笨驴信息(IMFirewall)博客

对于三层交换机划分多个VLAN的局域网来说，要设置IP-MAC绑定可真不容易。在三层交换机上进行IP-MAC绑定，不但配置复杂而且维护工作量很大，所以大部分网管都不会直接在三层交换机上进行绑定。在本文中，我将介绍用WSG上网行为管理，在网桥部署的模式下，如何来实现三层交换机下的IP和MAC绑定。

1. 先看下网络拓扑图。

Win10的自动更新非常的频繁，而且windows的更新很耗带宽资源。所以，如果网内的windows电脑比较多，那么一旦windows发布了新的更新包，会占用大量的网络带宽资源。

当然，windows的更新很多都是安全方面的更新，保持系统更新有助于提高终端的安全，我们并不建议关闭更新。不过，有些网络为了节省带宽资源，需要屏蔽局域网内电脑的自动更新。在没有部署上网行为管理的情况下，你需要在路由器或者网关设备上屏蔽站点“.*(officecdn|mp|updates)\.microsoft\.com“（正则表达式）和".*\.windowsupdate\.com”（正则表达式）。“windows更新”的通讯协议描述如下图：

日前，深圳市网络与信息安全信息通报中心发出紧急通告，指出目前知名远程办公工具TeamViewer已经被境外黑客组织APT41攻破，提醒企业组织做好防护措施。也就是说，APT41已经攻破TeamViewer公司的所有防护体，并取得有相关数据权限，危险等级非常高。在teamviewer官方提供解决方案和发布相关补丁之前，我们建议用户暂停teamviewer软件的使用，避免造成不必要的损失。

以下是teamviewer通讯方式介绍，以及如何用WSG上网行为管理来禁止teamviewer。

1. teamviewer通讯方式

1. teamviewer在启动时，首先会连接teamviewer官网（http和https方式都有），来获取ID和路由信息。如果直接连接不了，teamviewer还会获取本机的代理配置，尝试通过代理服务器去连接。
   

2. teamviewer后续的点对点远程控制，大部分通过的端口是tcp 5938。也存在其他动态端口的通讯数据。

有些公司为了安全需要，只允许使用微信等指定软件，同时屏蔽所有的其他网站和软件。这样的管理需求，必须要用专业的上网行为管理产品才可以实现。以我司的WSG上网行为管理为例，只需要两条行为管理规则，即可实现该功能。配置的思路是“应用过滤屏蔽所有+例外设置开通部分应用”这两者结合的方式。下面是具体配置的步骤介绍：

1. 先在应用过滤里面屏蔽所有

如图，应用过滤添加规则，禁止所有应用的访问。