笨驴技术(IMFirewall)博客

为了保障网络安全，提高员工工作效率，企业有必要部署上网行为管理。上网行为管理可对企业内部员工的上网行为进行全方位有效管理，保护Web访问安全，降低互联网使用风险，避免机密信息泄露，提升工作效率，限制下载和视频P等严重消耗带宽的应用，保障企业核心业务带宽。

利用WSG的用户认证和行为管理策略，可以对域用户、非域用户配置不同的上网策略。比如，你可以默认禁止所有的终端上网，当电脑加入域后，则可以根据账号、OU等放行具体的访问内容。本文中，我将介绍如何开启域认证，并且屏蔽非域用户上网。

该视频简要介绍了WSG上网行为管理的各项功能。

在局域网内部署WSG上网行为管理后，可以对全网的上网行为进行分析、记录和统计。除了内置的一系列报表外，你还可以利用WSG的自定义报表功能，来实现更强大的统计功能。在本文中，我将介绍如何用WSG的统计报表，来对员工找工作的行为进行分析告警，从而使公司领导了解员工的工作心态，减少公司损失。

1. 首先，创建一个自定义报表。

如下图，选择“网页统计”-“网页浏览次数统计”，勾选“保存该报表”，点击保存后，再点击“设置”。

很多情况下，局域网内部的一些终端，比如领导电脑、移动pos机、内网服务器等，需要不加限制的访问外网（即不受到任何上网行为策略的管控）。在WFilter NGF（WSG上网行为管理）中，我们主要通过“例外设置”来实现。本例中，我将介绍如何用例外设置来实现终端白名单的功能。

不加管控的局域网下载，不但会占用大量的带宽资源，而且下载不明类型的软件程序等会给局域网来的病毒等危害。在本文中，我将结合WSG上网行为管理网关，来介绍如何屏蔽局域网的下载行为。

下载行为的管控，主要从以下几个方面来入手：

1. 屏蔽各类下载站的访问。

2. 屏蔽各类下载工具、P2P下载软件等。

3. 禁止网盘等文件传输。

4. 屏蔽网页上的文件下载。

钉钉的使用过程中必须连接外网，对于网络权限设置比较严格的局域网来说，如何开放钉钉一直是一个难题。由于钉钉官方已经不再公布服务器的段，所以不能基于IP范围来做管控。必须要有专业的上网行为管理产品，才可以准确识别出钉钉的流量并且加以管控。

本文，我就来介绍下在WSG上网行为管理网关中如何放行钉钉。钉钉的使用需要通过https访问钉钉相关的网站，另外还有自己的通讯协议（端口443）。所以要放行钉钉，我们需要放行DNS、钉钉这两个应用协议，并且允许钉钉的相关网站。具体的配置步骤如下：

在部署了上网行为管理的局域网内，总会有人想各种各样的办法来突破上网管控。常见的方法有：

1. IP地址盗用。
   

2. MAC地址克隆。

首先可以考虑不开放管理员权限，或者采用域控的方式禁止客户机自行修改网络设置等办法。其次也可以通过上网行为管理的管控策略来阻止这些行为。本文中，我来介绍下如何用WSG上网行为管理网关来应对IP地址盗用和MAC地址克隆。

在三层交换机环境下，由于三层交换机屏蔽了终端的实际mac地址，上层的上网行为管理在不开启“MAC地址收集器”的情况下，是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图：

我们一般把WSG上网行为管理的使用分为三个步骤：安装部署、基本配置、策略配置。

1. 安装部署：把设备安装到网络中，使网络能正常工作。
   

2. 基础配置：DHCP和VLAN设置、防火墙策略、端口映射、分组设置等基本配置。

3. 策略配置：上网行为的审计策略、过滤策略、查询和报表等功能和配置。

在本文中，我将介绍WSG网关的安装部署的具体步骤。用户拿到设备后，按此步骤即可完成安装部署工作，并且开通远程管理访问。使技术人员可以进行远程协助配置。

2018俄罗斯世界杯大幕拉开，世界杯期间球迷们将通过各种途径观看世界杯。互联网作为世界杯的主要承载媒体，也使得我们的网络感受到了前所未有的压力。对于各类企事业单位来说，首要保障公司业务所需的带宽资源，同时也要人性化的满足世界杯的激情需要。

因此在世界杯期间，无论是门户网站、运营商或是企事业单位，都需要解决带宽分配和流量管理的问题。既让客户和员工可以观看世界杯，同时又要让企业的网络带宽不被抢占，关键应用的质量不受影响。

相对于固定IP而言，自动获取IP（DHCP）更加方便，而且不会导致IP地址冲突。但是对于局域网网络管理而言，IP地址不固定就无法实现有效的管控。作为专业的上网行为管理厂家，WFilter系列上网行为管理产品针对该情况可以提供两种解决方案：

1. 先进行IP-mac地址绑定，然后基于IP地址管控。

2. 直接基于MAC地址进行管控。
   

以WFilter NGF（WSG网关）为例，具体配置介绍如下：

全世界的路由，防火墙，网关，VPN服务器，各种服务器的设备可以说都是一样的构造：软件系统灌到硬件设备当中去。同时差别又很大：一两百就可以买到一个小路由，十万二十万才能购置一台重量级服务器。为什么差别这么大？其实就两样：硬件配置和软件系统。几百的小路由是那种路由芯片，过万的服务器最低intel X86的芯片。而用什么硬件设备，取决灌什么软件系统了。

以最普遍的路由器来说，都是基于嵌入式系统裁剪出来的。一些经典的路由系统，比如Routeros，系统很轻巧，运算压力也不大，简单的芯片就可以承载。而防火墙系统、上网行为管理系统，还需要在LINUX的基础上，做大量的开发。所以对硬件需求，一定要有个强劲的CPU，以及大容量的硬盘和内存才足够。普遍都用工控机来实现。

就上网行为管理设备来说，首先WSG上网行为管理网关，系统基于LINUX独立系统，支持海量协议库和网址库。这点就决定了硬件的配置级别一定不是路由芯片可以满足的。

之前有用户反映过一个挺困扰的问题：就是腾讯的QQ经常会自动下载QQ电脑管家和QQ浏览器，占用大量的带宽资源，而且给PC机的管理带来麻烦。如图，你只要点击“一键领取”，就会自动下载并安装腾讯的相关软件。

本文中，我将介绍如何用WFilter ICF来禁止这些软件的自动下载安装。