EMC易倍体育信息(IMFirewall)博客

Fri, 29 Dec 2023 16:26:50 +0800

为了网络安全的需要，很多企事业单位都在局域网内部署了上网认证系统。但是怎样来选择一套适合自己的上网认证系统呢？我建议从以下方面来考虑：

可选择的多种认证手段。需要和对内部员工、来访人员提供不同的认证手段。
认证方式的选择。如果是企业内部员工认证，建议用户名密码认证。如果是流动人员或者访客，建议使用短信认证（记录手机号）
可以和认证集成的上网审计系统。做了认证但是不记录上网日志是没有意义的。必须要部署和认证系统集成的上网审计系统，能把上网记录和认证的用户名关联到一起，做到有据可查。这才是认证的意义所在。

1. 多种认证手段

至少可以提供用户名密码认证、钉钉企业微信第三方认证、以及访客认证（短信认证、二维码、小程序认证）等多少认证手段。才可以满足对内部员工、来访人员提供不同的认证手段。

2. 多种用户名密码的认证机制

用户名密码的认证要可以和企业现有的用户名密码系统集成。比如现有的AD域、企业邮箱、钉钉、企业微信等现有系统要可以直接集成，如果不能集成，那么用户就需要有两套用户名密码，使用起来就不方便了。如下图，WSG的用户名认证可以和现有的AD域、企业邮箱、Radius系统集成，还可以和第三方的钉钉、企业微信集成。

3. 完善的认证记录和上网数据

如下图，WSG可以提供上网认证数据查询，以及每个终端的上网记录查询。

EMC易倍体育信息(IMFirewall)博客

Fri, 29 Dec 2023 16:03:50 +0800

上网认证是网络安全的基础，只有认证后的终端才允许接入。对于企事业的局域网来说，比较常见的网络认证方案包括802.1X、Web Portal认证，还有基于企业微信、钉钉等第三方的app认证。由于802.1X的认证方式需要支持802.1X的交换机设备，且配置比较复杂，对于大部分用户来说并不适用。本文中，我将介绍利用WSG上网行为管理网关的Web Portal认证、第三方认证、访客认证等功能。

1. IP-MAC绑定、MAC认证

最严格的限制就是IP-MAC绑定，只有允许的IP和MAC地址才允许通过。这样限制最严格有效，但是管理和维护的工作量也比较大。所有新增的终端，都需要网管人员配置后才可以放行。

2. Web Portal认证方案

WSG上网行为管理网关的Web认证（Portal认证）支持多种用户名认证方式，包括本地用户（直接在WSG里面创建用户和密码）、AD域、邮箱认证、Radius认证等。如下图：

开启用户名密码认证后，终端必须要输入正确的用户名密码才可以认证上网。

3. 企业微信、钉钉认证

企业微信和钉钉认证的流程是直接用app扫码认证上网。需要在“企业微信、钉钉开发者平台”EMC易倍体育建扫码登录应用，并且记录AppID和AppSecret等配置。

上网时用app扫码即可完成认证并上网。

4. 短信实名认证

对于开放的公共WiFi，您还可以用过短信认证方式，记录手机号和上网记录。如下图：

5. 二维码扫码认证

对于公司的来访人员，还有一个有效的认证手段就是二维码认证。需要公司的接待人员用手机扫码通过后才可以接入，这种认证方式需要人工参与才可以完成认证过程。如图：

综上所述，在部署上网认证系统时，重点考虑以下几点：

1). 对有线办公电脑和服务器可以直接用IP-MAC绑定、MAC认证上网。

2). 如果公司已经有AD域等现有的账号系统，可以采用用户名密码认证的方式。

3). 对内部人员采用企业微信、钉钉的app认证方式。

4). 对流动来访人员采用短信认证的方式。

一般推荐有线、工作无线、来宾无线多VLAN分离，并且采用不同的认证方式。多种认证方式组合使用，从而达到最好的管控效果。

EMC易倍体育信息(IMFirewall)博客

Wed, 13 Dec 2023 13:56:37 +0800

WSG的访客认证主要包括三种认证方式：

短信认证；通过短信平台发送短信来验证用户手机号，从而实现实名认证的需要。
微信小程序认证；终端需要在微信小程序中授权获取手机号，从而记录手机号实名上网。
二维码认证；终端需要把二维码提供给审核人员，审核人员人工审核后上网。

本文中，我将介绍微信小程序认证的使用场景。

1. 启用小程序认证

如下图，配置需要进行认证的IP范围，选择小程序认证的“官方小程序认证”，绑定一个本地账号（该账号用于进行数据统计）

2. 电脑连接WiFi

电脑用浏览器访问认证页面时，会显示微信小程序码。用户需要用手机微信扫码运行小程序，授权获取手机号后，电脑会自动完成认证过程。

点击“确定”退出小程序。

3. 手机连接WiFi

手机连接WiFi时，浏览器会自动弹出并且访问认证页面。由于浏览器是不能运行微信小程序的，需要先保存二维码，然后用微信浏览器扫码打开。如下图，手机浏览器显示的是这个页面：

需要保存图片到相册，然后用微信浏览器扫码打开。再运行小程序进行上网认证。

与短信认证相比较，微信小程序认证的步骤麻烦一些，但是小程序认证不需要短信费用，也是一种可选的实名认证方式。

EMC易倍体育信息(IMFirewall)博客

Wed, 06 Dec 2023 13:34:26 +0800

WSG的短信认证可以对网络内部终端进行实名上网认证，短信认证的配置截图如下：

上图中的“验证码间隔”配置，这个选项是为了防止用于频繁点击设置的点击间隔时间。比如第一次发送后，按钮上会显示一个倒计时，倒计时清零后才可以重新发送验证短信。如图：

默认配置下，只要没有关闭或者刷新这个页面，验证码都是有效的。如果你需要设置验证码的有效期，比如5分钟内输入才有效，则需要通过编辑认证页面的源代码来实现。如下图：

点击“<>”标志进入源代码模式，做如下修改：

1). 添加my_sms_wifi()函数，内容如下：

function my_sms_wifi(){
    sms_wifi();
    setTimeout(function(){ smscode=""; }, 600000 );
}

该函数调用默认的sms_wifi函数来发送验证码，并且设置600秒过期后自动清除验证码。

2). 把获取验证码的调用函数改成my_sms_wifi

代码修改完成后，需要切换到编辑模式保存。通过上述配置，即可对短信验证码的有效期进行限制。

EMC易倍体育信息(IMFirewall)博客

Wed, 06 Dec 2023 12:06:37 +0800

企业在规划网络架构时，一般都会区分员工网络和访客网络，并且实现不同的上网认证方式，比如员工采用用户名密码认证，访客采用短信实名认证。但是有些网络由于设计缺陷，不区分内部员工和访客，为了实现上网认证，需要对同一个网段同时启用短信认证和用户名认证。本文中，我将介绍如何同时启用短信认证和用户名认证。

1. 开启短信认证

如图所示，开启“web认证”的访客认证，对无线的IP范围启用“短信认证”。这样配置的效果就是在IP范围内的终端必须在成功认证后才可以上网。

2. 开启用户名认证

如图，开启用户名认证，但是不填写用户名认证的IP范围。不填写IP范围就不会强制要求终端做用户名认证。

3. 编辑短信认证的认证页面

在访客认证的页面中，点击“编辑Web认证页面”。点击“<>”标志切换到源代码模式。

如图，在验证码这一行下面新增了一行，添加到用户名认证的链接。代码如下：

        <tr>
           <td></td><td><a href="//192.168.1.250:8080">用户名认证</a></td><td></td>
        </tr>

切换到编辑模式后保存。用户在登录时，就是下图中所示的效果：“默认会显示短信认证，点击用户名认证就可以进行用户名认证。”

EMC易倍体育信息(IMFirewall)博客

Thu, 28 Sep 2023 16:37:54 +0800

通过用上网行为管理限制电脑的网络访问，管控终端可以访问的外网站点，可以实现只允许终端使用指定的网络软件。请注意，网络管控只能管控网络软件，并不能限制单机软件。

本文中，我将以WSG上网行为管理为例，使终端电脑只能使用“虚幻引擎”这个软件。

1. 首先，配置“应用过滤”禁止所有外网

首先，在“应用过滤”模块里面添加策略，对终端设置禁止所有外网。

2. 其次，配置“例外放行”放行该软件需要连接的外网站点

在“例外放行”中添加策略放行该软件需要连接的外网站点，如下图，要放行“虚幻引擎”至少要放行如下站点：

*.epicgames.*
*.myqcloud.com
*.unrealengine.com
*epicgames.com
*.cloudflare.com
epicgames-download*
*:49155

3. 测试和完善

软件的有些功能还需要连接其他的站点，比如“新闻News”中的内容大部分都连接了微信公众平台。我们可以通过“实时连接”这个功能来查看连接的外网站点。

要放开新闻News功能，还需要把mp.weixin.qq.com也加到例外放行里面。

经过上述步骤，即可实现只允许虚幻引擎的使用，其他网络行为一律屏蔽掉。

EMC易倍体育信息(IMFirewall)博客

Wed, 13 Sep 2023 13:42:04 +0800

用WSG上网行为管理很容易就可以屏蔽一台网络终端访问外网，本文中，我将演示如何用WSG上网行为管理来配置策略禁止一台电脑访问外网。

1. 在应用过滤中新增策略

在“模块”-“行为管理”-“应用过滤”中新增策略，选择“增加一个全新的配置”。

2. 选择应用对象

选择一个生效时间段，点击应用对象旁边的图标。

应用对象可以选择预先定义好的组，也可以直接自定义输入IP地址、IP范围、IP段或者MAC地址。如下图：

3. 选择要禁止的应用

点击“策略配置”中的“编辑应用列表”，就可以配置要屏蔽的应用。

把“禁止所有”设置成“是”就可以屏蔽所有外网。

通过上述的步骤，即可屏蔽该终端的所有外网。

EMC易倍体育信息(IMFirewall)博客

Tue, 05 Sep 2023 15:47:30 +0800

“公司办公网，想要实现电脑可以登陆微信，但其他网站均不允许打开。目的是允许办公人员在电脑上使用微信，但是不允许他们浏览网页和其他与网络有关的内容。”这样的需求，我们可以通过在局域网内网桥部署一台WSG上网管理软件来实现，网络结构如下：

通过WSG的上网行为管理功能，可以对上网数据进行精确的过滤管控。对于以上的需求，可以采用“应用过滤”+“例外放行”的配置逻辑，通过应用过滤来屏蔽所有的上网行为，然后通过例外放行来放行微信。这样就可以实现只能打开微信的效果。配置步骤如下：

1. 配置用户组

在组配置中增加禁止外网访问的终端设备组。如下图：

2. 配置应用过滤

在应用过滤中，对终端组设置禁止所有外网的策略。如下图：

配置应用过滤后，应用该策略的终端就不能上外网了。

3. 配置例外设置来放行微信

要让终端可以使用微信，还需要配置“例外放行”策略来进行放行。例外放行是最优先的，被例外放行的网站不会受到其他策略的禁止。

选择放行的应用

通过上述的策略组合，即可实现“电脑可以登陆微信，但其他网站均不允许打开”的管控效果。

EMC易倍体育信息(IMFirewall)博客

Tue, 22 Aug 2023 15:34:06 +0800

现在越来越多的企业开始关注网络安全，但是办公网络安全现状还不容乐观。首先，领导层和员工的安全意识不高。一些员工在密码设置、邮件和文件收发等方面缺少安全意识，很容易使企业网络受到攻击和病毒感染。而且一些企业缺少网络安全应急预案，没有做好数据备份，一旦在发生网络攻击事件时响应迟缓造成巨大损失。其次，缺少网络安全设备；一些企业网络还没有安装防火墙和入侵检测设备，一旦被攻击就抵挡防御。所以，企业网络安全最需要注重如下几个方面：

1. 完善的网络安全管理制度

首先需要有完善的网络安全管理制度，根据企业的实际工作需要制定符合公司实际情况的管理制度和措施来保证网络的正常运行和网络的安全运行，并且配备专业的技术人员负责管理维护内网的计算机和网络设备。一定要有网络安全应急预案，被攻击时可以有条不紊的进行防护。

2. 合理的网络架构

合理的网络架构设计需要可以保障网络的物理安全、数据安全和主机系统安全。网络架构是网络安全的基础，一些重要的内容应当在物理架构上保证安全。比如把有线和无线区分不同的VLAN，无线不允许访问内网。

数据安全问题主要是指对重要数据的备份机制。主机系统安全性则需要涵盖终端操作系统漏洞和防火墙的漏洞等。

3. 部署网络安全设备

一般通过在出口处部署网络安全设备的方式来保障局域网网络安全。如图：

4. 控制内外网的访问权限

不加管控的外网访问不但会占用大量的带宽资源，而且会带来不必要的安全威胁。如果内网的不安全主机访问了外网的恶意站点，往往感染病毒从而威胁到内网。所以应当对内网到外网访问进行有效管控，屏蔽一切不安全的外网访问行为。如图：

外网的访问权限也需要进行控制。很多企业都会有一些资源通过端口映射发布到互联网上，一旦这些端口存在安全漏洞就会招来攻击。比如猖獗的勒索软件病毒，一般就是因为映射了3389（RDP）、136-138（网络共享）等端口导致的。要管控来自外网的访问，可以采用以下方式：

不进行端口映射，外网的访问首先需要拨入虚拟局域网。
用防火墙策略屏蔽来自国外的IP。
启用入侵防御检测，一旦检测到攻击行为时自动阻止。

如下图：

EMC易倍体育信息(IMFirewall)博客

Tue, 22 Aug 2023 11:45:37 +0800

网络安全已经是企业局域网不可忽视的安全问题。那么企业网络安全的防护技术有哪些呢？主要包括如下几点：防火墙、入侵检测和防御、DDoS防护、内网上网管控。本文中，我将以WSG上网行为管理为例，介绍企业网络防护技术。

1. 防火墙

防火墙是网络防护的第一道门户。企业的网络防护需要对来自外网的访问进行限制。比如：阻止外网访问防火墙，限制外网访问端口映射的IP范围等。

2. DDos防护

DDos防护用于防御DDoS攻击（拒绝服务攻击），开启后可以有效的拒绝掉无效的流量。配置如下图：

3. 入侵防御

入侵防御用于检测和阻止对内网服务器的攻击，一旦检测到攻击就可以自动把攻击源加到黑名单里面，从而阻止后续的攻击手段。配置如下图：

4. 内网终端的上网管控和木马检测

内网终端的网络安全也是网络防护不可忽视的一个重要方面，如果内网终端访问了恶意网站、感染木马病毒等，都会给内网带来安全隐患。所以对内网终端的上网管控和木马检测也不可或缺。

综上所述，企业的网络安全防护需要兼顾外网和内网，结合多种防护手段的使用才可以达到理想的效果。