WSG云平臺(tái)可以集中管理多臺(tái)WSG設(shè)備，可以查看設(shè)備地址、系統(tǒng)版本、IP地址、告警信息，還可以遠(yuǎn)程訪問管理界面并且同步配置。本文介紹了使用WSG云平臺(tái)的基本步驟。

1. 注冊(cè)WSG云平臺(tái)

首先要在WSG云平臺(tái)注冊(cè)新賬號(hào)并登錄。如下圖：

WSG上網(wǎng)行為管理有著強(qiáng)大的報(bào)表系統(tǒng)，可以實(shí)現(xiàn)對(duì)于網(wǎng)站訪問、流量、工作效率、網(wǎng)絡(luò)訪問趨勢(shì)等一系列的統(tǒng)計(jì)功能。在本文中，我將以每日流量統(tǒng)計(jì)為例，配置一個(gè)自動(dòng)發(fā)送的流量統(tǒng)計(jì)報(bào)表。

1. 新增流量統(tǒng)計(jì)報(bào)表

在“查詢統(tǒng)計(jì)”-“統(tǒng)計(jì)報(bào)表”的報(bào)表列表中，點(diǎn)擊“新增”。

WSG上網(wǎng)行為管理通過安裝在網(wǎng)絡(luò)出口處，可以對(duì)局域網(wǎng)內(nèi)終端的上網(wǎng)行為進(jìn)行審計(jì)記錄，從而保障企事業(yè)單位的信息安全，提供一年以上的上網(wǎng)審計(jì)記錄，使上網(wǎng)行為有據(jù)可查。那么，WSG上網(wǎng)行為管理可以審計(jì)哪些內(nèi)容呢？本文將為您作詳細(xì)介紹。

1. WSG的部署位置

WSG上網(wǎng)行為審計(jì)系統(tǒng)一般部署在網(wǎng)絡(luò)出口處即可對(duì)全網(wǎng)進(jìn)行審計(jì)記錄，既可作為網(wǎng)絡(luò)的主路由器，也可以做透明網(wǎng)橋串接在路由器和交換機(jī)之間。網(wǎng)絡(luò)拓?fù)鋱D如下：

通過用上網(wǎng)行為管理限制電腦的網(wǎng)絡(luò)訪問，管控終端可以訪問的外網(wǎng)站點(diǎn)，可以實(shí)現(xiàn)只允許終端使用指定的網(wǎng)絡(luò)軟件。請(qǐng)注意，網(wǎng)絡(luò)管控只能管控網(wǎng)絡(luò)軟件，并不能限制單機(jī)軟件。

本文中，我將以WSG上網(wǎng)行為管理為例，使終端電腦只能使用“虛幻引擎”這個(gè)軟件。

1. 首先，配置“應(yīng)用過濾”禁止所有外網(wǎng)

為了保障網(wǎng)絡(luò)安全，提高員工工作效率，企業(yè)有必要部署上網(wǎng)行為管理。上網(wǎng)行為管理可對(duì)企業(yè)內(nèi)部員工的上網(wǎng)行為進(jìn)行全方位有效管理，保護(hù)Web訪問安全，降低互聯(lián)網(wǎng)使用風(fēng)險(xiǎn)，避免機(jī)密信息泄露，提升工作效率，限制下載和視頻P等嚴(yán)重消耗帶寬的應(yīng)用，保障企業(yè)核心業(yè)務(wù)帶寬。

利用WSG的用戶認(rèn)證和行為管理策略，可以對(duì)域用戶、非域用戶配置不同的上網(wǎng)策略。比如，你可以默認(rèn)禁止所有的終端上網(wǎng)，當(dāng)電腦加入域后，則可以根據(jù)賬號(hào)、OU等放行具體的訪問內(nèi)容。本文中，我將介紹如何開啟域認(rèn)證，并且屏蔽非域用戶上網(wǎng)。

現(xiàn)在的視頻資源非常多，抖音、愛奇藝、騰訊視頻、優(yōu)酷......可以說是數(shù)不勝數(shù)。而對(duì)于公司局域網(wǎng)來說，手機(jī)刷視頻不但嚴(yán)重影響工作效率，而且是一個(gè)非常耗費(fèi)網(wǎng)絡(luò)帶寬的一個(gè)行為。

本文中，我將以WSG上網(wǎng)行為管理為例，介紹如何在公司局域網(wǎng)內(nèi)禁止手機(jī)刷抖音等視頻。

該視頻簡要介紹了WSG上網(wǎng)行為管理的各項(xiàng)功能。

在局域網(wǎng)內(nèi)部署WSG上網(wǎng)行為管理后，可以對(duì)全網(wǎng)的上網(wǎng)行為進(jìn)行分析、記錄和統(tǒng)計(jì)。除了內(nèi)置的一系列報(bào)表外，你還可以利用WSG的自定義報(bào)表功能，來實(shí)現(xiàn)更強(qiáng)大的統(tǒng)計(jì)功能。在本文中，我將介紹如何用WSG的統(tǒng)計(jì)報(bào)表，來對(duì)員工找工作的行為進(jìn)行分析告警，從而使公司領(lǐng)導(dǎo)了解員工的工作心態(tài)，減少公司損失。

1. 首先，創(chuàng)建一個(gè)自定義報(bào)表。

如下圖，選擇“網(wǎng)頁統(tǒng)計(jì)”-“網(wǎng)頁瀏覽次數(shù)統(tǒng)計(jì)”，勾選“保存該報(bào)表”，點(diǎn)擊保存后，再點(diǎn)擊“設(shè)置”。

很多企事業(yè)單位需要對(duì)電腦的外網(wǎng)訪問采用嚴(yán)格的控制策略，比如只允許工作網(wǎng)站、只允許使用163郵箱等。本文中，我將以WSG上網(wǎng)行為管理為例，來演示如何實(shí)現(xiàn)網(wǎng)站白名單功能。

具體的配置邏輯是：先在“應(yīng)用過濾”中禁止所有的網(wǎng)絡(luò)應(yīng)用，然后再把要放行的內(nèi)容加到“例外設(shè)置”里面。因?yàn)椤袄庠O(shè)置”的優(yōu)先級(jí)是最高的，這樣就達(dá)到了管控的效果，被管控的終端只能訪問指定

很多情況下，局域網(wǎng)內(nèi)部的一些終端，比如領(lǐng)導(dǎo)電腦、移動(dòng)pos機(jī)、內(nèi)網(wǎng)服務(wù)器等，需要不加限制的訪問外網(wǎng)（即不受到任何上網(wǎng)行為策略的管控）。在WFilter NGF（WSG上網(wǎng)行為管理）中，我們主要通過“例外設(shè)置”來實(shí)現(xiàn)。本例中，我將介紹如何用例外設(shè)置來實(shí)現(xiàn)終端白名單的功能。

不加管控的局域網(wǎng)下載，不但會(huì)占用大量的帶寬資源，而且下載不明類型的軟件程序等會(huì)給局域網(wǎng)來的病毒等危害。在本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來介紹如何屏蔽局域網(wǎng)的下載行為。

下載行為的管控，主要從以下幾個(gè)方面來入手：

1. 屏蔽各類下載站的訪問。

2. 屏蔽各類下載工具、P2P下載軟件等。

3. 禁止網(wǎng)盤等文件傳輸。

4. 屏蔽網(wǎng)頁上的文件下載。

釘釘?shù)耐ㄓ嵾^程比較復(fù)雜，需要用到釘釘相關(guān)的網(wǎng)站、阿里云平臺(tái)，還有一些私有的通訊協(xié)議。所以要達(dá)到“只允許釘釘并且屏蔽其他網(wǎng)絡(luò)行為“這個(gè)管控效果，一般的路由器是做不到的，需要專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以。專業(yè)的上網(wǎng)行為管理產(chǎn)品可以準(zhǔn)確識(shí)別出釘釘?shù)牧髁坎⑶壹右怨芸亍?/span>

釘釘?shù)氖褂眠^程中必須連接外網(wǎng)，對(duì)于網(wǎng)絡(luò)權(quán)限設(shè)置比較嚴(yán)格的局域網(wǎng)來說，如何開放釘釘一直是一個(gè)難題。由于釘釘官方已經(jīng)不再公布服務(wù)器的段，所以不能基于IP范圍來做管控。必須要有專業(yè)的上網(wǎng)行為管理產(chǎn)品，才可以準(zhǔn)確識(shí)別出釘釘?shù)牧髁坎⑶壹右怨芸亍?/span>

本文，我就來介紹下在WSG上網(wǎng)行為管理網(wǎng)關(guān)中如何放行釘釘。釘釘?shù)氖褂眯枰ㄟ^https訪問釘釘相關(guān)的網(wǎng)站，另外還有自己的通訊協(xié)議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘這兩個(gè)應(yīng)用協(xié)議，并且允許釘釘?shù)南嚓P(guān)網(wǎng)站。具體的配置步驟如下：

在部署了上網(wǎng)行為管理的局域網(wǎng)內(nèi)，總會(huì)有人想各種各樣的辦法來突破上網(wǎng)管控。常見的方法有：

1. IP地址盜用。
   

2. MAC地址克隆。

首先可以考慮不開放管理員權(quán)限，或者采用域控的方式禁止客戶機(jī)自行修改網(wǎng)絡(luò)設(shè)置等辦法。其次也可以通過上網(wǎng)行為管理的管控策略來阻止這些行為。本文中，我來介紹下如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來應(yīng)對(duì)IP地址盜用和MAC地址克隆。

在三層交換機(jī)環(huán)境下，由于三層交換機(jī)屏蔽了終端的實(shí)際mac地址，上層的上網(wǎng)行為管理在不開啟“MAC地址收集器”的情況下，是檢測不到終端的實(shí)際mac地址的。這樣也就不能實(shí)現(xiàn)mac地址黑白名單的功能。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

對(duì)于一些安全性要求比較高的局域網(wǎng)來說，有時(shí)候只允許客戶機(jī)訪問指定的網(wǎng)站，其他網(wǎng)絡(luò)行為一律禁止。這時(shí)候我們就需要用到“網(wǎng)站白名單”功能（只允許訪問下列網(wǎng)站）。具體的配置如下圖：

1. 在網(wǎng)頁過濾中開啟“只允許訪問下列網(wǎng)站”

“只允許訪問下列網(wǎng)站”功能開啟后，客戶機(jī)只能訪問允許的站點(diǎn)。其他網(wǎng)頁一律訪問不了。

選擇應(yīng)用對(duì)象和生效時(shí)間

我們一般把WSG上網(wǎng)行為管理的使用分為三個(gè)步驟：安裝部署、基本配置、策略配置。

1. 安裝部署：把設(shè)備安裝到網(wǎng)絡(luò)中，使網(wǎng)絡(luò)能正常工作。
   

2. 基礎(chǔ)配置：DHCP和VLAN設(shè)置、防火墻策略、端口映射、分組設(shè)置等基本配置。

3. 策略配置：上網(wǎng)行為的審計(jì)策略、過濾策略、查詢和報(bào)表等功能和配置。

在本文中，我將介紹WSG網(wǎng)關(guān)的安裝部署的具體步驟。用戶拿到設(shè)備后，按此步驟即可完成安裝部署工作，并且開通遠(yuǎn)程管理訪問。使技術(shù)人員可以進(jìn)行遠(yuǎn)程協(xié)助配置。

2018俄羅斯世界杯大幕拉開，世界杯期間球迷們將通過各種途徑觀看世界杯?；ヂ?lián)網(wǎng)作為世界杯的主要承載媒體，也使得我們的網(wǎng)絡(luò)感受到了前所未有的壓力。對(duì)于各類企事業(yè)單位來說，首要保障公司業(yè)務(wù)所需的帶寬資源，同時(shí)也要人性化的滿足世界杯的激情需要。

因此在世界杯期間，無論是門戶網(wǎng)站、運(yùn)營商或是企事業(yè)單位，都需要解決帶寬分配和流量管理的問題。既讓客戶和員工可以觀看世界杯，同時(shí)又要讓企業(yè)的網(wǎng)絡(luò)帶寬不被搶占，關(guān)鍵應(yīng)用的質(zhì)量不受影響。

相對(duì)于固定IP而言，自動(dòng)獲取IP（DHCP）更加方便，而且不會(huì)導(dǎo)致IP地址沖突。但是對(duì)于局域網(wǎng)網(wǎng)絡(luò)管理而言，IP地址不固定就無法實(shí)現(xiàn)有效的管控。作為專業(yè)的上網(wǎng)行為管理廠家，WFilter系列上網(wǎng)行為管理產(chǎn)品針對(duì)該情況可以提供兩種解決方案：

1. 先進(jìn)行IP-mac地址綁定，然后基于IP地址管控。

2. 直接基于MAC地址進(jìn)行管控。
   

以WFilter NGF（WSG網(wǎng)關(guān)）為例，具體配置介紹如下：

上網(wǎng)行為管理網(wǎng)關(guān)、防火墻、路由，不管是硬件還是軟件，其基本原理都是一樣的。硬件產(chǎn)品其實(shí)就是軟件包灌到硬件設(shè)備里面打包成一個(gè)整體設(shè)備。而上網(wǎng)行為管理、防火墻和路由的共同點(diǎn)，都是部署在局域網(wǎng)出口的，大部分都基于LINUX系統(tǒng)進(jìn)行的定制開發(fā)。如果是軟件方式，安裝時(shí)需要用一臺(tái)專門的服務(wù)器。所以，產(chǎn)品性能的指標(biāo)取決于兩方面：硬件配置和軟件系統(tǒng)。那么產(chǎn)品的選擇，主要在這兩方面進(jìn)行優(yōu)選。以下是一些簡單的介紹：

一、從軟件內(nèi)核角度來說，路由系統(tǒng)、防火墻系統(tǒng)、上網(wǎng)行為管理網(wǎng)關(guān)系統(tǒng)，都是在LINUX上裁剪開發(fā)出來的。但是這些系統(tǒng)各自的功能側(cè)重點(diǎn)、和性能指標(biāo)都是完全不一樣的。如下圖：

全世界的路由，防火墻，網(wǎng)關(guān)，VPN服務(wù)器，各種服務(wù)器的設(shè)備可以說都是一樣的構(gòu)造：軟件系統(tǒng)灌到硬件設(shè)備當(dāng)中去。同時(shí)差別又很大：一兩百就可以買到一個(gè)小路由，十萬二十萬才能購置一臺(tái)重量級(jí)服務(wù)器。為什么差別這么大？其實(shí)就兩樣：硬件配置和軟件系統(tǒng)。幾百的小路由是那種路由芯片，過萬的服務(wù)器最低intel X86的芯片。而用什么硬件設(shè)備，取決灌什么軟件系統(tǒng)了。

以最普遍的路由器來說，都是基于嵌入式系統(tǒng)裁剪出來的。一些經(jīng)典的路由系統(tǒng)，比如Routeros，系統(tǒng)很輕巧，運(yùn)算壓力也不大，簡單的芯片就可以承載。而防火墻系統(tǒng)、上網(wǎng)行為管理系統(tǒng)，還需要在LINUX的基礎(chǔ)上，做大量的開發(fā)。所以對(duì)硬件需求，一定要有個(gè)強(qiáng)勁的CPU，以及大容量的硬盤和內(nèi)存才足夠。普遍都用工控機(jī)來實(shí)現(xiàn)。

就上網(wǎng)行為管理設(shè)備來說，首先WSG上網(wǎng)行為管理網(wǎng)關(guān)，系統(tǒng)基于LINUX獨(dú)立系統(tǒng)，支持海量協(xié)議庫和網(wǎng)址庫。這點(diǎn)就決定了硬件的配置級(jí)別一定不是路由芯片可以滿足的。

之前有用戶反映過一個(gè)挺困擾的問題：就是騰訊的QQ經(jīng)常會(huì)自動(dòng)下載QQ電腦管家和QQ瀏覽器，占用大量的帶寬資源，而且給PC機(jī)的管理帶來麻煩。如圖，你只要點(diǎn)擊“一鍵領(lǐng)取”，就會(huì)自動(dòng)下載并安裝騰訊的相關(guān)軟件。

本文中，我將介紹如何用WFilter ICF來禁止這些軟件的自動(dòng)下載安裝。

上網(wǎng)行為管理的部署方式主要有旁路、網(wǎng)關(guān)、網(wǎng)橋這三種部署方式。在之前的一篇博客“企業(yè)上網(wǎng)行為管理部署方案”中，我們已經(jīng)簡單介紹了三種方案的優(yōu)缺點(diǎn)。那么在本文中，我們?cè)賯?cè)重介紹下“網(wǎng)橋”和“網(wǎng)關(guān)”兩種模式的優(yōu)缺點(diǎn)比較。