WFilter NGF上網行為管理系統(WSG網關)提供了豐富的系統調用API接口,具體的API接口請參考:WFilter API接口。在本文中,我將介紹如何用WFilter的API接口來直接訪問統計報表系統。
1. WFilter的統計報表系統
如圖,WFilter中有一系列的內置統計報表,您也可以自己定義需要的報表格式。
WFilter NGF上網行為管理系統(WSG網關)提供了豐富的系統調用API接口,具體的API接口請參考:WFilter API接口。在本文中,我將介紹如何用WFilter的API接口來直接訪問統計報表系統。
如圖,WFilter中有一系列的內置統計報表,您也可以自己定義需要的報表格式。
本文將介紹如何用WSG上網行為管理網關來記錄局域網內的郵件收發內容。郵件收發主要有兩種方式:
客戶端郵件,比如outlook, foxmail,thundbird等客戶端。
網頁郵件,國內比較普遍的是qq和163的網頁郵件。
“MAC地址認證”通過客戶機的MAC地址來對客戶端進行身份認證,只有通過認證的客戶端設備才可以訪問網絡以及服務器資源。網絡結構圖如下:
WFilter的“SSL監控”模塊,可以對https以及SSL加密的smtp/imap/pop3的內容進行解密從而記錄其內容。該SSL監控模塊,既可以對電腦進行管控,而且對手機一樣生效。但是要不影響客戶機的正常使用,首先需要在客戶機上安裝ca證書。電腦上安裝ca證書比較簡單,我們不再贅述。本文中,我將介紹如何在蘋果手機(iphone)上安裝SSL監控的ca證書,從而實現對iphone的SSL監控。
企業局域網由于網絡環境復雜;終端數量、設備數量都比較多;經常會出現網絡卡頓等故障。一旦網絡變慢時,面對復雜的網絡環境,網管技術人員需要迅速并且準確的診斷出問題所在,并且加以解決。本文中,我將盡量描述網絡變卡變慢的常見原因以及診斷方法。大體來說,網絡卡頓的原因有如下方面:
外網原因:運營商線路故障、帶寬不夠,路由器軟硬件故障等。
內網原因:內網的設備故障、病毒攻擊、網絡設置等原因。
所以在斷網、網絡卡頓時,第一步要判斷問題出在內網還是外網,然后再進行后續的診斷。
無線網絡由于安全性比較低,企事業單位的無線組網需要考慮如下因素:
有線網段和無線網段互相隔離。
辦公無線和訪客無線也需要互相隔離。
每個網段的無線終端建議控制在150以內,避免廣播風暴。
員工內網要做接入認證或者設備綁定。
對訪客進行實名認證(可選)
一般采用這樣的網絡結構圖:
WSG上網行為管理做透明網橋部署有很多優勢:
即插即用,不影響現有網絡。
不需要修改原有設備的配置(交換機、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使機器斷電死機也不會斷網。
由于政策要求和網絡安全的需要,現在絕大部分的酒店無線WiFi都要求實名認證。只有實名認證過的設備才允許連接酒店的WiFi網絡,并且記錄和留存該終端的上網內容。
一般來說實名認證都采用短信認證的方式,由于手機號是已經經過實名認證的,記錄手機號就等于是實現了實名認證上網。網絡結構可以采用如下的部署方式,用一臺WSG上網行為管理做主路由(也可以做透明網橋部署)。
WFilter上網行為管理,包括WFilter ICF和WFilter NGF(WSG網關),都可以對http和https的站點進行網站黑白名單控制。如圖:
作者:笨小驢 | 分類:網頁過濾方案 | 瀏覽:8696 | 評論:0
不管是企業內網的私有WiFi,還是公共WiFi網絡;出于安全性需要以及相關政策法規的要求,都要對WiFi無線上網的用戶進行實名認證。本文中,我將結合WSG上網行為管理網關介紹如何實現無線WiFi的實名認證。
騰訊從2014年推出的微信WiFi服務,可以用微信掃碼進行認證,從而記錄微信的openid。不過由于apple公司的接口調整,微信WiFi已經暫停服務。所以通過微信來進行實名認證已經不可行了。
二級路由器默認都啟用了網絡地址轉換,會把客戶機的IP地址和mac地址都轉換成路由器的IP和mac。這樣從上層的行為管理來看,只能看到路由器的IP地址。要區分二級路由下面的終端,必須把二級路由器改成AP模式(也就是無線交換機模式)。
局域網的文件泄露,主要是通過usb拷貝以及網絡傳輸的方式。我們在企業外發文件管控方案總結一文中,已經介紹了多種管控外發文件的方案。在本文中,我將介紹利用WSG上網行為管理網關如何來有效的管控外發文件。
需要在windows電腦的組策略里面禁止配置,把“禁止安裝可移動設備“修改成”已啟用“即可。當然,管理員權限就不能給使用者啦,要不然再把這個策略改回去就不起作用了。
當防火墻檢測到某個IP存在病毒攻擊或者異常流量時,網管技術人員往往需要到電腦上面進行后續操作。而對于自動獲取IP的局域網來說,如何定位IP地址的電腦位置一直是一個技術難題。如果沒有好的工具,最笨的辦法就是一臺一臺電腦進行查看,通過比對IP地址和mac地址來定位。那么還有哪些聰明一些的辦法呢?
有網管交換機時,可以在網管交換機上查看arp表找到該IP地址所在的端口,然后根據端口順藤摸瓜,從而定位電腦的物理位置。比如,在交換機上執行“disp arp”命令(不同型號的交換機命令不一樣),可以得到如下結果:
在部署了上網行為管理的局域網內,總會有人想各種各樣的辦法來突破上網管控。常見的方法有:
IP地址盜用。
MAC地址克隆。
首先可以考慮不開放管理員權限,或者采用域控的方式禁止客戶機自行修改網絡設置等辦法。其次也可以通過上網行為管理的管控策略來阻止這些行為。本文中,我來介紹下如何用WSG上網行為管理網關來應對IP地址盜用和MAC地址克隆。
由于視頻和下載可以輕易的占用大量帶寬,為了網絡的穩定運行,大部分局域網都會對客戶端進行一定的限速。本文中,我將介紹如何根據帶寬來做限速,限速設置多少比較合理?
正常的辦公上網,每個終端至少需要2Mbit的帶寬才夠用;平均值如果低于2Mbit需要考慮增加接入帶寬。假設你有200Mbit的帶寬,有50個終端,那么平均下來每個終端可以分配到4Mbit;但是考慮到不是所有人都會在同時全速下載,可以給每個終端分配8-10Mbit的帶寬。如下圖:
IP地址沖突一般是由于手動設置IP的原因,綜合來說有如下兩種可能性:
A電腦和B電腦都手工設置了同樣的IP地址。
A電腦自動獲取,B電腦手動設置了和A電腦一樣的IP地址。
出現IP地址沖突時,通過arp -a命令,可以看到沖突對方的MAC地址。如下圖:
在三層交換機環境下,由于三層交換機屏蔽了終端的實際mac地址,上層的上網行為管理在不開啟“MAC地址收集器”的情況下,是檢測不到終端的實際mac地址的。這樣也就不能實現mac地址黑白名單的功能。網絡結構如下圖:
在WFilter NGF(WSG上網行為管理網關)的”Web認證“配置中,可以基于IP范圍來配置要進行Web認證的客戶端。實際使用中,有些局域網電腦和手機無線終端都混雜在同一個網段,這種情況下,如果要只對電腦做認證,或者只對手機做認證,就不能通過IP范圍來實現了。需要修改默認的認證頁面,基于瀏覽器的useragent來獲取客戶端操作系統類型,并且判斷是否放行(無需認證直接放行)。
如下圖,點擊”編輯Web認證頁面”,然后點擊源代碼圖標。
在上網行為管理如何實現釘釘掃描二維碼進行Web認證登錄這篇文章中,我們介紹了如何用手機釘釘掃碼登錄電腦。電腦在上外網之前,需要用手機釘釘掃描二維碼才可以使用網絡,并且記錄該用戶賬號的上網內容。而在實際使用中,有些用戶還想對手機上外網進行用戶認證,從而可以識別到手機的員工姓名并記錄上網日志。
本文中,我將介紹如何用手機釘釘掃碼對自身手機進行Web認證。
在認證前,該手機是無法上外網的。大部分手機會自動彈出Web認證頁面(也可以手動在瀏覽器里面打開),如下圖:
WSG上網行為管理網關(WFilter NGF)的Web認證功能非常強大,可以支持多種用戶名認證(本地用戶、郵箱認證、域認證、Radius認證等),還可以支持短信認證、微信認證、釘釘認證等第三方認證。不過在有些情況下,用戶還希望WSG可以對接第三方的Web認證界面,即通過其他的Web認證系統進行認證,而由WSG來實現上網管控和上網記錄。本例中,我將介紹如何用WSG來對接第三方Web認證平臺。
“Web認證”的需求是對需要管控的員工網段開啟認證,一些電腦不開啟認證。如圖:
1. 設置要管控的IP范圍
2. 設置一個合理的超時重新認證時間,1440就是每天都需要重新認證一次。
3. 領導的mac地址加到“例外的MAC地址”
出于信息安全的考慮,很多企業不允許工作電腦外發文件,但是QQ和微信又是常見的辦公工具。所以“既允許QQ和微信聊天,同時又不允許外發文件”,一直是企業管理的一個難題。其實上網行為管理技術經過十幾年的發展,已經可以精確的識別出文件傳輸和普通聊天的協議特征。專業的上網行為管理產品,都可以單獨屏蔽QQ和微信傳文件。以WSG上網行為管理網關為例,在“行為管理”的“應用過濾”中,搜索QQ,可以看到20多個QQ相關的應用協議,包括QQ聊天、QQ發文件、QQ接收文件、QQ游戲等各種相關應用。如下圖:
勒索病毒是一種新型電腦病毒。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。由于其巨大的破壞性,勒索病毒可以說是“談虎色變”。
WSG上網行為管理(WFilter NGF)既可以做網關部署,也可以做網橋部署。在網橋部署模式下,WSG的IPSec VPN和OpenVPN一樣是可用的,可以實現單臂模式的VPN組網。網絡結構如下圖:
本文將結合WSG介紹如何實現IPSec VPN的單臂部署。
現在大部分虛擬局域網的組建都通過IPSec的方式,其實用openvpn來組網也是很不錯的方案。跟IPSec相比,openvpn的功能更加強大和靈活:
可以修改端口和通訊方式。
可以實現用戶名認證和證書認證兩種認證方式。
可以對客戶端分配IP,從而實現更加細致的防火墻權限控制。
本文將簡單介紹openvpn組網的一些簡單步驟,如果您要用openvpn實現遠程辦公撥入,請參考:如何用OpenVPN實現遠程辦公?
WFilter NGF(WSG上網行為管理網關)支持網關和網橋兩種部署模式:
網關模式:WSG作為整個局域網的網關,提供NAT服務。
網橋模式:WSG作為透明網橋串接在局域網中。
在有些情況下,我們需要采用純路由模式(WSG只做路由轉接,不進行NAT轉換)。本例中,我將介紹如何用WSG來搭建路由模式的上網行為管理。
網絡結構如下圖:
具體配置步驟如下: