現(xiàn)在越來越多的企業(yè)開始關(guān)注網(wǎng)絡(luò)安全，但是辦公網(wǎng)絡(luò)安全現(xiàn)狀還不容樂觀。首先，領(lǐng)導(dǎo)層和員工的安全意識不高。一些員工在密碼設(shè)置、郵件和文件收發(fā)等方面缺少安全意識，很容易使企業(yè)網(wǎng)絡(luò)受到攻擊和病毒感染。而且一些企業(yè)缺少網(wǎng)絡(luò)安全應(yīng)急預(yù)案，沒有做好數(shù)據(jù)備份，一旦在發(fā)生網(wǎng)絡(luò)攻擊事件時響應(yīng)遲緩造成巨大損失。其次，缺少網(wǎng)絡(luò)安全設(shè)備；一些企業(yè)網(wǎng)絡(luò)還沒有安裝防火墻和入侵檢測設(shè)備，一旦被攻擊就抵擋防御。所以，企業(yè)網(wǎng)絡(luò)安全最需要注重如下幾個方面：

網(wǎng)絡(luò)安全已經(jīng)是企業(yè)局域網(wǎng)不可忽視的安全問題。那么企業(yè)網(wǎng)絡(luò)安全的防護(hù)技術(shù)有哪些呢？主要包括如下幾點：防火墻、入侵檢測和防御、DDoS防護(hù)、內(nèi)網(wǎng)上網(wǎng)管控。本文中，我將以WSG上網(wǎng)行為管理為例，介紹企業(yè)網(wǎng)絡(luò)防護(hù)技術(shù)。

1. 防火墻

防火墻是網(wǎng)絡(luò)防護(hù)的第一道門戶。企業(yè)的網(wǎng)絡(luò)防護(hù)需要對來自外網(wǎng)的訪問進(jìn)行限制。比如：阻止外網(wǎng)訪問防火墻，限制外網(wǎng)訪問端口映射的IP范圍等。

企業(yè)內(nèi)部的ERP、OA服務(wù)器很多都是通過端口映射到公網(wǎng)的，這樣就不可避免會招來攻擊。如下圖：

公司網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案是網(wǎng)絡(luò)安全的基礎(chǔ)，該方案通過對網(wǎng)絡(luò)的接入設(shè)備進(jìn)行統(tǒng)一的認(rèn)證和訪問授權(quán)管理，以保證內(nèi)網(wǎng)的網(wǎng)絡(luò)安全。對于企業(yè)局域網(wǎng)來說，比較常見的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案包括802.1X、Portal認(rèn)證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認(rèn)證。

802.1X的認(rèn)證方式需要支持802.1X的交換機設(shè)備，且配置比較復(fù)雜，對于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)的Portal認(rèn)證、第三方認(rèn)證等功能來實現(xiàn)企業(yè)網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證。

企業(yè)網(wǎng)絡(luò)信息安全問題日益突出，為了加強企業(yè)內(nèi)部的網(wǎng)絡(luò)安全建設(shè)，網(wǎng)絡(luò)管理技術(shù)人員應(yīng)當(dāng)從如下幾個方面來設(shè)計網(wǎng)絡(luò)安全解決方案：

1. 合理的制度和管理

首先需要有完善的網(wǎng)絡(luò)安全管理制度，根據(jù)企業(yè)的實際工作需要制定符合公司實際情況的管理制度和措施來保證網(wǎng)絡(luò)的正常運行和網(wǎng)絡(luò)的安全運行，并且配備專業(yè)的技術(shù)人員負(fù)責(zé)管理維護(hù)內(nèi)網(wǎng)的計算機和網(wǎng)絡(luò)設(shè)備。

越來越多的企事業(yè)單位開始重視信息安全，企業(yè)的技術(shù)資料、客戶信息等一旦發(fā)生信息泄露，會給企業(yè)帶來不可估計的損失。即使是網(wǎng)絡(luò)環(huán)境比較簡單的中小企業(yè)，也一樣會受到網(wǎng)絡(luò)安全的威脅。如果不注重網(wǎng)絡(luò)安全，往往會導(dǎo)致企業(yè)的重大損失。本文中，我將從網(wǎng)絡(luò)安全的角度，來論述如何保障公司內(nèi)網(wǎng)的網(wǎng)絡(luò)信息安全。主要涉及到如下四點：

1. 合理的網(wǎng)絡(luò)架構(gòu)
   

2. 了解內(nèi)網(wǎng)的終端
   

3. 管控到外網(wǎng)的訪問

4. 管控來自外網(wǎng)的訪問
   

一些企事業(yè)單位的局域網(wǎng)出于安全需要，必須指定的mac地址才可以聯(lián)網(wǎng)和訪問服務(wù)器資源。在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來介紹如何通過客戶機的MAC地址來對客戶端進(jìn)行身份認(rèn)證，只有通過認(rèn)證的客戶端設(shè)備才可以訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

作者:笨小驢 | 分類:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計 | 瀏覽:6200 | 評論:0

網(wǎng)管技術(shù)人員經(jīng)常需要處理網(wǎng)站打不開的問題，而網(wǎng)站打不開可能有很多原因，作為一名合格的網(wǎng)絡(luò)技術(shù)人員，需要可以快速定位問題所在，然后加以解決。

本文中，我將介紹網(wǎng)站打不開的常見原因以及對應(yīng)的解決方法。

1. 網(wǎng)站自身問題

2. DNS解析問題

3. 線路不通

4. 網(wǎng)絡(luò)安全策略

企業(yè)的內(nèi)網(wǎng)存放著很多重要信息，比如公司的技術(shù)資料、客戶信息等。一旦發(fā)生信息泄露，會給企業(yè)帶來不可估計的損失。信息安全是系統(tǒng)工程，涉及到管理行政手段，文件加密技術(shù)、網(wǎng)絡(luò)安全技術(shù)等各方面。本文中，我將從網(wǎng)絡(luò)架構(gòu)的角度，來論述如何保障內(nèi)網(wǎng)的信息安全。主要涉及到如下兩點：

1. 如何防范非法接入？

2. 如何保障重要信息的安全？

WSG上網(wǎng)行為管理的“事件查看器”中記錄了一系列的事件、告警以及錯誤信息，包括操作日志、wan口聯(lián)通狀況、入侵攻擊事件、以及自定義的關(guān)鍵詞告警、流量告警和新增設(shè)備告警等事件日志。傳統(tǒng)的郵件告警方式已經(jīng)越來不能滿足實時通知的需要。在本文中，我將介紹如何利用企業(yè)微信機器人來實現(xiàn)事件日志的實時發(fā)送。具體步驟如下：

1. 創(chuàng)建企業(yè)微信機器人

在手機版的企業(yè)微信群聊中，添加群機器人，并記錄webhook的URL地址。如下圖：

WSG的“事件查看器”中記錄了一系列的事件、告警以及錯誤信息，包括操作日志、wan口聯(lián)通狀況、入侵攻擊事件、以及自定義的關(guān)鍵詞告警、流量告警和新增設(shè)備告警等事件日志。傳統(tǒng)的郵件告警方式已經(jīng)越來不能滿足實時通知的需要。在本文中，我將介紹如何利用釘釘機器人來實現(xiàn)事件日志的實時發(fā)送。具體步驟如下：

1. 添加釘釘機器人

首先需要在釘釘pc版的群助手里面添加機器人

網(wǎng)絡(luò)安全現(xiàn)在已經(jīng)是互聯(lián)網(wǎng)領(lǐng)域的重要問題，網(wǎng)絡(luò)安全引發(fā)的事故也一直呈上升趨勢。中小企業(yè)雖然網(wǎng)絡(luò)環(huán)境比較簡單，但是一樣會受到網(wǎng)絡(luò)安全的威脅。如果不注重網(wǎng)絡(luò)安全，往往會導(dǎo)致企業(yè)的重大損失。下面我們就一起來看看中小企業(yè)面臨的常見網(wǎng)絡(luò)安全威脅：

眾所周知，SSL加密的通訊數(shù)據(jù)，比如https，pops, imaps, smtps，由于在通訊過程中進(jìn)行非對稱加密，其數(shù)據(jù)是密文傳輸?shù)模粚?dǎo)致網(wǎng)絡(luò)監(jiān)控不能直接監(jiān)控到其內(nèi)容，也無法對內(nèi)容中的信息進(jìn)行深度過濾。作為專業(yè)的上網(wǎng)行為管理系統(tǒng)，WFilter NGF在最新版本中，新增了“SSL監(jiān)控模塊”。該SSL監(jiān)控模塊，可以充當(dāng)SSL的中間人進(jìn)行證書攔截，從而解析出SSL加密的數(shù)據(jù)內(nèi)容。利用該模塊，可以實現(xiàn)如下內(nèi)容：

1. 記錄https網(wǎng)站的頁面內(nèi)容、發(fā)帖內(nèi)容。
   

2. 對https網(wǎng)站的訪問進(jìn)行深度過濾，比如禁止https網(wǎng)站的下載文件格式、禁止在https網(wǎng)頁上傳附件等。

3. 記錄pops, imaps, smtps的郵件內(nèi)容。

4. 對pops, imaps, smtps的郵件進(jìn)行深度過濾，比如設(shè)置郵件發(fā)送接收黑白名單，禁止發(fā)送附件等等。

這里說的硬件防火墻，就是專業(yè)防火墻，入侵檢測，主動防御，病毒防護(hù)，這些基本的以外，還有殺毒庫，針對病毒查殺。這樣的硬件防火墻一般過萬，甚至過大幾萬。什么樣的局域網(wǎng)環(huán)境才需要呢。毋庸置疑，經(jīng)濟(jì)上得是一個寬裕的局域網(wǎng)。技術(shù)上以及必要性上呢。

其實就一個必要性，局域網(wǎng)里面有對外網(wǎng)發(fā)布的WEB服務(wù)，比如WEB服務(wù)器，郵件服務(wù)器等。這樣可以從互聯(lián)互直接訪問，容易遭遇黑客，攻擊，這樣的環(huán)境，不管大小，千萬別吝嗇，買一臺硬防，有力又有利。

但是如果只是普通局域網(wǎng)，沒有需要外部訪問的服務(wù)器 ，有的路由上甚至連做端口映射 外部也就訪問不到內(nèi)部的服務(wù)器了 
那么就沒有必要安裝硬件防火墻了。哪怕有ERP，有組網(wǎng)VPN，用不用專業(yè)硬件防火墻，技術(shù)上真的不重要，國內(nèi)現(xiàn)在運營商已經(jīng)把常見的80端口都禁止掉了，直接通過80端口連不了。而普通局域網(wǎng)要注重的則是內(nèi)網(wǎng)安全，內(nèi)網(wǎng)安全防護(hù)好了，外網(wǎng)自然也不會有任何問題。所謂安全，所謂防護(hù)，所謂上網(wǎng)行為管理，并不是局域網(wǎng)出了問題了，才來解決，而是平時上網(wǎng)建立良好的上網(wǎng)秩序，規(guī)范上網(wǎng)行為和內(nèi)容，養(yǎng)成良好的上網(wǎng)行為習(xí)慣，網(wǎng)絡(luò)自然健康通暢。

這里說的路由，是千元以上的路由，一千塊以下的就不談的?，F(xiàn)在很多企業(yè)路由，都說有這樣的功能，

IP-MAC綁定是很多路由，網(wǎng)關(guān)的一個常見功能，主要用來綁定局域網(wǎng)終端的IP地址，防止終端隨便修改IP，導(dǎo)致網(wǎng)內(nèi)IP地址沖突，而導(dǎo)致網(wǎng)絡(luò)歇火。先來說IP-MAC綁定的原理分兩個部分：前部分，所謂綁定，就是讓這臺電腦的MAC始終獲取同一個ip地址或者指定ip，這個做到很容易，很多路由都號稱有這樣功能稱之IP-MAC綁定。但是做到這一步，沒啥意義，因為上網(wǎng)終端一旦修改了IP，照樣可以上網(wǎng)，照樣IP沖突，真正夯實IP-MAC綁定的是后半部分，這個上網(wǎng)行為管理才可以做到（核心交換機也能做到，但是配置很麻煩費事）要有上網(wǎng)數(shù)據(jù)，通過行為管理來檢測這個這個MAC是不是一直都是獲取的這個IP，一旦不是獲取的這個IP或者IP被擅自修改了，就會讓MAC斷網(wǎng)?；蛘咭坏┯行碌臎]有登記再案的終端進(jìn)來（電腦，路由或者手機）進(jìn)來，即使插上，也無法上網(wǎng)

這里說的小型局域網(wǎng)是50臺左右上網(wǎng)設(shè)備（電腦加手機），出口帶寬不超過100兆的局域網(wǎng)。比較普遍的組網(wǎng)方案設(shè)備，路由，交換機，無線路由，對于小局域網(wǎng)足夠了。但是對于企業(yè)，公共網(wǎng)絡(luò)來說，管理是必不可少的。

常規(guī)小型局域網(wǎng)組網(wǎng)一般是這樣的：

作者:笨小驢 | 分類:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計 | 瀏覽:5767 | 評論:0

上網(wǎng)統(tǒng)計主要是查看一段時間內(nèi)哪些IP（MAC或者賬戶）上網(wǎng)內(nèi)容和行為，這樣的功能如果不是專業(yè)上網(wǎng)上網(wǎng)行為路由，一般都是沒有的，上網(wǎng)統(tǒng)計容易被多中小型企業(yè)網(wǎng)絡(luò)忽略，但是其實對于員工工作管理非常重要，大部分企業(yè)九成九的員工都是用電腦，用網(wǎng)絡(luò)工作，那么這些互聯(lián)網(wǎng)的工作數(shù)據(jù)統(tǒng)計分析的報表對員工工作管理以及人事管理帶來很重要的數(shù)據(jù)依據(jù)。

中大型網(wǎng)絡(luò)環(huán)境上網(wǎng)管理比中小型來的層次多些，網(wǎng)速應(yīng)用，帶寬優(yōu)化分配，行為管理控制，另外還需要一個健全的統(tǒng)計系統(tǒng)，網(wǎng)管專業(yè)加專業(yè)的網(wǎng)管設(shè)備，處理起來也能游刃有余。為了提高網(wǎng)絡(luò)流暢，通常情況，大型局域網(wǎng)會有兩條甚至兩條以上的帶寬線。那么就需要多線均衡，更好的利用帶寬。WSG硬件配置專業(yè)工控機，至少Inter 1037U 雙核1.8G的CPU，4GB的DDR3內(nèi)存，8G固態(tài)硬盤。最高支持40萬并發(fā)鏈接。

管理怎么都是一個大課題，有人的地方就需要管理，建立良好的機制，企業(yè)局域網(wǎng)上網(wǎng)也不外乎這樣，好的帶寬分配，網(wǎng)絡(luò)行為的管理，統(tǒng)計報表一目了然的看到各個時期的上網(wǎng)狀況，的確是網(wǎng)管和HR非常需要的。給網(wǎng)管帶來事半功倍的工作效率，也是人事評價和管理的良好方案。

100臺 的網(wǎng)絡(luò)環(huán)境，不會太復(fù)雜，最最普通的網(wǎng)絡(luò)架構(gòu)，路由（防火墻）加交換機（后面網(wǎng)絡(luò)拓?fù)涫切切?，還是條形不用管）。這里介紹的就是網(wǎng)絡(luò)出口的路由（防火墻）

分析數(shù)據(jù)，查看上網(wǎng)趨勢目前最好的工具還是報表。各項數(shù)據(jù)的羅列，各種圖形的比對，很容易就可以分析趨勢和現(xiàn)狀，對于上網(wǎng)管理來說，管理還是最主要的目標(biāo)，管理的目的也是提高工作上網(wǎng)效率。

WFilter系列產(chǎn)品中，報表是一個大模塊，幫助您的局域網(wǎng)做上網(wǎng)行為比對和趨勢分析，完成您對員工工作效率的評價。

網(wǎng)上購物已經(jīng)非常盛行啦，上班時間瀏覽購物網(wǎng)站在office當(dāng)中已經(jīng)習(xí)以為常了。但是工作畢竟是工作，工作時間瀏覽購物類網(wǎng)站不可避免會影響工作效率。WFilter上網(wǎng)行為管理軟件可以統(tǒng)計相關(guān)購物網(wǎng)站的瀏覽，幫助網(wǎng)管以及人事部門分析員工上網(wǎng)的心態(tài)和趨勢，也可以做相關(guān)策略來提高員工工作效率。

具體步驟如下：

這里的上網(wǎng)主要是指網(wǎng)頁瀏覽，網(wǎng)頁瀏覽也是互聯(lián)網(wǎng)使用的主要內(nèi)容，局域網(wǎng)員工的上網(wǎng)內(nèi)容是否和工作內(nèi)容相關(guān)，是否有利于解決工作事情，從網(wǎng)頁瀏覽中也能獲取一二。上網(wǎng)行為管理中統(tǒng)計這些網(wǎng)頁瀏覽類型，可以幫您人事管理效率大大提高。

WFilter上網(wǎng)行為管理軟件，給您提供了一系列的統(tǒng)計報表，涵蓋了網(wǎng)頁、聊天、帶寬、文件等各個方面。本文將簡單介紹“網(wǎng)頁瀏覽次數(shù)”的統(tǒng)計，選擇不同的”統(tǒng)計字段“可以生成不同的報表類型。步驟如下：

網(wǎng)頁瀏覽協(xié)議默認(rèn)都走80端口（互聯(lián)網(wǎng)上很多協(xié)議都走80端口）如果單純禁止80端口來禁止網(wǎng)頁瀏覽，那和斷網(wǎng)也沒有什么差別了。 超文件傳輸協(xié)定（HTTP，HyperText Transfer Protocol）是因特網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)傳輸協(xié)定。所有的WWW 文件都必須遵守這個標(biāo)準(zhǔn)。有的局域網(wǎng)管理是不允許瀏覽網(wǎng)站的，但是又需要去登陸一些別的協(xié)議（比如只可以收發(fā)郵件，只能使用微信或者內(nèi)部登陸系統(tǒng)的軟件等）那么提取網(wǎng)頁瀏覽特征碼禁止網(wǎng)站是必不可少的了。

本文是用“WFilter上網(wǎng)行為管理系統(tǒng)”來演示如何禁止網(wǎng)頁瀏覽的。

上網(wǎng)行為里面網(wǎng)頁瀏覽的管理，初級階段很簡單，記錄網(wǎng)址，禁止不相關(guān)的網(wǎng)頁瀏覽。再深一步就是根據(jù)網(wǎng)站分類禁止管理。做統(tǒng)計做報表等等等。再再深一步就是解析網(wǎng)站分類，分析員工網(wǎng)頁瀏覽的動向和趨勢（Wfilter產(chǎn)品都可以做到）。但是在某些特定的局域網(wǎng)環(huán)境中，網(wǎng)頁瀏覽涉及到一些特定的關(guān)鍵詞，一旦網(wǎng)頁標(biāo)題或者域名里面出現(xiàn)了這些違規(guī)的關(guān)鍵詞，就需要給管理員發(fā)出警告，從而讓管理體系達(dá)到網(wǎng)絡(luò)管理和行政管理結(jié)合。

本文將介紹如何用“WFilter上網(wǎng)行為管理軟件”來發(fā)送關(guān)鍵詞告警郵件。