笨驴信息(IMFirewall)博客

这里说的路由，是千元以上的路由，一千块以下的就不谈的。现在很多企业路由，都说有这样的功能，

IP-MAC绑定是很多路由，网关的一个常见功能，主要用来绑定局域网终端的IP地址，防止终端随便修改IP，导致网内IP地址冲突，而导致网络歇火。先来说IP-MAC绑定的原理分两个部分：前部分，所谓绑定，就是让这台电脑的MAC始终获取同一个ip地址或者指定ip，这个做到很容易，很多路由都号称有这样功能称之IP-MAC绑定。但是做到这一步，没啥意义，因为上网终端一旦修改了IP，照样可以上网，照样IP冲突，真正夯实IP-MAC绑定的是后半部分，这个上网行为管理才可以做到（核心交换机也能做到，但是配置很麻烦费事）要有上网数据，通过行为管理来检测这个这个MAC是不是一直都是获取的这个IP，一旦不是获取的这个IP或者IP被擅自修改了，就会让MAC断网。或者一旦有新的没有登记再案的终端进来（电脑，路由或者手机）进来，即使插上，也无法上网

DHCP服务用于给局域网的客户机分配IP地址，从而实现统一的IP地址管理，可以有效简化配置过程，并且防止IP冲突等异常。但是有时候我们也会发现电脑获取不到IP的情况。这时候该怎么诊断呢？分两种情况：

1. 所有的电脑都获取不到IP，基本可以判断是DHCP服务出了问题，一般需要检查和重启DHCP。
   

2. 只有个别电脑获取不到IP，首先要排除网线接触问题和系统问题。

实际工作中发现，即使网线和系统都不存在问题时，有时候也会获取不到IP。这个情况是怎么产生的呢？请继续往下看。

IP地址冲突是网络管理的一个常见问题。尤其在企业局域网内部，由于管控策略的存在，总会有人试图通过修改IP地址来绕开管控、获取更多的上网权限以及更高的带宽。修改的IP一旦和公司的服务器发送IP冲突，会直接影响到办公和业务的正常运行。IP冲突的危害如下：

1. 绕开行为管理策略和流控策略的管控。
   

2. 导致被冲突的客户机断网。
   

3. 和服务器IP冲突会影响业务的正常运行。

4. 难以定位，使网络管理混乱无序。

微信WiFi的默认流程，已经从最初的“关注公众号”变成了目前的“打开公众号”。应该说，“打开公众号但是不强制关注“其实是一个更加人性化的做法；因为任何诱导/强制关注，都会影响最终用户的体验和公正性原则；长远来看会影响公众号的发展。微信WiFi如下图：

在手机上网占多大流量？WiFi要不要进行限速？这篇文章中，我们介绍了WiFi速度慢的一个重要原因：后台应用的大量带宽占用。如下图：即使在没有任何app运行的情况下，后台应用仍然会占用大量的带宽。

很多企业、公共场所都会给员工或者顾客提供WiFi服务，但是网管人员很快会发现大部分人都会抱怨WiFi速度太慢没法用，明明是100M的专线，速度却和拨号速度差不多。这究竟是什么原因呢？今天我们就从网络应用的角度来分析下，手机上网究竟需要多大的流量。

无线的速度，还取决于无线AP的信号强度、信道干扰、带机量等因素，这些方面已经有大量的技术文章，我们就不再赘述，本文主要着重从网络应用的角度来解释无线带宽的占用问题。

如下图，这是一台普通的华为安卓手机，已经清理掉所有的app。

WFilter NGF的“Web认证”模块，提供了一系列的上网认证解决方案。包括如下认证方式：

1. 本地用户名密码认证
   

2. AD域用户名密码认证

3. 企业邮箱用户名密码认证

4. Radius用户名密码认证

5. 微信WiFi认证

6. Facebook Wifi认证

除此，WFilter NGF还有一个“其他”的选项，利用这个选项，你可以扩展更多的用户认证方式，比如“短信认证”，使用者必须输入自己的手机号码，获取验证短信后输入才可以上网。如图：

相对于固定IP而言，自动获取IP（DHCP）更加方便，而且不会导致IP地址冲突。但是对于局域网网络管理而言，IP地址不固定就无法实现有效的管控。作为专业的上网行为管理厂家，WFilter系列上网行为管理产品针对该情况可以提供两种解决方案：

1. 先进行IP-mac地址绑定，然后基于IP地址管控。

2. 直接基于MAC地址进行管控。
   

以WFilter NGF（WSG网关）为例，具体配置介绍如下：

分支结构和总部之间的数据通讯现在一般都通过VPN线路来实现，如果总部只有一条VPN线路，那么当总部线路故障时，就会导致分支机构数据无法上传，影响正常的办公需要。其解决办法，一般是通过多条VPN线路的方式，来实现VPN线路备份，一条线路不通时，会自动切换到另外一条线路，从而实现不间断的VPN连接。

本文将介绍用WFilter NGF中的Open VPN（SSL VPN）组建site-to-site VPN，并且实现高可用性的VPN线路备份。

支持远程拨入的VPN技术，使员工在出差、下班时可以连接到公司的局域网处理工作，给工作带来了很大的便利。所以现在很多公司都支持VPN远程拨入。本文将简单介绍VPN的几种组建方式，以及相关的安全问题。如果您需要创建site-to-site的VPN，请参考：Ipsec VPN

1. PPTP VPN

PPTP（Point to Point Tunneling Protocol），即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

VLAN可以把网络划分成多个广播域，可以有效的控制广播风暴，还可以控制网络中不同部门和网段之间的互相访问。如果您已经有了三层交换机，可以直接在三层交换机上划分VLAN，请参阅：多VLAN三层交换机如何连接WFilter上网行为管理系统？

在没有三层交换机的环境下，您可以直接用WFilter NGF（WSG网关）来划分VLAN。支持两种VLAN的划分方式：

1. 基于端口的VLAN划分。每个端口一个VLAN接二层交换机。
   

2. 802.1Q VLAN（单臂路由）。和交换机的trunk口连接，通过一个端口实现多个VLAN的封装。

本文将介绍这两种方式如何配置。

很多企业为了数据的安全，需要对外发文件进行管控。而手机、usb存储的广泛使用，使得外发文件的管控非常难以实现。在本文中，我将抛砖引玉，探讨外发文件管控的几种方式。外发文件的管控，需要考虑如下几个方面：

• 屏蔽通过网络外发文件

• 屏蔽蓝牙、usb等外设外发文件
  

• 文件加密
  

对于局域网信息安全来说，首要的一点就是接入认证，缺少接入认证，那内网安全完全无从谈起。而在接入认证中，“Web Portal认证”是目前应用最为广泛的一种方式。那么，今天我们来看看WFilter的“Web认证”提供哪些认证解决方案。

首先，WFilter NGF的“Web认证”包括两个部分：

1. 用户名认证：基于用户名口令的认证方案
   

2. 营销认证：主要是微信WiFi（国内）和Facebook WiFi（国外）。

现在的便携式路由器非常的小巧轻便，而且即插即用，很受大家的喜爱。

但是，对于局域网的网管人员来说，这个小东西造成的危害可不小，比如：

有这么一个app，很多人沉溺其中，但是你会发现随随便便刷几个小时的短视频，你就会收到短信提示“您本月的流量已经用完”。即使你用wifi网络，网管同学们也会发现最近公司的带宽完全不够用啊。这就是抖音短视频，称之为流量杀手绝对不过分。

今天，我就来实际测试下，看一个抖音究竟要耗费多大的带宽。“测试手机：iphone 7 plus，抓包工具wireshark，网关：WSG-500E上网行为管理”。

如图所示，我用iphone7 plus刷了3个抖音视频，耗时30秒左右。平均带宽占用高达766Kbyte，也就是6Mbps。

局域网网络慢，一般存在如下可能：

1. 内网ARP欺骗攻击。
   

2. 内网病毒攻击。

3. 交换机、路由器硬件故障。

4. 网线接触不良、网线老化。
   

5. 广播风暴、网络环路。

以上这些问题，即使是一个有经验的网管，需要组合ping、arp、tracert等多条命令进行测试分析，才可以逐步排查出来。有时还需要用抓包工具来抓包分析。为了简化网管人员的工作，我们的WFilter软件（WSG网关）中，都集成了一个实用性很强的插件“网络健康度检测”。以上问题一键就可以检测出来。如下图：

腾讯游戏是腾讯四大网络平台之一,是全球领先的游戏开发和运营机构,也是国内最大的网络游戏社区。但是，很多青少年沉迷游戏，不但影响工作和学习，还会伤害身体、滋生犯罪。

本文中，我将演示如何用WSG上网行为管理网关来屏蔽腾讯游戏的登录。根据腾讯游戏登录协议介绍，腾讯游戏的登录主要是http方式，需要连接

抖音现在实在是太火了，办公室一个个都忙着刷抖音，哈哈大笑者有之，忍俊不禁者有之...，可这带宽占用可也不小啊。一个人看抖音的实时带宽可以达到5Mbps，十几个人一起刷就可以把百兆带宽给用完了。而且手指一刷就换到下一个视频，随便刷刷就几G的流量。如图：

上班时间刷刷朋友圈，一眨眼半小时就过去了。不但会影响工作效率，而且朋友圈的视频会占用大量的带宽。所以对企业管理人员来说，很多时候需要禁止员工在工作时段刷朋友圈。但是行政手段要和技术手段配合，才可以发挥真正的作用。

本文将介绍如何用WFilter NGF（WSG网关）来禁止朋友圈的视频。

首先，应该设置什么样的管理制度？

当我们看到app store有更新的时候，总是忍不住要去点击下。可你知道点击的一刹那要消耗多少流量吗？根据WFilter的监控，在WiFi状态下，app store的更新速度可以达到几兆。初步估算下，如果同一个局域网有十个人同时打开app store进行更新，那么百兆带宽瞬间就可以被占满。如下图：

WFilter NGF（WSG上网行为管理网关）的“Web认证模块”主要包括两个部分：“用户名认证”和“营销认证”。

1. 用户名认证：输入用户名口令来认证上网。

2. 营销认证：国内主要是“微信WiFi”，国外主要用“Facebook WiFi”。

本文中，我将简单介绍如何用WFilter NGF（WSG上网行为管理网关）来实现微信扫码上网。

163和腾讯的企业邮箱，给企业带来了很大的便利。很多企业都采用两家的企业邮箱服务，有的企业出于信息安全的考虑，需要对企业邮箱的外发内容进行监管。本文中，我将简单介绍企业邮箱监控的两个重点关注的方面：

1. 网页版的企业邮箱监控。
   

2. 客户端收发的企业邮箱监控。
   

IP-MAC绑定一直是局域网管理的一个重要部分。但是其实现却往往比较复杂，一般会有如下问题：

1. 大部分路由器的IP-MAC绑定功能比较局限。一般就是简单的ARP绑定。客户机手动修改IP等方式来突破。
   

2. 路由器由于硬件限制，允许的IP-MAC绑定条目比较少，一般在256条以内。

3. 交换机上进行IP-MAC绑定，配置和维护的工作量会比较大。

4. 三层交换机的IP-MAC绑定往往需要专业技术人员才可以操作。
   

今天，我要介绍的是一种非常简单方便的IP-MAC绑定方式，无需修改交换机和路由器，不改变当前网络结构和配置，即插即用，web界面配置。非常简单方便就可以实现对局域网内客户机的IP-MAC绑定。具体介绍如下：

《绝地求生》(PUBG) 是一款突破性的战术竞技类游戏，凭借其独特创新的玩法模式，写实风格带来的代入感和沉浸感深受玩家喜爱。目前，吃鸡类游戏深受用户喜爱，也涌现了一大批的同款端游和手游。

对于上网行为管理来说，我们要讨论的是如何禁止局域网客户机（电脑和手机）玩这类游戏。在本文中，我将演示如何用WSG-500E（WFilter NGF系统）来屏蔽局域网用户玩吃鸡类游戏。