笨驴信息(IMFirewall)博客

由于政策要求和网络安全的需要，现在绝大部分的酒店无线WiFi都要求实名认证。只有实名认证过的设备才允许连接酒店的WiFi网络，并且记录和留存该终端的上网内容。

一般来说实名认证都采用短信认证的方式，由于手机号是已经经过实名认证的，记录手机号就等于是实现了实名认证上网。网络结构可以采用如下的部署方式，用一台WSG上网行为管理做主路由（也可以做透明网桥部署）。

WFilter上网行为管理，包括WFilter ICF和WFilter NGF（WSG网关），都可以对http和https的站点进行网站黑白名单控制。如图：

作者:笨小驴 | 分类:网页过滤方案 | 浏览:7824 | 评论:0

不管是企业内网的私有WiFi，还是公共WiFi网络；出于安全性需要以及相关政策法规的要求，都要对WiFi无线上网的用户进行实名认证。本文中，我将结合WSG上网行为管理网关介绍如何实现无线WiFi的实名认证。

1. 微信连WiFi

腾讯从2014年推出的微信WiFi服务，可以用微信扫码进行认证，从而记录微信的openid。不过由于apple公司的接口调整，微信WiFi已经暂停服务。所以通过微信来进行实名认证已经不可行了。

二级路由器默认都启用了网络地址转换，会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看，只能看到路由器的IP地址。要区分二级路由下面的终端，必须把二级路由器改成AP模式（也就是无线交换机模式）。

局域网的文件泄露，主要是通过usb拷贝以及网络传输的方式。我们在企业外发文件管控方案总结一文中，已经介绍了多种管控外发文件的方案。在本文中，我将介绍利用WSG上网行为管理网关如何来有效的管控外发文件。

1. 首先要屏蔽电脑的usb存储设备。

需要在windows电脑的组策略里面禁止配置，把“禁止安装可移动设备“修改成”已启用“即可。当然，管理员权限就不能给使用者啦，要不然再把这个策略改回去就不起作用了。

当防火墙检测到某个IP存在病毒攻击或者异常流量时，网管技术人员往往需要到电脑上面进行后续操作。而对于自动获取IP的局域网来说，如何定位IP地址的电脑位置一直是一个技术难题。如果没有好的工具，最笨的办法就是一台一台电脑进行查看，通过比对IP地址和mac地址来定位。那么还有哪些聪明一些的办法呢？

1. 在三层交换机上查看ARP表

有网管交换机时，可以在网管交换机上查看arp表找到该IP地址所在的端口，然后根据端口顺藤摸瓜，从而定位电脑的物理位置。比如，在交换机上执行“disp arp”命令（不同型号的交换机命令不一样），可以得到如下结果：

在部署了上网行为管理的局域网内，总会有人想各种各样的办法来突破上网管控。常见的方法有：

1. IP地址盗用。
   

2. MAC地址克隆。

首先可以考虑不开放管理员权限，或者采用域控的方式禁止客户机自行修改网络设置等办法。其次也可以通过上网行为管理的管控策略来阻止这些行为。本文中，我来介绍下如何用WSG上网行为管理网关来应对IP地址盗用和MAC地址克隆。

由于视频和下载可以轻易的占用大量带宽，为了网络的稳定运行，大部分局域网都会对客户端进行一定的限速。本文中，我将介绍如何根据带宽来做限速，限速设置多少比较合理？

1. 限速多少比较合理？

正常的办公上网，每个终端至少需要2Mbit的带宽才够用；平均值如果低于2Mbit需要考虑增加接入带宽。假设你有200Mbit的带宽，有50个终端，那么平均下来每个终端可以分配到4Mbit；但是考虑到不是所有人都会在同时全速下载，可以给每个终端分配8-10Mbit的带宽。如下图：

IP地址冲突一般是由于手动设置IP的原因，综合来说有如下两种可能性：

1. A电脑和B电脑都手工设置了同样的IP地址。
   

2. A电脑自动获取，B电脑手动设置了和A电脑一样的IP地址。

出现IP地址冲突时，通过arp -a命令，可以看到冲突对方的MAC地址。如下图：

在三层交换机环境下，由于三层交换机屏蔽了终端的实际mac地址，上层的上网行为管理在不开启“MAC地址收集器”的情况下，是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图：

在WFilter NGF(WSG上网行为管理网关）的”Web认证“配置中，可以基于IP范围来配置要进行Web认证的客户端。实际使用中，有些局域网电脑和手机无线终端都混杂在同一个网段，这种情况下，如果要只对电脑做认证，或者只对手机做认证，就不能通过IP范围来实现了。需要修改默认的认证页面，基于浏览器的useragent来获取客户端操作系统类型，并且判断是否放行（无需认证直接放行）。

如下图，点击”编辑Web认证页面”，然后点击源代码图标。

在上网行为管理如何实现钉钉扫描二维码进行Web认证登录这篇文章中，我们介绍了如何用手机钉钉扫码登录电脑。电脑在上外网之前，需要用手机钉钉扫描二维码才可以使用网络，并且记录该用户账号的上网内容。而在实际使用中，有些用户还想对手机上外网进行用户认证，从而可以识别到手机的员工姓名并记录上网日志。

本文中，我将介绍如何用手机钉钉扫码对自身手机进行Web认证。

在认证前，该手机是无法上外网的。大部分手机会自动弹出Web认证页面（也可以手动在浏览器里面打开），如下图：

WSG上网行为管理网关（WFilter NGF）的Web认证功能非常强大，可以支持多种用户名认证（本地用户、邮箱认证、域认证、Radius认证等），还可以支持短信认证、微信认证、钉钉认证等第三方认证。不过在有些情况下，用户还希望WSG可以对接第三方的Web认证界面，即通过其他的Web认证系统进行认证，而由WSG来实现上网管控和上网记录。本例中，我将介绍如何用WSG来对接第三方Web认证平台。

首先，开启WSG的Web认证功能。

“Web认证”的需求是对需要管控的员工网段开启认证，一些电脑不开启认证。如图：
1. 设置要管控的IP范围
2. 设置一个合理的超时重新认证时间，1440就是每天都需要重新认证一次。
3. 领导的mac地址加到“例外的MAC地址”

出于信息安全的考虑，很多企业不允许工作电脑外发文件，但是QQ和微信又是常见的办公工具。所以“既允许QQ和微信聊天，同时又不允许外发文件”，一直是企业管理的一个难题。其实上网行为管理技术经过十几年的发展，已经可以精确的识别出文件传输和普通聊天的协议特征。专业的上网行为管理产品，都可以单独屏蔽QQ和微信传文件。以WSG上网行为管理网关为例，在“行为管理”的“应用过滤”中，搜索QQ，可以看到20多个QQ相关的应用协议，包括QQ聊天、QQ发文件、QQ接收文件、QQ游戏等各种相关应用。如下图：

勒索病毒是一种新型电脑病毒。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。由于其巨大的破坏性，勒索病毒可以说是“谈虎色变”。

WSG上网行为管理（WFilter NGF）既可以做网关部署，也可以做网桥部署。在网桥部署模式下，WSG的IPSec VPN和OpenVPN一样是可用的，可以实现单臂模式的VPN组网。网络结构如下图：

本文将结合WSG介绍如何实现IPSec VPN的单臂部署。

现在大部分虚拟局域网的组建都通过IPSec的方式，其实用openvpn来组网也是很不错的方案。跟IPSec相比，openvpn的功能更加强大和灵活：

1. 可以修改端口和通讯方式。
   

2. 可以实现用户名认证和证书认证两种认证方式。

3. 可以对客户端分配IP，从而实现更加细致的防火墙权限控制。

本文将简单介绍openvpn组网的一些简单步骤，如果您要用openvpn实现远程办公拨入，请参考：如何用OpenVPN实现远程办公？

WFilter NGF（WSG上网行为管理网关）支持网关和网桥两种部署模式：

1. 网关模式：WSG作为整个局域网的网关，提供NAT服务。

2. 网桥模式：WSG作为透明网桥串接在局域网中。

在有些情况下，我们需要采用纯路由模式（WSG只做路由转接，不进行NAT转换）。本例中，我将介绍如何用WSG来搭建路由模式的上网行为管理。

网络结构如下图：

具体配置步骤如下：

在WFilter NGF（WSG上网行为管理网关）的“网页过滤”模块中，我们可以设置”文件下载”的过滤规则；比如禁止exe可执行文件，或者压缩文件的下载。如下图：

IPSec VPN 技术在IP传输上通过加密隧道，在用公网传送内部专网的内容的同时，保证内部数据的安全性，从而实现企业总部与各分支机构组建虚拟局域网的需要。IPSec组网的具体步骤，请参考：一次典型的IPSec VPN组网方案。很多情况下，我们还需要控制对端的访问权限。在本文中，我将介绍WFilter NGF中的IPSec VPN访问权限。

1. 防火墙规则的选项

IPSec隧道的配置中，”防火墙规则“有“自动”和“手动”两个选项：

很多局域网需要向外网提供服务，比如ERP、OA系统，或者需要进行虚拟局域网组网等。而由于公网IP资源越来越紧张，大部分宽带都不能获取到公网IP；这些情况下，企业只能选择运营商的企业专线。和普通的宽带相比，企业专线有如下特点：

1. 独享带宽，速度有保障。
   

2. 可以申请固定公网IP。

不过专线的费用比较昂贵，如下图：

对于一些安全性要求比较高的局域网来说，有时候只允许客户机访问指定的网站，其他网络行为一律禁止。这时候我们就需要用到“网站白名单”功能（只允许访问下列网站）。具体的配置如下图：

1. 在网页过滤中开启“只允许访问下列网站”

“只允许访问下列网站”功能开启后，客户机只能访问允许的站点。其他网页一律访问不了。

选择应用对象和生效时间

企业微信,是腾讯微信团队为企业打造的专业办公管理工具。与微信一致的沟通体验,丰富免费的OA应用,并与微信消息、小程序、微信支付等互通,助力企业高效办公和管理。在“如何实现钉钉扫描二维码进行Web认证登录？”一文中，我们介绍了如何用钉钉扫码认证上网。而一些局域网采用的是企业微信来做办公管理。本文，我将结合WSG上网行为管理网关（WFilter NGF）中的“Web认证”功能，介绍如何利用企业微信的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势：

1. 直接用企业微信扫码登录，无需在WSG系统内创建用户。
   

2. 可以自动获取并记录企业微信的员工姓名。

3. 可以基于企业微信员工姓名配置上网策略和统计。

一些配置的步骤和截图如下：

钉钉（DingTalk）是阿里巴巴集团专为中国企业打造的免费沟通和协同的多端平台。钉钉因中国企业而生，帮助中国企业通过系统化的解决方案（微应用），全方位提升中国企业沟通和协同效率。一些局域网为了信息安全和管理需要，需要用户进行Web认证后才可以使用局域网，并且记录该用户账号的上网内容。

本文，我将结合WSG上网行为管理网关（WFilter NGF）中的“Web认证”功能，介绍如何利用钉钉的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势：

1. 直接用钉钉扫码登录，无需在WSG系统内创建用户。
   

2. 可以自动获取并记录钉钉的员工姓名。

3. 可以基于钉钉员工姓名配置上网策略和统计。

一些配置的步骤和截图如下：

在《同运营商多条外线如何做负载均衡？》一文中，我们介绍了多条外线（同一个运营商）时如何进行负载均衡。在实际使用中，很多用户的外线是不同运营商的（比如一条电信和一条移动）。对于大部分用户来说，采用《同运营商多条外线如何做负载均衡？》中的方案，即可产生多线叠加的效果。但是不同运营商多条外线直接进行均衡并不是最优化的方案，主要在于DNS的原因：“假设某终端DNS查询某域名时，获取的是运营商A的IP；而在后续访问的过程中，却会被均衡到运营商B，这样就不够优化了。”解决的方案主要涉及到两个技术：

1. 运营商分流，根据目的IP来自动选择运营商线路（即电信IP走电信线路，移动IP走移动线路）。
   

2. DNS重定向，配置DNS重定向规则来设置客户机的默认DNS（也间接决定了客户机的线路）。

1. 运营商分流

WFilter NGF（WSG）已经内置了“运营商分流”策略，基于各大运营商的IP段来选择各自的线路，如下图，点击状态标志启用这条“运营商分流”策略即可。