入侵检测系统IDS(“Intrusion Detection System”)可以对网络、系统的运行状况进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。而入侵防御系统IPS(“Intrusion Prevention System”)在入侵检测的基础上添加了防御功能,一旦发现网络攻击,可以根据该攻击的威胁级别立即采取抵御措施。两者的差别在于:
功能不同。入侵防御系统在入侵检测的基础之上还实现了防护的功能。
实时性要求不同。入侵防御必须分析实时数据,而入侵检测可以基于历史数据做事后分析。
部署方式不同。入侵检测一般通过端口镜像进行旁路部署,而入侵防御一般要串联部署。
之前我们介绍过如何用钉钉认证和企业微信认证来实现企业内部的实名上网认证。此外邮箱认证也是企业进行wifi实名认证的一个有效手段。因为很多企业都给员工开通了企业邮箱,直接让员工输入邮箱账号和密码进行认证上网。配置、使用和维护都相对比较简单。
本文我将介绍企业邮箱进行wifi实名认证的具体步骤。本例中用的是163的企业邮箱。
在WFilter的“应用过滤”中,有个智能过滤的选项,可以选择”屏蔽超过N字节的疑似上传行为“。如下图:
通过网络上传和外发文件有很多种方式,比如:
各种文件传输方式,比如QQ文件、微信文件、FTP上传等等。
各类传文件的网站,网盘和文件共享站点。直接在浏览器里面就可以上传。
通过邮件发送附件的方式。
互联网上存在着大量的恶意网站和钓鱼网站,这些网站通过在网页上挂木马程序,利用浏览器和操作系统的漏洞来入侵访问者的电脑。一旦中毒,会给局域网带来不可预知的损失,极大的危害到局域网的网络安全。
本文将介绍如何用WFilter NGF来屏蔽恶意网站,并且保护局域网不受恶意钓鱼网站的攻击。总体来说,有以下两个途径:
入侵防御系统(Intrusion Prevention System)是对防病毒软件和防火墙的有效补充。IPS可以监视网络中的异常信息,并且能够即时的中断、阻止、告警内外网的异常网络行为。
在WFilter NGF中,我们集成了基于snort的入侵防御系统,该系统主要可以实现如下三个方面的功能:
保护内网的web服务器、文件服务器、邮件服务器。
检测内网终端的木马和恶意软件。
检测内网终端的异常网络行为。
在本文中,我简单介绍下如何实现这三个方面的功能。
企业内网的服务器都存有企业的重要信息,包括CRM用户信息、技术资料等。所以内网服务器的信息安全是企业网络管理的重点。内网服务器不但面临外来的攻击,也会受到来自内部的攻击。在本文中,我将介绍如何用WFilter NGF的入侵防御模块来保护内网服务器。网络结构图如下:
WFilter NGF用网桥部署模式,接在内网和服务器网段以及互联网之间,既可以做外网上网行为管理,又可以保护服务器网段。
DDOS全称Distributed Denial of Service,中文叫做“分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。DDOS会耗尽网络服务的资源,使服务器失去响应,为实施下一步网络攻击来做准备。比如用KaLi_Linux的hping3就可以很容易的实现DDOS攻击。
如图,未受攻击时,netstat -nat可以查看到只有少量的网络链接。
在本文中,我将介绍如何用WSG上网行为管理网关结合中国移动的10086云MAS平台,来实现局域网WiFi实名认证。
对于三层交换机划分多个VLAN的局域网来说,要设置IP-MAC绑定可真不容易。在三层交换机上进行IP-MAC绑定,不但配置复杂而且维护工作量很大,所以大部分网管都不会直接在三层交换机上进行绑定。在本文中,我将介绍用WSG上网行为管理,在网桥部署的模式下,如何来实现三层交换机下的IP和MAC绑定。
Win10的自动更新非常的频繁,而且windows的更新很耗带宽资源。所以,如果网内的windows电脑比较多,那么一旦windows发布了新的更新包,会占用大量的网络带宽资源。
当然,windows的更新很多都是安全方面的更新,保持系统更新有助于提高终端的安全,我们并不建议关闭更新。不过,有些网络为了节省带宽资源,需要屏蔽局域网内电脑的自动更新。在没有部署上网行为管理的情况下,你需要在路由器或者网关设备上屏蔽站点“.*(officecdn|mp|updates)\.microsoft\.com“(正则表达式)和".*\.windowsupdate\.com”(正则表达式)。“windows更新”的通讯协议描述如下图:
日前,深圳市网络与信息安全信息通报中心发出紧急通告,指出目前知名远程办公工具TeamViewer已经被境外黑客组织APT41攻破,提醒企业组织做好防护措施。也就是说,APT41已经攻破TeamViewer公司的所有防护体,并取得有相关数据权限,危险等级非常高。在teamviewer官方提供解决方案和发布相关补丁之前,我们建议用户暂停teamviewer软件的使用,避免造成不必要的损失。
以下是teamviewer通讯方式介绍,以及如何用WSG上网行为管理来禁止teamviewer。
teamviewer在启动时,首先会连接teamviewer官网(http和https方式都有),来获取ID和路由信息。如果直接连接不了,teamviewer还会获取本机的代理配置,尝试通过代理服务器去连接。
teamviewer后续的点对点远程控制,大部分通过的端口是tcp 5938。也存在其他动态端口的通讯数据。
有些公司为了安全需要,只允许使用微信等指定软件,同时屏蔽所有的其他网站和软件。这样的管理需求,必须要用专业的上网行为管理产品才可以实现。以我司的WSG上网行为管理为例,只需要两条行为管理规则,即可实现该功能。配置的思路是“应用过滤屏蔽所有+例外设置开通部分应用”这两者结合的方式。下面是具体配置的步骤介绍:
如图,应用过滤添加规则,禁止所有应用的访问。
WSG上网行为管理的一些型号,如WSG-500E、WSG-XE都可以支持光口,设备接口如下图:
本文我将介绍如何来使用WSG上网行为管理的光纤接口。
IOS系统的自动更新非常耗带宽,每次IOS版本更新动辄好几个G。每次IOS推出新版本,都是对企业带宽资源的一大考验。
WFilter NGF上网行为管理系统(WSG网关)提供了丰富的系统调用API接口,具体的API接口请参考:WFilter API接口。在本文中,我将介绍如何用WFilter的API接口来直接访问统计报表系统。
如图,WFilter中有一系列的内置统计报表,您也可以自己定义需要的报表格式。
本文将介绍如何用WSG上网行为管理网关来记录局域网内的邮件收发内容。邮件收发主要有两种方式:
客户端邮件,比如outlook, foxmail,thundbird等客户端。
网页邮件,国内比较普遍的是qq和163的网页邮件。
“MAC地址认证”通过客户机的MAC地址来对客户端进行身份认证,只有通过认证的客户端设备才可以访问网络以及服务器资源。网络结构图如下:
WFilter的“SSL监控”模块,可以对https以及SSL加密的smtp/imap/pop3的内容进行解密从而记录其内容。该SSL监控模块,既可以对电脑进行管控,而且对手机一样生效。但是要不影响客户机的正常使用,首先需要在客户机上安装ca证书。电脑上安装ca证书比较简单,我们不再赘述。本文中,我将介绍如何在苹果手机(iphone)上安装SSL监控的ca证书,从而实现对iphone的SSL监控。
企业局域网由于网络环境复杂;终端数量、设备数量都比较多;经常会出现网络卡顿等故障。一旦网络变慢时,面对复杂的网络环境,网管技术人员需要迅速并且准确的诊断出问题所在,并且加以解决。本文中,我将尽量描述网络变卡变慢的常见原因以及诊断方法。大体来说,网络卡顿的原因有如下方面:
外网原因:运营商线路故障、带宽不够,路由器软硬件故障等。
内网原因:内网的设备故障、病毒攻击、网络设置等原因。
所以在断网、网络卡顿时,第一步要判断问题出在内网还是外网,然后再进行后续的诊断。
无线网络由于安全性比较低,企事业单位的无线组网需要考虑如下因素:
有线网段和无线网段互相隔离。
办公无线和访客无线也需要互相隔离。
每个网段的无线终端建议控制在150以内,避免广播风暴。
员工内网要做接入认证或者设备绑定。
对访客进行实名认证(可选)
一般采用这样的网络结构图:
WSG上网行为管理做透明网桥部署有很多优势:
即插即用,不影响现有网络。
不需要修改原有设备的配置(交换机、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使机器断电死机也不会断网。
由于政策要求和网络安全的需要,现在绝大部分的酒店无线WiFi都要求实名认证。只有实名认证过的设备才允许连接酒店的WiFi网络,并且记录和留存该终端的上网内容。
一般来说实名认证都采用短信认证的方式,由于手机号是已经经过实名认证的,记录手机号就等于是实现了实名认证上网。网络结构可以采用如下的部署方式,用一台WSG上网行为管理做主路由(也可以做透明网桥部署)。
WFilter上网行为管理,包括WFilter ICF和WFilter NGF(WSG网关),都可以对http和https的站点进行网站黑白名单控制。如图:
作者:笨小驴 | 分类:网页过滤方案 | 浏览:9984 | 评论:0
不管是企业内网的私有WiFi,还是公共WiFi网络;出于安全性需要以及相关政策法规的要求,都要对WiFi无线上网的用户进行实名认证。本文中,我将结合WSG上网行为管理网关介绍如何实现无线WiFi的实名认证。
腾讯从2014年推出的微信WiFi服务,可以用微信扫码进行认证,从而记录微信的openid。不过由于apple公司的接口调整,微信WiFi已经暂停服务。所以通过微信来进行实名认证已经不可行了。
