現(xiàn)在大部分虛擬局域網(wǎng)的組建都通過IPSec的方式，其實用openvpn來組網(wǎng)也是很不錯的方案。跟IPSec相比，openvpn的功能更加強大和靈活：

1. 可以修改端口和通訊方式。
   

2. 可以實現(xiàn)用戶名認證和證書認證兩種認證方式。

3. 可以對客戶端分配IP，從而實現(xiàn)更加細致的防火墻權限控制。

本文將簡單介紹openvpn組網(wǎng)的一些簡單步驟，如果您要用openvpn實現(xiàn)遠程辦公撥入，請參考：如何用OpenVPN實現(xiàn)遠程辦公？

WFilter NGF（WSG上網(wǎng)行為管理網(wǎng)關）支持網(wǎng)關和網(wǎng)橋兩種部署模式：

1. 網(wǎng)關模式：WSG作為整個局域網(wǎng)的網(wǎng)關，提供NAT服務。

2. 網(wǎng)橋模式：WSG作為透明網(wǎng)橋串接在局域網(wǎng)中。

在有些情況下，我們需要采用純路由模式（WSG只做路由轉接，不進行NAT轉換）。本例中，我將介紹如何用WSG來搭建路由模式的上網(wǎng)行為管理。

網(wǎng)絡結構如下圖：

具體配置步驟如下：

在WFilter NGF（WSG上網(wǎng)行為管理網(wǎng)關）的“網(wǎng)頁過濾”模塊中，我們可以設置”文件下載”的過濾規(guī)則；比如禁止exe可執(zhí)行文件，或者壓縮文件的下載。如下圖：

IPSec VPN 技術在IP傳輸上通過加密隧道，在用公網(wǎng)傳送內部專網(wǎng)的內容的同時，保證內部數(shù)據(jù)的安全性，從而實現(xiàn)企業(yè)總部與各分支機構組建虛擬局域網(wǎng)的需要。IPSec組網(wǎng)的具體步驟，請參考：一次典型的IPSec VPN組網(wǎng)方案。很多情況下，我們還需要控制對端的訪問權限。在本文中，我將介紹WFilter NGF中的IPSec VPN訪問權限。

1. 防火墻規(guī)則的選項

IPSec隧道的配置中，”防火墻規(guī)則“有“自動”和“手動”兩個選項：

很多局域網(wǎng)需要向外網(wǎng)提供服務，比如ERP、OA系統(tǒng)，或者需要進行虛擬局域網(wǎng)組網(wǎng)等。而由于公網(wǎng)IP資源越來越緊張，大部分寬帶都不能獲取到公網(wǎng)IP；這些情況下，企業(yè)只能選擇運營商的企業(yè)專線。和普通的寬帶相比，企業(yè)專線有如下特點：

1. 獨享帶寬，速度有保障。
   

2. 可以申請固定公網(wǎng)IP。

不過專線的費用比較昂貴，如下圖：

對于一些安全性要求比較高的局域網(wǎng)來說，有時候只允許客戶機訪問指定的網(wǎng)站，其他網(wǎng)絡行為一律禁止。這時候我們就需要用到“網(wǎng)站白名單”功能（只允許訪問下列網(wǎng)站）。具體的配置如下圖：

1. 在網(wǎng)頁過濾中開啟“只允許訪問下列網(wǎng)站”

“只允許訪問下列網(wǎng)站”功能開啟后，客戶機只能訪問允許的站點。其他網(wǎng)頁一律訪問不了。

選擇應用對象和生效時間

企業(yè)微信,是騰訊微信團隊為企業(yè)打造的專業(yè)辦公管理工具。與微信一致的溝通體驗,豐富免費的OA應用,并與微信消息、小程序、微信支付等互通,助力企業(yè)高效辦公和管理。在“如何實現(xiàn)釘釘掃描二維碼進行Web認證登錄？”一文中，我們介紹了如何用釘釘掃碼認證上網(wǎng)。而一些局域網(wǎng)采用的是企業(yè)微信來做辦公管理。本文，我將結合WSG上網(wǎng)行為管理網(wǎng)關（WFilter NGF）中的“Web認證”功能，介紹如何利用企業(yè)微信的掃描二維碼功能來實現(xiàn)內網(wǎng)用戶的Web認證登錄。該功能有如下優(yōu)勢：

1. 直接用企業(yè)微信掃碼登錄，無需在WSG系統(tǒng)內創(chuàng)建用戶。
   

2. 可以自動獲取并記錄企業(yè)微信的員工姓名。

3. 可以基于企業(yè)微信員工姓名配置上網(wǎng)策略和統(tǒng)計。

一些配置的步驟和截圖如下：

釘釘（DingTalk）是阿里巴巴集團專為中國企業(yè)打造的免費溝通和協(xié)同的多端平臺。釘釘因中國企業(yè)而生，幫助中國企業(yè)通過系統(tǒng)化的解決方案（微應用），全方位提升中國企業(yè)溝通和協(xié)同效率。一些局域網(wǎng)為了信息安全和管理需要，需要用戶進行Web認證后才可以使用局域網(wǎng)，并且記錄該用戶賬號的上網(wǎng)內容。

本文，我將結合WSG上網(wǎng)行為管理網(wǎng)關（WFilter NGF）中的“Web認證”功能，介紹如何利用釘釘?shù)膾呙瓒S碼功能來實現(xiàn)內網(wǎng)用戶的Web認證登錄。該功能有如下優(yōu)勢：

1. 直接用釘釘掃碼登錄，無需在WSG系統(tǒng)內創(chuàng)建用戶。
   

2. 可以自動獲取并記錄釘釘?shù)膯T工姓名。

3. 可以基于釘釘員工姓名配置上網(wǎng)策略和統(tǒng)計。

一些配置的步驟和截圖如下：

在《同運營商多條外線如何做負載均衡？》一文中，我們介紹了多條外線（同一個運營商）時如何進行負載均衡。在實際使用中，很多用戶的外線是不同運營商的（比如一條電信和一條移動）。對于大部分用戶來說，采用《同運營商多條外線如何做負載均衡？》中的方案，即可產(chǎn)生多線疊加的效果。但是不同運營商多條外線直接進行均衡并不是最優(yōu)化的方案，主要在于DNS的原因：“假設某終端DNS查詢某域名時，獲取的是運營商A的IP；而在后續(xù)訪問的過程中，卻會被均衡到運營商B，這樣就不夠優(yōu)化了?！苯鉀Q的方案主要涉及到兩個技術：

1. 運營商分流，根據(jù)目的IP來自動選擇運營商線路（即電信IP走電信線路，移動IP走移動線路）。
   

2. DNS重定向，配置DNS重定向規(guī)則來設置客戶機的默認DNS（也間接決定了客戶機的線路）。

1. 運營商分流

WFilter NGF（WSG）已經(jīng)內置了“運營商分流”策略，基于各大運營商的IP段來選擇各自的線路，如下圖，點擊狀態(tài)標志啟用這條“運營商分流”策略即可。

局域網(wǎng)出于帶寬的需要，經(jīng)常會采用多外線接入的方式，一則可以帶寬疊加，提示帶寬；再則還可以互為備份，一旦一條線路中斷，另外一條線路可以繼續(xù)使用，保障網(wǎng)絡的正常運行。

本文將介紹如何用WFilter NGF（WSG）來實現(xiàn)同ISP多外線的負載均衡和線路檢測。

1. 配置負載均衡

同運營商沒有線路DNS的問題，可以直接進行負載均衡，在“多線均衡”模塊里面，創(chuàng)建負載均衡的線路方案即可。如圖：

局域網(wǎng)內的私接路由器、私接隨身WiFi等行為，不但會讓其他客戶機繞開上網(wǎng)行為管理的管控，破壞局域網(wǎng)上網(wǎng)秩序；而且會干擾企業(yè)WiFi的無線信號。所以在企業(yè)局域網(wǎng)中，一般都是嚴禁私接路由器的。

在“WFilter是如何來屏蔽和禁用隨身wifi的？”一文中，我們介紹了如何使用“隨身WiFi和私接路由檢測插件”來檢測和懲罰局域網(wǎng)內的私接行為。該插件使用簡單方便，而且功能強大；一直倍受用戶喜愛。在最新版的WFilter NGF系統(tǒng)中（1.1.2019.03.25版本），我們已經(jīng)把該插件集成到NGF的主系統(tǒng)中來（共享檢測模塊）。除了“隨身WiFi和私接路由檢測插件”的功能外，該共享檢測模塊還可以支持共享檢測的歷史記錄查詢，并且可以把檢測到的客戶機加入虛擬懲罰組來實現(xiàn)更多的管控策略。一些配置介紹如下圖：

企業(yè)局域網(wǎng)為了業(yè)務發(fā)展需要和辦公上網(wǎng)的需要，很多都申請了“專線+ADSL寬帶”的多線接入模式。這樣的模式有如下優(yōu)點：

1. 既滿足了固定公網(wǎng)IP（專線）的需要，又滿足了辦公上網(wǎng)的需要（ADSL寬帶）。
   

2. 可以減少昂貴的專線投入。比如采用“10M的專線+100M的ADSL寬帶”這樣的結合模式，可以大大的減少專線的投入。

需要注意的是，不合理的負載均衡配置會浪費寶貴的專線資源，并且達不到良好的帶寬效果。本文中，我將結合WSG網(wǎng)關來介紹這種情況下，如何正確的配置策略路由和負載均衡。

首先，建議采用如下的配置原則：

1. 不要把專線和ADSL做負載均衡。專線和ADSL的原理、運營商都不一樣，負載均衡會把兩者都拖累。

2. 專線資源是寶貴的，應該?？顚Ｓ?，只提供給業(yè)務主機和服務器網(wǎng)段。
   

3. 辦公上網(wǎng)全部走ADSL（把專線資源用來做辦公上網(wǎng)是極大的浪費）

以下是一些相關的配置截圖：

1. 添加“電信專線100%”的線路方案

《英魂之刃》 是由網(wǎng)龍公司開發(fā)，由騰訊公司獨家代理的全球首款微端類DOTA對戰(zhàn)網(wǎng)游。游戲基于DOTA游戲特色打造，采用網(wǎng)龍公司獨家研發(fā)的S3引擎，以濃郁的中國風、穿越古今的英雄亂斗以及快節(jié)奏的競技對戰(zhàn)，在短短兩年內一躍成為千萬活躍用戶級別的MOBA人氣新寵。

本文將介紹如何使用WFilter NGF（WSG網(wǎng)關）的“應用過濾”功能來屏蔽局域網(wǎng)玩《英魂之刃》。

1. 首先，確保您的特征庫是最新版本。

點擊“配置”->“系統(tǒng)“->“更新設置”里面的“立即檢查更新”，可以檢查更新并且把您的特征庫（網(wǎng)址庫和協(xié)議庫）升級到最新版本。如果不點擊，也會在每天的凌晨自動檢查更新。如下圖：

由于公網(wǎng)IP資源越來越緊張，現(xiàn)在很多運營商給撥號上網(wǎng)的用戶只分配內網(wǎng)IP地址，如下圖所示：

這樣的運營商內網(wǎng)IP是外網(wǎng)不可達的（即使用動態(tài)域名也不起作用）。而企業(yè)由于業(yè)務需要，比如虛擬局域網(wǎng)組網(wǎng)、辦公OA系統(tǒng)、ERP系統(tǒng)等，都需要有公網(wǎng)IP才可以實現(xiàn)。公網(wǎng)IP的解決，目前主要有三種方案：

1. 申請固定IP專線。穩(wěn)定且速度有保障，缺點是費用高。
   

2. 云方案。把業(yè)務主機都搬到云上，直接通過云主機來訪問。費用比較低，缺點是云主機不能本地維護，且搬遷工作量都不小。

3. 云主機+內網(wǎng)穿透方案。通過云主機做跳板來實現(xiàn)內網(wǎng)穿透，既可以復用現(xiàn)有的業(yè)務系統(tǒng)，又解決了公網(wǎng)IP的問題。第三種方案的成本是最低的，但是配置比較復雜。本文將對第三種方案做詳細介紹。

有些企業(yè)為了信息安全需要，需要對企業(yè)的郵件收發(fā)進行監(jiān)管。比如：“只允許使用公司郵箱來發(fā)郵件，且記錄公司郵箱的收發(fā)內容，從而達到管理目的?！?/p>

本文中，我將介紹如何使用WFilter NGF的郵件過濾功能來對郵件的發(fā)件人進行白名單限制（只允許白名單中的郵箱發(fā)送郵件），有兩個方案：

1. 禁止所有的網(wǎng)頁郵件和客戶端郵件。同時把公司郵件服務器的IP地址加到“例外設置”中。（需要公司有專門的郵件服務器）
   

2. 如果公司沒有專門的郵件服務器，通過購買租用公開的郵件服務。要進行郵件過濾，則需要用到WFilter NGF中的郵件過濾模塊。

本文中，我將詳細介紹下第二種方式的具體步驟。

1. 只允許部分郵件收發(fā)協(xié)議

郵件收發(fā)協(xié)議，除了標準的SMTP/IMAP/POP3外，還有一些私有協(xié)議：比如Lotusnote, 網(wǎng)易閃電郵等。為了對郵件發(fā)件人進行過濾，需要禁止其他的私有郵件協(xié)議，只開放標準協(xié)議。如下圖：

在“應用過濾”模塊中，把這些郵件協(xié)議設置為允許：發(fā)送郵件（SMTP）、接收郵件（POP3）、接收郵件（IMAP）、SMTP發(fā)送帶附件的郵件、SMTP發(fā)送混合格式郵件、以及SSL加密的SMTP/POP3/IMAP。

在如何對來賓用戶進行上網(wǎng)行為管理中，我們介紹了基于VLAN或者DHCP范圍來區(qū)分來訪人員和普通辦公人員。在本文中，我將介紹另外一種較典型的方式：“對辦公人員進行IP-MAC綁定；并要求來訪人員Web認證。”

首先需要在IP-MAC綁定中錄入辦公人員的IP和MAC地址（略）。然后再進行下述配置：

1. 設置DHCP范圍

IP-MAC綁定后，辦公電腦DHCP獲取的都是綁定的IP地址。為了區(qū)分辦公電腦和來訪人員的IP地址，我們首先需要設置DHCP的范圍和辦公電腦綁定的IP范圍區(qū)分開。

蘋果（IOS）、以及一些新的andriod和windows系統(tǒng)，在連接網(wǎng)絡時，會自動檢測網(wǎng)絡是否連通以及是否存在認證頁面（Captive Web Portal），一旦發(fā)現(xiàn)網(wǎng)絡需要認證，操作系統(tǒng)會自動彈出認證頁面供用戶進行認證。這個功能最早是在IOS上實現(xiàn)的，所以一些老版本的安卓系統(tǒng)或者windows系統(tǒng)并不會自動彈出認證頁面。

WFilter NGF中的“Web認證”完全按照Web Portal認證的標準來實現(xiàn)，在WFilter NGF中開啟”Web認證“后，也會存在一部分系統(tǒng)不能自動彈出認證頁面的情況。一般有如下原因：

1. 客戶機操作系統(tǒng)比較老舊。安卓4.0和windows 8.0之前的版本都不支持自動彈出。
   

2. 客戶機的瀏覽器問題導致不能自動打開瀏覽器。
   

本文中，我將結合WSG的相關功能來介紹如何解決此問題。一般而言有三種辦法，具體描述如下：

林子大了什么鳥都有，局域網(wǎng)內總有一些不自覺的員工違反公司條例，占用大量帶寬進行下載視頻之類的活動。碰到這樣的情況，網(wǎng)管技術人員會很惱火。針對這樣的情況，WFilter NGF(WSG網(wǎng)關）里面的“懲罰組”功能，可以臨時的設置懲罰策略進行上網(wǎng)限制和流控。

1. 定義懲罰組限速策略

給懲罰組定義一個比較嚴格的限速，并且把懲罰組的策略拖動到限速策略的第一行。如下圖：

現(xiàn)在很多下載站都優(yōu)先推廣高速下載器下載，一不小心就會下載一個未知內容的xxxx@xxxx.exe這樣的文件。給局域網(wǎng)的安全帶來很大的隱患。如圖：

在本文中，我將介紹如何用WFilter ICF（超級嗅探狗）來禁止高速下載器的下載。

在阿里云短信認證網(wǎng)關的具體實現(xiàn)這篇文章中，我們介紹了如何使用阿里云的php sdk來實現(xiàn)短信認證功能。在實際使用中，有一些用戶不具備開發(fā)sdk的技術能力。所以在最新版的WFilter NGF系統(tǒng)中，我們集成了阿里云的SDK模塊。用戶無需搭建SDK的web服務等環(huán)境，即可實現(xiàn)阿里云短信認證的功能。

本文中，我將結合阿里云短信平臺來介紹WFilter NGF的短信認證功能。

1. 阿里云短信平臺相關配置

首先要創(chuàng)建AccessKey

根據(jù)《中華人民共和國網(wǎng)絡安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》(第七條、第八條、第十一條)等相關法律規(guī)定，公共無線上網(wǎng)場所應當落實相關網(wǎng)絡安全保護技術措施。而從2018年11月1日開始正式施行的《公安機關互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》（公安部令第151號），是網(wǎng)絡安全執(zhí)法檢查工作與《網(wǎng)絡安全法》的深度結合，對執(zhí)法過程進行了詳細的規(guī)定，使得監(jiān)督檢查工作做到依法檢查、依法處置。簡單的說，有兩條需要值得我們重點關注的地方：

1. 提供WiFi上網(wǎng)服務的公共場所，必須落實上網(wǎng)實名認證。

2. 提供上網(wǎng)服務的公共場所，必須至少保存六十天的上網(wǎng)記錄備份。

自從2014年騰訊推出“微信連Wi-Fi”功能以來，“微信WiFi”一度成為商業(yè)公眾號的吸粉利器。手機連接WiFi即可自動打開公眾號，或者掃描二維碼打開公眾號。既滿足了客戶WiFi上網(wǎng)，又可以滿足商家漲粉的需要。

在本文中，我將介紹如何在RouterOS和WSG上網(wǎng)行為管理網(wǎng)關之間使用openvpn組建site-to-site VPN。網(wǎng)絡拓撲圖如下：

本例中，我們把WSG作為openvpn的服務端，RouterOS作為openvpn的客戶端。反過來的配置也基本類似。

在本文中，我將介紹如何在RouterOS和WSG上網(wǎng)行為管理網(wǎng)關之間創(chuàng)建IPSec隧道。網(wǎng)絡拓撲圖如下：

本例中，我們把WSG作為IPSec的服務端，RouterOS作為IPSec的客戶端。反過來的配置也基本類似。

眾所周知，SSL加密的通訊數(shù)據(jù)，比如https，pops, imaps, smtps，由于在通訊過程中進行非對稱加密，其數(shù)據(jù)是密文傳輸?shù)?；導致網(wǎng)絡監(jiān)控不能直接監(jiān)控到其內容，也無法對內容中的信息進行深度過濾。作為專業(yè)的上網(wǎng)行為管理系統(tǒng)，WFilter NGF在最新版本中，新增了“SSL監(jiān)控模塊”。該SSL監(jiān)控模塊，可以充當SSL的中間人進行證書攔截，從而解析出SSL加密的數(shù)據(jù)內容。利用該模塊，可以實現(xiàn)如下內容：

1. 記錄https網(wǎng)站的頁面內容、發(fā)帖內容。
   

2. 對https網(wǎng)站的訪問進行深度過濾，比如禁止https網(wǎng)站的下載文件格式、禁止在https網(wǎng)頁上傳附件等。

3. 記錄pops, imaps, smtps的郵件內容。

4. 對pops, imaps, smtps的郵件進行深度過濾，比如設置郵件發(fā)送接收黑白名單，禁止發(fā)送附件等等。