当防火墙检测到某个IP存在病毒攻击或者异常流量时,网管技术人员往往需要到电脑上面进行后续操作。而对于自动获取IP的局域网来说,如何定位IP地址的电脑位置一直是一个技术难题。如果没有好的工具,最笨的办法就是一台一台电脑进行查看,通过比对IP地址和mac地址来定位。那么还有哪些聪明一些的办法呢?
有网管交换机时,可以在网管交换机上查看arp表找到该IP地址所在的端口,然后根据端口顺藤摸瓜,从而定位电脑的物理位置。比如,在交换机上执行“disp arp”命令(不同型号的交换机命令不一样),可以得到如下结果:
在部署了上网行为管理的局域网内,总会有人想各种各样的办法来突破上网管控。常见的方法有:
IP地址盗用。
MAC地址克隆。
首先可以考虑不开放管理员权限,或者采用域控的方式禁止客户机自行修改网络设置等办法。其次也可以通过上网行为管理的管控策略来阻止这些行为。本文中,我来介绍下如何用WSG上网行为管理网关来应对IP地址盗用和MAC地址克隆。
由于视频和下载可以轻易的占用大量带宽,为了网络的稳定运行,大部分局域网都会对客户端进行一定的限速。本文中,我将介绍如何根据带宽来做限速,限速设置多少比较合理?
正常的办公上网,每个终端至少需要2Mbit的带宽才够用;平均值如果低于2Mbit需要考虑增加接入带宽。假设你有200Mbit的带宽,有50个终端,那么平均下来每个终端可以分配到4Mbit;但是考虑到不是所有人都会在同时全速下载,可以给每个终端分配8-10Mbit的带宽。如下图:
IP地址冲突一般是由于手动设置IP的原因,综合来说有如下两种可能性:
A电脑和B电脑都手工设置了同样的IP地址。
A电脑自动获取,B电脑手动设置了和A电脑一样的IP地址。
出现IP地址冲突时,通过arp -a命令,可以看到冲突对方的MAC地址。如下图:
在三层交换机环境下,由于三层交换机屏蔽了终端的实际mac地址,上层的上网行为管理在不开启“MAC地址收集器”的情况下,是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图:
在WFilter NGF(WSG上网行为管理网关)的”Web认证“配置中,可以基于IP范围来配置要进行Web认证的客户端。实际使用中,有些局域网电脑和手机无线终端都混杂在同一个网段,这种情况下,如果要只对电脑做认证,或者只对手机做认证,就不能通过IP范围来实现了。需要修改默认的认证页面,基于浏览器的useragent来获取客户端操作系统类型,并且判断是否放行(无需认证直接放行)。
如下图,点击”编辑Web认证页面”,然后点击源代码图标。
在上网行为管理如何实现钉钉扫描二维码进行Web认证登录这篇文章中,我们介绍了如何用手机钉钉扫码登录电脑。电脑在上外网之前,需要用手机钉钉扫描二维码才可以使用网络,并且记录该用户账号的上网内容。而在实际使用中,有些用户还想对手机上外网进行用户认证,从而可以识别到手机的员工姓名并记录上网日志。
本文中,我将介绍如何用手机钉钉扫码对自身手机进行Web认证。
在认证前,该手机是无法上外网的。大部分手机会自动弹出Web认证页面(也可以手动在浏览器里面打开),如下图:
WSG上网行为管理网关(WFilter NGF)的Web认证功能非常强大,可以支持多种用户名认证(本地用户、邮箱认证、域认证、Radius认证等),还可以支持短信认证、微信认证、钉钉认证等第三方认证。不过在有些情况下,用户还EMC易倍体育WSG可以对接第三方的Web认证界面,即通过其他的Web认证系统进行认证,而由WSG来实现上网管控和上网记录。本例中,我将介绍如何用WSG来对接第三方Web认证平台。
“Web认证”的需求是对需要管控的员工网段开启认证,一些电脑不开启认证。如图:
1. 设置要管控的IP范围
2. 设置一个合理的超时重新认证时间,1440就是每天都需要重新认证一次。
3. 领导的mac地址加到“例外的MAC地址”
出于信息安全的考虑,很多企业不允许工作电脑外发文件,但是QQ和微信又是常见的办公工具。所以“既允许QQ和微信聊天,同时又不允许外发文件”,一直是企业管理的一个难题。其实上网行为管理技术经过十几年的发展,已经可以精确的识别出文件传输和普通聊天的协议特征。专业的上网行为管理产品,都可以单独屏蔽QQ和微信传文件。以WSG上网行为管理网关为例,在“行为管理”的“应用过滤”中,搜索QQ,可以看到20多个QQ相关的应用协议,包括QQ聊天、QQ发文件、QQ接收文件、QQ游戏等各种相关应用。如下图:
勒索病毒是一种新型电脑病毒。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。由于其巨大的破坏性,勒索病毒可以说是“谈虎色变”。
WSG上网行为管理(WFilter NGF)既可以做网关部署,也可以做网桥部署。在网桥部署模式下,WSG的IPSec VPN和OpenVPN一样是可用的,可以实现单臂模式的VPN组网。网络结构如下图:
本文将结合WSG介绍如何实现IPSec VPN的单臂部署。
现在大部分虚拟局域网的组建都通过IPSec的方式,其实用openvpn来组网也是很不错的方案。跟IPSec相比,openvpn的功能更加强大和灵活:
可以修改端口和通讯方式。
可以实现用户名认证和证书认证两种认证方式。
可以对客户端分配IP,从而实现更加细致的防火墙权限控制。
本文将简单介绍openvpn组网的一些简单步骤,如果您要用openvpn实现远程办公拨入,请参考:如何用OpenVPN实现远程办公?
WFilter NGF(WSG上网行为管理网关)支持网关和网桥两种部署模式:
网关模式:WSG作为整个局域网的网关,提供NAT服务。
网桥模式:WSG作为透明网桥串接在局域网中。
在有些情况下,我们需要采用纯路由模式(WSG只做路由转接,不进行NAT转换)。本例中,我将介绍如何用WSG来搭建路由模式的上网行为管理。
网络结构如下图:
具体配置步骤如下:
在WFilter NGF(WSG上网行为管理网关)的“网页过滤”模块中,我们可以设置”文件下载”的过滤规则;比如禁止exe可执行文件,或者压缩文件的下载。如下图:
IPSec VPN 技术在IP传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构组建虚拟局域网的需要。IPSec组网的具体步骤,请参考:一次典型的IPSec VPN组网方案。很多情况下,我们还需要控制对端的访问权限。在本文中,我将介绍WFilter NGF中的IPSec VPN访问权限。
IPSec隧道的配置中,”防火墙规则“有“自动”和“手动”两个选项:
很多局域网需要向外网提供服务,比如ERP、OA系统,或者需要进行虚拟局域网组网等。而由于公网IP资源越来越紧张,大部分宽带都不能获取到公网IP;这些情况下,企业只能选择运营商的企业专线。和普通的宽带相比,企业专线有如下特点:
独享带宽,速度有保障。
可以申请固定公网IP。
不过专线的费用比较昂贵,如下图:
对于一些安全性要求比较高的局域网来说,有时候只允许客户机访问指定的网站,其他网络行为一律禁止。这时候我们就需要用到“网站白名单”功能(只允许访问下列网站)。具体的配置如下图:
“只允许访问下列网站”功能开启后,客户机只能访问允许的站点。其他网页一律访问不了。
选择应用对象和生效时间
企业微信,是腾讯微信团队为企业打造的专业办公管EMC易倍体育具。与微信一致的沟通体验,丰富免费的OA应用,并与微信消息、小程序、微信支付等互通,助力企业高效办公和管理。在“如何实现钉钉扫描二维码进行Web认证登录?”一文中,我们介绍了如何用钉钉扫码认证上网。而一些局域网采用的是企业微信来做办公管理。本文,我将结合WSG上网行为管理网关(WFilter NGF)中的“Web认证”功能,介绍如何利用企业微信的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势:
直接用企业微信扫码登录,无需在WSG系统内创建用户。
可以自动获取并记录企业微信的员工姓名。
可以基于企业微信员工姓名配置上网策略和统计。
一些配置的步骤和截图如下:
钉钉(DingTalk)是阿里巴巴集团专为中国企业打造的免费沟通和协同的多端平台。钉钉因中国企业而生,帮助中国企业通过系统化的解决方案(微应用),全方位提升中国企业沟通和协同效率。一些局域网为了信息安全和管理需要,需要用户进行Web认证后才可以使用局域网,并且记录该用户账号的上网内容。
本文,我将结合WSG上网行为管理网关(WFilter NGF)中的“Web认证”功能,介绍如何利用钉钉的扫描二维码功能来实现内网用户的Web认证登录。该功能有如下优势:
直接用钉钉扫码登录,无需在WSG系统内创建用户。
可以自动获取并记录钉钉的员工姓名。
可以基于钉钉员工姓名配置上网策略和统计。
一些配置的步骤和截图如下:
在《同运营商多条外线如何做负载均衡?》一文中,我们介绍了多条外线(同一个运营商)时如何进行负载均衡。在实际使用中,很多用户的外线是不同运营商的(比如一条电信和一条移动)。对于大部分用户来说,采用《同运营商多条外线如何做负载均衡?》中的方案,即可产生多线叠加的效果。但是不同运营商多条外线直接进行均衡并不是最优化的方案,主要在于DNS的原因:“假设某终端DNS查询某域名时,获取的是运营商A的IP;而在后续访问的过程中,却会被均衡到运营商B,这样就不够优化了。”解决的方案主要涉及到两个技术:
运营商分流,根据目的IP来自动选择运营商线路(即电信IP走电信线路,移动IP走移动线路)。
DNS重定向,配置DNS重定向规则来设置客户机的默认DNS(也间接决定了客户机的线路)。
WFilter NGF(WSG)已经内置了“运营商分流”策略,基于各大运营商的IP段来选择各自的线路,如下图,点击状态标志启用这条“运营商分流”策略即可。
局域网出于带宽的需要,经常会采用多外线接入的方式,一则可以带宽叠加,提示带宽;再则还可以互为备份,一旦一条线路中断,另外一条线路可以继续使用,保障网络的正常运行。
本文将介绍如何用WFilter NGF(WSG)来实现同ISP多外线的负载均衡和线路检测。
同运营商没有线路DNS的问题,可以直接进行负载均衡,在“多线均衡”模块里面,创建负载均衡的线路方案即可。如图:
局域网内的私接路由器、私接随身WiFi等行为,不但会让其他客户机绕开上网行为管理的管控,破坏局域网上网秩序;而且会干扰企业WiFi的无线信号。所以在企业局域网中,一般都是严禁私接路由器的。
在“WFilter是如何来屏蔽和禁用随身wifi的?”一文中,我们介绍了如何使用“随身WiFi和私接路由检测插件”来检测和惩罚局域网内的私接行为。该插件使用简单方便,而且功能强大;一直倍受用户喜爱。在最新版的WFilter NGF系统中(1.1.2019.03.25版本),我们已经把该插件集成到NGF的主系统EMC易倍体育(共享检测模块)。除了“随身WiFi和私接路由检测插件”的功能外,该共享检测模块还可以支持共享检测的历史记录查询,并且可以把检测到的客户机加入虚拟惩罚组来实现更多的管控策略。一些配置介绍如下图:
企业局域网为了业务发展需要和办公上网的需要,很多都申请了“专线+ADSL宽带”的多线接入模式。这样的模式有如下优点:
既满足了固定公网IP(专线)的需要,又满足了办公上网的需要(ADSL宽带)。
可以减少昂贵的专线投入。比如采用“10M的专线+100M的ADSL宽带”这样的结合模式,可以大大的减少专线的投入。
需要注意的是,不合理的负载均衡配置会浪费宝贵的专线资源,并且达不到良好的带宽效果。本文中,我将结合WSG网关来介绍这种情况下,如何正确的配置策略路由和负载均衡。
首先,建议采用如下的配置原则:
不要把专线和ADSL做负载均衡。专线和ADSL的原理、运营商都不一样,负载均衡会把两者都拖累。
专线资源是宝贵的,应该专款专用,只提供给业务主机和服务器网段。
办公上网全部走ADSL(把专线资源用来做办公上网是极大的浪费)
以下是一些相关的配置截图:
1. 添加“电信专线100%”的线路方案
《英魂之刃》 是由网龙公司开发,由腾讯公司独家代理的全球首款微端类DOTA对战网游。游戏基于DOTA游戏特色打造,采用网龙公司独家研发的S3引擎,以浓郁的中国风、穿越古今的英雄乱斗以及快节奏的竞技对战,在短短两年内一跃成为千万活跃用户级别的MOBA人气新宠。
本文将介绍如何使用WFilter NGF(WSG网关)的“”功能来屏蔽局域网玩《英魂之刃》。
点击“配置”->“系统“->“更新设置”里面的“立即检查更新”,可以检查更新并且把您的特征库(网址库和协议库)升级到最新版本。如果不点击,也会在每天的凌晨自动检查更新。如下图:
由于公网IP资源越来越紧张,现在很多运营商给拨号上网的用户只分配内网IP地址,如下图所示:
这样的运营商内网IP是外网不可达的(即使用动态域名也不起作用)。而企业由于业务需要,比如虚拟局域网组网、办公OA系统、ERP系统等,都需要有公网IP才可以实现。公网IP的解决,目前主要有三种方案:
申请固定IP专线。稳定且速度有保障,缺点是费用高。
云方案。把业务主机都搬到云上,直接通过云主机来访问。费用比较低,缺点是云主机不能本地维护,且搬迁工作量都不小。
云主机+内网穿透方案。通过云主机做跳板来实现内网穿透,既可以复用现有的业务系统,又解决了公网IP的问题。第三种方案的成本是最低的,但是配置比较复杂。本文将对第三种方案做详细介绍。
