站訪問(wèn)、流量、工作效率、網(wǎng)絡(luò)訪問(wèn)趨勢(shì)等一系列的統(tǒng)計(jì)功能。在本文中，我將以每日流量統(tǒng)計(jì)為例，配置一個(gè)自動(dòng)發(fā)送的流量統(tǒng)計(jì)報(bào)表。

1. 新增流量統(tǒng)計(jì)報(bào)表

在“查詢統(tǒng)計(jì)”-“統(tǒng)計(jì)報(bào)表”的報(bào)表列表中，點(diǎn)擊“新增”。

WSG的入侵防御和木馬檢測(cè)模塊基于snort特征庫(kù)，可以檢測(cè)和阻止各類網(wǎng)絡(luò)攻擊，這兩個(gè)模塊會(huì)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)通信進(jìn)行檢測(cè)還原，匹配其中的木馬特征，一旦匹配到特征時(shí)就觸發(fā)告警和阻斷。

WSG上網(wǎng)行為管理通過(guò)安裝在網(wǎng)絡(luò)出口處，可以對(duì)局域網(wǎng)內(nèi)終端的上網(wǎng)行為進(jìn)行審計(jì)記錄，從而保障企事業(yè)單位的信息安全，提供一年以上的上網(wǎng)審計(jì)記錄，使上網(wǎng)行為有據(jù)可查。那么，WSG上網(wǎng)行為管理可以審計(jì)哪些內(nèi)容呢？本文將為您作詳細(xì)介紹。

1. WSG的部署位置

WSG上網(wǎng)行為審計(jì)系統(tǒng)一般部署在網(wǎng)絡(luò)出口處即可對(duì)全網(wǎng)進(jìn)行審計(jì)記錄，既可作為網(wǎng)絡(luò)的主路由器，也可以做透明網(wǎng)橋串接在路由器和交換機(jī)之間。網(wǎng)絡(luò)拓?fù)鋱D如下：

一些企事業(yè)單位為了信息安全的目的，需要在允許終端訪問(wèn)外網(wǎng)的同時(shí)屏蔽一切外發(fā)行為，即只能瀏覽和下載但是不允許外發(fā)和上傳。這個(gè)功能是比較專業(yè)的功能，需要專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以實(shí)現(xiàn)。以WSG上網(wǎng)行為管理為例，WSG上網(wǎng)行為管理中有個(gè)“智能過(guò)濾”功能，該功能會(huì)檢測(cè)所有網(wǎng)絡(luò)連接并且進(jìn)行統(tǒng)計(jì)，一旦發(fā)現(xiàn)上傳的數(shù)據(jù)量超過(guò)設(shè)置的閾值，就會(huì)禁止這個(gè)連接從而屏蔽上傳行為。如下圖所示：

甲方有些業(yè)務(wù)系統(tǒng)出于安全需要，會(huì)綁定登錄的IP地址只允許總公司的IP訪問(wèn)。這種情況下，分公司如果想要訪問(wèn)該業(yè)務(wù)系統(tǒng)，也必須走總公司的寬帶才可以。在如何實(shí)現(xiàn)分公司訪問(wèn)指定地址的時(shí)候走總部流量一文中，我們介紹了通過(guò)PPTP來(lái)實(shí)現(xiàn)分公司走總公司線路的解決方案。本文中，我將介紹Openvpn的實(shí)現(xiàn)方案，openvpn不需要GRE協(xié)議，穿透性和安全性都比PPTP要強(qiáng)大。以下是具體的配置步驟：

1. 服務(wù)端的配置

在總部的WSG上面，需要開(kāi)啟OpenVPN服務(wù)端，選擇用戶名認(rèn)證，推送路由里面既要推送總部的內(nèi)網(wǎng)網(wǎng)段，也要推送甲方系統(tǒng)的IP地址。如下圖：

網(wǎng)絡(luò)滲透攻擊會(huì)嚴(yán)重威脅到企業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。攻擊者會(huì)有針對(duì)性地對(duì)某個(gè)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊，以獲取其內(nèi)部的商業(yè)資料，進(jìn)行網(wǎng)絡(luò)破壞等。一旦其獲取了目標(biāo)網(wǎng)絡(luò)中網(wǎng)站服務(wù)器的權(quán)限，還會(huì)利用此臺(tái)服務(wù)器，繼續(xù)入侵目標(biāo)網(wǎng)絡(luò)，獲取整個(gè)網(wǎng)絡(luò)中所有主機(jī)的權(quán)限。為了實(shí)現(xiàn)滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡(jiǎn)單的Web腳本漏洞攻擊。攻擊者會(huì)綜合運(yùn)用遠(yuǎn)程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網(wǎng)絡(luò)。

防御網(wǎng)絡(luò)滲透攻擊，主要從如下方面入手：

• 采用安全的網(wǎng)絡(luò)架構(gòu)，杜絕未知接入。

• 部署網(wǎng)絡(luò)安全設(shè)備，精確識(shí)別和抵御攻擊行為。

• 配置策略阻止未知來(lái)源的網(wǎng)絡(luò)連接。

為了網(wǎng)絡(luò)安全的需要，很多企事業(yè)單位都在局域網(wǎng)內(nèi)部署了上網(wǎng)認(rèn)證系統(tǒng)。但是怎樣來(lái)選擇一套適合自己的上網(wǎng)認(rèn)證系統(tǒng)呢？我建議從以下方面來(lái)考慮：

1. 可選擇的多種認(rèn)證手段。需要和對(duì)內(nèi)部員工、來(lái)訪人員提供不同的認(rèn)證手段。
   

2. 認(rèn)證方式的選擇。如果是企業(yè)內(nèi)部員工認(rèn)證，建議用戶名密碼認(rèn)證。如果是流動(dòng)人員或者訪客，建議使用短信認(rèn)證（記錄手機(jī)號(hào)）

3. 可以和認(rèn)證集成的上網(wǎng)審計(jì)系統(tǒng)。做了認(rèn)證但是不記錄上網(wǎng)日志是沒(méi)有意義的。必須要部署和認(rèn)證系統(tǒng)集成的上網(wǎng)審計(jì)系統(tǒng)，能把上網(wǎng)記錄和認(rèn)證的用戶名關(guān)聯(lián)到一起，做到有據(jù)可查。這才是認(rèn)證的意義所在。

上網(wǎng)認(rèn)證是網(wǎng)絡(luò)安全的基礎(chǔ)，只有認(rèn)證后的終端才允許接入。對(duì)于企事業(yè)的局域網(wǎng)來(lái)說(shuō)，比較常見(jiàn)的網(wǎng)絡(luò)認(rèn)證方案包括802.1X、Web Portal認(rèn)證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認(rèn)證。由于802.1X的認(rèn)證方式需要支持802.1X的交換機(jī)設(shè)備，且配置比較復(fù)雜，對(duì)于大部分用戶來(lái)說(shuō)并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)的Web Portal認(rèn)證、第三方認(rèn)證、訪客認(rèn)證等功能。

WSG的訪客認(rèn)證主要包括三種認(rèn)證方式：

1. 短信認(rèn)證；通過(guò)短信平臺(tái)發(fā)送短信來(lái)驗(yàn)證用戶手機(jī)號(hào)，從而實(shí)現(xiàn)實(shí)名認(rèn)證的需要。

2. 微信小程序認(rèn)證；終端需要在微信小程序中授權(quán)獲取手機(jī)號(hào)，從而記錄手機(jī)號(hào)實(shí)名上網(wǎng)。

3. 二維碼認(rèn)證；終端需要把二維碼提供給審核人員，審核人員人工審核后上網(wǎng)。

WSG的短信認(rèn)證可以對(duì)網(wǎng)絡(luò)內(nèi)部終端進(jìn)行實(shí)名上網(wǎng)認(rèn)證，短信認(rèn)證的配置截圖如下：

企業(yè)在規(guī)劃網(wǎng)絡(luò)架構(gòu)時(shí)，一般都會(huì)區(qū)分員工網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)，并且實(shí)現(xiàn)不同的上網(wǎng)認(rèn)證方式，比如員工采用用戶名密碼認(rèn)證，訪客采用短信實(shí)名認(rèn)證。但是有些網(wǎng)絡(luò)由于設(shè)計(jì)缺陷，不區(qū)分內(nèi)部員工和訪客，為了實(shí)現(xiàn)上網(wǎng)認(rèn)證，需要對(duì)同一個(gè)網(wǎng)段同時(shí)啟用短信認(rèn)證和用戶名認(rèn)證。本文中，我將介紹如何同時(shí)啟用短信認(rèn)證和用戶名認(rèn)證。

通過(guò)用上網(wǎng)行為管理限制電腦的網(wǎng)絡(luò)訪問(wèn)，管控終端可以訪問(wèn)的外網(wǎng)站點(diǎn)，可以實(shí)現(xiàn)只允許終端使用指定的網(wǎng)絡(luò)軟件。請(qǐng)注意，網(wǎng)絡(luò)管控只能管控網(wǎng)絡(luò)軟件，并不能限制單機(jī)軟件。

本文中，我將以WSG上網(wǎng)行為管理為例，使終端電腦只能使用“虛幻引擎”這個(gè)軟件。

1. 首先，配置“應(yīng)用過(guò)濾”禁止所有外網(wǎng)

用WSG上網(wǎng)行為管理很容易就可以屏蔽一臺(tái)網(wǎng)絡(luò)終端訪問(wèn)外網(wǎng)，本文中，我將演示如何用WSG上網(wǎng)行為管理來(lái)配置策略禁止一臺(tái)電腦訪問(wèn)外網(wǎng)。

1. 在應(yīng)用過(guò)濾中新增策略

在“模塊”-“行為管理”-“應(yīng)用過(guò)濾”中新增策略，選擇“增加一個(gè)全新的配置”。

“公司辦公網(wǎng)，想要實(shí)現(xiàn)電腦可以登陸微信，但其他網(wǎng)站均不允許打開(kāi)。目的是允許辦公人員在電腦上使用微信，但是不允許他們?yōu)g覽網(wǎng)頁(yè)和其他與網(wǎng)絡(luò)有關(guān)的內(nèi)容。”這樣的需求，我們可以通過(guò)在局域網(wǎng)內(nèi)網(wǎng)橋部署一臺(tái)WSG上網(wǎng)管理軟件來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)結(jié)構(gòu)如下：

現(xiàn)在越來(lái)越多的企業(yè)開(kāi)始關(guān)注網(wǎng)絡(luò)安全，但是辦公網(wǎng)絡(luò)安全現(xiàn)狀還不容樂(lè)觀。首先，領(lǐng)導(dǎo)層和員工的安全意識(shí)不高。一些員工在密碼設(shè)置、郵件和文件收發(fā)等方面缺少安全意識(shí)，很容易使企業(yè)網(wǎng)絡(luò)受到攻擊和病毒感染。而且一些企業(yè)缺少網(wǎng)絡(luò)安全應(yīng)急預(yù)案，沒(méi)有做好數(shù)據(jù)備份，一旦在發(fā)生網(wǎng)絡(luò)攻擊事件時(shí)響應(yīng)遲緩造成巨大損失。其次，缺少網(wǎng)絡(luò)安全設(shè)備；一些企業(yè)網(wǎng)絡(luò)還沒(méi)有安裝防火墻和入侵檢測(cè)設(shè)備，一旦被攻擊就抵擋防御。所以，企業(yè)網(wǎng)絡(luò)安全最需要注重如下幾個(gè)方面：

網(wǎng)絡(luò)安全已經(jīng)是企業(yè)局域網(wǎng)不可忽視的安全問(wèn)題。那么企業(yè)網(wǎng)絡(luò)安全的防護(hù)技術(shù)有哪些呢？主要包括如下幾點(diǎn)：防火墻、入侵檢測(cè)和防御、DDoS防護(hù)、內(nèi)網(wǎng)上網(wǎng)管控。本文中，我將以WSG上網(wǎng)行為管理為例，介紹企業(yè)網(wǎng)絡(luò)防護(hù)技術(shù)。

1. 防火墻

防火墻是網(wǎng)絡(luò)防護(hù)的第一道門戶。企業(yè)的網(wǎng)絡(luò)防護(hù)需要對(duì)來(lái)自外網(wǎng)的訪問(wèn)進(jìn)行限制。比如：阻止外網(wǎng)訪問(wèn)防火墻，限制外網(wǎng)訪問(wèn)端口映射的IP范圍等。

電腦一旦被安裝了挖礦程序，會(huì)帶來(lái)很多危害：占用大量的電力和運(yùn)算資源、拖慢機(jī)器、感染局域網(wǎng)內(nèi)的其他終端......所以，挖礦行為目前是被各級(jí)部門明令禁止的，一旦被上級(jí)部門檢測(cè)到有挖礦行為，很可能會(huì)被阻止互聯(lián)網(wǎng)接入直至整改完成。當(dāng)接到上級(jí)部門通告時(shí)，作為網(wǎng)管人員需要怎樣去處置解決這個(gè)問(wèn)題呢？

被上級(jí)部門檢測(cè)到，一般存在如下三種情況：

1. 訪問(wèn)了礦池或者虛擬貨幣服務(wù)器的目標(biāo)IP

2. 訪問(wèn)了“挖礦”域名（HTTP/HTTPS）

3. 查詢了“挖礦”域名（DNS）

企業(yè)內(nèi)部的ERP、OA服務(wù)器很多都是通過(guò)端口映射到公網(wǎng)的，這樣就不可避免會(huì)招來(lái)攻擊。如下圖：

公司網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案是網(wǎng)絡(luò)安全的基礎(chǔ)，該方案通過(guò)對(duì)網(wǎng)絡(luò)的接入設(shè)備進(jìn)行統(tǒng)一的認(rèn)證和訪問(wèn)授權(quán)管理，以保證內(nèi)網(wǎng)的網(wǎng)絡(luò)安全。對(duì)于企業(yè)局域網(wǎng)來(lái)說(shuō)，比較常見(jiàn)的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案包括802.1X、Portal認(rèn)證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認(rèn)證。

802.1X的認(rèn)證方式需要支持802.1X的交換機(jī)設(shè)備，且配置比較復(fù)雜，對(duì)于大部分用戶來(lái)說(shuō)并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)的Portal認(rèn)證、第三方認(rèn)證等功能來(lái)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證。