笨驴信息(IMFirewall)博客

用WSG上网行为管理很容易就可以屏蔽一台网络终端访问外网，本文中，我将演示如何用WSG上网行为管理来配置策略禁止一台电脑访问外网。

1. 在应用过滤中新增策略

在“模块”-“行为管理”-“应用过滤”中新增策略，选择“增加一个全新的配置”。

“公司办公网，想要实现电脑可以登陆微信，但其他网站均不允许打开。目的是允许办公人员在电脑上使用微信，但是不允许他们浏览网页和其他与网络有关的内容。”这样的需求，我们可以通过在局域网内网桥部署一台WSG上网管理软件来实现，网络结构如下：

现在越来越多的企业开始关注网络安全，但是办公网络安全现状还不容乐观。首先，领导层和员工的安全意识不高。一些员工在密码设置、邮件和文件收发等方面缺少安全意识，很容易使企业网络受到攻击和病毒感染。而且一些企业缺少网络安全应急预案，没有做好数据备份，一旦在发生网络攻击事件时响应迟缓造成巨大损失。其次，缺少网络安全设备；一些企业网络还没有安装防火墙和入侵检测设备，一旦被攻击就抵挡防御。所以，企业网络安全最需要注重如下几个方面：

网络安全已经是企业局域网不可忽视的安全问题。那么企业网络安全的防护技术有哪些呢？主要包括如下几点：防火墙、入侵检测和防御、DDoS防护、内网上网管控。本文中，我将以WSG上网行为管理为例，介绍企业网络防护技术。

1. 防火墙

防火墙是网络防护的第一道门户。企业的网络防护需要对来自外网的访问进行限制。比如：阻止外网访问防火墙，限制外网访问端口映射的IP范围等。

电脑一旦被安装了挖矿程序，会带来很多危害：占用大量的电力和运算资源、拖慢机器、感染局域网内的其他终端......所以，挖矿行为目前是被各级部门明令禁止的，一旦被上级部门检测到有挖矿行为，很可能会被阻止互联网接入直至整改完成。当接到上级部门通告时，作为网管人员需要怎样去处置解决这个问题呢？

被上级部门检测到，一般存在如下三种情况：

1. 访问了矿池或者虚拟货币服务器的目标IP

2. 访问了“挖矿”域名（HTTP/HTTPS）

3. 查询了“挖矿”域名（DNS）

企业内部的ERP、OA服务器很多都是通过端口映射到公网的，这样就不可避免会招来攻击。如下图：

公司网络准入认证方案是网络安全的基础，该方案通过对网络的接入设备进行统一的认证和访问授权管理，以保证内网的网络安全。对于企业局域网来说，比较常见的网络准入认证方案包括802.1X、Portal认证，还有基于企业微信、钉钉等第三方的app认证。

802.1X的认证方式需要支持802.1X的交换机设备，且配置比较复杂，对于大部分用户来说并不适用。本文中，我将介绍利用WSG上网行为管理网关的Portal认证、第三方认证等功能来实现企业网络的准入认证。

作为网管技术人员，你一定会因为IP冲突感到烦恼过。IP冲突会导致电脑上不了网，因为业务正常运行等。一旦发现IP地址冲突，在网络设备上是解决不了的，唯一的解决办法就是找到冲突的这台终端并且修改其IP地址或者改成自动获取IP；而预防IP冲突的唯一办法就是：自动获取IP。通过DHCP服务器，统一规划分配IP，这样就避免了IP冲突的问题。一般来说，可以采用如下的网络规划：

• 服务器、打印机等设备都采用固定IP的方式。

• 办公电脑自动获取IP

• 无线设备自动获取IP

本文以WSG上网行为管理为例，介绍如何检测、管理IP地址冲突。

上级部门通知局域网内存在僵尸木马要求网络进行整改，作为网管人员需要怎样去处置解决这个问题呢？首先，上级部门只能检测到局域网总出口的IP地址，并不能识别终端的IP地址。当网内的终端数量比较多时，每台电脑做病毒查杀的工作量太大了，网管人员会很头疼这个问题。

比较合理的方案是在局域网内部署一台入侵检测系统，通过对网络数据包进行分析检测，从而发现问题主机。在本文中，我将以“WSG上网行为管理”为例，来介绍如何进行内网的木马检测。

WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块，这两个模块的检测原理都是入侵检测snort。如下图：

WSG上网行为管理的“IP-MAC绑定”功能非常强大，可以实现IP-MAC绑定、ARP绑定、分配静态IP等功能。但是配置IP-MAC绑定需要预先收集mac地址并且分配IP，还是有一定的工作量的。在本文中，我将介绍基于用户认证的IP-MAC绑定功能，其实现原理是：“用户一旦认证成功就会自动配置IP-MAC绑定”，这样不但实现了用户认证，而且固定了IP和mac地址；可以说是IP-MAC绑定的一个有效功能补充。具体的步骤如下：

当你有多台WSG时，你可能会想把上网日志和统计数据集中保存和管理。集中保存可以保存更长日期的历史数据，也更加便于管理。本文中，我将介绍如何搭建WSG数据中心管理系统来实现数据的集中存储管理。

1. WSG数据中心的搭建

WSG数据中心安装在一台windows电脑上，该系统的搭建需要安装以下产品：

1. SQL Server数据库，所有的日志数据都会被导入到SQL Server数据库中。

2. FTP服务器，用于提供FTP上传服务。

3. WFilterDC（WFilter数据中心管理系统），该系统可以导入数据并且提供查询和统计等功能。

企业网络信息安全问题日益突出，为了加强企业内部的网络安全建设，网络管理技术人员应当从如下几个方面来设计网络安全解决方案：

1. 合理的制度和管理

首先需要有完善的网络安全管理制度，根据企业的实际工作需要制定符合公司实际情况的管理制度和措施来保证网络的正常运行和网络的安全运行，并且配备专业的技术人员负责管理维护内网的计算机和网络设备。

越来越多的企事业单位开始重视信息安全，企业的技术资料、客户信息等一旦发生信息泄露，会给企业带来不可估计的损失。即使是网络环境比较简单的中小企业，也一样会受到网络安全的威胁。如果不注重网络安全，往往会导致企业的重大损失。本文中，我将从网络安全的角度，来论述如何保障公司内网的网络信息安全。主要涉及到如下四点：

1. 合理的网络架构
   

2. 了解内网的终端
   

3. 管控到外网的访问

4. 管控来自外网的访问
   

为了保障网络安全，提高员工工作效率，企业有必要部署上网行为管理。上网行为管理可对企业内部员工的上网行为进行全方位有效管理，保护Web访问安全，降低互联网使用风险，避免机密信息泄露，提升工作效率，限制下载和视频P等严重消耗带宽的应用，保障企业核心业务带宽。

根据《中华人民共和国网络安全法》（第十条、第二十一条、第二十四条）、《中华人民共和国反恐怖主义法》（第十九条、第二十一条）、《计算机信息网络国际联网安全保护管理办法》(第十条、第十一条、第十二条、第十七条)、《互联网安全保护技术措施规定》(第七条、第八条、第十一条)等相关法律规定：

1. 提供WiFi上网服务的公共场所，必须落实上网实名认证。

2. 提供上网服务的公共场所，必须至少保存六十天的上网记录备份。

短信实名认证是目前最稳定、最普遍的实名认证方案。对于绝大部分WiFi网络而言，只需要在网络出口处部署一台WSG上网行为管理设备，就可以同时实现短信认证和上网记录的功能，满足网络安全法的安全要求。WSG上网行为管理的WiFi短信认证方案，具备如下优势：

1. 一台设备就可以满足认证+审计+安全的功能需求。
   

2. 对内网的网络设备没有要求，不需要更改现有的无线方案。

3. 透明部署、即插即用。

网络拓扑图如下：