16
2020
09

酒店和宾馆WiFi上网实名认证和上网审计实施步骤

酒店和宾馆WiFi出于安全目的和政策要求,需要对WiFi终端进行上网实名认证,并且保留终端上网的上网记录。WSG上网行为管理网关,既可以满足上网日志的记录,又可以实现上网实名认证,是公共WiFi上网行为管理的首选产品。在本文中,我将介绍如何结合客户实际的网络环境来部署WSG上网行为管理网关。主要包括如下步骤:

  1. WSG上网行为管理的部署

  2. 上网日志的保留天数

  3. 开启实名认证

  4. 制作实名认证的二维码

03
2020
09

如何对内部公共电脑进行实名上网记录?

局域网内部有一些查询资料的公共电脑,一般是多人使用。出于安全考虑,需要记录每个人的上网记录。WFilter NGF(WSG网关)默认配置就可以记录上网内容,但是因为公共电脑人员不固定,所以需要配合Web认证。本文中,我将介绍如何用Web认证来对内网公共电脑进行实名上网记录。

内部的实名认证,主要有如下方式:

  1. 用户名密码认证。可以在“账号管理”里面添加账号;如果公司有现成的AD域、企业邮箱、Radius等;也可以配置WSG到域/radius/邮箱认证。

  2. 钉钉认证、企业微信认证。可以直接用手机钉钉app或者手机微信app扫码认证。

01
2020
09

WSG上网行为管理如何添加终端白名单?

很多情况下,局域网内部的一些终端,比如领导电脑、移动pos机、内网服务器等,需要不加限制的访问外网(即不受到任何上网行为策略的管控)。在WFilter NGF(WSG上网行为管理)中,我们主要通过“例外设置”来实现。本例中,我将介绍如何用例外设置来实现终端白名单的功能。

25
2020
08

如何用钉钉扫码或者企业微信扫码登录WebVPN?

WFilter NGF(WSG上网行为管理)的WebVPN功能,既可以支持用户名密码认证登录,还可以支持钉钉扫码和企业微信扫码登录。WebVPN的用户验证方式如下图:

202008251598330912151513.png

在本文中,我将介绍如何给WebVPN添加钉钉扫码认证和企业微信扫码认证功能。

04
2020
08

如何利用企业微信机器人发送WSG事件告警?

WSG上网行为管理的“事件查看器”中记录了一系列的事件、告警以及错误信息,包括操作日志、wan口联通状况、入侵攻击事件、以及自定义的关键词告警、流量告警和新增设备告警等事件日志。传统的邮件告警方式已经越来不能满足实时通知的需要。在本文中,我将介绍如何利用企业微信机器人来实现事件日志的实时发送。具体步骤如下:

1. 创建企业微信机器人

在手机版的企业微信群聊中,添加群机器人,并记录webhook的URL地址。如下图:

202008041596515565175913.png

04
2020
08

如何利用钉钉机器人发送WSG事件告警?

WSG的“事件查看器”中记录了一系列的事件、告警以及错误信息,包括操作日志、wan口联通状况、入侵攻击事件、以及自定义的关键词告警、流量告警和新增设备告警等事件日志。传统的邮件告警方式已经越来不能满足实时通知的需要。在本文中,我将介绍如何利用钉钉机器人来实现事件日志的实时发送。具体步骤如下:

1. 添加钉钉机器人

首先需要在钉钉pc版的群助手里面添加机器人

202008041596514388292981.png

30
2020
07

如何用ZeroTier实现远程办公和内网穿透?

ZeroTier可以在无公网IP的情况下提供便捷的虚拟局域网组网和内网穿透方案。简单来说, ZeroTier就是一个VLAN组建工具,主要有如下的优势和缺点:

  • 配置非常简单,只需要在官网创建Network。客户端直接加入Network即可。

  • 跨平台: ZeroTier提供了windows, macOS, linux, Android, iOS...几乎全平台的客户端, 你可以把任意平台的设备接入VLAN。

  • 免费可以支持100个设备组网。

  • 缺点:官网只提供英文,没有中文版。

本文中,我将结合WSG上网行为管理网关,介绍如何用ZeroTier来实现远程办公拨入和内网穿透。

20
2020
07

如何实现企业员工手机实名上网?

在企事业的WiFi环境中,需要对手机的上网进行实名管理,记录上网内容并且设置一定的管理策略。本文中,我将介绍如何用WSG上网行为管理网关来对WiFi手机上网进行实名管理。

手机的上网实名认证,主要包括如下方法:

  1. MAC绑定;把手机的MAC地址绑定到姓名。

  2. 短信认证;通过短信认证来获取手机号,基于手机号进行实名。

  3. 用户名密码认证;手机上网时需要输入用户名密码,从而认证到每个人。

  4. 二维码认证;由审核员扫描二维码进行审核并且录入姓名。

  5. 钉钉、企业微信认证;用钉钉app和企业微信app扫码认证上网。

  6. 微信小程序认证;通过微信小程序获取手机号码,从而实现实名上网。

每个方法各有优缺点,用户可以基于实际情况选择合适的认证方式。

20
2020
07

如何禁止局域网下载?

不加管控的局域网下载,不但会占用大量的带宽资源,而且下载不明类型的软件程序等会给局域网来的病毒等危害。在本文中,我将结合WSG上网行为管理网关,来介绍如何屏蔽局域网的下载行为。

下载行为的管控,主要从以下几个方面来入手:

  1. 屏蔽各类下载站的访问。

  2. 屏蔽各类下载工具、P2P下载软件等。

  3. 禁止网盘等文件传输。

  4. 屏蔽网页上的文件下载。

14
2020
07

如何对来宾上网进行二维码认证审核?

企业的无线网络经常会迎来一些访客,如果对访客不进行用户实名认证和上网记录,则会给企业的网络带来一定的风险。WSG的WiFi上网实名认证,可以支持“用户名密码认证”“短信认证”、“钉钉认证”、“企业微信认证”。

0dd7912397dda144a9322bb036baa2a40cf48688.jpeg

30
2020
06

中小企业面临哪些网络安全威胁?

网络安全现在已经是互联网领域的重要问题,网络安全引发的事故也一直呈上升趋势。中小企业虽然网络环境比较简单,但是一样会受到网络安全的威胁。如果不注重网络安全,往往会导致企业的重大损失。下面我们就一起来看看中小企业面临的常见网络安全威胁:

66c302fe449942bd95669e794f1aee9e.jpeg

28
2020
05

如何用入侵防御模块保护端口映射的主机?

企业出于工作的需要,一般会映射一些内网主机供外网访问。比如:ERP系统、财务系统、CRM系统,甚至一些内网主机的远程桌面等等。分公司、出差员工在外网通过互联网就可以访问到内网资源,给工作带来了很大的便利。但是,不加限制和保护的端口映射访问,给网络安全带来了很大的挑战。

端口映射的内网主机安全,主要考虑如下几点:

1. 被映射的内网主机要安装防火墙,并且确保已经打了各项安全补丁。

2. 限制访问端的IP地址,阻止从其他地区连入。一般可以在网关防火墙上进行配置,限制能访问映射主机的IP地址。

3. 避免常用的端口。比如你用默认的3389端口,那么攻击程序立刻就知道这是远程桌面服务,从而就可以采用对应的渗透手动来攻击。采用一些不常用的端口可以起到一定的保护作用。

4. 部署入侵防御,一旦发现外网攻击时,可以及时阻止攻击者的IP地址。从而保护内网主机。

28
2020
05

护网行动开展,WSG如何应对护网行动?

近年来公安部持续推出护网行动,以战养兵,推进关键信息基础设施的安全监测、应急响应等保障能力。为积极响应护网行动,做好安全防守工作;本文中,我将结合WSG上网行为管理网关来介绍网络边界的安全防护工作。服务器安全、内网安全并不在本文讨论的课题内。

u=2593920443,2859537649&fm=26&gp=0.jpg.png

18
2020
05

多台WSG网关如何同步配置

利用“扩展插件”中的“NGF配置同步插件”可以同步多台WFilter NGF(WSG硬件)的相关配置,这个功能在管理维护多台WSG设备时非常实用。在本文中,我将结合WSG上网行为管理网关来介绍“NGF配置同步插件”的使用步骤。

1. 准备工作

  1. 首先要有一台WSG作为服务端,其他做为客户端。服务端可以直接把配置推送给客户端,也可以等客户端主动来进行同步。

  2. 多台WSG之间通过Web来同步配置,所以要确保服务端和客户端之间的Web连接可达。(在服务端可以访问客户端的web,或者客户端可以访问服务端的web)

  3. 创建同步用户。每台WSG都应当建一个用户名密码一样的操作员用于进行同步操作。

  4. 下载“NGF配置同步插件”,并且进行配置。

07
2020
05

运营管理模块如何集成第三方支付平台?

在WFilter NGF的“运营管理”中,我们可以配置终端的带宽策略、用户账号、到期时间等信息。本文将结合WFilter NGF的“运营管理模块”介绍如何对接第三方的支付平台。

一、运营管理模块的配置

1. 给用户创建不同的带宽套餐

202005071588830229289559.jpg

06
2020
05

怎样设置只能上钉钉不允许上网?屏蔽除钉钉外其他一切网络行为。

钉钉的通讯过程比较复杂,需要用到钉钉相关的网站、阿里云平台,还有一些私有的通讯协议。所以要达到“只允许钉钉并且屏蔽其他网络行为“这个管控效果,一般的路由器是做不到的,需要专业的上网行为管理产品才可以。专业的上网行为管理产品可以准确识别出钉钉的流量并且加以管控。

26
2020
04

如何阻止外网攻击公司局域网?

当前网络安全形势严峻,来自外网的攻击与日俱增。局域网一不小心就会受到病毒、蠕虫、勒索软件的攻击,导致严重的损失。本文中,我将结合WSG网关(WFilter NGF)来介绍如何阻止外网的攻击。请注意,本文只讨论如何阻止网络攻击,单机的防护是另外的课题不在本文的讨论范围内。阻止外网攻击主要包括如下部分:

10
2020
04

如何只允许员工电脑上钉钉?同时屏蔽其他网络行为。

钉钉的使用过程中必须连接外网,对于网络权限设置比较严格的局域网来说,如何开放钉钉一直是一个难题。由于钉钉官方已经不再公布服务器的段,所以不能基于IP范围来做管控。必须要有专业的上网行为管理产品,才可以准确识别出钉钉的流量并且加以管控。

本文,我就来介绍下在WSG上网行为管理网关中如何放行钉钉。钉钉的使用需要通过https访问钉钉相关的网站,另外还有自己的通讯协议(端口443)。所以要放行钉钉,我们需要放行DNS、钉钉这两个应用协议,并且允许钉钉的相关网站。具体的配置步骤如下:

07
2020
04

WSG如何禁止内网VLAN之间互访?局域网怎样划分VLAN?

企业内网一般都会划分多个VLAN。划分VLAN可以提高内网安全性,而且更加便于管理。比如:有线和无线处于不同的网段,不允许无线设备访问企业内网,这样可以保护内部信息安全;而且可以对不同网段配置不同的上网策略和流控策略。而且划分VLAN可以分割广播域,避免广播风暴。VLAN的划分一般有如下三种方法:

1. 通过三层交换机来划分VLAN

201703311490939690256329.png

24
2020
03

如何允许百度网盘和百度文库浏览但是不允许上传?

有些单位出于工作目的,需要允许员工访问百度网盘和百度文库,但是又要屏蔽员工通过网盘和文库上传文件。由于百度旗下网站已经全面采用https的方式,传统的基于IP地址、端口、甚至域名来做过滤,都无法实现这样的需求。要实现类似功能,必须要有专业的上网行为管理产品。

以我们的WSG上网行为管理为例,应用过滤模块中的“屏蔽疑似上传”功能,可以对每个链接的上传下载数据大小进行检查,一旦发现疑似外发文件的行为,立刻切断该连接。而且不会影响正常的浏览和下载。相关配置如下图:

202003241585037655108010.jpg

24
2020
03

怎样屏蔽QQ和微信外发文件,同时允许发送截图?

我们在工作中经常需要用到QQ和微信来交流和发送截图,但是QQ和微信方便的外发文件功能,却给企业的信息安全带来挑战。很多用户咨询如何在保留截图功能的同时,又要屏蔽QQ和微信的外发文件功能。所以我们的技术人员专门做了针对性的测试。

本文中,我将介绍如何用WSG硬件网关(WFilter NGF)来屏蔽QQ和微信外发文件,同时保留截图功能。

通讯协议分析

首先,QQ和微信的发送截图和发送文件走的是同样的数据通道。无法通过IP地址、通讯端口,以及协议特征来进行区分。这里我们要用到WSG行为管理的一个特色功能:屏蔽疑似文件上传功能。如下图:

11
2020
03

Web VPN如何搭建?如何利用Web VPN来保护内网信息安全。

为满足出差在外人员和分支机构办公的需要,企事业单位一般采用如下的两种方式:

  1. 端口映射,把对应的服务端口映射到公网,供终端访问。

  2. VPN。客户端需要先拨入VPN,然后再访问内网服务。

这两个办法各有优缺点:端口映射的方式,配置简单但是不够安全。内网的服务系统直接暴露在公网上,容易被攻击导致严重的损失。VPN的方式,安全系数要高很多。但是VPN需要配置客户机,配置和维护比较复杂。

在本文中,我将介绍WFilter NGF(WSG网关)中新加的一个功能:Web VPN。采用Web VPN可以带来如下好处:

09
2020
03

钉钉办公如何保证网络安全和信息安全?

随着钉钉办公的普及,越来越多的企事业单位采用钉钉作为日常的办公工具。而钉钉使用是需要连接互联网的,而且钉钉具有非常快捷方便的文件上传功能。那么对局域网的网络安全就带来了一定的挑战。主要在于如下两点:

  1. 如何不允许上外网的电脑使用钉钉,并且禁止其他的所有应用?

  2. 如何防止员工通过钉钉软件外发文件导致资料泄露?

下面我将针对这两点需求来介绍具体的实现方案。

05
2020
03

怎样禁止钉钉外发文件?钉钉文件传输协议分析。

钉钉(DingTalk)是中国领先的智能移动办公平台,用于商务沟通和工作协同。越来越多企业采用钉钉来进行办公自动化,但是由此带来的信息安全问题也不能忽视。钉钉软件可以很容易的上传附件、外发和接收文件,从而威胁到网络内部的信息安全。近来很多客户提出需要屏蔽钉钉的外发文件功能,所以我们做了针对性的测试。下文是钉钉外发文件的协议详解和如何屏蔽的方案。

1. 钉钉外发文件的协议分析

通过多次的抓包分析,钉钉PC版的外发文件和手机版的外发文件采用的不同的方式。

钉钉PC版的外发文件,主要通过sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com这两个网站进行转发。抓包分析如下图:

03
2020
03

企业开展在家办公应该如何选择网络设备?

企业开展在家办公,需要满足员工从外网接入到企业内网的工作需要,那么在选择网络设备的时候,主要关注以下几点:

1. 提供安全可靠的VPN远程拨入服务

VPN的访问安全不能只依赖用户名和密码,至少要可以提供双重认证。比如SSL VPN的ca证书加用户名密码的方式。用户既需要有正确的ca证书,还需要正确的用户名密码才可以接入。这是内网数据安全的第一道防线。