17
2019
06

WSG上网行为管理的路由部署模式介绍

WFilter NGF(WSG上网行为管理网关)支持网关和网桥两种部署模式:

  1. 网关模式:WSG作为整个局域网的网关,提供NAT服务。

  2. 网桥模式:WSG作为透明网桥串接在局域网中。

在有些情况下,我们需要采用纯路由模式(WSG只做路由转接,不进行NAT转换)。本例中,我将介绍如何用WSG来搭建路由模式的上网行为管理。

网络结构如下图:

绘图2.png

具体配置步骤如下:

12
2019
06

如何禁止从https站点下载exe等格式的文件?

在WFilter NGF(WSG上网行为管理网关)的“网页过滤”模块中,我们可以设置”文件下载”的过滤规则;比如禁止exe可执行文件,或者压缩文件的下载。如下图:

201906121560310820130523.png

24
2019
05

如何控制IPSec VPN的对端访问权限?

IPSec VPN 技术在IP传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构组建虚拟局域网的需要。IPSec组网的具体步骤,请参考:一次典型的IPSec VPN组网方案。很多情况下,我们还需要控制对端的访问权限。在本文中,我将介绍WFilter NGF中的IPSec VPN访问权限。

1. 防火墙规则的选项

201905241558672610820472.png

IPSec隧道的配置中,”防火墙规则“有“自动”和“手动”两个选项:

22
2019
05

企业需要申请多大宽带的专线?如何节省专线费用?

很多局域网需要向外网提供服务,比如ERP、OA系统,或者需要进行虚拟局域网组网等。而由于公网IP资源越来越紧张,大部分宽带都不能获取到公网IP;这些情况下,企业只能选择运营商的企业专线。和普通的宽带相比,企业专线有如下特点:

  1. 独享带宽,速度有保障。

  2. 可以申请固定公网IP。

不过专线的费用比较昂贵,如下图:

QQ截图20190522134322.png

10
2019
05

如何实现网站白名单控制,只允许访问指定站点?

对于一些安全性要求比较高的局域网来说,有时候只允许客户机访问指定的网站,其他网络行为一律禁止。这时候我们就需要用到“网站白名单”功能(只允许访问下列网站)。具体的配置如下图:

1. 在网页过滤中开启“只允许访问下列网站”

“只允许访问下列网站”功能开启后,客户机只能访问允许的站点。其他网页一律访问不了。

选择应用对象和生效时间

201905101557455978879365.png

25
2019
04

如何实现企业微信扫描二维码进行Web认证?

企业微信,是腾讯微信团队为企业打造的专业办公管理工具。与微信一致的沟通体验,丰富免费的OA应用,并与微信消息、小程序、微信支付等互通,助力企业高效办公和管理。在“如何实现钉钉扫描二维码进行Web认证登录?”一文中,我们介绍了如何用钉钉扫码认证上网。而一些局域网采用的是企业微信来做办公管理。本文,我将结合WSG上网行为管理网关(WFilter NGF)中的“Web认证”功能,介绍如何利用企业微信的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势:

  1. 直接用企业微信扫码登录,无需在WSG系统内创建用户。

  2. 可以自动获取并记录企业微信的员工姓名。

  3. 可以基于企业微信员工姓名配置上网策略和统计。

一些配置的步骤和截图如下:

23
2019
04

上网行为管理如何实现钉钉扫描二维码进行Web认证登录?

钉钉(DingTalk)是阿里巴巴集团专为中国企业打造的免费沟通和协同的多端平台。钉钉因中国企业而生,帮助中国企业通过系统化的解决方案(微应用),全方位提升中国企业沟通和协同效率。一些局域网为了信息安全和管理需要,需要用户进行Web认证后才可以使用局域网,并且记录该用户账号的上网内容。

本文,我将结合WSG上网行为管理网关(WFilter NGF)中的“Web认证”功能,介绍如何利用钉钉的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势:

  1. 直接用钉钉扫码登录,无需在WSG系统内创建用户。

  2. 可以自动获取并记录钉钉的员工姓名。

  3. 可以基于钉钉员工姓名配置上网策略和统计。

一些配置的步骤和截图如下:

10
2019
04

多运营商混合多线如何做负载均衡?

《同运营商多条外线如何做负载均衡?》一文中,我们介绍了多条外线(同一个运营商)时如何进行负载均衡。在实际使用中,很多用户的外线是不同运营商的(比如一条电信和一条移动)。对于大部分用户来说,采用《同运营商多条外线如何做负载均衡?》中的方案,即可产生多线叠加的效果。但是不同运营商多条外线直接进行均衡并不是最优化的方案,主要在于DNS的原因:“假设某终端DNS查询某域名时,获取的是运营商A的IP;而在后续访问的过程中,却会被均衡到运营商B,这样就不够优化了。”解决的方案主要涉及到两个技术:

  1. 运营商分流,根据目的IP来自动选择运营商线路(即电信IP走电信线路,移动IP走移动线路)。

  2. DNS重定向,配置DNS重定向规则来设置客户机的默认DNS(也间接决定了客户机的线路)。

1. 运营商分流

WFilter NGF(WSG)已经内置了“运营商分流”策略,基于各大运营商的IP段来选择各自的线路,如下图,点击状态标志启用这条“运营商分流”策略即可。

201904101554875719200688.png

01
2019
04

同运营商多条外线如何做负载均衡?

局域网出于带宽的需要,经常会采用多外线接入的方式,一则可以带宽叠加,提示带宽;再则还可以互为备份,一旦一条线路中断,另外一条线路可以继续使用,保障网络的正常运行。

本文将介绍如何用WFilter NGF(WSG)来实现同ISP多外线的负载均衡和线路检测。

1. 配置负载均衡

同运营商没有线路DNS的问题,可以直接进行负载均衡,在“多线均衡”模块里面,创建负载均衡的线路方案即可。如图:

201904011554095340749462.png

26
2019
03

如何检测和禁止局域网内二级路由和网络共享?

局域网内的私接路由器、私接随身WiFi等行为,不但会让其他客户机绕开上网行为管理的管控,破坏局域网上网秩序;而且会干扰企业WiFi的无线信号。所以在企业局域网中,一般都是严禁私接路由器的。

“WFilter是如何来屏蔽和禁用随身wifi的?”一文中,我们介绍了如何使用“随身WiFi和私接路由检测插件”来检测和惩罚局域网内的私接行为。该插件使用简单方便,而且功能强大;一直倍受用户喜爱。在最新版的WFilter NGF系统中(1.1.2019.03.25版本),我们已经把该插件集成到NGF的主系统中来(共享检测模块)。除了“随身WiFi和私接路由检测插件”的功能外,该共享检测模块还可以支持共享检测的历史记录查询,并且可以把检测到的客户机加入虚拟惩罚组来实现更多的管控策略。一些配置介绍如下图: