09
2022
05

怎样禁止局域网内未加入域的电脑上网?

利用WSG的用户认证和行为管理策略,可以对域用户、非域用户配置不同的上网策略。比如,你可以默认禁止所有的终端上网,当电脑加入域后,则可以根据账号、OU等放行具体的访问内容。本文中,我将介绍如何开启域认证,并且屏蔽非域用户上网。

29
2022
04

如何定位局域网中的风险主机?检测到网内有风险主机怎么办?

主管部门发出的安全风险报告,一般只能定位到局域网的公网IP。网管技术人员要处理解决该安全事件,还需要定位到具体的终端电脑。这个定位工作非常考验网管的技术,没有对应的技术储备,加上没有合适的工具的话,你就只能一台电脑一台电脑的杀毒了。

如何检测局域网内感染了木马病毒的电脑?一文中,我们介绍了如何通过WSG上网行为管理网关的“入侵防御”功能来定位挖矿、中毒、以及感染了木马的电脑。对绝大部分情况来说,开启入侵防御功能就可以检测到被感染的终端电脑。然后对该电脑进行查毒杀毒就可以了。有些情况下,由于特征库版本不一致,或者检测技术不一样,也可能存在并没有检测到的情况。这时候,我们还可以通过自定义规则的方式,来扩大检测的内容。在本文中,我将介绍如何自定义检测规则。

08
2022
04

没有公网IP如何实现异地组网?企业组建虚拟局域网是否一定要公网IP?

传统的异地组网方式要求企业有带固定公网IP的专线才可以实现;由于IPv4资源的短缺,运营商专线价格高企,大部分企业无法承担高额的专线费用。为解决此问题,各大网络厂商各显神通,研发出了一系列的解决方案。本文中,我将介绍如何利用“SD-WAN技术”来实现没有公网IP时的异地组网互联。和传统的VPN相比,SD-WAN有如下优势:

  • 自动寻址,无需公网IP。

  • 点对点加密传输,无需通过服务器转发,传输安全性高。

  • 多平台支持。有windows,安卓客户端。

  • 既能实现多地组网,又可以实现远程办公拨入。

07
2022
04

没有公网IP时如何实现远程办公拨入?

随着互联网、数字化的迅速发展,远程办公、移动办公、居家办公已经是企业必备的网络服务。企业网络除了满足日常的局域网组网,还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法,一般有如下两种:

1). 企业申请带固定IP的企业专线,通过该固定IP提供远程拨入服务。

2). 在路由器上绑定动态域名,通过动态域名来访问。

近年以来,由于IPv4资源的短缺,运营商改为只分配内网的IPv4地址,导致动态域名这个方案已经不可行了。而专线方案价格高企,很多企业承受不了。

18
2022
03

如何利用WebVPN访问网内的TCP服务?

如何利用Web VPN来保护内网信息安全一文中,我们介绍了如何用WebVPN来访问内网的Web服务器。WebVPN可以给内网服务器添加一层认证保护,只有认证过的用户才可以访问内网资源,从而有效的保护了内网数据的安全性。对于Web服务器来说,WebVPN是通过子域名的方式,每个web服务都需要对应一个不同的二级域名。在WFilter NGF的2.0版本中,我们给WebVPN添加了转发到“TCP服务器”的功能,使WebVPN用户可以在认证后访问到指定的TCP服务器。以下是Web方式和TCP方式的差别和优缺点分析:

Web方式

  1. 只能转发到指定的Web服务器。

  2. 每个Web服务器都必须对应一个二级子域名。

  3. 可以对Web站点的内容进行替换。

TCP方式

  1. 可以转发到任意的TCP服务。比如内网的ssh,rdp等,也包括web服务。

  2. 每个TCP服务必须对应一个本地端口。

  3. 外网用户必须经过认证才可以访问TCP端口。

  4. 不能对内容进行修改。

01
2022
03

WSG怎么实现链路聚合和端口聚合?

链路聚合和端口聚合是两个概念:

1). 链路聚合是指多条外线的情况下把多条外线聚合使用。该功能可以通过WSG的“多线均衡”模块来实现。

2). 端口聚合是指在WSG上接多个内网交换机端口,从而提升内网的上联带宽。

21
2022
02

如何检测局域网中的挖矿软件和定位网络中的挖矿电脑?

挖矿软件会占用电脑的大量运算资源和电力资源,而且会引起主管部门的关注。局域网内有电脑被安装了挖矿软件是一件让人很头疼的事情,对成百上千台电脑一台一台的进行排查简直就和大海捞针一样,需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展。

因为局域网出口做了NAT网络地址转换,上级部门只能检测到公司的公网IP,所以只能靠公司内部的网管人员来排查具体的终端了。最笨的办法就是一台电脑一台电脑的检查,通过检查程序列表和任务管理器来找挖矿程序。

本文中,我将介绍如何用WSG上网行为管理中的“入侵防御”功能来检查挖矿电脑。因为WSG上网行为管理是部署在局域网内部的,所以可以检测到本地挖矿电脑的IP地址和MAC地址,从而准确的定位到具体电脑。

16
2022
02

如何用SD-WAN给客户提供远程网管服务?

网管在做远程技术支持的时候,需要连接到客户的内网或者路由器。对于有公网IP的网络,可以直接通过公网IP或者动态域名去访问。由于现在运营商很多都只给内网IP,使得远程技术支持必须要做内网穿透才可以。所以很多网管在做网络维护的时候,还需要给用户安装FRP或者NPS的内网穿透服务,增加了维护的成本和复杂性。

在本文中,我将介绍如何通过SD-WAN的方式来给客户提供远程网管服务。SD-WAN和其他方式相比,可以自动寻址穿透,无需公网IP,也无需云主机转发。具体步骤如下:

16
2022
02

如何合理规划SD-WAN网络?

相对于传统方案而言,SD-WAN有着无可比拟的优势,很多局域网都采用了SD-WAN的智能组网和远程办公方案。SD-WAN的网络规划主要考虑如下三个方面:

  • 多地虚拟组网

  • 远程办公拨入

  • 网管技术支持

所以,我们在配置SD-WAN网络时候,主要考虑这三个需求就可以。

如图:

202202161644998446670984.png

16
2022
02

如何用SD-WAN实现远程办公拨入?

在“如何用SD-WAN实现多地组网?”一文中,我们介绍了如何用SD-WAN来实现多地组网。实际上SD-WAN不仅可以用于多地组网,而且可以用于远程办公拨入。

和传统的远程办公方案相比,SD-WAN有如下优势:

  • 自动寻址,无需公网IP。

  • 点对点加密传输,无需通过服务器转发,传输安全性高。

  • 多平台支持。有windows,安卓客户端。

本文中,我将介绍如何用SD-WAN实现远程办公拨入。

1. 网络拓扑图

SD-WAN不需要固定公网IP也可以实现远程办公拨入。如下图,该局域网通过一台WSG网关连接外网,内网网段是192.168.10.0/24。

sdwan_topology3.png