在手机上网占多大流量？WiFi要不要进行限速？这篇文章中，我们介绍了WiFi速度慢的一个重要原因：后台应用的大量带宽占用。如下图：即使在没有任何app运行的情况下，后台应用仍然会占用大量的带宽。

很多企业、公共场所都会给员工或者顾客提供WiFi服务，但是网管人员很快会发现大部分人都会抱怨WiFi速度太慢没法用，明明是100M的专线，速度却和拨号速度差不多。这究竟是什么原因呢？今天我们就从网络应用的角度来分析下，手机上网究竟需要多大的流量。

无线的速度，还取决于无线AP的信号强度、信道干扰、带机量等因素，这些方面已经有大量的技术文章，我们就不再赘述，本文主要着重从网络应用的角度来解释无线带宽的占用问题。

如下图，这是一台普通的华为安卓手机，已经清理掉所有的app。

WFilter NGF的“Web认证”模块，提供了一系列的上网认证解决方案。包括如下认证方式：

1. 本地用户名密码认证
   

2. AD域用户名密码认证

3. 企业邮箱用户名密码认证

4. Radius用户名密码认证

5. 微信WiFi认证

6. Facebook Wifi认证

除此，WFilter NGF还有一个“其他”的选项，利用这个选项，你可以扩展更多的用户认证方式，比如“短信认证”，使用者必须输入自己的手机号码，获取验证短信后输入才可以上网。如图：

相对于固定IP而言，自动获取IP（DHCP）更加方便，而且不会导致IP地址冲突。但是对于局域网网络管理而言，IP地址不固定就无法实现有效的管控。作为专业的上网行为管理厂家，WFilter系列上网行为管理产品针对该情况可以提供两种解决方案：

1. 先进行IP-mac地址绑定，然后基于IP地址管控。

2. 直接基于MAC地址进行管控。
   

以WFilter NGF（WSG网关）为例，具体配置介绍如下：

分支结构和总部之间的数据通讯现在一般都通过VPN线路来实现，如果总部只有一条VPN线路，那么当总部线路故障时，就会导致分支机构数据无法上传，影响正常的办公需要。其解决办法，一般是通过多条VPN线路的方式，来实现VPN线路备份，一条线路不通时，会自动切换到另外一条线路，从而实现不间断的VPN连接。

本文将介绍用WFilter NGF中的Open VPN（SSL VPN）组建site-to-site VPN，并且实现高可用性的VPN线路备份。

支持远程拨入的VPN技术，使员工在出差、下班时可以连接到公司的局域网处EMC易倍体育作，给工作带来了很大的便利。所以现在很多公司都支持VPN远程拨入。本文将简单介绍VPN的几种组建方式，以及相关的安全问题。如果您需要创建site-to-site的VPN，请参考：Ipsec VPN

1. PPTP VPN

PPTP（Point to Point Tunneling Protocol），即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

VLAN可以把网络划分成多个广播域，可以有效的控制广播风暴，还可以控制网络中不同部门和网段之间的互相访问。如果您已经有了三层交换机，可以直接在三层交换机上划分VLAN，请参阅：多VLAN三层交换机如何连接WFilter上网行为管理系统？

在没有三层交换机的环境下，您可以直接用WFilter NGF（WSG网关）来划分VLAN。支持两种VLAN的划分方式：

1. 基于端口的VLAN划分。每个端口一个VLAN接二层交换机。
   

2. 802.1Q VLAN（单臂路由）。和交换机的trunk口连接，通过一个端口实现多个VLAN的封装。

本文将介绍这两种方式如何配置。

很多企业为了数据的安全，需要对外发文件进行管控。而手机、usb存储的广泛使用，使得外发文件的管控非常难以实现。在本文中，我将抛砖引玉，探讨外发文件管控的几种方式。外发文件的管控，需要考虑如下几个方面：

• 屏蔽通过网络外发文件

• 屏蔽蓝牙、usb等外设外发文件
  

• 文件加密
  

对于局域网信息安全来说，首要的一点就是接入认证，缺少接入认证，那内网安全完全无从谈起。而在接入认证中，“Web Portal认证”是目前应用最为广泛的一种方式。那么，今天我们来看看WFilter的“Web认证”提供哪些认证解决方案。

首先，WFilter NGF的“Web认证”包括两个部分：

1. 用户名认证：基于用户名口令的认证方案
   

2. 营销认证：主要是微信WiFi（国内）和Facebook WiFi（国外）。

现在的便携式路由器非常的小巧轻便，而且即插即用，很受大家的喜爱。

但是，对于局域网的网管人员来说，这个小东西造成的危害可不小，比如：

有这么一个app，很多人沉溺其中，但是你会发现随随便便刷几个小时的短视频，你就会收到短信提示“您本月的流量已经用完”。即使你用wifi网络，网管同学们也会发现最近公司的带宽完全不够用啊。这就是抖音短视频，称之为流量杀手绝对不过分。

今天，我就来实际测试下，看一个抖音究竟要耗费多大的带宽。“测试手机：iphone 7 plus，抓包工具wireshark，网关：WSG-500E上网行为管理”。

如图所示，我用iphone7 plus刷了3个抖音视频，耗时30秒左右。平均带宽占用高达766Kbyte，也就是6Mbps。

局域网网络慢，一般存在如下可能：

1. 内网ARP欺骗攻击。
   

2. 内网病毒攻击。

3. 交换机、路由器硬件故障。

4. 网线接触不良、网线老化。
   

5. 广播风暴、网络环路。

以上这些问题，即使是一个有经验的网管，需要组合ping、arp、tracert等多条命令进行测试分析，才可以逐步排查出来。有时还需要用抓包工具来抓包分析。为了简化网管人员的工作，我们的WFilter软件（WSG网关）中，都集成了一个实用性很强的插件“网络健康度检测”。以上问题一键就可以检测出来。如下图：

腾讯游戏是腾讯四大网络平台之一,是全球领先的游戏开发和运营机构,也是国内最大的网络游戏社区。但是，很多青少年沉迷游戏，不但影响工作和学习，还会伤害身体、滋生犯罪。

本文中，我将演示如何用WSG上网行为管理网关来屏蔽腾讯游戏的登录。根据腾讯游戏登录协议介绍，腾讯游戏的登录主要是http方式，需要连接

抖音现在实在是太火了，办公室一个个都忙着刷抖音，哈哈大笑者有之，忍俊不禁者有之...，可这带宽占用可也不小啊。一个人看抖音的实时带宽可以达到5Mbps，十几个人一起刷就可以把百兆带宽给用完了。而且手指一刷就换到下一个视频，随便刷刷就几G的流量。如图：

上班时间刷刷朋友圈，一眨眼半小时就过去了。不但会影响工作效率，而且朋友圈的视频会占用大量的带宽。所以对企业管理人员来说，很多时候需要禁止员工在工作时段刷朋友圈。但是行政手段要和技术手段配合，才可以发挥真正的作用。

本文将介绍如何用WFilter NGF（WSG网关）来禁止朋友圈的视频。

首先，应该设置什么样的管理制度？

当我们看到app store有更新的时候，总是忍不住要去点击下。可你知道点击的一刹那要消耗多少流量吗？根据WFilter的监控，在WiFi状态下，app store的更新速度可以达到几兆。初步估算下，如果同一个局域网有十个人同时打开app store进行更新，那么百兆带宽瞬间就可以被占满。如下图：

WFilter NGF（WSG上网行为管理网关）的“Web认证模块”主要包括两个部分：“用户名认证”和“营销认证”。

1. 用户名认证：输入用户名口令来认证上网。

2. 营销认证：国内主要是“微信WiFi”，国外主要用“Facebook WiFi”。

本文中，我将简单介绍如何用WFilter NGF（WSG上网行为管理网关）来实现微信扫码上网。

163和腾讯的企业邮箱，给企业带来了很大的便利。很多企业都采用两家的企业邮箱服务，有的企业出于信息安全的考虑，需要对企业邮箱的外发内容进行监管。本文中，我将简单介绍企业邮箱监控的两个重点关注的方面：

1. 网页版的企业邮箱监控。
   

2. 客户端收发的企业邮箱监控。
   

IP-MAC绑定一直是局域网管理的一个重要部分。但是其实现却往往比较复杂，一般会有如下问题：

1. 大部分路由器的IP-MAC绑定功能比较局限。一般就是简单的ARP绑定。客户机手动修改IP等方式来突破。
   

2. 路由器由于硬件限制，允许的IP-MAC绑定条目比较少，一般在256条以内。

3. 交换机上进行IP-MAC绑定，配置和维护的工作量会比较大。

4. 三层交换机的IP-MAC绑定往往需要专业技术人员才可以操作。
   

今天，我要介绍的是一种非常简单方便的IP-MAC绑定方式，无需修改交换机和路由器，不改变当前网络结构和配置，即插即用，web界面配置。非常简单方便就可以实现对局域网内客户机的IP-MAC绑定。具体介绍如下：

《绝地求生》(PUBG) 是一款突破性的战术竞技类游戏，凭借其独特创新的玩法模式，写实风格带来的代入感和沉浸感深受玩家喜爱。目前，吃鸡类游戏深受用户喜爱，也涌现了一大批的同款端游和手游。

对于上网行为管理来说，我们要讨论的是如何禁止局域网客户机（电脑和手机）玩这类游戏。在本文中，我将演示如何用WSG-500E（WFilter NGF系统）来屏蔽局域网用户玩吃鸡类游戏。

很多局域网考虑到安全需要，会部署两台核心交换机做双机热备。在这样的情况下，如果要旁路部署上网行为管理软件，需要在两台核心上都配置端口镜像，从而实现不间断的监控管理。拓扑图如下：

微信作为现在很常用的一个通讯软件，很多企业在管理时不想把微信完全禁止掉，但是微信的传文件和视频聊天等行为会占用大量带宽，并且影响网络安全。所以很多我们的WFilter用户，都会在局域网内把微信传文件和微信视频禁止掉。

本文将演示如何用WSG-200E来配置微信视频聊天的屏蔽。

说到https，不得不提http（HyperText Transfer Protocol）这个互联网上用的最广泛的网络协议，其技术架构，协议功能，协议原理百度或者google都有详细解释。而https（Hyper Text Transfer Protocol over Secure Socket Layer）多就多在这个S上，SSL加密，通常理解，https就是http加入SSL加密层变成以安全为目标的http传输。那么SSL是个啥呢，SSL是一个目前应用非常广泛的一种非对称加密方式，也是公认破解不了的。安全，又好用，所以才能广泛应用，除了http,邮件的pop3,smtp，IM通讯等等，都能用上，是个很好的加密方式。起初用https通常都是金融类网站用到财务交易，时光如水，岁月如歌，IT技术一日百里的飞速发展，现在很多门户网站，企业网站也都逐渐使用https协议，这个也是事实的趋势。概念就是这个概念了，那么https如何监控管理呢？以下说明是献给非专业IT技术人员，非专业码农的。为了大家都能明白，可能有些叙述比较幼稚和粗浅，请多多理解。

WSG-200E上网行为管理网关，不是用的最顶尖高端的硬件设备，但是对于150-300人局域网范围，真的是性价比最高的一款。系统采用了WFilter NGF企业级上网行为管理系统，在硬件方面，采用了Intel B75的主板架构，I3-32200的酷睿4核CPU，主频高达3.3GHz.实实在在的优质选型。

WSG-500E上网行为管理设备是WFilter系列上网行为管理中性能非常强悍的一款设备，系统采用了WFilter NGF企业级上网行为管理系统，在硬件方面，采用了Intel B75的主板架构，I5-3450的酷睿4核CPU，主频高达3.1GHz。很多用户对这个性能缺少形象的概念，让我来简单比较下：

1. 普通的路由器芯片，比如典型的MTK7620芯片，主频是580MHz。

2. D525工控机，CPU是4核1.8GHz。性能至少是MTK的3-4倍。

3. WSG-500E的I5-3450，采用了新的设计，性能差不多又是D525的3-4倍。
   

配合4G的DDR3内存，6个千兆端口，构建了性能强悍的WSG-500E。这款设备，虽然官方推荐是500Mbps的带宽，实测可以达到900-920M，而且网络访问很顺畅，一点也不卡顿。