局域网出于带宽的需要,经常会采用多外线接入的方式,一则可以带宽叠加,提示带宽;再则还可以互为备份,一旦一条线路中断,另外一条线路可以继续使用,保障网络的正常运行。
本文将介绍如何用WFilter NGF(WSG)来实现同ISP多外线的负载均衡和线路检测。
1. 配置负载均衡
同运营商没有线路DNS的问题,可以直接进行负载均衡,在“多线均衡”模块里面,创建负载均衡的线路方案即可。如图:
01
2019
04
26
2019
03
如何检测和禁止局域网内二级路由和网络共享?
局域网内的私接路由器、私接随身WiFi等行为,不但会让其他客户机绕开上网行为管理的管控,破坏局域网上网秩序;而且会干扰企业WiFi的无线信号。所以在企业局域网中,一般都是严禁私接路由器的。
在“WFilter是如何来屏蔽和禁用随身wifi的?”一文中,我们介绍了如何使用“随身WiFi和私接路由检测插件”来检测和惩罚局域网内的私接行为。该插件使用简单方便,而且功能强大;一直倍受用户喜爱。在最新版的WFilter NGF系统中(1.1.2019.03.25版本),我们已经把该插件集成到NGF的主系统中来(共享检测模块)。除了“随身WiFi和私接路由检测插件”的功能外,该共享检测模块还可以支持共享检测的历史记录查询,并且可以把检测到的客户机加入虚拟惩罚组来实现更多的管控策略。一些配置介绍如下图:
作者:笨小驴 | 分类:WiFi监控管理方案 | 浏览:7783 | 评论:0
25
2019
03
专线和ADSL混合多线如何做负载均衡和策略路由?
企业局域网为了业务发展需要和办公上网的需要,很多都申请了“专线+ADSL宽带”的多线接入模式。这样的模式有如下优点:
既满足了固定公网IP(专线)的需要,又满足了办公上网的需要(ADSL宽带)。
可以减少昂贵的专线投入。比如采用“10M的专线+100M的ADSL宽带”这样的结合模式,可以大大的减少专线的投入。
需要注意的是,不合理的负载均衡配置会浪费宝贵的专线资源,并且达不到良好的带宽效果。本文中,我将结合WSG网关来介绍这种情况下,如何正确的配置策略路由和负载均衡。
首先,建议采用如下的配置原则:
不要把专线和ADSL做负载均衡。专线和ADSL的原理、运营商都不一样,负载均衡会把两者都拖累。
专线资源是宝贵的,应该专款专用,只提供给业务主机和服务器网段。
办公上网全部走ADSL(把专线资源用来做办公上网是极大的浪费)
以下是一些相关的配置截图:
1. 添加“电信专线100%”的线路方案
作者:笨小驴 | 分类:多线负载均衡方案 | 浏览:3495 | 评论:0
21
2019
03
如何禁止英魂之刃手游?
《英魂之刃》 是由网龙公司开发,由腾讯公司独家代理的全球首款微端类DOTA对战网游。游戏基于DOTA游戏特色打造,采用网龙公司独家研发的S3引擎,以浓郁的中国风、穿越古今的英雄乱斗以及快节奏的竞技对战,在短短两年内一跃成为千万活跃用户级别的MOBA人气新宠。
本文将介绍如何使用WFilter NGF(WSG网关)的“应用过滤”功能来屏蔽局域网玩《英魂之刃》。
1. 首先,确保您的特征库是最新版本。
点击“配置”->“系统“->“更新设置”里面的“立即检查更新”,可以检查更新并且把您的特征库(网址库和协议库)升级到最新版本。如果不点击,也会在每天的凌晨自动检查更新。如下图:
作者:笨小驴 | 分类:禁止网络游戏 | 浏览:3478 | 评论:0
20
2019
03
没有公网IP如何实现内网穿透?
由于公网IP资源越来越紧张,现在很多运营商给拨号上网的用户只分配内网IP地址,如下图所示:
这样的运营商内网IP是外网不可达的(即使用动态域名也不起作用)。而企业由于业务需要,比如虚拟局域网组网、办公OA系统、ERP系统等,都需要有公网IP才可以实现。公网IP的解决,目前主要有三种方案:
申请固定IP专线。稳定且速度有保障,缺点是费用高。
云方案。把业务主机都搬到云上,直接通过云主机来访问。费用比较低,缺点是云主机不能本地维护,且搬迁工作量都不小。
云主机+内网穿透方案。通过云主机做跳板来实现内网穿透,既可以复用现有的业务系统,又解决了公网IP的问题。第三种方案的成本是最低的,但是配置比较复杂。本文将对第三种方案做详细介绍。
作者:笨小驴 | 分类:企业局域网组网方案 | 浏览:18405 | 评论:0
15
2019
03
如何过滤邮件的发送者,只允许使用公司邮箱来发送邮件?
有些企业为了信息安全需要,需要对企业的邮件收发进行监管。比如:“只允许使用公司邮箱来发邮件,且记录公司邮箱的收发内容,从而达到管理目的。”
本文中,我将介绍如何使用WFilter NGF的邮件过滤功能来对邮件的发件人进行白名单限制(只允许白名单中的邮箱发送邮件),有两个方案:
禁止所有的网页邮件和客户端邮件。同时把公司邮件服务器的IP地址加到“例外设置”中。(需要公司有专门的邮件服务器)
如果公司没有专门的邮件服务器,通过购买租用公开的邮件服务。要进行邮件过滤,则需要用到WFilter NGF中的邮件过滤模块。
本文中,我将详细介绍下第二种方式的具体步骤。
1. 只允许部分邮件收发协议
邮件收发协议,除了标准的SMTP/IMAP/POP3外,还有一些私有协议:比如Lotusnote, 网易闪电邮等。为了对邮件发件人进行过滤,需要禁止其他的私有邮件协议,只开放标准协议。如下图:
在“应用过滤”模块中,把这些邮件协议设置为允许:发送邮件(SMTP)、接收邮件(POP3)、接收邮件(IMAP)、SMTP发送带附件的邮件、SMTP发送混合格式邮件、以及SSL加密的SMTP/POP3/IMAP。
作者:笨小驴 | 分类:邮件监控方案 | 浏览:7498 | 评论:0
14
2019
03
如何对来访人员进行Web用户名认证?
在如何对来宾用户进行上网行为管理中,我们介绍了基于VLAN或者DHCP范围来区分来访人员和普通办公人员。在本文中,我将介绍另外一种较典型的方式:“对办公人员进行IP-MAC绑定;并要求来访人员Web认证。”
首先需要在IP-MAC绑定中录入办公人员的IP和MAC地址(略)。然后再进行下述配置:
1. 设置DHCP范围
IP-MAC绑定后,办公电脑DHCP获取的都是绑定的IP地址。为了区分办公电脑和来访人员的IP地址,我们首先需要设置DHCP的范围和办公电脑绑定的IP范围区分开。
作者:笨小驴 | 分类:无线WiFi实名认证方案 | 浏览:2691 | 评论:0
22
2019
01
有些系统不能自动弹出Web认证页面是什么原因?如何改进?
苹果(IOS)、以及一些新的andriod和windows系统,在连接网络时,会自动检测网络是否连通以及是否存在认证页面(Captive Web Portal),一旦发现网络需要认证,操作系统会自动弹出认证页面供用户进行认证。这个功能最早是在IOS上实现的,所以一些老版本的安卓系统或者windows系统并不会自动弹出认证页面。
WFilter NGF中的“Web认证”完全按照Web Portal认证的标准来实现,在WFilter NGF中开启”Web认证“后,也会存在一部分系统不能自动弹出认证页面的情况。一般有如下原因:
客户机操作系统比较老旧。安卓4.0和windows 8.0之前的版本都不支持自动弹出。
客户机的浏览器问题导致不能自动打开浏览器。
本文中,我将结合WSG的相关功能来介绍如何解决此问题。一般而言有三种办法,具体描述如下:
作者:笨小驴 | 分类:无线WiFi实名认证方案 | 浏览:6333 | 评论:0
16
2019
01
WFilter如何实现惩罚组限速?
林子大了什么鸟都有,局域网内总有一些不自觉的员工违反公司条例,占用大量带宽进行下载视频之类的活动。碰到这样的情况,网管技术人员会很恼火。针对这样的情况,WFilter NGF(WSG网关)里面的“惩罚组”功能,可以临时的设置惩罚策略进行上网限制和流控。
1. 定义惩罚组限速策略
给惩罚组定义一个比较严格的限速,并且把惩罚组的策略拖动到限速策略的第一行。如下图:
作者:笨小驴 | 分类:局域网限速软件 | 浏览:3409 | 评论:0
31
2018
12
怎样禁止恼人的高速下载器?
现在很多下载站都优先推广高速下载器下载,一不小心就会下载一个未知内容的xxxx@xxxx.exe这样的文件。给局域网的安全带来很大的隐患。如图:
在本文中,我将介绍如何用WFilter ICF(超级嗅探狗)来禁止高速下载器的下载。
作者:笨小驴 | 分类:网络管理方案 | 浏览:4255 | 评论:0
27
2018
12
如何用阿里云短信平台搭建WiFi上网实名认证?
在阿里云短信认证网关的具体实现这篇文章中,我们介绍了如何使用阿里云的php sdk来实现短信认证功能。在实际使用中,有一些用户不具备开发sdk的技术能力。所以在最新版的WFilter NGF系统中,我们集成了阿里云的SDK模块。用户无需搭建SDK的web服务等环境,即可实现阿里云短信认证的功能。
本文中,我将结合阿里云短信平台来介绍WFilter NGF的短信认证功能。
1. 阿里云短信平台相关配置
首先要创建AccessKey
作者:笨小驴 | 分类:无线WiFi实名认证方案 | 浏览:6019 | 评论:0
21
2018
12
公共场所无线WiFi实名认证方案
根据《中华人民共和国网络安全法》(第十条、第二十一条、第二十四条)、《中华人民共和国反恐怖主义法》(第十九条、第二十一条)、《计算机信息网络国际联网安全保护管理办法》(第十条、第十一条、第十二条、第十七条)、《互联网安全保护技术措施规定》(第七条、第八条、第十一条)等相关法律规定,公共无线上网场所应当落实相关网络安全保护技术措施。而从2018年11月1日开始正式施行的《公安机关互联网安全监督检查规定》(公安部令第151号),是网络安全执法检查工作与《网络安全法》的深度结合,对执法过程进行了详细的规定,使得监督检查工作做到依法检查、依法处置。简单的说,有两条需要值得我们重点关注的地方:
1. 提供WiFi上网服务的公共场所,必须落实上网实名认证。
2. 提供上网服务的公共场所,必须至少保存六十天的上网记录备份。
作者:笨小驴 | 分类:无线WiFi实名认证方案 | 浏览:16236 | 评论:0
21
2018
12
微信WiFi还能走多久?微信Wi-Fi功能最新测试结果分析。
自从2014年腾讯推出“微信连Wi-Fi”功能以来,“微信WiFi”一度成为商业公众号的吸粉利器。手机连接WiFi即可自动打开公众号,或者扫描二维码打开公众号。既满足了客户WiFi上网,又可以满足商家涨粉的需要。
作者:笨小驴 | 分类:无线WiFi实名认证方案 | 浏览:3848 | 评论:0
10
2018
12
RouterOS和WSG上网行为管理网关如何使用Openvpn组网?
在本文中,我将介绍如何在RouterOS和WSG上网行为管理网关之间使用openvpn组建site-to-site VPN。网络拓扑图如下:
本例中,我们把WSG作为openvpn的服务端,RouterOS作为openvpn的客户端。反过来的配置也基本类似。
作者:笨小驴 | 分类:异地组网方案,SD-WAN | 浏览:5972 | 评论:0
10
2018
12
RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN?
在本文中,我将介绍如何在RouterOS和WSG上网行为管理网关之间创建IPSec隧道。网络拓扑图如下:
本例中,我们把WSG作为IPSec的服务端,RouterOS作为IPSec的客户端。反过来的配置也基本类似。
作者:笨小驴 | 分类:异地组网方案,SD-WAN | 浏览:4441 | 评论:0
04
2018
12
WFilter NGF新增SSL监控模块;HTTPS网页内容、SSL邮件内容尽在掌控。
众所周知,SSL加密的通讯数据,比如https,pops, imaps, smtps,由于在通讯过程中进行非对称加密,其数据是密文传输的;导致网络监控不能直接监控到其内容,也无法对内容中的信息进行深度过滤。作为专业的上网行为管理系统,WFilter NGF在最新版本中,新增了“SSL监控模块”。该SSL监控模块,可以充当SSL的中间人进行证书拦截,从而解析出SSL加密的数据内容。利用该模块,可以实现如下内容:
记录https网站的页面内容、发帖内容。
对https网站的访问进行深度过滤,比如禁止https网站的下载文件格式、禁止在https网页上传附件等。
记录pops, imaps, smtps的邮件内容。
对pops, imaps, smtps的邮件进行深度过滤,比如设置邮件发送接收黑白名单,禁止发送附件等等。
作者:笨小驴 | 分类:企业网络安全方案设计 | 浏览:4058 | 评论:0
30
2018
11
没有公网IP如何实现VPN组网?
由于公网IP地址不够用,一些网络运营商只给拨号用户提供二级IP地址。换句话说,你的网关获取到的只是一个内网IP地址,在公网上是不可达的。这个事实,会给拨号上网的企业带来如下问题:
无法实现依赖端口映射的业务功能。
无法实现直接VPN组网。
在本文中,我将介绍一种通过云主机来进行中转的VPN组网方式。你只需要购买一台有固定IP地址的云主机,即可实现多地VPN组网。既节省了专线的费用,而且云主机还可以用来搭建Web服务或者其他服务。网络拓扑图如下:
作者:笨小驴 | 分类:异地组网方案,SD-WAN | 浏览:59620 | 评论:0
29
2018
11
运营管理中如何实现对超流量用户的管理。
WFilter NGF的“运营管理”模块,集成了用户管理、实时带宽限制、累计流量限制、用户Portal通知等功能。适合酒店、ISP等进行带宽的运营管控。在酒店网络管理、上网行为管理方案和小区宽带运营商的网络管理这两篇教程中,我们介绍了“运营管理”的基本功能。
还有一点要补充的,就是对于超流量用户的策略管控。如下图,我们增加了一个“累计带宽”策略,一旦超流量后,就会自动把用户加到“限制上网组“。
作者:笨小驴 | 分类:局域网流量监控方案 | 浏览:3098 | 评论:0
11
2018
11
WSG上网行为管理的网桥部署具体步骤
在WSG上网行为管理网关的初步设置详细教程中,我们介绍了WSG上网行为管理网关的初步设置,该文档中,我们采用了网关部署的方式。在实际使用中,网桥部署方式也极为常见;用网桥的方式来部署WSG上网行为管理,是完全透明部署,不需要修改现有的网络参数,也不需要更改路由器和交换机的配置。网络拓扑图如下:
网桥部署有如下优点:
不需要修改现有的网络设置。
无需断网,即插即用。
功能一样强大:上网行为记录、行为管理、流控都可以实现。
硬件bypass(要看具体型号),即使网桥设备掉电,也可以保证不断网。
1. 网桥部署的准备工作
首先需要给WSG设备分配一个静态IP地址。该IP用于远程访问WSG设备,进行Web认证等远程访问操作。需要注意如下几点:
作者:笨小驴 | 分类:上网行为管理部署方案 | 浏览:5362 | 评论:0
09
2018
11
如何用手机短信实现WiFi上网认证?
对人员流动比较频繁的局域网来说,首要的一个问题就是要进行网络的准入认证,记录用户的身份信息和上网日志。从而使网络行为有据可查,也能满足职能部门的督察需要。WFilter NGF中的几种认证机制,优缺点比较如下:
用户名密码认证。需要维护用户名密码,适合人员比较固定的网络。
微信WiFi认证。微信WiFi的流程是打开公众号即可上网,并且记录微信的openid。适合在人员流动大的网络环境中做营销推广。
手机短信认证。通过手机接收验证码来上网,记录手机号和上网记录。适合人员流动比较大的网络环境留存身份信息和上网审计记录。
本文中, 我将结合一个实际例子来介绍WFilter NGF(WSG网关)的短信认证功能。
作者:笨小驴 | 分类:无线WiFi实名认证方案 | 浏览:14652 | 评论:0
31
2018
10
如何用OpenVPN实现远程办公?
企业为了满足出差人员,在家人员的办公需要,往往需要开通远程办公功能。使得员工可以通过互联网连接到公司内网进行工作。在WFilter NGF中,“OpenVPN服务端“和“PPTP服务端”这两个模块都可以满足远程办公的需要。相对而言,OpenVPN的配置复杂,但是安全性更高一些。
本例中,我将演示如何用WFilter NGF的OpenVPN服务端模块来实现远程办公。
作者:笨小驴 | 分类:异地组网方案,SD-WAN | 浏览:33115 | 评论:0
25
2018
10
如何允许企业微信的同时屏蔽个人微信?
企业微信是腾讯微信团队为企业打造的专业办公管理工具,现在很多企业用企业微信来进行办公沟通。但是一些企业开通了微信后,却发现员工会花大量时间用在个人微信聊天、朋友圈上面。所以,为了不影响工作效率,在使用企业微信的同时还需要禁止个人微信的使用。
本文将介绍如何用WSG上网行为管理网关来实现“允许企业微信的同时屏蔽个人微信”。
作者:笨小驴 | 分类:上网行为管理器 | 浏览:11571 | 评论:0
23
2018
10
企业多外线接入时如何设计线路优化和分流?
很多企业为了工作需要都申请了多WAN接入。而大部分的多WAN口设备在默认配置下都是直接负载均衡;以WSG上网行为管理网关为例,默认配置是这样的:
运营商分流。电信网站的访问会优先走电信线路,联通站点优先走联通线路。
负载均衡。根据wan口的带宽大小进行负载均衡。
作者:笨小驴 | 分类:多线负载均衡方案 | 浏览:3343 | 评论:0
19
2018
10
无线网络安全不能只依赖密码。
在企业的网络内部有着很多重要的IT资源,比如:OA服务器、ERP服务器等,这些业务主机一旦停止工作或者被攻击,会直接影响业务的正常运行,带来重大损失。在有线网络的情况下,安全性还是比较可靠的。而现阶段绝大部分企业都提供了无线上网;客户机只要知道了无线密码,就可以接入企业的局域网,导致安全隐患。而关键的一点在于你的无线密码并不安全:
aircrack等软件可以对无线密码进行暴力破解。
一旦有员工安装了wifi钥匙等软件,你的无线就等于是公开的。
访客网络和办公网络分开的方式,并不能阻止访客连接办公网络。(访客可以直接询问密码,或者通过wifi钥匙等软件接入)
作者:笨小驴 | 分类:网络管理方案 | 浏览:2588 | 评论:0
18
2018
10
如何屏蔽https网站,禁止https网站的访问?
HTTPS(HTTP over SSL)由于其通讯协议的特殊性,域名信息和访问的URL等都处于SSL加密保护下;所以大部分的路由器系统都无法对https网站的域名进行过滤和屏蔽。而诸如WFilter这样的专业级上网行为管理产品,则可以对流量进行深度分析,并提取出https通讯中的域名信息,从而进行过滤屏蔽。
如下图,WFilter可以提取出网站证书中的域名信息。
作者:笨小驴 | 分类:网页过滤方案 | 浏览:4788 | 评论:0
- 关注我们
-
微信公众号:
- 控制面板
- 网站分类
- 搜索