26
2019
03

如何检测和禁止局域网内二级路由和网络共享?

局域网内的私接路由器、私接随身WiFi等行为,不但会让其他客户机绕开上网行为管理的管控,破坏局域网上网秩序;而且会干扰企业WiFi的无线信号。所以在企业局域网中,一般都是严禁私接路由器的。

“WFilter是如何来屏蔽和禁用随身wifi的?”一文中,我们介绍了如何使用“随身WiFi和私接路由检测插件”来检测和惩罚局域网内的私接行为。该插件使用简单方便,而且功能强大;一直倍受用户喜爱。在最新版的WFilter NGF系统中(1.1.2019.03.25版本),我们已经把该插件集成到NGF的主系统中来(共享检测模块)。除了“随身WiFi和私接路由检测插件”的功能外,该共享检测模块还可以支持共享检测的历史记录查询,并且可以把检测到的客户机加入虚拟惩罚组来实现更多的管控策略。一些配置介绍如下图:

25
2019
03

专线和ADSL混合多线如何做负载均衡和策略路由?

企业局域网为了业务发展需要和办公上网的需要,很多都申请了“专线+ADSL宽带”的多线接入模式。这样的模式有如下优点:

  1. 既满足了固定公网IP(专线)的需要,又满足了办公上网的需要(ADSL宽带)。

  2. 可以减少昂贵的专线投入。比如采用“10M的专线+100M的ADSL宽带”这样的结合模式,可以大大的减少专线的投入。

需要注意的是,不合理的负载均衡配置会浪费宝贵的专线资源,并且达不到良好的带宽效果。本文中,我将结合WSG网关来介绍这种情况下,如何正确的配置策略路由和负载均衡。

首先,建议采用如下的配置原则:

  1. 不要把专线和ADSL做负载均衡。专线和ADSL的原理、运营商都不一样,负载均衡会把两者都拖累。

  2. 专线资源是宝贵的,应该专款专用,只提供给业务主机和服务器网段。

  3. 办公上网全部走ADSL(把专线资源用来做办公上网是极大的浪费)

以下是一些相关的配置截图:

1. 添加“电信专线100%”的线路方案

201903251553502746302641.png

21
2019
03

如何禁止英魂之刃手游?

《英魂之刃》 是由网龙公司开发,由腾讯公司独家代理的全球首款微端类DOTA对战网游。游戏基于DOTA游戏特色打造,采用网龙公司独家研发的S3引擎,以浓郁的中国风、穿越古今的英雄乱斗以及快节奏的竞技对战,在短短两年内一跃成为千万活跃用户级别的MOBA人气新宠。

本文将介绍如何使用WFilter NGF(WSG网关)的“应用过滤”功能来屏蔽局域网玩《英魂之刃》。

1. 首先,确保您的特征库是最新版本。

点击“配置”->“系统“->“更新设置”里面的“立即检查更新”,可以检查更新并且把您的特征库(网址库和协议库)升级到最新版本。如果不点击,也会在每天的凌晨自动检查更新。如下图:

201903211553165243296920.png

20
2019
03

没有公网IP如何实现内网穿透?

由于公网IP资源越来越紧张,现在很多运营商给拨号上网的用户只分配内网IP地址,如下图所示:

201903201553065078817579.png

这样的运营商内网IP是外网不可达的(即使用动态域名也不起作用)。而企业由于业务需要,比如虚拟局域网组网、办公OA系统、ERP系统等,都需要有公网IP才可以实现。公网IP的解决,目前主要有三种方案:

  1. 申请固定IP专线。稳定且速度有保障,缺点是费用高。

  2. 云方案。把业务主机都搬到云上,直接通过云主机来访问。费用比较低,缺点是云主机不能本地维护,且搬迁工作量都不小。

  3. 云主机+内网穿透方案。通过云主机做跳板来实现内网穿透,既可以复用现有的业务系统,又解决了公网IP的问题。第三种方案的成本是最低的,但是配置比较复杂。本文将对第三种方案做详细介绍。

15
2019
03

如何过滤邮件的发送者,只允许使用公司邮箱来发送邮件?

有些企业为了信息安全需要,需要对企业的邮件收发进行监管。比如:“只允许使用公司邮箱来发邮件,且记录公司邮箱的收发内容,从而达到管理目的。”

本文中,我将介绍如何使用WFilter NGF的邮件过滤功能来对邮件的发件人进行白名单限制(只允许白名单中的邮箱发送邮件),有两个方案:

  1. 禁止所有的网页邮件和客户端邮件。同时把公司邮件服务器的IP地址加到“例外设置”中。(需要公司有专门的邮件服务器)

  2. 如果公司没有专门的邮件服务器,通过购买租用公开的邮件服务。要进行邮件过滤,则需要用到WFilter NGF中的邮件过滤模块。

本文中,我将详细介绍下第二种方式的具体步骤。

1. 只允许部分邮件收发协议

邮件收发协议,除了标准的SMTP/IMAP/POP3外,还有一些私有协议:比如Lotusnote, 网易闪电邮等。为了对邮件发件人进行过滤,需要禁止其他的私有邮件协议,只开放标准协议。如下图:

201903151552637914873937.png

在“应用过滤”模块中,把这些邮件协议设置为允许:发送邮件(SMTP)、接收邮件(POP3)、接收邮件(IMAP)、SMTP发送带附件的邮件、SMTP发送混合格式邮件、以及SSL加密的SMTP/POP3/IMAP。

14
2019
03

如何对来访人员进行Web用户名认证?

如何对来宾用户进行上网行为管理中,我们介绍了基于VLAN或者DHCP范围来区分来访人员和普通办公人员。在本文中,我将介绍另外一种较典型的方式:“对办公人员进行IP-MAC绑定;并要求来访人员Web认证。”

首先需要在IP-MAC绑定中录入办公人员的IP和MAC地址(略)。然后再进行下述配置:

1. 设置DHCP范围

IP-MAC绑定后,办公电脑DHCP获取的都是绑定的IP地址。为了区分办公电脑和来访人员的IP地址,我们首先需要设置DHCP的范围和办公电脑绑定的IP范围区分开。

201903141552551942234705.png