IPv6不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍。本文中，我将介绍WSG上网行为管理在拨号上网时如何启用和配置IPv6地址。

1. 首先在外网口开启IPv6

配置外网口时，需要在外网口启用IPv6。

在防火墙、上网行为管理如何实现双机热备一文中，我们介绍了如何用两条外线来实现网络双机热备。在有些情况下，一些用户还需要对同一条线路做双机热备。准确的说，外线只有一条，但是要确保防火墙/上网行为管理设备是可以实现热备的。这种情况下，和防火墙、上网行为管理如何实现双机热备一文不同的是，我们需要同时在“内网口”和“外网口”上都开启虚拟IP。这样的效果就是：内网口和外网口都工作虚拟IP上，一旦主设备故障，可以迅速切换到备份设备上去。

多条外线时，我们一般都会配置线路负载均衡或者线路分流。线路均衡负载的配置，请参考：同运营商多条外线如何做负载均衡？ 有时候用户只EMC易倍体育单纯的实现一个线路备份的功能，意思就是正常只用一条外线，另外一条外线只在主线路故障时才启用。本文我就来介绍一下如何用WSG网关来实现两条线路自动主备切换。

EMC易倍体育SD-WAN盒子可以非常方便的实现多地组网，无需修改现有网络结构，无需替换现有的网络设备，只要在两地通过旁路方式分别接一台SDWAN盒子即可组建虚拟局域网。网络结构如下图：

本文将介绍EMC易倍体育SD-WAN盒子的首次安装步骤。

1. 接线方式

如图所示，SD-WAN盒子这款硬件有如下配置：

• 一个以太网网口，默认自动获取IP。

• 自带wifi（SID: wfilter-sdwan，无线网段是192.168.120.0/24）

随着疫情反反复复，主动或被动采取远程办公的公司越来越多。企业网络除了满足日常的局域网组网，还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法一般需要企业申请带固定IP的企业专线，通过该固定IP提供远程拨入服务。而由于专线方案价格高，很多企业承受不了。在本文中，我将介绍没有公网IP时如何通过SD-WAN的方案来实现远程办公拨入。网络结构图如下：

为了保障网络的100%畅通，有些情况下需要用两台WSG设备来实现双机热备，一旦主服务器故障，几秒钟网络就会切换到备份机上，从而实现保证流量业务不中断，主备机无缝切换。在本文中，我将介绍如何用两台WSG上网行为管理来实现双机热备。

利用WSG的用户认证和行为管理策略，可以对域用户、非域用户配置不同的上网策略。比如，你可以默认禁止所有的终端上网，当电脑加入域后，则可以根据账号、OU等放行具体的访问内容。本文中，我将介绍如何开启域认证，并且屏蔽非域用户上网。

主管部门发出的安全风险报告，一般只能定位到局域网的公网IP。网管技术人员要处理解决该安全事件，还需要定位到具体的终端电脑。这个定位工作非常考验网管的技术，没有对应的技术储备，加上没有合适的工具的话，你就只能一台电脑一台电脑的杀毒了。

在如何检测局域网内感染了木马病毒的电脑？一文中，我们介绍了如何通过WSG上网行为管理网关的“入侵防御”功能来定位挖矿、中毒、以及感染了木马的电脑。对绝大部分情况来说，开启入侵防御功能就可以检测到被感染的终端电脑。然后对该电脑进行查毒杀毒就可以了。有些情况下，由于特征库版本不一致，或者检测技术不一样，也可能存在并没有检测到的情况。这时候，我们还可以通过自定义规则的方式，来扩大检测的内容。在本文中，我将介绍如何自定义检测规则。

传统的异地组网方式要求企业有带固定公网IP的专线才可以实现；由于IPv4资源的短缺，运营商专线价格高企，大部分企业无法承担高额的专线费用。为解决此问题，各大网络厂商各显神通，研发出了一系列的解决方案。本文中，我将介绍如何利用“SD-WAN技术”来实现没有公网IP时的异地组网互联。和传统的VPN相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

• 既能实现多地组网，又可以实现远程办公拨入。

随着互联网、数字化的迅速发展，远程办公、移动办公、居家办公已经是企业必备的网络服务。企业网络除了满足日常的局域网组网，还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法，一般有如下两种：

1). 企业申请带固定IP的企业专线，通过该固定IP提供远程拨入服务。

2). 在路由器上绑定动态域名，通过动态域名来访问。

近年以来，由于IPv4资源的短缺，运营商改为只分配内网的IPv4地址，导致动态域名这个方案已经不可行了。而专线方案价格高企，很多企业承受不了。

在如何利用Web VPN来保护内网信息安全一文中，我们介绍了如何用WebVPN来访问内网的Web服务器。WebVPN可以给内网服务器添加一层认证保护，只有认证过的用户才可以访问内网资源，从而有效的保护了内网数据的安全性。对于Web服务器来说，WebVPN是通过子域名的方式，每个web服务都需要对应一个不同的二级域名。在WFilter NGF的2.0版本中，我们给WebVPN添加了转发到“TCP服务器”的功能，使WebVPN用户可以在认证后访问到指定的TCP服务器。以下是Web方式和TCP方式的差别和优缺点分析：

Web方式

1. 只能转发到指定的Web服务器。

2. 每个Web服务器都必须对应一个二级子域名。

3. 可以对Web站点的内容进行替换。

TCP方式

1. 可以转发到任意的TCP服务。比如内网的ssh，rdp等，也包括web服务。

2. 每个TCP服务必须对应一个本地端口。

3. 外网用户必须经过认证才可以访问TCP端口。

4. 不能对内容进行修改。

链路聚合和端口聚合是两个概念：

1). 链路聚合是指多条外线的情况下把多条外线聚合使用。该功能可以通过WSG的“多线均衡”模块来实现。

2). 端口聚合是指在WSG上接多个内网交换机端口，从而提升内网的上联带宽。

挖矿软件会占用电脑的大量运算资源和电力资源，而且会引起主管部门的关注。局域网内有电脑被安装了挖矿软件是一件让人很头疼的事情，对成百上千台电脑一台一台的进行排查简直就和大海捞针一样，需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展。

因为局域网出口做了NAT网络地址转换，上级部门只能检测到公司的公网IP，所以只能靠公司内部的网管人员来排查具体的终端了。最笨的办法就是一台电脑一台电脑的检查，通过检查程序列表和任务管理器来找挖矿程序。

本文中，我将介绍如何用WSG上网行为管理中的“入侵防御”功能来检查挖矿电脑。因为WSG上网行为管理是部署在局域网内部的，所以可以检测到本地挖矿电脑的IP地址和MAC地址，从而准确的定位到具体电脑。

网管在做远程技术支持的时候，需要连接到客户的内网或者路由器。对于有公网IP的网络，可以直接通过公网IP或者动态域名去访问。由于现在运营商很多都只给内网IP，使得远程技术支持必须要做内网穿透才可以。所以很多网管在做网络维护的时候，还需要给用户安装FRP或者NPS的内网穿透服务，增加了维护的成本和复杂性。

在本文中，我将介绍如何通过SD-WAN的方式来给客户提供远程网管服务。SD-WAN和其他方式相比，可以自动寻址穿透，无需公网IP，也无需云主机转发。具体步骤如下：

相对于传统方案而言，SD-WAN有着无可比拟的优势，很多局域网都采用了SD-WAN的智能组网和远程办公方案。SD-WAN的网络规划主要考虑如下三个方面：

• 多地虚拟组网

• 远程办公拨入

• 网管技术支持

所以，我们在配置SD-WAN网络时候，主要考虑这三个需求就可以。

如图：

在“如何用SD-WAN实现多地组网？”一文中，我们介绍了如何用SD-WAN来实现多地组网。实际上SD-WAN不仅可以用于多地组网，而且可以用于远程办公拨入。

和传统的远程办公方案相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

本文中，我将介绍如何用SD-WAN实现远程办公拨入。

1. 网络拓扑图

SD-WAN不需要固定公网IP也可以实现远程办公拨入。如下图，该局域网通过一台WSG网关连接外网，内网网段是192.168.10.0/24。

SD-WAN即软件定义广域网，可以实现异地智能组网，远程办公拨入。和传统的VPN相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

• 既能实现多地异地组网，又可以实现远程办公拨入。

本文中，我将介绍如何用WSG自带的SD-WAN来实现多地异地虚拟组网。

现在的视频资源非常多，抖音、爱奇艺、腾讯视频、优酷......可以说是数不胜数。而对于公司局域网来说，手机刷视频不但严重影响工作效率，而且是一个非常耗费网络带宽的一个行为。

本文中，我将以WSG上网行为管理为例，介绍如何在公司局域网内禁止手机刷抖音等视频。

局域网内如果有电脑感染了木马病毒，是一件让人很头疼的事情。对成百上千台电脑一台一台的进行查杀，简直就和大海捞针一样，需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展，大部分情况下最终只能一台一台的杀毒整理。

从技术原理上来说，上级部门是在网络上层部署了入侵检测系统，对网络流量进行分析，从中识别出木马病毒的特征；由于出口处做了网络地址转换，上级部门只能检测到公网IP，而无法知道实际中毒的电脑。所以，你只需要在本地局域网中部署了入侵检测，就可以检测到本地的中毒电脑的IP地址和MAC地址。然后就可以直接对电脑进行查杀了。

如下图，在WSG上网行为管理的“安全防护”-“入侵防御”中，点击“IPS检测项”，就可以看到入侵防御的各个选项。

当您有多台WSG设备时，如果有一个集中可以查看多台设备、网络状态的综合页面，是不是很有吸引力？在本文中，我将介绍如何用php调用WSG的API，来自己DIY一个集中管控平台。该平台的源代码框架如下：

1. index.htm： 定义页面结构。

2. apidemo.php：php脚本，主要是处理API的调用。

3. apidemo.js：脚本，主要处理页面的显示逻辑。

具体步骤如下：

一些企事业单位的局域网出于安全需要，必须指定的mac地址才可以联网和访问服务器资源。在本例中，我将结合WSG上网行为管理网关，来介绍如何通过客户机的MAC地址来对客户端进行身份认证，只有通过认证的客户端设备才可以访问网络资源。网络结构图如下：

作者:笨小驴 | 分类:企业网络安全方案设计 | 浏览:4026 | 评论:0

有些业务系统出于安全需要，会限制登录的IP地址，比如只允许总公司的IP访问。这种情况下，分公司如果想要访问该业务系统，也必须走总公司的宽带才可以。要实现这个需求，一般有以下解决方案：

1). 方案一：分公司的电脑先拨入总公司的VPN，走总公司线路访问外网。

2). 方案二：分公司和总公司之间组建site-to-site虚拟局域网，分公司电脑通过总部的代理服务器访问业务系统。

3). 方案三：分公司和总公司之间组建site-to-site虚拟局域网，通过在分公司的网关上指定分流访问。

方案一需要在每台电脑上都拨入VPN，配置和维护都比较麻烦；方案二需要在总部搭建代理服务器；所以相对来说方案三最为方便快捷。本例中，我将结合WSG上网行为管理网关，介绍如何通过多线均衡和VPN客户端来实现分公司走总部线路访问业务系统（方案三）。

该视频简要介绍了WSG上网行为管理的各项功能。

相对于二层交换机的网络环境，在三层交换机环境下部署上网行为管理的步骤要复杂一些，差别主要在“静态路由”和“MAC地址收集器”，还有上层防火墙的一些安全策略的影响。在本文中，我将结合一次实际的安装经历，介绍三层环境下用网桥模式部署WSG上网行为管理的一些常见问题。

1. 配置并部署网桥

本例中，网关是华为USG防火墙172.16.200.253，三层交换机是172.16.200.254，子网掩码都是255.255.255.0。既然200段IP是足够的，所以我就直接把管理口设置在网桥上面，把WSG的IP设置为172.16.200.252，网关地址和DNS是防火墙的IP地址172.16.200.253。