为了网络安全的需要，很多企事业单位都在局域网内部署了上网认证系统。但是怎样来选择一套适合自己的上网认证系统呢？我建议从以下方面来考虑：

1. 可选择的多种认证手段。需要和对内部员工、来访人员提供不同的认证手段。
   

2. 认证方式的选择。如果是企业内部员工认证，建议用户名密码认证。如果是流动人员或者访客，建议使用短信认证（记录手机号）

3. 可以和认证集成的上网审计系统。做了认证但是不记录上网日志是没有意义的。必须要部署和认证系统集成的上网审计系统，能把上网记录和认证的用户名关联到一起，做到有据可查。这才是认证的意义所在。

上网认证是网络安全的基础，只有认证后的终端才允许接入。对于企事业的局域网来说，比较常见的网络认证方案包括802.1X、Web Portal认证，还有基于企业微信、钉钉等第三方的app认证。由于802.1X的认证方式需要支持802.1X的交换机设备，且配置比较复杂，对于大部分用户来说并不适用。本文中，我将介绍利用WSG上网行为管理网关的Web Portal认证、第三方认证、访客认证等功能。

WSG的访客认证主要包括三种认证方式：

1. 短信认证；通过短信平台发送短信来验证用户手机号，从而实现实名认证的需要。

2. 微信小程序认证；终端需要在微信小程序中授权获取手机号，从而记录手机号实名上网。

3. 二维码认证；终端需要把二维码提供给审核人员，审核人员人工审核后上网。

WSG的短信认证可以对网络内部终端进行实名上网认证，短信认证的配置截图如下：

企业在规划网络架构时，一般都会区分员工网络和访客网络，并且实现不同的上网认证方式，比如员工采用用户名密码认证，访客采用短信实名认证。但是有些网络由于设计缺陷，不区分内部员工和访客，为了实现上网认证，需要对同一个网段同时启用短信认证和用户名认证。本文中，我将介绍如何同时启用短信认证和用户名认证。

通过用上网行为管理限制电脑的网络访问，管控终端可以访问的外网站点，可以实现只允许终端使用指定的网络软件。请注意，网络管控只能管控网络软件，并不能限制单机软件。

本文中，我将以WSG上网行为管理为例，使终端电脑只能使用“虚幻引擎”这个软件。

1. 首先，配置“应用过滤”禁止所有外网

用WSG上网行为管理很容易就可以屏蔽一台网络终端访问外网，本文中，我将演示如何用WSG上网行为管理来配置策略禁止一台电脑访问外网。

1. 在应用过滤中新增策略

在“模块”-“行为管理”-“应用过滤”中新增策略，选择“增加一个全新的配置”。

“公司办公网，想要实现电脑可以登陆微信，但其他网站均不允许打开。目的是允许办公人员在电脑上使用微信，但是不允许他们浏览网页和其他与网络有关的内容。”这样的需求，我们可以通过在局域网内网桥部署一台WSG上网管理软件来实现，网络结构如下：

现在越来越多的企业开始关注网络安全，但是办公网络安全现状还不容乐观。首先，领导层和员工的安全意识不高。一些员工在密码设置、邮件和文件收发等方面缺少安全意识，很容易使企业网络受到攻击和病毒感染。而且一些企业缺少网络安全应急预案，没有做好数据备份，一旦在发生网络攻击事件时响应迟缓造成巨大损失。其次，缺少网络安全设备；一些企业网络还没有安装防火墙和入侵检测设备，一旦被攻击就抵挡防御。所以，企业网络安全最需要注重如下几个方面：

网络安全已经是企业局域网不可忽视的安全问题。那么企业网络安全的防护技术有哪些呢？主要包括如下几点：防火墙、入侵检测和防御、DDoS防护、内网上网管控。本文中，我将以WSG上网行为管理为例，介绍企业网络防护技术。

1. 防火墙

防火墙是网络防护的第一道门户。企业的网络防护需要对来自外网的访问进行限制。比如：阻止外网访问防火墙，限制外网访问端口映射的IP范围等。

电脑一旦被安装了挖矿程序，会带来很多危害：占用大量的电力和运算资源、拖慢机器、感染局域网内的其他终端......所以，挖矿行为目前是被各级部门明令禁止的，一旦被上级部门检测到有挖矿行为，很可能会被阻止互联网接入直至整改完成。当接到上级部门通告时，作为网管人员需要怎样去处置解决这个问题呢？

被上级部门检测到，一般存在如下三种情况：

1. 访问了矿池或者虚拟货币服务器的目标IP

2. 访问了“挖矿”域名（HTTP/HTTPS）

3. 查询了“挖矿”域名（DNS）

企业内部的ERP、OA服务器很多都是通过端口映射到公网的，这样就不可避免会招来攻击。如下图：

公司网络准入认证方案是网络安全的基础，该方案通过对网络的接入设备进行统一的认证和访问授权管理，以保证内网的网络安全。对于企业局域网来说，比较常见的网络准入认证方案包括802.1X、Portal认证，还有基于企业微信、钉钉等第三方的app认证。

802.1X的认证方式需要支持802.1X的交换机设备，且配置比较复杂，对于大部分用户来说并不适用。本文中，我将介绍利用WSG上网行为管理网关的Portal认证、第三方认证等功能来实现企业网络的准入认证。

作为网管技术人员，你一定会因为IP冲突感到烦恼过。IP冲突会导致电脑上不了网，因为业务正常运行等。一旦发现IP地址冲突，在网络设备上是解决不了的，唯一的解决办法就是找到冲突的这台终端并且修改其IP地址或者改成自动获取IP；而预防IP冲突的唯一办法就是：自动获取IP。通过DHCP服务器，统一规划分配IP，这样就避免了IP冲突的问题。一般来说，可以采用如下的网络规划：

• 服务器、打印机等设备都采用固定IP的方式。

• 办公电脑自动获取IP

• 无线设备自动获取IP

本文以WSG上网行为管理为例，介绍如何检测、管理IP地址冲突。

上级部门通知局域网内存在僵尸木马要求网络进行整改，作为网管人员需要怎样去处置解决这个问题呢？首先，上级部门只能检测到局域网总出口的IP地址，并不能识别终端的IP地址。当网内的终端数量比较多时，每台电脑做病毒查杀的工作量太大了，网管人员会很头疼这个问题。

比较合理的方案是在局域网内部署一台入侵检测系统，通过对网络数据包进行分析检测，从而发现问题主机。在本文中，我将以“WSG上网行为管理”为例，来介绍如何进行内网的木马检测。

WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块，这两个模块的检测原理都是入侵检测snort。如下图：

WSG上网行为管理的“IP-MAC绑定”功能非常强大，可以实现IP-MAC绑定、ARP绑定、分配静态IP等功能。但是配置IP-MAC绑定需要预先收集mac地址并且分配IP，还是有一定的工作量的。在本文中，我将介绍基于用户认证的IP-MAC绑定功能，其实现原理是：“用户一旦认证成功就会自动配置IP-MAC绑定”，这样不但实现了用户认证，而且固定了IP和mac地址；可以说是IP-MAC绑定的一个有效功能补充。具体的步骤如下：

当你有多台WSG时，你可能会想把上网日志和统计数据集中保存和管理。集中保存可以保存更长日期的历史数据，也更加便于管理。本文中，我将介绍如何搭建WSG数据中心管理系统来实现数据的集中存储管理。

1. WSG数据中心的搭建

WSG数据中心安装在一台windows电脑上，该系统的搭建需要安装以下产品：

1. SQL Server数据库，所有的日志数据都会被导入到SQL Server数据库中。

2. FTP服务器，用于提供FTP上传服务。

3. WFilterDC（WFilter数据中心管理系统），该系统可以导入数据并且提供查询和统计等功能。

企业网络信息安全问题日益突出，为了加强企业内部的网络安全建设，网络管理技术人员应当从如下几个方面来设计网络安全解决方案：

1. 合理的制度和管理

首先需要有完善的网络安全管理制度，根据企业的实际工作需要制定符合公司实际情况的管理制度和措施来保证网络的正常运行和网络的安全运行，并且配备专业的技术人员负责管理维护内网的计算机和网络设备。

越来越多的企事业单位开始重视信息安全，企业的技术资料、客户信息等一旦发生信息泄露，会给企业带来不可估计的损失。即使是网络环境比较简单的中小企业，也一样会受到网络安全的威胁。如果不注重网络安全，往往会导致企业的重大损失。本文中，我将从网络安全的角度，来论述如何保障公司内网的网络信息安全。主要涉及到如下四点：

1. 合理的网络架构
   

2. 了解内网的终端
   

3. 管控到外网的访问

4. 管控来自外网的访问
   

为了保障网络安全，提高员工工作效率，企业有必要部署上网行为管理。上网行为管理可对企业内部员工的上网行为进行全方位有效管理，保护Web访问安全，降低互联网使用风险，避免机密信息泄露，提升工作效率，限制下载和视频P等严重消耗带宽的应用，保障企业核心业务带宽。

根据《中华人民共和国网络安全法》（第十条、第二十一条、第二十四条）、《中华人民共和国反恐怖主义法》（第十九条、第二十一条）、《计算机信息网络国际联网安全保护管理办法》(第十条、第十一条、第十二条、第十七条)、《互联网安全保护技术措施规定》(第七条、第八条、第十一条)等相关法律规定：

1. 提供WiFi上网服务的公共场所，必须落实上网实名认证。

2. 提供上网服务的公共场所，必须至少保存六十天的上网记录备份。

短信实名认证是目前最稳定、最普遍的实名认证方案。对于绝大部分WiFi网络而言，只需要在网络出口处部署一台WSG上网行为管理设备，就可以同时实现短信认证和上网记录的功能，满足网络安全法的安全要求。WSG上网行为管理的WiFi短信认证方案，具备如下优势：

1. 一台设备就可以满足认证+审计+安全的功能需求。
   

2. 对内网的网络设备没有要求，不需要更改现有的无线方案。

3. 透明部署、即插即用。

网络拓扑图如下：

局域网内电脑中了木马病毒，会有带来下述坏处：

1. 感染内网其他电脑。

2. 大量攻击数据的存在，使得网络缓慢，被攻击的电脑运行缓慢。

发现内网电脑中毒后，一般都会采取重EMC易倍体育装系统，或者全盘杀毒的方式。但是如果电脑比较多就让人很头疼了。首先要追踪查找到感染了木马病毒的电脑，然后才可以进行病毒查杀。有些杀毒软件或者防火墙可以检测到内网的攻击源，本文中，我将介绍如何用WSG上网行为管理的“木马检测”功能来进行检测。WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块，如下图：

WSG的应用特征库已经包含了“QQ小程序”和“微信小程序”这两个应用特征，只要把对应的应用设置成“禁止”即可屏蔽所有的小程序。但是在实际使用过程中，有些用户只想屏蔽游戏类的小程序，同时允许其他的小程序功能。本文，我将结合管呗上网行为管理，来演示如何实现该需求。

方案一：直接屏蔽“QQ小程序”和“微信小程序”

在“上网策略”的“APP”中，搜索小程序，把QQ小程序和微信小程序设置成“禁止”。这样的效果是直接把所有的小程序都禁用掉。如下图：

WFilter的扩展插件系统有一系列实用的扩展插件。本文中，我将介绍插件中的“远程唤醒”功能，该功能可以给指定的电脑发送WOL（Wake on LAN）数据包，从而实现远程唤醒和远程开机。

具体步骤如下：

1. 搜索IP或者MAC地址

输入IP地址、MAC地址、机器名备注等信息，可以查询出终端列表。如下图：

在“WSG拨号上网如何配置IPv6地址？”一文中，我们介绍了如何在拨号上网的情况下开启IPv6，如文中所述拨号上网时IPv6地址主要都是通过自动获取来实现的。对于静态固定IPv6地址来说，配置方式就不一样了。你需要合理的划分自己的网段。