当你有多台WSG时,你可能会想把上网日志和统计数据集中保存和管理。集中保存可以保存更长日期的历史数据,也更加便于管理。本文中,我将介绍如何搭建WSG数据中心管理系统来实现数据的集中存储管理。
WSG数据中心安装在一台windows电脑上,该系统的搭建需要安装以下产品:
SQL Server数据库,所有的日志数据都会被导入到SQL Server数据库中。
FTP服务器,用于提供FTP上传服务。
WFilterDC(WFilter数据中心管理系统),该系统可以导入数据并且提供查询和统计等功能。
相对于二层交换机的网络环境,在三层交换机环境下部署上网行为管理的步骤要复杂一些,差别主要在“静态路由”和“MAC地址收集器”,还有上层防火墙的一些安全策略的影响。在本文中,我将结合一次实际的安装经历,介绍三层环境下用网桥模式部署WSG上网行为管理的一些常见问题。
本例中,网关是华为USG防火墙172.16.200.253,三层交换机是172.16.200.254,子网掩码都是255.255.255.0。既然200段IP是足够的,所以我就直接把管理口设置在网桥上面,把WSG的IP设置为172.16.200.252,网关地址和DNS是防火墙的IP地址172.16.200.253。
很多网络环境目前都采用光纤的连接方式,比如主交换机到其他楼层交换机采用光口连接,再从楼层交换机的RJ45电口连接到其他网络设备。这种网络环境中,很多情况下都采用透明网桥的方式部署上网行为管理。本文中,我将介绍如何把上网行为管理的透明网桥串接到光口交换机和电口交换机中间。主要有如下两种方式:
如下图,以WSG-500E为例,该型号有6个千兆电口和2个千兆光口,可以把网桥创建在一个光口和一个电口上。光口接上层的汇聚交换机,电口接下面的二层交换机。
利用“扩展插件”中的“NGF配置同步插件”可以同步多台WFilter NGF(WSG硬件)的相关配置,这个功能在管理维护多台WSG设备时非常实用。在本文中,我将结合WSG上网行为管理网关来介绍“NGF配置同步插件”的使用步骤。
首先要有一台WSG作为服务端,其他做为客户端。服务端可以直接把配置推送给客户端,也可以等客户端主动来进行同步。
多台WSG之间通过Web来同步配置,所以要确保服务端和客户端之间的Web连接可达。(在服务端可以访问客户端的web,或者客户端可以访问服务端的web)
创建同步用户。每台WSG都应当建一个用户名密码一样的操作员用于进行同步操作。
下载“NGF配置同步插件”,并且进行配置。
二级路由器默认都启用了网络地址转换,会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看,只能看到路由器的IP地址。要区分二级路由下面的终端,必须把二级路由器改成AP模式(也就是无线交换机模式)。
在WSG上网行为管理网关的初步设置详细教程中,我们介绍了WSG上网行为管理网关的初步设置,该文档中,我们采用了网关部署的方式。在实际使用中,网桥部署方式也极为常见;用网桥的方式来部署WSG上网行为管理,是完全透明部署,不需要修改现有的网络参数,也不需要更改路由器和交换机的配置。网络拓扑图如下:
网桥部署有如下优点:
不需要修改现有的网络设置。
无需断网,即插即用。
功能一样强大:上网行为记录、行为管理、流控都可以实现。
硬件bypass(要看具体型号),即使网桥设备掉电,也可以保证不断网。
首先需要给WSG设备分配一个静态IP地址。该IP用于远程访问WSG设备,进行Web认证等远程访问操作。需要注意如下几点:
来宾用户、流动人员比较多的局域网,如果不对来宾上网进行管控,不但会占用企业带宽资源,还会带来安全隐患和政策风险。对于企业环境来说,一般推荐来宾和办公网络采用不同的无线SSID,分开进行管控。具体方案如下:
来宾和办公网络采用不同的无线SSID。
对来宾和办公采用不同的限速和行为管理策略。
来宾和办公网络采用不同的VLAN,并且不允许来宾访问公司内网。
不但要设置不同的无线密码,而且需要进行IP-MAC绑定等策略,禁止来宾用户接入到办公网络。
本文将介绍如何用WFilter NGF来实现短信认证网关,以及短信平台的具体实现步骤。
WFilter NGF的短信发送通过调用Web API来实现,支持Web API接口的短信平台很多(一些短信猫也可以支持Web API)。下文中,我们以阿里云的短信服务为例。首先需要创建AccessKey,如下图:
很多局域网考虑到安全需要,会部署两台核心交换机做双机热备。在这样的情况下,如果要旁路部署上网行为管理软件,需要在两台核心上都配置端口镜像,从而实现不间断的监控管理。拓扑图如下:
本文将介绍如何用WFilter来监控多个局域网(多个互联网接入)。由于每个镜像只监控到一个局域网,那么要在一台监控主机上监控多个局域网时,需要使用多块网卡,每块网卡都接到一个镜像端口。然后在WFilter的“系统配置”->“监控配置”中配置多个监控网卡来进行监控。
以同时监控两个局域网为例,如下图:
[IMG]upload/morelanMon01.jpg[/IMG]请注意:两个局域网的网段不能设置成一样,否则监控记录会混淆。分别设置不同的网段,比如:192.168.1.x,192.168.2.x。
在“旁路”过滤模式(通过镜像端口实现监控)下,WFilter(超级嗅探狗)通过在“通讯网卡”上发送RST包来阻断TCP连接。所以如果通讯网卡不能通讯或者通讯不畅,就可以导致封堵功能不起作用。
一般情况,用同一块网卡就可以同时实现监控和封堵,当下列情况出现时,需要用两块网卡。
1. 交换机的镜像端口不允许通讯。有些交换机是不允许镜像上网的,该镜像口只能收包,不能发包。你可以在监控的电脑上ping其他的电脑来检查这一项。改变交换机的设置(如果支持的话)或者增加一个独立的通讯网卡就可以解决这个问题。比如Cisco交换机有一个参数“ingress”,它能允许镜像端口进行通讯。
2. 监听网卡过于繁忙。由于镜像端口要接收其他电脑的上网数据包,网络压力大时网卡的负荷会很大。如果需要监控50台及以上的电脑,我们建议您使用两块网卡。点击“系统配置”—>“配置检测”可以检查监控网卡是否存在此问题(存在此问题时会提示“封堵效率过低”)。
网路分流器(Network Tap)可以透明串联在网络中实现网络流量的监控。相比较镜像交换机而言,network tap有以下优点:
网上有很多如何自己制作network tap的帖子,有兴趣的同学可以自己尝试下,请参见:
随着虚拟化技术的日趋成熟,越来越多的用户选择使用VMWare ESXi来搭建自己的虚拟化平台,本文着重介绍如何在VMWare ESXi中部署WFilter(超级嗅探狗)来实现监控。
在VMware ESXi环境下,WFilter(超级嗅探狗)可以支持两种部署方式:旁路模式和串联模式,有关这两种模式的区别和优缺点,请参见:[URL=http://www.imfirewall.com/help/doc/WFilter_deployment_mode.htm]WFilter部署模式[/URL]
旁路模式监控时,只需要在一台虚拟机中安装WFilter,然后开启虚拟交换机的混杂模式即可。但是由于旁路模式无法禁止UDP通讯,还需要在上层的路由器或者防火墙设备上禁止UDP端口才可以,请参见:[URL=http://www.imfirewall.com/help/doc/WFilter_blockudp.htm]如何在路由器上禁止UDP端口?[/URL]
本文主要介绍如何在ESXi环境中,用串联模式来部署WFilter。串联模式不需要在上层设备禁止UDP端口即可实现WFilter的所有功能。
用超级嗅探狗局域网管理软件实现网络监控,需要把安装超级嗅探狗的电脑接到交换机的“镜像端口”上面。本例将以Cisco2950交换机为例,介绍如何通过Cisco2950交换机来实现局域网网络监控管理。此例也适用于Cisco的其他交换机,如Cisco 2960, Cisco 3750等。
下面本文将以Cisco2950为例,介绍如何配置镜像端口,部署监控软件。
更多内容请参考:
[URL=http://www.imfirewall.com/blog/post/102.html]网络监控为什么需要端口镜像交换机?[/URL]
[URL=http://www.imfirewall.com/blog/post/110.html]如何判断端口镜像是否成功?[/URL]
某公司电信光纤接入, CISCO2950作为中心交换机。网络拓扑图如下:
用超级嗅探狗局域网监控软件实现网络监控,需要把安装超级嗅探狗的电脑接到交换机的“镜像端口”上面。本例将以D-Link3226交换机为例,介绍如何通过D-Link3226交换机来实现局域网网络监控管理。此例也同样适用于D-Link的其他支持端口镜像的交换机。
下面本文将着重介绍如何通过D-Link3226交换机实现网络监控。
更多内容请参考:[URL=http://www.imfirewall.com/blog/post/102.html]网络监控为什么需要端口镜像交换机?
[URL=http://www.imfirewall.com/blog/post/110.html]如何判断端口镜像是否成功?[/URL]
现在很多公司都采用笔记本电脑办公,但是出于工作效率方面的考虑,很多公司都希望进行网络监控。这种既有有线网络又有无线网络的情况下,想要实现网络监控就比较困难。下面将介绍怎样在这样的情况下实现监控。
[B]1. 通过串联有线路由实现监控。[/B]
某网络环境如下图,ADSL接入到linksys宽带路由器(BEFSR41),然后通过“cisco无线AP”(Cisco 1200)搭建一无线局域网环境。 局域网内既有通过无线上网的机器,又有有线上网的机器。
[IMG]upload/wireless network deployment.jpg[/IMG]在本例中,为了能同时对有线环境的机器和无线环境的机器进行监控。我们增加了一个TPLINK的镜像交换机(TL-SL2210WEB)。并且需要对无线AP进行设置。 如上图中框内部分。
TPlink镜像交换机的设置如下图: [IMG]upload/tplink_zh.jpg[/IMG]通过无线AP上网的机器,经过无线AP后,IP地址会被统一转换,这样我们就不能区分。所以,需要禁止无线AP的NAT功能。有两种方式可以禁止:1)有的无线AP有自带的禁止功能,可以直接禁止无线AP的NAT功能;2)如果没有自带的功能,可以手动将无线AP的广域网口接线转到LAN口上,使其NAT功能失效。
网络实现监控,就需要端口镜像的支持。但是,我们常常会发现镜像端口已经配置好了,可还是不能实现监控。下面将介绍4种可能导致镜像端口配置不成功的原因:
1. 配置的镜像端口和实际连接的不一致。比如镜像的是5号端口,但是实际连接的是6号端口,建议检查一下接线。
2. 超级嗅探狗实现监控需要双向(发送+接收)数据包,如果只镜像了单向数据是无法实现监控的。
3. 安装嗅探狗的电脑要直接接到镜像端口。
4. 超级嗅探狗设置不正确。
5. 监控主机的杀毒软件或者防火墙原因。有些杀毒软件或者防火墙会自动丢弃掉非本机的数据包。建议关掉防火墙和杀毒软件以排除其影响。已知的有影响的软件有:NOD32,、瑞星。具体配置请查看:
某网络环境如下图,ADSL接入到linksys宽带路由器(BEFSR41),然后通过“cisco无线AP”(Cisco 1200)搭建一无线局域网环境。局域网内既有通过无线上网的机器,又有有线上网的机器。 [IMG]upload/HomeNetwork.jpg[/IMG] 在本例中,为了能同时对有线环境的机器和无线环境的机器进行监控。我们增加了一个TPLINK的镜像交换机(TL-SL2210WEB)。如上图中框内部分。 tplink镜像交换机的设置如下图:
某公司电信光纤接入,采用ISA2004做为上网服务器,CISCO2950做为中心交换机。 网络拓扑图如下: 如上图所示,针对这种网络结构,有两种解决方案: 方案一: 直接把超级嗅探狗安装在代理服务器上来监控局域网。 方案二: 在其他电脑上安装超级嗅探狗,通过交换机做端口镜像来监控网络。 [B]请注意:对于通过内部代理服务器上网的环境,要把代理服务器IP添加到超级嗅探狗的“监听配置”的“本地服务器”中。[/B]
