笨驴技术(IMFirewall)博客

企业的网络环境有很多重要信息，不能被未授权的用户访问到，也不能泄露到外网。所以，很多企业对公司的WiFi使用，都要求手机进行实名认证，只有认证过的手机才可以接入。并且记录上网内容和上网策略。本文中，我将介绍如何用WSG上网行为管理网关来实现内部手机的实名上网。

一些企事业单位出于安全考虑，需要做内外网分离。举例来说，需要达到如下的技术要求：

1. 生产网、办公网、外网三网隔离。

2. 启用网络准入，对非规定允许接入的设备禁止其接入网络。
   

3. 上网数据留存。

在本文中，我将结合WSG上网行为管理来阐述如何实现内外网分离。

WFilter NGF上网行为管理系统（WSG网关）提供了丰富的系统调用API接口，具体的API接口请参考：WFilter API接口。在本文中，我将介绍如何用WFilter的API接口来直接查询数据库。以php为例，流程如下：

1. 下载并引用WFilterNGF的php sdk。
   

2. 调用login接口，获取登录的session。

3. 调用query_db这个api接口，可以直接查询数据库。

query_db需要两个参数，第一个参数是数据库名，第二个参数是查询的sql语句。如下图：

在如何用OpenVPN实现远程办公？一文中，我们介绍了如何用openvpn 2.4.7版本拨入WSG。在本文中，我将介绍如何用openvpn connnect3.2.3来拨入WSG的openvpn。最新版本的openvpn connect更加好用，而且支持开机自动启动。

Openvpn服务端的配置过程不再赘述，请参考前文：如何用OpenVPN实现远程办公？下面只介绍openvpn connect的安装部分：

1. 安装openvpn connect

WSG的Openvpn服务端模块，主要用于远程办公拨入和多地组网。Openvpn拨入后，在默认配置情况下，只有“推送路由”的访问才会走vpn隧道。客户端的外网数据仍然走的是自己的外网线路。在有些情况下，你可能需要让openvpn客户端的所有外网数据都经过vpn连接。要实现此功能，需要一系列的步骤，具体步骤如下：

有些单位出于网络安全的需要，只允许使用公司的邮箱来收发邮件；其余的邮件方式一律屏蔽掉。在本文中，我将介绍如何用“WSG上网行为管理”来进行相关策略的配置。具体步骤如下：

出于安全目的和相关政策要求，大部分WiFi都需要对WiFi终端进行上网实名认证，并且保留一定时间内终端的上网记录。实名认证目前主要都是通过短信认证来实现。在本文中，我将介绍如何用微信小程序来实现WiFi上网实名认证。微信小程序做上网实名认证具备如下优势：

1. 配置简单快捷。
   

2. 无需依赖其他平台。

3. 不产生任何费用。

相关的配置步骤如下：

企业的内网存放着很多重要信息，比如公司的技术资料、客户信息等。一旦发生信息泄露，会给企业带来不可估计的损失。信息安全是系统工程，涉及到管理行政手段，文件加密技术、网络安全技术等各方面。本文中，我将从网络架构的角度，来论述如何保障内网的信息安全。主要涉及到如下两点：

1. 如何防范非法接入？

2. 如何保障重要信息的安全？

酒店和宾馆WiFi出于安全目的和政策要求，需要对WiFi终端进行上网实名认证，并且保留终端上网的上网记录。WSG上网行为管理网关，既可以满足上网日志的记录，又可以实现上网实名认证，是公共WiFi上网行为管理的首选产品。在本文中，我将介绍如何结合客户实际的网络环境来部署WSG上网行为管理网关。主要包括如下步骤：

1. WSG上网行为管理的部署
   

2. 上网日志的保留天数

3. 开启实名认证

4. 制作实名认证的二维码

局域网内部有一些查询资料的公共电脑，一般是多人使用。出于安全考虑，需要记录每个人的上网记录。WFilter NGF（WSG网关）默认配置就可以记录上网内容，但是因为公共电脑人员不固定，所以需要配合Web认证。本文中，我将介绍如何用Web认证来对内网公共电脑进行实名上网记录。

内部的实名认证，主要有如下方式：

1. 用户名密码认证。可以在“账号管理”里面添加账号；如果公司有现成的AD域、企业邮箱、Radius等；也可以配置WSG到域/radius/邮箱认证。
   

2. 钉钉认证、企业微信认证。可以直接用手机钉钉app或者手机微信app扫码认证。