WSG上网行为管理做透明网桥部署有很多优势:
即插即用,不影响现有网络。
不需要修改原有设备的配置(交换机、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使机器断电死机也不会断网。
WSG上网行为管理做透明网桥部署有很多优势:
即插即用,不影响现有网络。
不需要修改原有设备的配置(交换机、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使机器断电死机也不会断网。
由于政策要求和网络安全的需要,现在绝大部分的酒店无线WiFi都要求实名认证。只有实名认证过的设备才允许连接酒店的WiFi网络,并且记录和留存该终端的上网内容。
一般来说实名认证都采用短信认证的方式,由于手机号是已经经过实名认证的,记录手机号就等于是实现了实名认证上网。网络结构可以采用如下的部署方式,用一台WSG上网行为管理做主路由(也可以做透明网桥部署)。
WFilter上网行为管理,包括WFilter ICF和WFilter NGF(WSG网关),都可以对http和https的站点进行网站黑白名单控制。如图:
作者:笨小驴 | 分类:网页过滤方案 | 浏览:7753 | 评论:0
不管是企业内网的私有WiFi,还是公共WiFi网络;出于安全性需要以及相关政策法规的要求,都要对WiFi无线上网的用户进行实名认证。本文中,我将结合WSG上网行为管理网关介绍如何实现无线WiFi的实名认证。
腾讯从2014年推出的微信WiFi服务,可以用微信扫码进行认证,从而记录微信的openid。不过由于apple公司的接口调整,微信WiFi已经暂停服务。所以通过微信来进行实名认证已经不可行了。
二级路由器默认都启用了网络地址转换,会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看,只能看到路由器的IP地址。要区分二级路由下面的终端,必须把二级路由器改成AP模式(也就是无线交换机模式)。
局域网的文件泄露,主要是通过usb拷贝以及网络传输的方式。我们在企业外发文件管控方案总结一文中,已经介绍了多种管控外发文件的方案。在本文中,我将介绍利用WSG上网行为管理网关如何来有效的管控外发文件。
需要在windows电脑的组策略里面禁止配置,把“禁止安装可移动设备“修改成”已启用“即可。当然,管理员权限就不能给使用者啦,要不然再把这个策略改回去就不起作用了。
当防火墙检测到某个IP存在病毒攻击或者异常流量时,网管技术人员往往需要到电脑上面进行后续操作。而对于自动获取IP的局域网来说,如何定位IP地址的电脑位置一直是一个技术难题。如果没有好的工具,最笨的办法就是一台一台电脑进行查看,通过比对IP地址和mac地址来定位。那么还有哪些聪明一些的办法呢?
有网管交换机时,可以在网管交换机上查看arp表找到该IP地址所在的端口,然后根据端口顺藤摸瓜,从而定位电脑的物理位置。比如,在交换机上执行“disp arp”命令(不同型号的交换机命令不一样),可以得到如下结果:
在部署了上网行为管理的局域网内,总会有人想各种各样的办法来突破上网管控。常见的方法有:
IP地址盗用。
MAC地址克隆。
首先可以考虑不开放管理员权限,或者采用域控的方式禁止客户机自行修改网络设置等办法。其次也可以通过上网行为管理的管控策略来阻止这些行为。本文中,我来介绍下如何用WSG上网行为管理网关来应对IP地址盗用和MAC地址克隆。
由于视频和下载可以轻易的占用大量带宽,为了网络的稳定运行,大部分局域网都会对客户端进行一定的限速。本文中,我将介绍如何根据带宽来做限速,限速设置多少比较合理?
正常的办公上网,每个终端至少需要2Mbit的带宽才够用;平均值如果低于2Mbit需要考虑增加接入带宽。假设你有200Mbit的带宽,有50个终端,那么平均下来每个终端可以分配到4Mbit;但是考虑到不是所有人都会在同时全速下载,可以给每个终端分配8-10Mbit的带宽。如下图:
IP地址冲突一般是由于手动设置IP的原因,综合来说有如下两种可能性:
A电脑和B电脑都手工设置了同样的IP地址。
A电脑自动获取,B电脑手动设置了和A电脑一样的IP地址。
出现IP地址冲突时,通过arp -a命令,可以看到冲突对方的MAC地址。如下图:
在三层交换机环境下,由于三层交换机屏蔽了终端的实际mac地址,上层的上网行为管理在不开启“MAC地址收集器”的情况下,是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图:
在WFilter NGF(WSG上网行为管理网关)的”Web认证“配置中,可以基于IP范围来配置要进行Web认证的客户端。实际使用中,有些局域网电脑和手机无线终端都混杂在同一个网段,这种情况下,如果要只对电脑做认证,或者只对手机做认证,就不能通过IP范围来实现了。需要修改默认的认证页面,基于浏览器的useragent来获取客户端操作系统类型,并且判断是否放行(无需认证直接放行)。
如下图,点击”编辑Web认证页面”,然后点击源代码图标。
在上网行为管理如何实现钉钉扫描二维码进行Web认证登录这篇文章中,我们介绍了如何用手机钉钉扫码登录电脑。电脑在上外网之前,需要用手机钉钉扫描二维码才可以使用网络,并且记录该用户账号的上网内容。而在实际使用中,有些用户还想对手机上外网进行用户认证,从而可以识别到手机的员工姓名并记录上网日志。
本文中,我将介绍如何用手机钉钉扫码对自身手机进行Web认证。
在认证前,该手机是无法上外网的。大部分手机会自动弹出Web认证页面(也可以手动在浏览器里面打开),如下图:
WSG上网行为管理网关(WFilter NGF)的Web认证功能非常强大,可以支持多种用户名认证(本地用户、邮箱认证、域认证、Radius认证等),还可以支持短信认证、微信认证、钉钉认证等第三方认证。不过在有些情况下,用户还希望WSG可以对接第三方的Web认证界面,即通过其他的Web认证系统进行认证,而由WSG来实现上网管控和上网记录。本例中,我将介绍如何用WSG来对接第三方Web认证平台。
“Web认证”的需求是对需要管控的员工网段开启认证,一些电脑不开启认证。如图:
1. 设置要管控的IP范围
2. 设置一个合理的超时重新认证时间,1440就是每天都需要重新认证一次。
3. 领导的mac地址加到“例外的MAC地址”
出于信息安全的考虑,很多企业不允许工作电脑外发文件,但是QQ和微信又是常见的办公工具。所以“既允许QQ和微信聊天,同时又不允许外发文件”,一直是企业管理的一个难题。其实上网行为管理技术经过十几年的发展,已经可以精确的识别出文件传输和普通聊天的协议特征。专业的上网行为管理产品,都可以单独屏蔽QQ和微信传文件。以WSG上网行为管理网关为例,在“行为管理”的“应用过滤”中,搜索QQ,可以看到20多个QQ相关的应用协议,包括QQ聊天、QQ发文件、QQ接收文件、QQ游戏等各种相关应用。如下图: