当你有多台WSG时，你可能会想把上网日志和统计数据集中保存和管理。集中保存可以保存更长日期的历史数据，也更加便于管理。本文中，我将介绍如何搭建WSG数据中心管理系统来实现数据的集中存储管理。

1. WSG数据中心的搭建

WSG数据中心安装在一台windows电脑上，该系统的搭建需要安装以下产品：

1. SQL Server数据库，所有的日志数据都会被导入到SQL Server数据库中。

2. FTP服务器，用于提供FTP上传服务。

3. WFilterDC（WFilter数据中心管理系统），该系统可以导入数据并且提供查询和统计等功能。

相对于二层交换机的网络环境，在三层交换机环境下部署上网行为管理的步骤要复杂一些，差别主要在“静态路由”和“MAC地址收集器”，还有上层防火墙的一些安全策略的影响。在本文中，我将结合一次实际的安装经历，介绍三层环境下用网桥模式部署WSG上网行为管理的一些常见问题。

1. 配置并部署网桥

本例中，网关是华为USG防火墙172.16.200.253，三层交换机是172.16.200.254，子网掩码都是255.255.255.0。既然200段IP是足够的，所以我就直接把管理口设置在网桥上面，把WSG的IP设置为172.16.200.252，网关地址和DNS是防火墙的IP地址172.16.200.253。

很多网络环境目前都采用光纤的连接方式，比如主交换机到其他楼层交换机采用光口连接，再从楼层交换机的RJ45电口连接到其他网络设备。这种网络环境中，很多情况下都采用透明网桥的方式部署上网行为管理。本文中，我将介绍如何把上网行为管理的透明网桥串接到光口交换机和电口交换机中间。主要有如下两种方式：

1. 采用支持光口的上网行为管理设备

如下图，以WSG-500E为例，该型号有6个千兆电口和2个千兆光口，可以把网桥创建在一个光口和一个电口上。光口接上层的汇聚交换机，电口接下面的二层交换机。

利用“扩展插件”中的“NGF配置同步插件”可以同步多台WFilter NGF（WSG硬件）的相关配置，这个功能在管理维护多台WSG设备时非常实用。在本文中，我将结合WSG上网行为管理网关来介绍“NGF配置同步插件”的使用步骤。

1. 准备工作

1. 首先要有一台WSG作为服务端，其他做为客户端。服务端可以直接把配置推送给客户端，也可以等客户端主动来进行同步。
   

2. 多台WSG之间通过Web来同步配置，所以要确保服务端和客户端之间的Web连接可达。（在服务端可以访问客户端的web，或者客户端可以访问服务端的web）

3. 创建同步用户。每台WSG都应当建一个用户名密码一样的操作员用于进行同步操作。

4. 下载“NGF配置同步插件”，并且进行配置。

二级路由器默认都启用了网络地址转换，会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看，只能看到路由器的IP地址。要区分二级路由下面的终端，必须把二级路由器改成AP模式（也就是无线交换机模式）。

在WSG上网行为管理网关的初步设置详细教程中，我们介绍了WSG上网行为管理网关的初步设置，该文档中，我们采用了网关部署的方式。在实际使用中，网桥部署方式也极为常见；用网桥的方式来部署WSG上网行为管理，是完全透明部署，不需要修改现有的网络参数，也不需要更改路由器和交换机的配置。网络拓扑图如下：

网桥部署有如下优点：

• 不需要修改现有的网络设置。

• 无需断网，即插即用。

• 功能一样强大：上网行为记录、行为管理、流控都可以实现。

• 硬件bypass（要看具体型号），即使网桥设备掉电，也可以保证不断网。
  

1. 网桥部署的准备工作

首先需要给WSG设备分配一个静态IP地址。该IP用于远程访问WSG设备，进行Web认证等远程访问操作。需要注意如下几点：

来宾用户、流动人员比较多的局域网，如果不对来宾上网进行管控，不但会占用企业带宽资源，还会带来安全隐患和政策风险。对于企业环境来说，一般推荐来宾和办公网络采用不同的无线SSID，分开进行管控。具体方案如下：

1. 来宾和办公网络采用不同的无线SSID。
   

2. 对来宾和办公采用不同的限速和行为管理策略。

3. 来宾和办公网络采用不同的VLAN，并且不允许来宾访问公司内网。

4. 不但要设置不同的无线密码，而且需要进行IP-MAC绑定等策略，禁止来宾用户接入到办公网络。

本文将介绍如何用WFilter NGF来实现短信认证网关，以及短信平台的具体实现步骤。

1. 首先要搭建短信Web服务

WFilter NGF的短信发送通过调用Web API来实现，支持Web API接口的短信平台很多（一些短信猫也可以支持Web API）。下文中，我们以阿里云的短信服务为例。首先需要创建AccessKey，如下图：

很多局域网考虑到安全需要，会部署两台核心交换机做双机热备。在这样的情况下，如果要旁路部署上网行为管理软件，需要在两台核心上都配置端口镜像，从而实现不间断的监控管理。拓扑图如下：

　　有些小型局域网只通过一个无线路由器接入，而且没有支持镜像的交换机或者路由器。这样的情况下，可以采用本文中演示的方案：“把安装WFilter的电脑配置为网关，然后把无线路由器当成无线AP来提供无线服务”。 　　网络结构如下图： [IMG]upload/web-1.jpg[/IMG]

本文将介绍如何用WFilter来监控多个局域网（多个互联网接入）。由于每个镜像只监控到一个局域网，那么要在一台监控主机上监控多个局域网时，需要使用多块网卡，每块网卡都接到一个镜像端口。然后在WFilter的“系统配置”->“监控配置”中配置多个监控网卡来进行监控。

1. 网络拓扑图

以同时监控两个局域网为例，如下图：

[IMG]upload/morelanMon01.jpg[/IMG]

请注意：两个局域网的网段不能设置成一样，否则监控记录会混淆。分别设置不同的网段，比如：192.168.1.x，192.168.2.x。

在“旁路”过滤模式（通过镜像端口实现监控）下，WFilter（超级嗅探狗）通过在“通讯网卡”上发送RST包来阻断TCP连接。所以如果通讯网卡不能通讯或者通讯不畅，就可以导致封堵功能不起作用。

什么情况下需要用两块网卡

一般情况，用同一块网卡就可以同时实现监控和封堵，当下列情况出现时，需要用两块网卡。

1. 交换机的镜像端口不允许通讯。有些交换机是不允许镜像上网的，该镜像口只能收包，不能发包。你可以在监控的电脑上ping其他的电脑来检查这一项。改变交换机的设置（如果支持的话）或者增加一个独立的通讯网卡就可以解决这个问题。比如Cisco交换机有一个参数“ingress”，它能允许镜像端口进行通讯。

2. 监听网卡过于繁忙。由于镜像端口要接收其他电脑的上网数据包，网络压力大时网卡的负荷会很大。如果需要监控50台及以上的电脑，我们建议您使用两块网卡。点击“系统配置”—>“配置检测”可以检查监控网卡是否存在此问题（存在此问题时会提示“封堵效率过低”）。

1、Network Tap简介

网路分流器(Network Tap)可以透明串联在网络中实现网络流量的监控。相比较镜像交换机而言，network tap有以下优点：

1. 即插即用，不需要电源就可以工作。
2. 利用网线来实现监控，不会影响网速。
3. 成本低，自己就可以手工制作。

网上有很多如何自己制作network tap的帖子，有兴趣的同学可以自己尝试下，请参见：

对于有多个部门的公司，各部门一般有不同的上网权限，如果部门内部的人员变动和策略设置都由IT部门来设置的话会比较麻烦。 在这种情况下，可以给每个部门单独设置一个操作员，这个操作员只能看到本部门的电脑的上网记录、报表，也能给本部门的员工设置上网策略。 本例中将演示如何用超级嗅探狗来设置多部门操作员。

随着虚拟化技术的日趋成熟，越来越多的用户选择使用VMWare ESXi来搭建自己的虚拟化平台，本文着重介绍如何在VMWare ESXi中部署WFilter（超级嗅探狗）来实现监控。

在VMware ESXi环境下，WFilter（超级嗅探狗）可以支持两种部署方式：旁路模式和串联模式，有关这两种模式的区别和优缺点，请参见：[URL=http://www.imfirewall.com/help/doc/WFilter_deployment_mode.htm]WFilter部署模式[/URL]

旁路模式监控时，只需要在一台虚拟机中安装WFilter，然后开启虚拟交换机的混杂模式即可。但是由于旁路模式无法禁止UDP通讯，还需要在上层的路由器或者防火墙设备上禁止UDP端口才可以，请参见：[URL=http://www.imfirewall.com/help/doc/WFilter_blockudp.htm]如何在路由器上禁止UDP端口？[/URL]

本文主要介绍如何在ESXi环境中，用串联模式来部署WFilter。串联模式不需要在上层设备禁止UDP端口即可实现WFilter的所有功能。