企業(yè)內(nèi)部的ERP、OA服務(wù)器很多都是通過端口映射到公網(wǎng)的，這樣就不可避免會招來攻擊。如下圖：

公司網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案是網(wǎng)絡(luò)安全的基礎(chǔ)，該方案通過對網(wǎng)絡(luò)的接入設(shè)備進(jìn)行統(tǒng)一的認(rèn)證和訪問授權(quán)管理，以保證內(nèi)網(wǎng)的網(wǎng)絡(luò)安全。對于企業(yè)局域網(wǎng)來說，比較常見的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案包括802.1X、Portal認(rèn)證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認(rèn)證。

802.1X的認(rèn)證方式需要支持802.1X的交換機(jī)設(shè)備，且配置比較復(fù)雜，對于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)的Portal認(rèn)證、第三方認(rèn)證等功能來實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證。

作為網(wǎng)管技術(shù)人員，你一定會因?yàn)镮P沖突感到煩惱過。IP沖突會導(dǎo)致電腦上不了網(wǎng)，因?yàn)闃I(yè)務(wù)正常運(yùn)行等。一旦發(fā)現(xiàn)IP地址沖突，在網(wǎng)絡(luò)設(shè)備上是解決不了的，唯一的解決辦法就是找到?jīng)_突的這臺終端并且修改其IP地址或者改成自動獲取IP；而預(yù)防IP沖突的唯一辦法就是：自動獲取IP。通過DHCP服務(wù)器，統(tǒng)一規(guī)劃分配IP，這樣就避免了IP沖突的問題。一般來說，可以采用如下的網(wǎng)絡(luò)規(guī)劃：

• 服務(wù)器、打印機(jī)等設(shè)備都采用固定IP的方式。

• 辦公電腦自動獲取IP

• 無線設(shè)備自動獲取IP

本文以WSG上網(wǎng)行為管理為例，介紹如何檢測、管理IP地址沖突。

上級部門通知局域網(wǎng)內(nèi)存在僵尸木馬要求網(wǎng)絡(luò)進(jìn)行整改，作為網(wǎng)管人員需要怎樣去處置解決這個問題呢？首先，上級部門只能檢測到局域網(wǎng)總出口的IP地址，并不能識別終端的IP地址。當(dāng)網(wǎng)內(nèi)的終端數(shù)量比較多時，每臺電腦做病毒查殺的工作量太大了，網(wǎng)管人員會很頭疼這個問題。

比較合理的方案是在局域網(wǎng)內(nèi)部署一臺入侵檢測系統(tǒng)，通過對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析檢測，從而發(fā)現(xiàn)問題主機(jī)。在本文中，我將以“WSG上網(wǎng)行為管理”為例，來介紹如何進(jìn)行內(nèi)網(wǎng)的木馬檢測。

WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測”這兩個安全防護(hù)模塊，這兩個模塊的檢測原理都是入侵檢測snort。如下圖：

WSG上網(wǎng)行為管理的“IP-MAC綁定”功能非常強(qiáng)大，可以實(shí)現(xiàn)IP-MAC綁定、ARP綁定、分配靜態(tài)IP等功能。但是配置IP-MAC綁定需要預(yù)先收集mac地址并且分配IP，還是有一定的工作量的。在本文中，我將介紹基于用戶認(rèn)證的IP-MAC綁定功能，其實(shí)現(xiàn)原理是：“用戶一旦認(rèn)證成功就會自動配置IP-MAC綁定”，這樣不但實(shí)現(xiàn)了用戶認(rèn)證，而且固定了IP和mac地址；可以說是IP-MAC綁定的一個有效功能補(bǔ)充。具體的步驟如下：

當(dāng)你有多臺WSG時，你可能會想把上網(wǎng)日志和統(tǒng)計(jì)數(shù)據(jù)集中保存和管理。集中保存可以保存更長日期的歷史數(shù)據(jù)，也更加便于管理。本文中，我將介紹如何搭建WSG數(shù)據(jù)中心管理系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)的集中存儲管理。

1. WSG數(shù)據(jù)中心的搭建

WSG數(shù)據(jù)中心安裝在一臺windows電腦上，該系統(tǒng)的搭建需要安裝以下產(chǎn)品：

1. SQL Server數(shù)據(jù)庫，所有的日志數(shù)據(jù)都會被導(dǎo)入到SQL Server數(shù)據(jù)庫中。

2. FTP服務(wù)器，用于提供FTP上傳服務(wù)。

3. WFilterDC（WFilter數(shù)據(jù)中心管理系統(tǒng)），該系統(tǒng)可以導(dǎo)入數(shù)據(jù)并且提供查詢和統(tǒng)計(jì)等功能。

企業(yè)網(wǎng)絡(luò)信息安全問題日益突出，為了加強(qiáng)企業(yè)內(nèi)部的網(wǎng)絡(luò)安全建設(shè)，網(wǎng)絡(luò)管理技術(shù)人員應(yīng)當(dāng)從如下幾個方面來設(shè)計(jì)網(wǎng)絡(luò)安全解決方案：

1. 合理的制度和管理

首先需要有完善的網(wǎng)絡(luò)安全管理制度，根據(jù)企業(yè)的實(shí)際工作需要制定符合公司實(shí)際情況的管理制度和措施來保證網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)的安全運(yùn)行，并且配備專業(yè)的技術(shù)人員負(fù)責(zé)管理維護(hù)內(nèi)網(wǎng)的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備。

越來越多的企事業(yè)單位開始重視信息安全，企業(yè)的技術(shù)資料、客戶信息等一旦發(fā)生信息泄露，會給企業(yè)帶來不可估計(jì)的損失。即使是網(wǎng)絡(luò)環(huán)境比較簡單的中小企業(yè)，也一樣會受到網(wǎng)絡(luò)安全的威脅。如果不注重網(wǎng)絡(luò)安全，往往會導(dǎo)致企業(yè)的重大損失。本文中，我將從網(wǎng)絡(luò)安全的角度，來論述如何保障公司內(nèi)網(wǎng)的網(wǎng)絡(luò)信息安全。主要涉及到如下四點(diǎn)：

1. 合理的網(wǎng)絡(luò)架構(gòu)
   

2. 了解內(nèi)網(wǎng)的終端
   

3. 管控到外網(wǎng)的訪問

4. 管控來自外網(wǎng)的訪問
   

為了保障網(wǎng)絡(luò)安全，提高員工工作效率，企業(yè)有必要部署上網(wǎng)行為管理。上網(wǎng)行為管理可對企業(yè)內(nèi)部員工的上網(wǎng)行為進(jìn)行全方位有效管理，保護(hù)Web訪問安全，降低互聯(lián)網(wǎng)使用風(fēng)險，避免機(jī)密信息泄露，提升工作效率，限制下載和視頻P等嚴(yán)重消耗帶寬的應(yīng)用，保障企業(yè)核心業(yè)務(wù)帶寬。

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》(第七條、第八條、第十一條)等相關(guān)法律規(guī)定：

1. 提供WiFi上網(wǎng)服務(wù)的公共場所，必須落實(shí)上網(wǎng)實(shí)名認(rèn)證。

2. 提供上網(wǎng)服務(wù)的公共場所，必須至少保存六十天的上網(wǎng)記錄備份。

短信實(shí)名認(rèn)證是目前最穩(wěn)定、最普遍的實(shí)名認(rèn)證方案。對于絕大部分WiFi網(wǎng)絡(luò)而言，只需要在網(wǎng)絡(luò)出口處部署一臺WSG上網(wǎng)行為管理設(shè)備，就可以同時實(shí)現(xiàn)短信認(rèn)證和上網(wǎng)記錄的功能，滿足網(wǎng)絡(luò)安全法的安全要求。WSG上網(wǎng)行為管理的WiFi短信認(rèn)證方案，具備如下優(yōu)勢：

1. 一臺設(shè)備就可以滿足認(rèn)證+審計(jì)+安全的功能需求。
   

2. 對內(nèi)網(wǎng)的網(wǎng)絡(luò)設(shè)備沒有要求，不需要更改現(xiàn)有的無線方案。

3. 透明部署、即插即用。

網(wǎng)絡(luò)拓?fù)鋱D如下：

局域網(wǎng)內(nèi)電腦中了木馬病毒，會有帶來下述壞處：

1. 感染內(nèi)網(wǎng)其他電腦。

2. 大量攻擊數(shù)據(jù)的存在，使得網(wǎng)絡(luò)緩慢，被攻擊的電腦運(yùn)行緩慢。

發(fā)現(xiàn)內(nèi)網(wǎng)電腦中毒后，一般都會采取重新安裝系統(tǒng)，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進(jìn)行病毒查殺。有些殺毒軟件或者防火墻可以檢測到內(nèi)網(wǎng)的攻擊源，本文中，我將介紹如何用WSG上網(wǎng)行為管理的“木馬檢測”功能來進(jìn)行檢測。WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測”這兩個安全防護(hù)模塊，如下圖：

WSG的應(yīng)用特征庫已經(jīng)包含了“QQ小程序”和“微信小程序”這兩個應(yīng)用特征，只要把對應(yīng)的應(yīng)用設(shè)置成“禁止”即可屏蔽所有的小程序。但是在實(shí)際使用過程中，有些用戶只想屏蔽游戲類的小程序，同時允許其他的小程序功能。本文，我將結(jié)合管唄上網(wǎng)行為管理，來演示如何實(shí)現(xiàn)該需求。

方案一：直接屏蔽“QQ小程序”和“微信小程序”

在“上網(wǎng)策略”的“APP”中，搜索小程序，把QQ小程序和微信小程序設(shè)置成“禁止”。這樣的效果是直接把所有的小程序都禁用掉。如下圖：

WFilter的擴(kuò)展插件系統(tǒng)有一系列實(shí)用的擴(kuò)展插件。本文中，我將介紹插件中的“遠(yuǎn)程喚醒”功能，該功能可以給指定的電腦發(fā)送WOL（Wake on LAN）數(shù)據(jù)包，從而實(shí)現(xiàn)遠(yuǎn)程喚醒和遠(yuǎn)程開機(jī)。

具體步驟如下：

1. 搜索IP或者M(jìn)AC地址

輸入IP地址、MAC地址、機(jī)器名備注等信息，可以查詢出終端列表。如下圖：

在“WSG撥號上網(wǎng)如何配置IPv6地址？”一文中，我們介紹了如何在撥號上網(wǎng)的情況下開啟IPv6，如文中所述撥號上網(wǎng)時IPv6地址主要都是通過自動獲取來實(shí)現(xiàn)的。對于靜態(tài)固定IPv6地址來說，配置方式就不一樣了。你需要合理的劃分自己的網(wǎng)段。

IPv6不僅能解決網(wǎng)絡(luò)地址資源數(shù)量的問題，而且也解決了多種接入設(shè)備連入互聯(lián)網(wǎng)的障礙。本文中，我將介紹WSG上網(wǎng)行為管理在撥號上網(wǎng)時如何啟用和配置IPv6地址。

1. 首先在外網(wǎng)口開啟IPv6

配置外網(wǎng)口時，需要在外網(wǎng)口啟用IPv6。

在防火墻、上網(wǎng)行為管理如何實(shí)現(xiàn)雙機(jī)熱備一文中，我們介紹了如何用兩條外線來實(shí)現(xiàn)網(wǎng)絡(luò)雙機(jī)熱備。在有些情況下，一些用戶還需要對同一條線路做雙機(jī)熱備。準(zhǔn)確的說，外線只有一條，但是要確保防火墻/上網(wǎng)行為管理設(shè)備是可以實(shí)現(xiàn)熱備的。這種情況下，和防火墻、上網(wǎng)行為管理如何實(shí)現(xiàn)雙機(jī)熱備一文不同的是，我們需要同時在“內(nèi)網(wǎng)口”和“外網(wǎng)口”上都開啟虛擬IP。這樣的效果就是：內(nèi)網(wǎng)口和外網(wǎng)口都工作虛擬IP上，一旦主設(shè)備故障，可以迅速切換到備份設(shè)備上去。

多條外線時，我們一般都會配置線路負(fù)載均衡或者線路分流。線路均衡負(fù)載的配置，請參考：同運(yùn)營商多條外線如何做負(fù)載均衡？ 有時候用戶只希望單純的實(shí)現(xiàn)一個線路備份的功能，意思就是正常只用一條外線，另外一條外線只在主線路故障時才啟用。本文我就來介紹一下如何用WSG網(wǎng)關(guān)來實(shí)現(xiàn)兩條線路自動主備切換。

笨驢SD-WAN盒子可以非常方便的實(shí)現(xiàn)多地組網(wǎng)，無需修改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，無需替換現(xiàn)有的網(wǎng)絡(luò)設(shè)備，只要在兩地通過旁路方式分別接一臺SDWAN盒子即可組建虛擬局域網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

本文將介紹笨驢SD-WAN盒子的首次安裝步驟。

1. 接線方式

如圖所示，SD-WAN盒子這款硬件有如下配置：

• 一個以太網(wǎng)網(wǎng)口，默認(rèn)自動獲取IP。

• 自帶wifi（SID: wfilter-sdwan，無線網(wǎng)段是192.168.120.0/24）

隨著疫情反反復(fù)復(fù)，主動或被動采取遠(yuǎn)程辦公的公司越來越多。企業(yè)網(wǎng)絡(luò)除了滿足日常的局域網(wǎng)組網(wǎng)，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業(yè)內(nèi)網(wǎng)。傳統(tǒng)的做法一般需要企業(yè)申請帶固定IP的企業(yè)專線，通過該固定IP提供遠(yuǎn)程撥入服務(wù)。而由于專線方案價格高，很多企業(yè)承受不了。在本文中，我將介紹沒有公網(wǎng)IP時如何通過SD-WAN的方案來實(shí)現(xiàn)遠(yuǎn)程辦公撥入。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

為了保障網(wǎng)絡(luò)的100%暢通，有些情況下需要用兩臺WSG設(shè)備來實(shí)現(xiàn)雙機(jī)熱備，一旦主服務(wù)器故障，幾秒鐘網(wǎng)絡(luò)就會切換到備份機(jī)上，從而實(shí)現(xiàn)保證流量業(yè)務(wù)不中斷，主備機(jī)無縫切換。在本文中，我將介紹如何用兩臺WSG上網(wǎng)行為管理來實(shí)現(xiàn)雙機(jī)熱備。

利用WSG的用戶認(rèn)證和行為管理策略，可以對域用戶、非域用戶配置不同的上網(wǎng)策略。比如，你可以默認(rèn)禁止所有的終端上網(wǎng)，當(dāng)電腦加入域后，則可以根據(jù)賬號、OU等放行具體的訪問內(nèi)容。本文中，我將介紹如何開啟域認(rèn)證，并且屏蔽非域用戶上網(wǎng)。

主管部門發(fā)出的安全風(fēng)險報告，一般只能定位到局域網(wǎng)的公網(wǎng)IP。網(wǎng)管技術(shù)人員要處理解決該安全事件，還需要定位到具體的終端電腦。這個定位工作非?？简?yàn)網(wǎng)管的技術(shù)，沒有對應(yīng)的技術(shù)儲備，加上沒有合適的工具的話，你就只能一臺電腦一臺電腦的殺毒了。

在如何檢測局域網(wǎng)內(nèi)感染了木馬病毒的電腦？一文中，我們介紹了如何通過WSG上網(wǎng)行為管理網(wǎng)關(guān)的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說，開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進(jìn)行查毒殺毒就可以了。有些情況下，由于特征庫版本不一致，或者檢測技術(shù)不一樣，也可能存在并沒有檢測到的情況。這時候，我們還可以通過自定義規(guī)則的方式，來擴(kuò)大檢測的內(nèi)容。在本文中，我將介紹如何自定義檢測規(guī)則。

傳統(tǒng)的異地組網(wǎng)方式要求企業(yè)有帶固定公網(wǎng)IP的專線才可以實(shí)現(xiàn)；由于IPv4資源的短缺，運(yùn)營商專線價格高企，大部分企業(yè)無法承擔(dān)高額的專線費(fèi)用。為解決此問題，各大網(wǎng)絡(luò)廠商各顯神通，研發(fā)出了一系列的解決方案。本文中，我將介紹如何利用“SD-WAN技術(shù)”來實(shí)現(xiàn)沒有公網(wǎng)IP時的異地組網(wǎng)互聯(lián)。和傳統(tǒng)的VPN相比，SD-WAN有如下優(yōu)勢：

• 自動尋址，無需公網(wǎng)IP。

• 點(diǎn)對點(diǎn)加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

• 既能實(shí)現(xiàn)多地組網(wǎng)，又可以實(shí)現(xiàn)遠(yuǎn)程辦公撥入。

隨著互聯(lián)網(wǎng)、數(shù)字化的迅速發(fā)展，遠(yuǎn)程辦公、移動辦公、居家辦公已經(jīng)是企業(yè)必備的網(wǎng)絡(luò)服務(wù)。企業(yè)網(wǎng)絡(luò)除了滿足日常的局域網(wǎng)組網(wǎng)，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業(yè)內(nèi)網(wǎng)。傳統(tǒng)的做法，一般有如下兩種：

1). 企業(yè)申請帶固定IP的企業(yè)專線，通過該固定IP提供遠(yuǎn)程撥入服務(wù)。

2). 在路由器上綁定動態(tài)域名，通過動態(tài)域名來訪問。

近年以來，由于IPv4資源的短缺，運(yùn)營商改為只分配內(nèi)網(wǎng)的IPv4地址，導(dǎo)致動態(tài)域名這個方案已經(jīng)不可行了。而專線方案價格高企，很多企業(yè)承受不了。