28
2022
07

防火墙怎样做双机热备?

防火墙、上网行为管理如何实现双机热备一文中,我们介绍了如何用两条外线来实现网络双机热备。在有些情况下,一些用户还需要对同一条线路做双机热备。准确的说,外线只有一条,但是要确保防火墙/上网行为管理设备是可以实现热备的。这种情况下,和防火墙、上网行为管理如何实现双机热备一文不同的是,我们需要同时在“内网口”和“外网口”上都开启虚拟IP。这样的效果就是:内网口和外网口都工作虚拟IP上,一旦主设备故障,可以迅速切换到备份设备上去。

01
2022
03

WSG怎么实现链路聚合和端口聚合?

链路聚合和端口聚合是两个概念:

1). 链路聚合是指多条外线的情况下把多条外线聚合使用。该功能可以通过WSG的“多线均衡”模块来实现。

2). 端口聚合是指在WSG上接多个内网交换机端口,从而提升内网的上联带宽。

07
2021
04

企业局域网内外网分离方案

一些企事业单位出于安全考虑,需要做内外网分离。举例来说,需要达到如下的技术要求:

  1. 生产网、办公网、外网三网隔离。

  2. 启用网络准入,对非规定允许接入的设备禁止其接入网络。

  3. 上网数据留存。

在本文中,我将结合WSG上网行为管理来阐述如何实现内外网分离。

07
2020
04

WSG如何禁止内网VLAN之间互访?局域网怎样划分VLAN?

企业内网一般都会划分多个VLAN。划分VLAN可以提高内网安全性,而且更加便于管理。比如:有线和无线处于不同的网段,不允许无线设备访问企业内网,这样可以保护内部信息安全;而且可以对不同网段配置不同的上网策略和流控策略。而且划分VLAN可以分割广播域,避免广播风暴。VLAN的划分一般有如下三种方法:

1. 通过三层交换机来划分VLAN

201703311490939690256329.png

05
2019
09

企业局域网无线组网方案

无线网络由于安全性比较低,企事业单位的无线组网需要考虑如下因素:

  1. 有线网段和无线网段互相隔离。

  2. 办公无线和访客无线也需要互相隔离。

  3. 每个网段的无线终端建议控制在150以内,避免广播风暴。

  4. 员工内网要做接入认证或者设备绑定。

  5. 对访客进行实名认证(可选)

一般采用这样的网络结构图:

201909051567653926138121.png

30
2019
08

WSG网桥部署的两种配置方式。

WSG上网行为管理做透明网桥部署有很多优势:

  1. 即插即用,不影响现有网络。

  2. 不需要修改原有设备的配置(交换机、路由器都不需要做任何修改)

  3. 可以利用到硬件bypass的功能,即使机器断电死机也不会断网。

Ros guide bridge.png

17
2019
06

WSG上网行为管理的路由部署模式介绍

WFilter NGF(WSG上网行为管理网关)支持网关和网桥两种部署模式:

  1. 网关模式:WSG作为整个局域网的网关,提供NAT服务。

  2. 网桥模式:WSG作为透明网桥串接在局域网中。

在有些情况下,我们需要采用纯路由模式(WSG只做路由转接,不进行NAT转换)。本例中,我将介绍如何用WSG来搭建路由模式的上网行为管理。

网络结构如下图:

绘图2.png

具体配置步骤如下:

20
2019
03

没有公网IP如何实现内网穿透?

由于公网IP资源越来越紧张,现在很多运营商给拨号上网的用户只分配内网IP地址,如下图所示:

201903201553065078817579.png

这样的运营商内网IP是外网不可达的(即使用动态域名也不起作用)。而企业由于业务需要,比如虚拟局域网组网、办公OA系统、ERP系统等,都需要有公网IP才可以实现。公网IP的解决,目前主要有三种方案:

  1. 申请固定IP专线。稳定且速度有保障,缺点是费用高。

  2. 云方案。把业务主机都搬到云上,直接通过云主机来访问。费用比较低,缺点是云主机不能本地维护,且搬迁工作量都不小。

  3. 云主机+内网穿透方案。通过云主机做跳板来实现内网穿透,既可以复用现有的业务系统,又解决了公网IP的问题。第三种方案的成本是最低的,但是配置比较复杂。本文将对第三种方案做详细介绍。

20
2018
09

Wifi上网行为管理方案,无线WiFi如何进行上网行为管理?

由于无线的便利性,越来越多的企业局域网采用无线办公的方式。而因为无线网络的特殊性,如果缺乏上网行为管理和流控手段,会导致无线缓慢、网络不可用等情况。而且无线网络更加容易产生广播风暴。所以,在WiFi无线局域网中部署上网行为管理和流控是非常必要的。

本文中,我就将来介绍WiFi局域网的上网行为管理方案。

1. 常用的网络拓扑

  1. 首先,由于无线路由器的稳定性不高,所以主路由不推荐用无线设备。可以用一台有线路由器做网关,后面串接上网行为管理设备。或者直接用上网行为管理做网关。

  2. 推荐采用瘦AP的组网方式。通过AC控制器统一管理。

wifi01.png

15
2018
08

企业网络应该怎样合理的分配IP地址?IP管理如何兼顾方便和信息安全需要。

对于企业局域网来说,一个合理的IP地址分配是网络安全和网络管理的基础,IP地址管理的好坏直接影响着企业员工的工作效率及企业的信息安全。
局域网的IP地址分配,需要考虑到如下方面:

  1. 服务器的IP地址段和办公电脑的IP地址段要区分开。

  2. 手机、pad等移动设备需要自动获取IP。

  3. 无线由于安全性比较低,一般需要用VLAN进行隔离。

  4. 每个网段的客户机数量不宜过多,有线250以内,无线150以内比较合理。否则会引起网络风暴。


下面是我总结的企业局域网IP地址分配方案,希望能对大家有帮助。

06
2018
08

无线网络慢,广播风暴不容忽视。

现在无线组网越来越普遍,但是不合理的组网方案,往往会导致无线接入缓慢、网络卡的情况。根据我们的经验和抓包分析,由于无线设备(包括AP、AC等)在通讯过程会更多的依赖广播包,非常容易出现广播风暴。无线网络的稳定运行,请注意如下几点:

  1. 首先要合理的进行AP布局,保证无线信号强度、并且避免无线信号的互相干扰。

  2. 合理的VLAN划分。无线设备的广播包比较多,非常容易产生广播风暴。一个VLAN容纳的无线设备要控制在200以内。

  3. 主路由网关的性能要强劲,并且设置上网行为管理策略和流控策略。

  4. 定期检测广播风暴等网络问题

31
2018
07

某企业网络升级改造方案

某企业由于网络架设比较早,网络设备和网络结构已经不再适合当前的网络需要。为了更好的实现网络管理和信息安全的需要,提出了如下升级改造需求:

  1. 带宽扩容,采用两条宽带接入。

  2. 内网需要划分不同的VLAN,分为办公、监控、生产几大网段。

  3. 内网客户机需要进行严格的IP-MAC绑定,只有绑定后的设备才可以接入。

  4. 全网上网行为审计记录。

  5. 部署上网行为管理策略,建立上网秩序。


23
2018
07

带宽升级后网速仍然慢?还有三点不能忘。

很多企业为了解决网速不够用的问题,都升级了带宽资源。比如50M升级到100M,或者干脆多拉几根外线。但是,很多用户发现,带宽升级了但是网络还是慢。

本文中,我整理了企业带宽优化的三点要求。带宽升级后,一定要注意这三点,才能真正的享受带宽升级带来的更好宽带体验。

03
2018
07

路由器和x86架构的工控机有什么差别?

我们在选择网关设备的时候,经常会面临选择路由器还是专业网关(x86架构工控机)的问题。本文将从硬件角度来解释这两者的差别。

两者的硬件架构都由CPU、存储、内存(RAM)组成,但是配件的差别非常大。

02
2018
07

什么情况下需要划分VLAN?局域网划分VLAN的好处。

划分VLAN一般出于如下几个目的:

  1. 把内网划分为不同的网段,可以提高内网安全性,而且更加便于管理。比如:有线和无线处于不同的网段,不允许无线设备访问企业内网,这样可以保护内部信息安全;而且可以对不同网段配置不同的上网策略和流控策略。

  2. 分割广播域,避免广播风暴。广播风暴这个现象,在无线时代更加突出,AP设备的发现、管理等操作都会产生广播包。

那么,什么情况下需要划分VLAN呢?主要考虑以下几点:

26
2018
06

局域网IP地址如何分配、管理和回收?公司IP地址管理方法

为了管理和安全需要,很多局域网都要求固定IP,每个设备的IP地址和mac地址都登记在案,结合IP-mac绑定,从而使上网记录、病毒攻击都有据可查,并且可以迅速定位到个人。但是和自动获取IP地址比较,固定IP也有一些弊端:

  1. 配置较复杂,一些非技术人员不懂也不会配置IP地址。需要网管人员全局维护。

  2. 固定IP地址列表需要维护。人员离职、电脑报废后,IP地址如果没有及时回收,会导致IP地址不够用。

本文我将结合WFilter(WSG网关)的IP-mac绑定功能,介绍如何分配、管理和回收IP地址。

22
2018
06

无线AP如何区分来宾(流动)用户和正常用户?

现在大部分局域网都提供了无线上网的功能。无线主要用于满足以下几种需求:

  1. 无线办公的需要,比如无线pos机等办公设备。

  2. 员工无线上网的需要。

  3. 来宾、客人的无线上网。

这样就带来了相关的安全性问题:

  1. 来宾有可能通过无线接入到企业内网,导致安全隐患。

  2. 员工有可能通过来宾的无线网络上网,从而绕开公司的行为管理策略,影响工作效率。

目前大部分解决方案都是来宾网络和内部无线网络使用不同的无线SSID和密码。但是实际上这个方案存在很大的漏洞:密码泄漏。来宾可以直接询问到内网的无线密码,甚至很多无线密码都是公开张贴的。而企业员工更是可以直接通过来宾网络上网。

本文将结合WFilter NGF的相关功能,来介绍更进阶的解决方案。

02
2018
05

WFilter NGF,WSG上网行为管理网关如何划分VLAN?

VLAN可以把网络划分成多个广播域,可以有效的控制广播风暴,还可以控制网络中不同部门和网段之间的互相访问。如果您已经有了三层交换机,可以直接在三层交换机上划分VLAN,请参阅:多VLAN三层交换机如何连接WFilter上网行为管理系统?

在没有三层交换机的环境下,您可以直接用WFilter NGF(WSG网关)来划分VLAN。支持两种VLAN的划分方式:

  1. 基于端口的VLAN划分。每个端口一个VLAN接二层交换机。

  2. 802.1Q VLAN(单臂路由)。和交换机的trunk口连接,通过一个端口实现多个VLAN的封装。

本文将介绍这两种方式如何配置。

27
2017
11

WSG-200E开箱测评

WSG-200E上网行为管理网关,不是用的最顶尖高端的硬件设备,但是对于150-300人局域网范围,真的是性价比最高的一款。系统采用了WFilter NGF企业级上网行为管理系统,在硬件方面,采用了Intel B75的主板架构,I3-32200的酷睿4核CPU,主频高达3.3GHz.实实在在的优质选型。

09
2017
11

高性能专业上网行为管理设备WSG-500E开箱评测。

WSG-500E上网行为管理设备是WFilter系列上网行为管理中性能非常强悍的一款设备,系统采用了WFilter NGF企业级上网行为管理系统,在硬件方面,采用了Intel B75的主板架构,I5-3450的酷睿4核CPU,主频高达3.1GHz。很多用户对这个性能缺少形象的概念,让我来简单比较下:

  1. 普通的路由器芯片,比如典型的MTK7620芯片,主频是580MHz。

  2. D525工控机,CPU是4核1.8GHz。性能至少是MTK的3-4倍。

  3. WSG-500E的I5-3450,采用了新的设计,性能差不多又是D525的3-4倍。

配合4G的DDR3内存,6个千兆端口,构建了性能强悍的WSG-500E。这款设备,虽然官方推荐是500Mbps的带宽,实测可以达到900-920M,而且网络访问很顺畅,一点也不卡顿。

06
2017
11

大型局域网上网行为管理组网方案

这里说的大型局域网是500-1000台局域网环境,一般是一栋楼,厂房或者学校。大型局域网的组网方案已经非常成熟了。大网络,多了防火墙,核心交换机,不同需求的服务器。这里就不一一赘述,这里重点介绍大局域网的上网行为管理方案。大网环境数据量大,各种协议走的很复杂。很多网安厂家把第二代防火墙的概念

(Next Generation Firewall)包括了上网行为管理概念,专业的上网行为管理是无法被代替的。协议分析,应用层解析,上网日志记录,审计等模块需要大量的运算,后期需要专业的研发团队维护升级。所以不应该被防火墙,杀毒的概念混乱。上网方式这三十年发生了天翻地覆的变化,网络协议一年又一年的更新,应用协议天天有新出,移动上网方式的应用都已经变成日常行为了。各种病毒方式已经不像原始方式文件打开,有的时候甚至点开一个不安全的网站会导致病毒入侵,所以内网管控不仅仅是上网效率提高,还有上网行为管控,网址库,协议库过滤,才会让局域网上网内网安全兼得。

30
2017
10

中小型局域网上网行为管理组网方案。

提到上网行为管理,最初想到的内容记录、聊天内容、邮件内容、文件传输内容、网页浏览记录等等。但是再往深里研究,对于有一定规模的局域网,内容审计的意义并不是很大,聊天几句话、浏览的几个网站都是瞬间的意识。所以,企业的对员工聊天内容的审计实在没有太大的意义。况且国内主流的QQ和微信的通讯,腾讯公司早就进行了协议改进和安全强化,加上微信QQ都可以绑定银行卡。所以,网络监控解析QQ和微信的内容,理论上已经不现实。对于企业网络管理来说,规整的上网秩序、上网内容的报表分析以及信息安全才是王道。

18
2017
10

千兆上网行为管理路由器WSG-200P开箱测评

WSG-200P上网行为管理路由是一款性价比非常高的上网行为管理设备。和WSG的企业版(E系列)相比,虽然没有上网记录、域账号等功能,但是就上网行为管理和流控来说,与E系列基本是一样的,可以提供专业的上网行为管理和流控。下面让我们一起来看看WSG-200P这款企业级上网行为管理路由有哪些亮点功能吧。

22
2017
09

上网行为管理设备网桥部署方式

这里说的网桥部署,是透明网桥部署。有的局域网环境里面,路由暂时不想被代替,那么WSG上网行为管理网关可以用网桥部署的方式接在局域网里面。

  • 网桥模式下,只用到LAN和WAN1这两个端口。其他端口都不起作用。

  • WSG接在路由器(防火墙)和交换机之间。

  • 内网交换机接在LAN口。

  • 上层设备(路由器或者防火墙)接在WAN1口。

18
2017
09

上网行为管理设备网关部署方式

上网行为管理网关不管是在功能还是在性能上,都是完爆路由器的。随着生产力的提高,硬件设备的成本也逐步降低,普及也越来越广(例如电器的价格越来越低)。上网行为管理网关部署也将成为一个趋势,因为网关除了拥有专业路由的功能以外,还有专业的网络管理功能,和专业防火墙功能,这个都是路由硬件芯片做不到的。

那么上网行为管理设备应该如何部署呢?其实很简单,就是和路由器一样,直接把路由器的相关配置移植到行为管理设备上,把之前的路由器替换掉即可。