30
2019
08

WSG网桥部署的两种配置方式。

WSG上网行为管理做透明网桥部署有很多优势:

  1. 即插即用,不影响现有网络。

  2. 不需要修改原有设备的配置(交换机、路由器都不需要做任何修改)

  3. 可以利用到硬件bypass的功能,即使机器断电死机也不会断网。

Ros guide bridge.png

30
2019
08

酒店无线WiFi实名认证方案

由于政策要求和网络安全的需要,现在绝大部分的酒店无线WiFi都要求实名认证。只有实名认证过的设备才允许连接酒店的WiFi网络,并且记录和留存该终端的上网内容。

一般来说实名认证都采用短信认证的方式,由于手机号是已经经过实名认证的,记录手机号就等于是实现了实名认证上网。网络结构可以采用如下的部署方式,用一台WSG上网行为管理做主路由(也可以做透明网桥部署)。

短信认证.png

29
2019
08

上网行为管理如何添加网站白名单(包括https网站)?

WFilter上网行为管理,包括WFilter ICF和WFilter NGF(WSG网关),都可以对http和https的站点进行网站黑白名单控制。如图:

201905101557456042339673.<!--autointro--></p></p>          </div>
          <div class= 作者:笨小驴 | 分类:网页过滤方案 | 浏览:7753 | 评论:0

28
2019
08

无线WiFi怎样实现实名认证?

不管是企业内网的私有WiFi,还是公共WiFi网络;出于安全性需要以及相关政策法规的要求,都要对WiFi无线上网的用户进行实名认证。本文中,我将结合WSG上网行为管理网关介绍如何实现无线WiFi的实名认证。

1. 微信连WiFi

腾讯从2014年推出的微信WiFi服务,可以用微信扫码进行认证,从而记录微信的openid。不过由于apple公司的接口调整,微信WiFi已经暂停服务。所以通过微信来进行实名认证已经不可行了。

201908281566968511999113.png

27
2019
08

无线路由器怎样改成AP模式?

二级路由器默认都启用了网络地址转换,会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看,只能看到路由器的IP地址。要区分二级路由下面的终端,必须把二级路由器改成AP模式(也就是无线交换机模式)。

201908271566896735939855.png

27
2019
08

如何有效的管控外发文件?屏蔽USB和禁止通过网络外发文件。

局域网的文件泄露,主要是通过usb拷贝以及网络传输的方式。我们在企业外发文件管控方案总结一文中,已经介绍了多种管控外发文件的方案。在本文中,我将介绍利用WSG上网行为管理网关如何来有效的管控外发文件。

1. 首先要屏蔽电脑的usb存储设备。

需要在windows电脑的组策略里面禁止配置,把“禁止安装可移动设备“修改成”已启用“即可。当然,管理员权限就不能给使用者啦,要不然再把这个策略改回去就不起作用了。

201804281524898526105924.png

23
2019
08

局域网通过IP地址如何找到电脑的位置?

当防火墙检测到某个IP存在病毒攻击或者异常流量时,网管技术人员往往需要到电脑上面进行后续操作。而对于自动获取IP的局域网来说,如何定位IP地址的电脑位置一直是一个技术难题。如果没有好的工具,最笨的办法就是一台一台电脑进行查看,通过比对IP地址和mac地址来定位。那么还有哪些聪明一些的办法呢?

1. 在三层交换机上查看ARP表

有网管交换机时,可以在网管交换机上查看arp表找到该IP地址所在的端口,然后根据端口顺藤摸瓜,从而定位电脑的物理位置。比如,在交换机上执行“disp arp”命令(不同型号的交换机命令不一样),可以得到如下结果:

arp.png

20
2019
08

上网行为管理如何应对mac地址克隆和IP盗用?

在部署了上网行为管理的局域网内,总会有人想各种各样的办法来突破上网管控。常见的方法有:

  1. IP地址盗用。

  2. MAC地址克隆。

首先可以考虑不开放管理员权限,或者采用域控的方式禁止客户机自行修改网络设置等办法。其次也可以通过上网行为管理的管控策略来阻止这些行为。本文中,我来介绍下如何用WSG上网行为管理网关来应对IP地址盗用和MAC地址克隆。

19
2019
08

局域网IP限速怎么配置?限速多少比较合适?

由于视频和下载可以轻易的占用大量带宽,为了网络的稳定运行,大部分局域网都会对客户端进行一定的限速。本文中,我将介绍如何根据带宽来做限速,限速设置多少比较合理?

1. 限速多少比较合理?

正常的办公上网,每个终端至少需要2Mbit的带宽才够用;平均值如果低于2Mbit需要考虑增加接入带宽。假设你有200Mbit的带宽,有50个终端,那么平均下来每个终端可以分配到4Mbit;但是考虑到不是所有人都会在同时全速下载,可以给每个终端分配8-10Mbit的带宽。如下图:

201908191566186030233353.png

16
2019
08

IP地址冲突怎么解决?

IP地址冲突一般是由于手动设置IP的原因,综合来说有如下两种可能性:

  1. A电脑和B电脑都手工设置了同样的IP地址。

  2. A电脑自动获取,B电脑手动设置了和A电脑一样的IP地址。

出现IP地址冲突时,通过arp -a命令,可以看到冲突对方的MAC地址。如下图:

201908161565924007939851.png

15
2019
08

三层交换机怎样设置MAC白名单?只允许指定的MAC地址上网。

在三层交换机环境下,由于三层交换机屏蔽了终端的实际mac地址,上层的上网行为管理在不开启“MAC地址收集器”的情况下,是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图:

wsg_bridge_zh.png

13
2019
08

Web认证如何放行不同的操作系统?

在WFilter NGF(WSG上网行为管理网关)的”Web认证“配置中,可以基于IP范围来配置要进行Web认证的客户端。实际使用中,有些局域网电脑和手机无线终端都混杂在同一个网段,这种情况下,如果要只对电脑做认证,或者只对手机做认证,就不能通过IP范围来实现了。需要修改默认的认证页面,基于浏览器的useragent来获取客户端操作系统类型,并且判断是否放行(无需认证直接放行)。

如下图,点击”编辑Web认证页面”,然后点击源代码图标。

201908131565677101864630.png

13
2019
08

手机钉钉怎么扫码进行Web认证?

上网行为管理如何实现钉钉扫描二维码进行Web认证登录这篇文章中,我们介绍了如何用手机钉钉扫码登录电脑。电脑在上外网之前,需要用手机钉钉扫描二维码才可以使用网络,并且记录该用户账号的上网内容。而在实际使用中,有些用户还想对手机上外网进行用户认证,从而可以识别到手机的员工姓名并记录上网日志。

本文中,我将介绍如何用手机钉钉扫码对自身手机进行Web认证。

在认证前,该手机是无法上外网的。大部分手机会自动弹出Web认证页面(也可以手动在浏览器里面打开),如下图:

201908141565771075862856.png

08
2019
08

Web认证如何对接第三方认证平台?

WSG上网行为管理网关(WFilter NGF)的Web认证功能非常强大,可以支持多种用户名认证(本地用户、邮箱认证、域认证、Radius认证等),还可以支持短信认证、微信认证、钉钉认证等第三方认证。不过在有些情况下,用户还希望WSG可以对接第三方的Web认证界面,即通过其他的Web认证系统进行认证,而由WSG来实现上网管控和上网记录。本例中,我将介绍如何用WSG来对接第三方Web认证平台。

首先,开启WSG的Web认证功能。

“Web认证”的需求是对需要管控的员工网段开启认证,一些电脑不开启认证。如图:
1. 设置要管控的IP范围
2. 设置一个合理的超时重新认证时间,1440就是每天都需要重新认证一次。
3. 领导的mac地址加到“例外的MAC地址”

201908081565244470805034.png

05
2019
08

如何屏蔽QQ和微信的外发文件?

出于信息安全的考虑,很多企业不允许工作电脑外发文件,但是QQ和微信又是常见的办公工具。所以“既允许QQ和微信聊天,同时又不允许外发文件”,一直是企业管理的一个难题。其实上网行为管理技术经过十几年的发展,已经可以精确的识别出文件传输和普通聊天的协议特征。专业的上网行为管理产品,都可以单独屏蔽QQ和微信传文件。以WSG上网行为管理网关为例,在“行为管理”的“应用过滤”中,搜索QQ,可以看到20多个QQ相关的应用协议,包括QQ聊天、QQ发文件、QQ接收文件、QQ游戏等各种相关应用。如下图:

201908051564988274123259.png