本文將介紹如何用阿里云的短信服務來實現WiFi上網實名認證。
1. 申請阿里云賬號并完成實名認證
首先你要申請一個阿里云賬號,因為短信服務是需要審核的,所以賬號最好要用企業為主體并且完成實名認證。如果是個人賬號,那么申請短信簽名和模板時,流程會復雜一些。企業主體完成實名認證后,界面是這樣的:
2. 申請短信服務
然后在“產品和服務”中選擇“短信服務”,并且購買適合的套餐。
本文將介紹如何用阿里云的短信服務來實現WiFi上網實名認證。
首先你要申請一個阿里云賬號,因為短信服務是需要審核的,所以賬號最好要用企業為主體并且完成實名認證。如果是個人賬號,那么申請短信簽名和模板時,流程會復雜一些。企業主體完成實名認證后,界面是這樣的:
然后在“產品和服務”中選擇“短信服務”,并且購買適合的套餐。
在局域網內部署WSG上網行為管理后,可以對全網的上網行為進行分析、記錄和統計。除了內置的一系列報表外,你還可以利用WSG的自定義報表功能,來實現更強大的統計功能。在本文中,我將介紹如何用WSG的統計報表,來對員工找工作的行為進行分析告警,從而使公司領導了解員工的工作心態,減少公司損失。
如下圖,選擇“網頁統計”-“網頁瀏覽次數統計”,勾選“保存該報表”,點擊保存后,再點擊“設置”。
采用企業微信做上網實名認證存在很多優勢,比如:
可以直接利用企業微信中現有的組織架構,不需要另行創建認證的賬號。
和短信認證相比,不會產生費用。
電腦和手機都可以支持。
可以自動獲取并記錄企業微信的員工姓名。
可以基于企業微信員工姓名配置上網策略和統計。
很多網絡環境目前都采用光纖的連接方式,比如主交換機到其他樓層交換機采用光口連接,再從樓層交換機的RJ45電口連接到其他網絡設備。這種網絡環境中,很多情況下都采用透明網橋的方式部署上網行為管理。本文中,我將介紹如何把上網行為管理的透明網橋串接到光口交換機和電口交換機中間。主要有如下兩種方式:
如下圖,以WSG-500E為例,該型號有6個千兆電口和2個千兆光口,可以把網橋創建在一個光口和一個電口上。光口接上層的匯聚交換機,電口接下面的二層交換機。
很多企事業單位需要對電腦的外網訪問采用嚴格的控制策略,比如只允許工作網站、只允許使用163郵箱等。本文中,我將以WSG上網行為管理為例,來演示如何實現網站白名單功能。
具體的配置邏輯是:先在“應用過濾”中禁止所有的網絡應用,然后再把要放行的內容加到“例外設置”里面。因為“例外設置”的優先級是最高的,這樣就達到了管控的效果,被管控的終端只能訪問指定
勒索軟件對企業數據有著毀滅性的破壞力,而且企業中了勒索病毒后,如果沒有相關的數據備份,要么承擔損失,要么只能支付贖金。因此勒索軟件的種類和擴散逐年遞增,防御勒索軟件工作成為了企業數據安全防護工作中的眾矢之的。
勒索軟件的傳播途徑和工作原理主要有兩種:
1). 通過攻擊windows服務器漏洞入侵到企業內網,然后再進行大面積的攻擊感染。
2). 通過郵件、網站掛馬、文件等方式,先感染個人電腦,然后攻擊整個局域網。
WSG上網行為管理網關的“短信認證”功能,可以對網內的終端進行短信實名認證,記錄手機號以及對應的上網內容。在有些情況下,用戶需要指定短信認證的手機號,未授權的手機號不允許做短信認證。在本文中,我將結合WSG的短信認證功能,來介紹如何限制認證的手機號碼。
在“web認證”-“第三方認證”的短信認證中,點擊“編輯認證頁面”,可以看到認證頁面信息。如下圖:
企業的網絡環境有很多重要信息,不能被未授權的用戶訪問到,也不能泄露到外網。所以,很多企業對公司的WiFi使用,都要求手機進行實名認證,只有認證過的手機才可以接入。并且記錄上網內容和上網策略。本文中,我將介紹如何用WSG上網行為管理網關來實現內部手機的實名上網。
一些企事業單位出于安全考慮,需要做內外網分離。舉例來說,需要達到如下的技術要求:
生產網、辦公網、外網三網隔離。
啟用網絡準入,對非規定允許接入的設備禁止其接入網絡。
上網數據留存。
在本文中,我將結合WSG上網行為管理來闡述如何實現內外網分離。
WFilter NGF上網行為管理系統(WSG網關)提供了豐富的系統調用API接口,具體的API接口請參考:WFilter API接口。在本文中,我將介紹如何用WFilter的API接口來直接查詢數據庫。以php為例,流程如下:
下載并引用WFilterNGF的php sdk。
調用login接口,獲取登錄的session。
調用query_db這個api接口,可以直接查詢數據庫。
query_db需要兩個參數,第一個參數是數據庫名,第二個參數是查詢的sql語句。如下圖:
在如何用OpenVPN實現遠程辦公?一文中,我們介紹了如何用openvpn 2.4.7版本撥入WSG。在本文中,我將介紹如何用openvpn connnect3.2.3來撥入WSG的openvpn。最新版本的openvpn connect更加好用,而且支持開機自動啟動。
Openvpn服務端的配置過程不再贅述,請參考前文:如何用OpenVPN實現遠程辦公?下面只介紹openvpn connect的安裝部分:
WSG的Openvpn服務端模塊,主要用于遠程辦公撥入和多地組網。Openvpn撥入后,在默認配置情況下,只有“推送路由”的訪問才會走vpn隧道。客戶端的外網數據仍然走的是自己的外網線路。在有些情況下,你可能需要讓openvpn客戶端的所有外網數據都經過vpn連接。要實現此功能,需要一系列的步驟,具體步驟如下:
有些單位出于網絡安全的需要,只允許使用公司的郵箱來收發郵件;其余的郵件方式一律屏蔽掉。在本文中,我將介紹如何用“WSG上網行為管理”來進行相關策略的配置。具體步驟如下:
出于安全目的和相關政策要求,大部分WiFi都需要對WiFi終端進行上網實名認證,并且保留一定時間內終端的上網記錄。實名認證目前主要都是通過短信認證來實現。在本文中,我將介紹如何用微信小程序來實現WiFi上網實名認證。微信小程序做上網實名認證具備如下優勢:
配置簡單快捷。
無需依賴其他平臺。
不產生任何費用。
相關的配置步驟如下:
企業的內網存放著很多重要信息,比如公司的技術資料、客戶信息等。一旦發生信息泄露,會給企業帶來不可估計的損失。信息安全是系統工程,涉及到管理行政手段,文件加密技術、網絡安全技術等各方面。本文中,我將從網絡架構的角度,來論述如何保障內網的信息安全。主要涉及到如下兩點:
如何防范非法接入?
如何保障重要信息的安全?
酒店和賓館WiFi出于安全目的和政策要求,需要對WiFi終端進行上網實名認證,并且保留終端上網的上網記錄。WSG上網行為管理網關,既可以滿足上網日志的記錄,又可以實現上網實名認證,是公共WiFi上網行為管理的首選產品。在本文中,我將介紹如何結合客戶實際的網絡環境來部署WSG上網行為管理網關。主要包括如下步驟:
WSG上網行為管理的部署
上網日志的保留天數
開啟實名認證
制作實名認證的二維碼
局域網內部有一些查詢資料的公共電腦,一般是多人使用。出于安全考慮,需要記錄每個人的上網記錄。WFilter NGF(WSG網關)默認配置就可以記錄上網內容,但是因為公共電腦人員不固定,所以需要配合Web認證。本文中,我將介紹如何用Web認證來對內網公共電腦進行實名上網記錄。
內部的實名認證,主要有如下方式:
用戶名密碼認證。可以在“賬號管理”里面添加賬號;如果公司有現成的AD域、企業郵箱、Radius等;也可以配置WSG到域/radius/郵箱認證。
釘釘認證、企業微信認證。可以直接用手機釘釘app或者手機微信app掃碼認證。
很多情況下,局域網內部的一些終端,比如領導電腦、移動pos機、內網服務器等,需要不加限制的訪問外網(即不受到任何上網行為策略的管控)。在WFilter NGF(WSG上網行為管理)中,我們主要通過“例外設置”來實現。本例中,我將介紹如何用例外設置來實現終端白名單的功能。
WFilter NGF(WSG上網行為管理)的WebVPN功能,既可以支持用戶名密碼認證登錄,還可以支持釘釘掃碼和企業微信掃碼登錄。WebVPN的用戶驗證方式如下圖:
在本文中,我將介紹如何給WebVPN添加釘釘掃碼認證和企業微信掃碼認證功能。
WSG上網行為管理的“事件查看器”中記錄了一系列的事件、告警以及錯誤信息,包括操作日志、wan口聯通狀況、入侵攻擊事件、以及自定義的關鍵詞告警、流量告警和新增設備告警等事件日志。傳統的郵件告警方式已經越來不能滿足實時通知的需要。在本文中,我將介紹如何利用企業微信機器人來實現事件日志的實時發送。具體步驟如下:
在手機版的企業微信群聊中,添加群機器人,并記錄webhook的URL地址。如下圖:
WSG的“事件查看器”中記錄了一系列的事件、告警以及錯誤信息,包括操作日志、wan口聯通狀況、入侵攻擊事件、以及自定義的關鍵詞告警、流量告警和新增設備告警等事件日志。傳統的郵件告警方式已經越來不能滿足實時通知的需要。在本文中,我將介紹如何利用釘釘機器人來實現事件日志的實時發送。具體步驟如下:
首先需要在釘釘pc版的群助手里面添加機器人
ZeroTier可以在無公網IP的情況下提供便捷的虛擬局域網組網和內網穿透方案。簡單來說, ZeroTier就是一個VLAN組建工具,主要有如下的優勢和缺點:
配置非常簡單,只需要在官網創建Network。客戶端直接加入Network即可。
跨平臺: ZeroTier提供了windows, macOS, linux, Android, iOS...幾乎全平臺的客戶端, 你可以把任意平臺的設備接入VLAN。
免費可以支持100個設備組網。
缺點:官網只提供英文,沒有中文版。
本文中,我將結合WSG上網行為管理網關,介紹如何用ZeroTier來實現遠程辦公撥入和內網穿透。
在企事業的WiFi環境中,需要對手機的上網進行實名管理,記錄上網內容并且設置一定的管理策略。本文中,我將介紹如何用WSG上網行為管理網關來對WiFi手機上網進行實名管理。
手機的上網實名認證,主要包括如下方法:
MAC綁定;把手機的MAC地址綁定到姓名。
短信認證;通過短信認證來獲取手機號,基于手機號進行實名。
用戶名密碼認證;手機上網時需要輸入用戶名密碼,從而認證到每個人。
二維碼認證;由審核員掃描二維碼進行審核并且錄入姓名。
釘釘、企業微信認證;用釘釘app和企業微信app掃碼認證上網。
微信小程序認證;通過微信小程序獲取手機號碼,從而實現實名上網。
每個方法各有優缺點,用戶可以基于實際情況選擇合適的認證方式。
企業的無線網絡經常會迎來一些訪客,如果對訪客不進行用戶實名認證和上網記錄,則會給企業的網絡帶來一定的風險。WSG的WiFi上網實名認證,可以支持“用戶名密碼認證”“短信認證”、“釘釘認證”、“企業微信認證”。