06
2017
11

大型局域网上网行为管理组网方案

这里说的大型局域网是500-1000台局域网环境,一般是一栋楼,厂房或者学校。大型局域网的组网方案已经非常成熟了。大网络,多了防火墙,核心交换机,不同需求的服务器。这里就不一一赘述,这里重点介绍大局域网的上网行为管理方案。大网环境数据量大,各种协议走的很复杂。很多网安厂家把第二代防火墙的概念

(Next Generation Firewall)包括了上网行为管理概念,专业的上网行为管理是无法被代替的。协议分析,应用层解析,上网日志记录,审计等模块需要大量的运算,后期需要专业的研发团队维护升级。所以不应该被防火墙,杀毒的概念混乱。上网方式这三十年发生了天翻地覆的变化,网络协议一年又一年的更新,应用协议天天有新出,移动上网方式的应用都已经变成日常行为了。各种病毒方式已经不像原始方式文件打开,有的时候甚至点开一个不安全的网站会导致病毒入侵,所以内网管控不仅仅是上网效率提高,还有上网行为管控,网址库,协议库过滤,才会让局域网上网内网安全兼得。

22
2017
09

上网行为管理设备网桥部署方式

这里说的网桥部署,是透明网桥部署。有的局域网环境里面,路由暂时不想被代替,那么WSG上网行为管理网关可以用网桥部署的方式接在局域网里面。

  • 网桥模式下,只用到LAN和WAN1这两个端口。其他端口都不起作用。

  • WSG接在路由器(防火墙)和交换机之间。

  • 内网交换机接在LAN口。

  • 上层设备(路由器或者防火墙)接在WAN1口。

18
2017
09

上网行为管理设备网关部署方式

上网行为管理网关不管是在功能还是在性能上,都是完爆路由器的。随着生产力的提高,硬件设备的成本也逐步降低,普及也越来越广(例如电器的价格越来越低)。上网行为管理网关部署也将成为一个趋势,因为网关除了拥有专业路由的功能以外,还有专业的网络管理功能,和专业防火墙功能,这个都是路由硬件芯片做不到的。

那么上网行为管理设备应该如何部署呢?其实很简单,就是和路由器一样,直接把路由器的相关配置移植到行为管理设备上,把之前的路由器替换掉即可。

06
2017
07

企业互联网业务带宽保障方案

现在大部分企业或多或少都会有一些业务要发布到互联网上供外网访问,比如:ERP系统、OA系统等。为了保证这些业务的正常运行,需要提供一个稳定的带宽保障,如何解决内网办公和外网访问的带宽共享,也是一个让大部分网管头疼的问题。

本文中,我将结合一个实际的网络改造例子,来介绍如何保障互联网业务的带宽。

1. 网络结构介绍

本例中,用户之前用的是一个普通的多WAN口路由器,接了三根光纤(两个固定IP),用两个固定IP分别映射到内网的OA系统和ERP系统。在实际使用中,由于内网的流量比较高,外网用户经常会反映连接不上ERP/OA系统。结合公司的上网行为管理系统,决定购买一台“WSG-500E上网行为管理网关”,替代掉现有的路由器。网络结构图如下:

03
2017
07

企业多线路局域网改造方案

有些用户为了提高网速,一味的申请更多的带宽,其实是不足取的。要保证局域网的网速,带宽虽然不可或缺,但是正确的组网方式和管理手段更加重要。在当前的网络环境下,出口带宽500K/人就完全可以满足正常的上网需要,举例来说,100人50M带宽,50人20M带宽。

本文中,我将介绍一个典型的多线路局域网改造方案。

27
2017
06

小型企业局域网免费上网行为管理方案

对于一个小型的局域网环境(终端数少于50)来说,一个企业级上网行为管理路由器就可以实现基本的上网行为管理功能。当然,路由器的功能比较局限,对于上网内容记录、上网统计、网址库过滤等高级功能,你就需要部署一台专业的上网行为管理来实现了。

本文中,我将介绍少于50客户端的局域网,如何部署一台免费的上网行为管理设备?

首先,安装WFilter NGF并选择“50用户全功能免费版”。

你需要一台双网卡的PC机或者x86架构的工控机,安装上WFilter NGF上网行为管理系统,并选择“50用户全功能免费版”。

26
2017
06

三层交换机环境的上网行为管理解决方案

很多局域网采用的是“防火墙/路由--三层交换机--二层交换机”的拓扑结构,而由于三层交换机的配置相对来说比较复杂,在这样的局域网中部署上网行为管理,用户往往会面临如下的一些问题:

  1. 找不到交换机的管理员用户名和口令。

  2. 没有技术人员可以修改交换机的配置。

  3. 没有交换机厂商技术支持。

其实在有三层交换机的网络环境中部署上网行为管理并不困难。在本文中,我将分别介绍“网桥部署”和“网关部署”的两种方案。我们的方案,都尽量避免了对交换机的配置进行修改。

23
2017
06

三层交换机如何设置IP-MAC绑定?跨网段IP-MAC绑定方案。

交换机上配置IP-mac绑定,主要需要考虑两个因素:

  1. 该交换机是否开启DHCP服务?

  2. 是采用端口绑定还是ARP绑定?

端口绑定或者ARP绑定,只是强制了IP-MAC的对应关系。但是,对于自动获取IP地址的客户机而言,还需要在DHCP服务器上分配固定IP才可以;否则客户机重新获取IP后,就会联不了网。所以,一个完善的IP-MAC绑定方案,既要考虑DHCP的静态地址分配,还要考虑IP-MAC的实际绑定实现。对于三层交换机而言,分为两种情况:

23
2017
06

企业网络如何进行IP-MAC绑定?

对于企业的办公局域网来说,IP-MAC绑定带来的好处是显而易见的。但是各企业在具体实施的过程中,应当根据各自局域网的特点,结合行政手段,有计划、有目的的进行实施。

首先,获取管理层的支持,颁布行政命令。

如果没有相应的行政命令,员工会不断的尝试手动修改IP来绕开监管。从而导致不断的IP地址冲突等网络问题。所以在行政命令上,需要做到:

1. 禁止私自修改IP。

2. 禁止私接路由器、随身wifi等设备。

以上行为一旦发现,配合一定的惩罚手段,可以减少技术手段的工作负担。

19
2017
06

交换机如何实现ip-mac绑定?

很多公司出于安全考虑,需要对IP-MAC地址进行绑定。IP-MAC绑定可以采用多种方法来实现,本文中,我将介绍各款交换机是如何进行IP-MAC绑定的。请注意,本文中的IP-MAC绑定是基于端口做的绑定,要求客户机必须固定IP地址才可以联网。

思科2950

#进入配置模式

Switch#config terminal

#进入具体端口配置模式

Switch(config)#Interface fastethernet 0/1

#配置端口安全模式

#配置该端口要绑定的主机的MAC地址

Switch(config-if )#switchport port-security mac-address MAC(主机的MAC地址) ip-address 192.168.x.x