由于政策要求和网络安全的需要,现在绝大部分的酒店无线WiFi都要求实名认证。只有实名认证过的设备才允许连接酒店的WiFi网络,并且记录和留存该终端的上网内容。
一般来说实名认证都采用短信认证的方式,由于手机号是已经经过实名认证的,记录手机号就等于是实现了实名认证上网。网络结构可以采用如下的部署方式,用一台WSG上网行为管理做主路由(也可以做透明网桥部署)。
由于政策要求和网络安全的需要,现在绝大部分的酒店无线WiFi都要求实名认证。只有实名认证过的设备才允许连接酒店的WiFi网络,并且记录和留存该终端的上网内容。
一般来说实名认证都采用短信认证的方式,由于手机号是已经经过实名认证的,记录手机号就等于是实现了实名认证上网。网络结构可以采用如下的部署方式,用一台WSG上网行为管理做主路由(也可以做透明网桥部署)。
WFilter上网行为管理,包括WFilter ICF和WFilter NGF(WSG网关),都可以对http和https的站点进行网站黑白名单控制。如图:
作者:笨小驴 | 分类:网页过滤方案 | 浏览:7824 | 评论:0
不管是企业内网的私有WiFi,还是公共WiFi网络;出于安全性需要以及相关政策法规的要求,都要对WiFi无线上网的用户进行实名认证。本文中,我将结合WSG上网行为管理网关介绍如何实现无线WiFi的实名认证。
腾讯从2014年推出的微信WiFi服务,可以用微信扫码进行认证,从而记录微信的openid。不过由于apple公司的接口调整,微信WiFi已经暂停服务。所以通过微信来进行实名认证已经不可行了。
二级路由器默认都启用了网络地址转换,会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看,只能看到路由器的IP地址。要区分二级路由下面的终端,必须把二级路由器改成AP模式(也就是无线交换机模式)。
局域网的文件泄露,主要是通过usb拷贝以及网络传输的方式。我们在企业外发文件管控方案总结一文中,已经介绍了多种管控外发文件的方案。在本文中,我将介绍利用WSG上网行为管理网关如何来有效的管控外发文件。
需要在windows电脑的组策略里面禁止配置,把“禁止安装可移动设备“修改成”已启用“即可。当然,管理员权限就不能给使用者啦,要不然再把这个策略改回去就不起作用了。
当防火墙检测到某个IP存在病毒攻击或者异常流量时,网管技术人员往往需要到电脑上面进行后续操作。而对于自动获取IP的局域网来说,如何定位IP地址的电脑位置一直是一个技术难题。如果没有好的工具,最笨的办法就是一台一台电脑进行查看,通过比对IP地址和mac地址来定位。那么还有哪些聪明一些的办法呢?
有网管交换机时,可以在网管交换机上查看arp表找到该IP地址所在的端口,然后根据端口顺藤摸瓜,从而定位电脑的物理位置。比如,在交换机上执行“disp arp”命令(不同型号的交换机命令不一样),可以得到如下结果:
在部署了上网行为管理的局域网内,总会有人想各种各样的办法来突破上网管控。常见的方法有:
IP地址盗用。
MAC地址克隆。
首先可以考虑不开放管理员权限,或者采用域控的方式禁止客户机自行修改网络设置等办法。其次也可以通过上网行为管理的管控策略来阻止这些行为。本文中,我来介绍下如何用WSG上网行为管理网关来应对IP地址盗用和MAC地址克隆。
由于视频和下载可以轻易的占用大量带宽,为了网络的稳定运行,大部分局域网都会对客户端进行一定的限速。本文中,我将介绍如何根据带宽来做限速,限速设置多少比较合理?
正常的办公上网,每个终端至少需要2Mbit的带宽才够用;平均值如果低于2Mbit需要考虑增加接入带宽。假设你有200Mbit的带宽,有50个终端,那么平均下来每个终端可以分配到4Mbit;但是考虑到不是所有人都会在同时全速下载,可以给每个终端分配8-10Mbit的带宽。如下图:
IP地址冲突一般是由于手动设置IP的原因,综合来说有如下两种可能性:
A电脑和B电脑都手工设置了同样的IP地址。
A电脑自动获取,B电脑手动设置了和A电脑一样的IP地址。
出现IP地址冲突时,通过arp -a命令,可以看到冲突对方的MAC地址。如下图:
在三层交换机环境下,由于三层交换机屏蔽了终端的实际mac地址,上层的上网行为管理在不开启“MAC地址收集器”的情况下,是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图:
在WFilter NGF(WSG上网行为管理网关)的”Web认证“配置中,可以基于IP范围来配置要进行Web认证的客户端。实际使用中,有些局域网电脑和手机无线终端都混杂在同一个网段,这种情况下,如果要只对电脑做认证,或者只对手机做认证,就不能通过IP范围来实现了。需要修改默认的认证页面,基于浏览器的useragent来获取客户端操作系统类型,并且判断是否放行(无需认证直接放行)。
如下图,点击”编辑Web认证页面”,然后点击源代码图标。
在上网行为管理如何实现钉钉扫描二维码进行Web认证登录这篇文章中,我们介绍了如何用手机钉钉扫码登录电脑。电脑在上外网之前,需要用手机钉钉扫描二维码才可以使用网络,并且记录该用户账号的上网内容。而在实际使用中,有些用户还想对手机上外网进行用户认证,从而可以识别到手机的员工姓名并记录上网日志。
本文中,我将介绍如何用手机钉钉扫码对自身手机进行Web认证。
在认证前,该手机是无法上外网的。大部分手机会自动弹出Web认证页面(也可以手动在浏览器里面打开),如下图:
WSG上网行为管理网关(WFilter NGF)的Web认证功能非常强大,可以支持多种用户名认证(本地用户、邮箱认证、域认证、Radius认证等),还可以支持短信认证、微信认证、钉钉认证等第三方认证。不过在有些情况下,用户还希望WSG可以对接第三方的Web认证界面,即通过其他的Web认证系统进行认证,而由WSG来实现上网管控和上网记录。本例中,我将介绍如何用WSG来对接第三方Web认证平台。
“Web认证”的需求是对需要管控的员工网段开启认证,一些电脑不开启认证。如图:
1. 设置要管控的IP范围
2. 设置一个合理的超时重新认证时间,1440就是每天都需要重新认证一次。
3. 领导的mac地址加到“例外的MAC地址”
出于信息安全的考虑,很多企业不允许工作电脑外发文件,但是QQ和微信又是常见的办公工具。所以“既允许QQ和微信聊天,同时又不允许外发文件”,一直是企业管理的一个难题。其实上网行为管理技术经过十几年的发展,已经可以精确的识别出文件传输和普通聊天的协议特征。专业的上网行为管理产品,都可以单独屏蔽QQ和微信传文件。以WSG上网行为管理网关为例,在“行为管理”的“应用过滤”中,搜索QQ,可以看到20多个QQ相关的应用协议,包括QQ聊天、QQ发文件、QQ接收文件、QQ游戏等各种相关应用。如下图:
勒索病毒是一种新型电脑病毒。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。由于其巨大的破坏性,勒索病毒可以说是“谈虎色变”。
WSG上网行为管理(WFilter NGF)既可以做网关部署,也可以做网桥部署。在网桥部署模式下,WSG的IPSec VPN和OpenVPN一样是可用的,可以实现单臂模式的VPN组网。网络结构如下图:
本文将结合WSG介绍如何实现IPSec VPN的单臂部署。
现在大部分虚拟局域网的组建都通过IPSec的方式,其实用openvpn来组网也是很不错的方案。跟IPSec相比,openvpn的功能更加强大和灵活:
可以修改端口和通讯方式。
可以实现用户名认证和证书认证两种认证方式。
可以对客户端分配IP,从而实现更加细致的防火墙权限控制。
本文将简单介绍openvpn组网的一些简单步骤,如果您要用openvpn实现远程办公拨入,请参考:如何用OpenVPN实现远程办公?
WFilter NGF(WSG上网行为管理网关)支持网关和网桥两种部署模式:
网关模式:WSG作为整个局域网的网关,提供NAT服务。
网桥模式:WSG作为透明网桥串接在局域网中。
在有些情况下,我们需要采用纯路由模式(WSG只做路由转接,不进行NAT转换)。本例中,我将介绍如何用WSG来搭建路由模式的上网行为管理。
网络结构如下图:
具体配置步骤如下:
在WFilter NGF(WSG上网行为管理网关)的“网页过滤”模块中,我们可以设置”文件下载”的过滤规则;比如禁止exe可执行文件,或者压缩文件的下载。如下图:
IPSec VPN 技术在IP传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构组建虚拟局域网的需要。IPSec组网的具体步骤,请参考:一次典型的IPSec VPN组网方案。很多情况下,我们还需要控制对端的访问权限。在本文中,我将介绍WFilter NGF中的IPSec VPN访问权限。
IPSec隧道的配置中,”防火墙规则“有“自动”和“手动”两个选项:
很多局域网需要向外网提供服务,比如ERP、OA系统,或者需要进行虚拟局域网组网等。而由于公网IP资源越来越紧张,大部分宽带都不能获取到公网IP;这些情况下,企业只能选择运营商的企业专线。和普通的宽带相比,企业专线有如下特点:
独享带宽,速度有保障。
可以申请固定公网IP。
不过专线的费用比较昂贵,如下图:
对于一些安全性要求比较高的局域网来说,有时候只允许客户机访问指定的网站,其他网络行为一律禁止。这时候我们就需要用到“网站白名单”功能(只允许访问下列网站)。具体的配置如下图:
“只允许访问下列网站”功能开启后,客户机只能访问允许的站点。其他网页一律访问不了。
选择应用对象和生效时间
企业微信,是腾讯微信团队为企业打造的专业办公管理工具。与微信一致的沟通体验,丰富免费的OA应用,并与微信消息、小程序、微信支付等互通,助力企业高效办公和管理。在“如何实现钉钉扫描二维码进行Web认证登录?”一文中,我们介绍了如何用钉钉扫码认证上网。而一些局域网采用的是企业微信来做办公管理。本文,我将结合WSG上网行为管理网关(WFilter NGF)中的“Web认证”功能,介绍如何利用企业微信的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势:
直接用企业微信扫码登录,无需在WSG系统内创建用户。
可以自动获取并记录企业微信的员工姓名。
可以基于企业微信员工姓名配置上网策略和统计。
一些配置的步骤和截图如下:
钉钉(DingTalk)是阿里巴巴集团专为中国企业打造的免费沟通和协同的多端平台。钉钉因中国企业而生,帮助中国企业通过系统化的解决方案(微应用),全方位提升中国企业沟通和协同效率。一些局域网为了信息安全和管理需要,需要用户进行Web认证后才可以使用局域网,并且记录该用户账号的上网内容。
本文,我将结合WSG上网行为管理网关(WFilter NGF)中的“Web认证”功能,介绍如何利用钉钉的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势:
直接用钉钉扫码登录,无需在WSG系统内创建用户。
可以自动获取并记录钉钉的员工姓名。
可以基于钉钉员工姓名配置上网策略和统计。
一些配置的步骤和截图如下:
在《同运营商多条外线如何做负载均衡?》一文中,我们介绍了多条外线(同一个运营商)时如何进行负载均衡。在实际使用中,很多用户的外线是不同运营商的(比如一条电信和一条移动)。对于大部分用户来说,采用《同运营商多条外线如何做负载均衡?》中的方案,即可产生多线叠加的效果。但是不同运营商多条外线直接进行均衡并不是最优化的方案,主要在于DNS的原因:“假设某终端DNS查询某域名时,获取的是运营商A的IP;而在后续访问的过程中,却会被均衡到运营商B,这样就不够优化了。”解决的方案主要涉及到两个技术:
运营商分流,根据目的IP来自动选择运营商线路(即电信IP走电信线路,移动IP走移动线路)。
DNS重定向,配置DNS重定向规则来设置客户机的默认DNS(也间接决定了客户机的线路)。
WFilter NGF(WSG)已经内置了“运营商分流”策略,基于各大运营商的IP段来选择各自的线路,如下图,点击状态标志启用这条“运营商分流”策略即可。