根据《中华人民共和国网络安全法》(第十条、第二十一条、第二十四条)、《中华人民共和国反恐怖主义法》(第十九条、第二十一条)、《计算机信息网络国际联网安全保护管理办法》(第十条、第十一条、第十二条、第十七条)、《互联网安全保护技术措施规定》(第七条、第八条、第十一条)等相关法律规定:
1. 提供WiFi上网服务的公共场所,必须落实上网实名认证。
2. 提供上网服务的公共场所,必须至少保存六十天的上网记录备份。
短信实名认证是目前最稳定、最普遍的实名认证方案。对于绝大部分WiFi网络而言,只需要在网络出口处部署一台WSG上网行为管理设备,就可以同时实现短信认证和上网记录的功能,满足网络安全法的安全要求。WSG上网行为管理的WiFi短信认证方案,具备如下优势:
一台设备就可以满足认证+审计+安全的功能需求。
对内网的网络设备没有要求,不需要更改现有的无线方案。
透明部署、即插即用。
网络拓扑图如下:
局域网内电脑中了木马病毒,会有带来下述坏处:
感染内网其他电脑。
大量攻击数据的存在,使得网络缓慢,被攻击的电脑运行缓慢。
发现内网电脑中毒后,一般都会采取重新安装系统,或者全盘杀毒的方式。但是如果电脑比较多就让人很头疼了。首先要追踪查找到感染了木马病毒的电脑,然后才可以进行病毒查杀。有些杀毒软件或者防火墙可以检测到内网的攻击源,本文中,我将介绍如何用WSG上网行为管理的“木马检测”功能来进行检测。WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块,如下图:
WSG的应用特征库已经包含了“QQ小程序”和“微信小程序”这两个应用特征,只要把对应的应用设置成“禁止”即可屏蔽所有的小程序。但是在实际使用过程中,有些用户只想屏蔽游戏类的小程序,同时允许其他的小程序功能。本文,我将结合管呗上网行为管理,来演示如何实现该需求。
在“上网策略”的“APP”中,搜索小程序,把QQ小程序和微信小程序设置成“禁止”。这样的效果是直接把所有的小程序都禁用掉。如下图:
WFilter的扩展插件系统有一系列实用的扩展插件。本文中,我将介绍插件中的“远程唤醒”功能,该功能可以给指定的电脑发送WOL(Wake on LAN)数据包,从而实现远程唤醒和远程开机。
具体步骤如下:
输入IP地址、MAC地址、机器名备注等信息,可以查询出终端列表。如下图:
在“WSG拨号上网如何配置IPv6地址?”一文中,我们介绍了如何在拨号上网的情况下开启IPv6,如文中所述拨号上网时IPv6地址主要都是通过自动获取来实现的。对于静态固定IPv6地址来说,配置方式就不一样了。你需要合理的划分自己的网段。
IPv6不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。本文中,我将介绍WSG上网行为管理在拨号上网时如何启用和配置IPv6地址。
配置外网口时,需要在外网口启用IPv6。
在防火墙、上网行为管理如何实现双机热备一文中,我们介绍了如何用两条外线来实现网络双机热备。在有些情况下,一些用户还需要对同一条线路做双机热备。准确的说,外线只有一条,但是要确保防火墙/上网行为管理设备是可以实现热备的。这种情况下,和防火墙、上网行为管理如何实现双机热备一文不同的是,我们需要同时在“内网口”和“外网口”上都开启虚拟IP。这样的效果就是:内网口和外网口都工作虚拟IP上,一旦主设备故障,可以迅速切换到备份设备上去。
多条外线时,我们一般都会配置线路负载均衡或者线路分流。线路均衡负载的配置,请参考:同运营商多条外线如何做负载均衡? 有时候用户只希望单纯的实现一个线路备份的功能,意思就是正常只用一条外线,另外一条外线只在主线路故障时才启用。本文我就来介绍一下如何用WSG网关来实现两条线路自动主备切换。
笨驴SD-WAN盒子可以非常方便的实现多地组网,无需修改现有网络结构,无需替换现有的网络设备,只要在两地通过旁路方式分别接一台SDWAN盒子即可组建虚拟局域网。网络结构如下图:
本文将介绍笨驴SD-WAN盒子的首次安装步骤。
如图所示,SD-WAN盒子这款硬件有如下配置:
一个以太网网口,默认自动获取IP。
自带wifi(SID: wfilter-sdwan,无线网段是192.168.120.0/24)
随着疫情反反复复,主动或被动采取远程办公的公司越来越多。企业网络除了满足日常的局域网组网,还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法一般需要企业申请带固定IP的企业专线,通过该固定IP提供远程拨入服务。而由于专线方案价格高,很多企业承受不了。在本文中,我将介绍没有公网IP时如何通过SD-WAN的方案来实现远程办公拨入。网络结构图如下:
为了保障网络的100%畅通,有些情况下需要用两台WSG设备来实现双机热备,一旦主服务器故障,几秒钟网络就会切换到备份机上,从而实现保证流量业务不中断,主备机无缝切换。在本文中,我将介绍如何用两台WSG上网行为管理来实现双机热备。
利用WSG的用户认证和行为管理策略,可以对域用户、非域用户配置不同的上网策略。比如,你可以默认禁止所有的终端上网,当电脑加入域后,则可以根据账号、OU等放行具体的访问内容。本文中,我将介绍如何开启域认证,并且屏蔽非域用户上网。
主管部门发出的安全风险报告,一般只能定位到局域网的公网IP。网管技术人员要处理解决该安全事件,还需要定位到具体的终端电脑。这个定位工作非常考验网管的技术,没有对应的技术储备,加上没有合适的工具的话,你就只能一台电脑一台电脑的杀毒了。
在如何检测局域网内感染了木马病毒的电脑?一文中,我们介绍了如何通过WSG上网行为管理网关的“入侵防御”功能来定位挖矿、中毒、以及感染了木马的电脑。对绝大部分情况来说,开启入侵防御功能就可以检测到被感染的终端电脑。然后对该电脑进行查毒杀毒就可以了。有些情况下,由于特征库版本不一致,或者检测技术不一样,也可能存在并没有检测到的情况。这时候,我们还可以通过自定义规则的方式,来扩大检测的内容。在本文中,我将介绍如何自定义检测规则。
传统的异地组网方式要求企业有带固定公网IP的专线才可以实现;由于IPv4资源的短缺,运营商专线价格高企,大部分企业无法承担高额的专线费用。为解决此问题,各大网络厂商各显神通,研发出了一系列的解决方案。本文中,我将介绍如何利用“SD-WAN技术”来实现没有公网IP时的异地组网互联。和传统的VPN相比,SD-WAN有如下优势:
自动寻址,无需公网IP。
点对点加密传输,无需通过服务器转发,传输安全性高。
多平台支持。有windows,安卓客户端。
既能实现多地组网,又可以实现远程办公拨入。
随着互联网、数字化的迅速发展,远程办公、移动办公、居家办公已经是企业必备的网络服务。企业网络除了满足日常的局域网组网,还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法,一般有如下两种:
1). 企业申请带固定IP的企业专线,通过该固定IP提供远程拨入服务。
2). 在路由器上绑定动态域名,通过动态域名来访问。
近年以来,由于IPv4资源的短缺,运营商改为只分配内网的IPv4地址,导致动态域名这个方案已经不可行了。而专线方案价格高企,很多企业承受不了。
在如何利用Web VPN来保护内网信息安全一文中,我们介绍了如何用WebVPN来访问内网的Web服务器。WebVPN可以给内网服务器添加一层认证保护,只有认证过的用户才可以访问内网资源,从而有效的保护了内网数据的安全性。对于Web服务器来说,WebVPN是通过子域名的方式,每个web服务都需要对应一个不同的二级域名。在WFilter NGF的2.0版本中,我们给WebVPN添加了转发到“TCP服务器”的功能,使WebVPN用户可以在认证后访问到指定的TCP服务器。以下是Web方式和TCP方式的差别和优缺点分析:
Web方式
只能转发到指定的Web服务器。
每个Web服务器都必须对应一个二级子域名。
可以对Web站点的内容进行替换。
TCP方式
可以转发到任意的TCP服务。比如内网的ssh,rdp等,也包括web服务。
每个TCP服务必须对应一个本地端口。
外网用户必须经过认证才可以访问TCP端口。
不能对内容进行修改。
链路聚合和端口聚合是两个概念:
1). 链路聚合是指多条外线的情况下把多条外线聚合使用。该功能可以通过WSG的“多线均衡”模块来实现。
2). 端口聚合是指在WSG上接多个内网交换机端口,从而提升内网的上联带宽。
挖矿软件会占用电脑的大量运算资源和电力资源,而且会引起主管部门的关注。局域网内有电脑被安装了挖矿软件是一件让人很头疼的事情,对成百上千台电脑一台一台的进行排查简直就和大海捞针一样,需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展。
因为局域网出口做了NAT网络地址转换,上级部门只能检测到公司的公网IP,所以只能靠公司内部的网管人员来排查具体的终端了。最笨的办法就是一台电脑一台电脑的检查,通过检查程序列表和任务管理器来找挖矿程序。
本文中,我将介绍如何用WSG上网行为管理中的“入侵防御”功能来检查挖矿电脑。因为WSG上网行为管理是部署在局域网内部的,所以可以检测到本地挖矿电脑的IP地址和MAC地址,从而准确的定位到具体电脑。
网管在做远程技术支持的时候,需要连接到客户的内网或者路由器。对于有公网IP的网络,可以直接通过公网IP或者动态域名去访问。由于现在运营商很多都只给内网IP,使得远程技术支持必须要做内网穿透才可以。所以很多网管在做网络维护的时候,还需要给用户安装FRP或者NPS的内网穿透服务,增加了维护的成本和复杂性。
在本文中,我将介绍如何通过SD-WAN的方式来给客户提供远程网管服务。SD-WAN和其他方式相比,可以自动寻址穿透,无需公网IP,也无需云主机转发。具体步骤如下:
相对于传统方案而言,SD-WAN有着无可比拟的优势,很多局域网都采用了SD-WAN的智能组网和远程办公方案。SD-WAN的网络规划主要考虑如下三个方面:
多地虚拟组网
远程办公拨入
网管技术支持
所以,我们在配置SD-WAN网络时候,主要考虑这三个需求就可以。
如图:
在“如何用SD-WAN实现多地组网?”一文中,我们介绍了如何用SD-WAN来实现多地组网。实际上SD-WAN不仅可以用于多地组网,而且可以用于远程办公拨入。
和传统的远程办公方案相比,SD-WAN有如下优势:
自动寻址,无需公网IP。
点对点加密传输,无需通过服务器转发,传输安全性高。
多平台支持。有windows,安卓客户端。
本文中,我将介绍如何用SD-WAN实现远程办公拨入。
SD-WAN不需要固定公网IP也可以实现远程办公拨入。如下图,该局域网通过一台WSG网关连接外网,内网网段是192.168.10.0/24。
SD-WAN即软件定义广域网,可以实现异地智能组网,远程办公拨入。和传统的VPN相比,SD-WAN有如下优势:
自动寻址,无需公网IP。
点对点加密传输,无需通过服务器转发,传输安全性高。
多平台支持。有windows,安卓客户端。
既能实现多地异地组网,又可以实现远程办公拨入。
本文中,我将介绍如何用WSG自带的SD-WAN来实现多地异地虚拟组网。
现在的视频资源非常多,抖音、爱奇艺、腾讯视频、优酷......可以说是数不胜数。而对于公司局域网来说,手机刷视频不但严重影响工作效率,而且是一个非常耗费网络带宽的一个行为。
本文中,我将以WSG上网行为管理为例,介绍如何在公司局域网内禁止手机刷抖音等视频。
局域网内如果有电脑感染了木马病毒,是一件让人很头疼的事情。对成百上千台电脑一台一台的进行查杀,简直就和大海捞针一样,需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展,大部分情况下最终只能一台一台的杀毒整理。
从技术原理上来说,上级部门是在网络上层部署了入侵检测系统,对网络流量进行分析,从中识别出木马病毒的特征;由于出口处做了网络地址转换,上级部门只能检测到公网IP,而无法知道实际中毒的电脑。所以,你只需要在本地局域网中部署了入侵检测,就可以检测到本地的中毒电脑的IP地址和MAC地址。然后就可以直接对电脑进行查杀了。
如下图,在WSG上网行为管理的“安全防护”-“入侵防御”中,点击“IPS检测项”,就可以看到入侵防御的各个选项。
