企業內部的ERP、OA服務器很多都是通過端口映射到公網的，這樣就不可避免會招來攻擊。如下圖：

公司網絡準入認證方案是網絡安全的基礎，該方案通過對網絡的接入設備進行統一的認證和訪問授權管理，以保證內網的網絡安全。對于企業局域網來說，比較常見的網絡準入認證方案包括802.1X、Portal認證，還有基于企業微信、釘釘等第三方的app認證。

802.1X的認證方式需要支持802.1X的交換機設備，且配置比較復雜，對于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網行為管理網關的Portal認證、第三方認證等功能來實現企業網絡的準入認證。

作為網管技術人員，你一定會因為IP沖突感到煩惱過。IP沖突會導致電腦上不了網，因為業務正常運行等。一旦發現IP地址沖突，在網絡設備上是解決不了的，唯一的解決辦法就是找到沖突的這臺終端并且修改其IP地址或者改成自動獲取IP；而預防IP沖突的唯一辦法就是：自動獲取IP。通過DHCP服務器，統一規劃分配IP，這樣就避免了IP沖突的問題。一般來說，可以采用如下的網絡規劃：

• 服務器、打印機等設備都采用固定IP的方式。

• 辦公電腦自動獲取IP

• 無線設備自動獲取IP

本文以WSG上網行為管理為例，介紹如何檢測、管理IP地址沖突。

上級部門通知局域網內存在僵尸木馬要求網絡進行整改，作為網管人員需要怎樣去處置解決這個問題呢？首先，上級部門只能檢測到局域網總出口的IP地址，并不能識別終端的IP地址。當網內的終端數量比較多時，每臺電腦做病毒查殺的工作量太大了，網管人員會很頭疼這個問題。

比較合理的方案是在局域網內部署一臺入侵檢測系統，通過對網絡數據包進行分析檢測，從而發現問題主機。在本文中，我將以“WSG上網行為管理”為例，來介紹如何進行內網的木馬檢測。

WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，這兩個模塊的檢測原理都是入侵檢測snort。如下圖：

WSG上網行為管理的“IP-MAC綁定”功能非常強大，可以實現IP-MAC綁定、ARP綁定、分配靜態IP等功能。但是配置IP-MAC綁定需要預先收集mac地址并且分配IP，還是有一定的工作量的。在本文中，我將介紹基于用戶認證的IP-MAC綁定功能，其實現原理是：“用戶一旦認證成功就會自動配置IP-MAC綁定”，這樣不但實現了用戶認證，而且固定了IP和mac地址；可以說是IP-MAC綁定的一個有效功能補充。具體的步驟如下：

當你有多臺WSG時，你可能會想把上網日志和統計數據集中保存和管理。集中保存可以保存更長日期的歷史數據，也更加便于管理。本文中，我將介紹如何搭建WSG數據中心管理系統來實現數據的集中存儲管理。

1. WSG數據中心的搭建

WSG數據中心安裝在一臺windows電腦上，該系統的搭建需要安裝以下產品：

1. SQL Server數據庫，所有的日志數據都會被導入到SQL Server數據庫中。

2. FTP服務器，用于提供FTP上傳服務。

3. WFilterDC（WFilter數據中心管理系統），該系統可以導入數據并且提供查詢和統計等功能。

企業網絡信息安全問題日益突出，為了加強企業內部的網絡安全建設，網絡管理技術人員應當從如下幾個方面來設計網絡安全解決方案：

1. 合理的制度和管理

首先需要有完善的網絡安全管理制度，根據企業的實際工作需要制定符合公司實際情況的管理制度和措施來保證網絡的正常運行和網絡的安全運行，并且配備專業的技術人員負責管理維護內網的計算機和網絡設備。

越來越多的企事業單位開始重視信息安全，企業的技術資料、客戶信息等一旦發生信息泄露，會給企業帶來不可估計的損失。即使是網絡環境比較簡單的中小企業，也一樣會受到網絡安全的威脅。如果不注重網絡安全，往往會導致企業的重大損失。本文中，我將從網絡安全的角度，來論述如何保障公司內網的網絡信息安全。主要涉及到如下四點：

1. 合理的網絡架構
   

2. 了解內網的終端
   

3. 管控到外網的訪問

4. 管控來自外網的訪問
   

為了保障網絡安全，提高員工工作效率，企業有必要部署上網行為管理。上網行為管理可對企業內部員工的上網行為進行全方位有效管理，保護Web訪問安全，降低互聯網使用風險，避免機密信息泄露，提升工作效率，限制下載和視頻P等嚴重消耗帶寬的應用，保障企業核心業務帶寬。

根據《中華人民共和國網絡安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計算機信息網絡國際聯網安全保護管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯網安全保護技術措施規定》(第七條、第八條、第十一條)等相關法律規定：

1. 提供WiFi上網服務的公共場所，必須落實上網實名認證。

2. 提供上網服務的公共場所，必須至少保存六十天的上網記錄備份。

短信實名認證是目前最穩定、最普遍的實名認證方案。對于絕大部分WiFi網絡而言，只需要在網絡出口處部署一臺WSG上網行為管理設備，就可以同時實現短信認證和上網記錄的功能，滿足網絡安全法的安全要求。WSG上網行為管理的WiFi短信認證方案，具備如下優勢：

1. 一臺設備就可以滿足認證+審計+安全的功能需求。
   

2. 對內網的網絡設備沒有要求，不需要更改現有的無線方案。

3. 透明部署、即插即用。

網絡拓撲圖如下：

局域網內電腦中了木馬病毒，會有帶來下述壞處：

1. 感染內網其他電腦。

2. 大量攻擊數據的存在，使得網絡緩慢，被攻擊的電腦運行緩慢。

發現內網電腦中毒后，一般都會采取重新安裝系統，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進行病毒查殺。有些殺毒軟件或者防火墻可以檢測到內網的攻擊源，本文中，我將介紹如何用WSG上網行為管理的“木馬檢測”功能來進行檢測。WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，如下圖：

WSG的應用特征庫已經包含了“QQ小程序”和“微信小程序”這兩個應用特征，只要把對應的應用設置成“禁止”即可屏蔽所有的小程序。但是在實際使用過程中，有些用戶只想屏蔽游戲類的小程序，同時允許其他的小程序功能。本文，我將結合管唄上網行為管理，來演示如何實現該需求。

方案一：直接屏蔽“QQ小程序”和“微信小程序”

在“上網策略”的“APP”中，搜索小程序，把QQ小程序和微信小程序設置成“禁止”。這樣的效果是直接把所有的小程序都禁用掉。如下圖：

WFilter的擴展插件系統有一系列實用的擴展插件。本文中，我將介紹插件中的“遠程喚醒”功能，該功能可以給指定的電腦發送WOL（Wake on LAN）數據包，從而實現遠程喚醒和遠程開機。

具體步驟如下：

1. 搜索IP或者MAC地址

輸入IP地址、MAC地址、機器名備注等信息，可以查詢出終端列表。如下圖：

在“WSG撥號上網如何配置IPv6地址？”一文中，我們介紹了如何在撥號上網的情況下開啟IPv6，如文中所述撥號上網時IPv6地址主要都是通過自動獲取來實現的。對于靜態固定IPv6地址來說，配置方式就不一樣了。你需要合理的劃分自己的網段。

IPv6不僅能解決網絡地址資源數量的問題，而且也解決了多種接入設備連入互聯網的障礙。本文中，我將介紹WSG上網行為管理在撥號上網時如何啟用和配置IPv6地址。

1. 首先在外網口開啟IPv6

配置外網口時，需要在外網口啟用IPv6。

在防火墻、上網行為管理如何實現雙機熱備一文中，我們介紹了如何用兩條外線來實現網絡雙機熱備。在有些情況下，一些用戶還需要對同一條線路做雙機熱備。準確的說，外線只有一條，但是要確保防火墻/上網行為管理設備是可以實現熱備的。這種情況下，和防火墻、上網行為管理如何實現雙機熱備一文不同的是，我們需要同時在“內網口”和“外網口”上都開啟虛擬IP。這樣的效果就是：內網口和外網口都工作虛擬IP上，一旦主設備故障，可以迅速切換到備份設備上去。

多條外線時，我們一般都會配置線路負載均衡或者線路分流。線路均衡負載的配置，請參考：同運營商多條外線如何做負載均衡？ 有時候用戶只希望單純的實現一個線路備份的功能，意思就是正常只用一條外線，另外一條外線只在主線路故障時才啟用。本文我就來介紹一下如何用WSG網關來實現兩條線路自動主備切換。

笨驢SD-WAN盒子可以非常方便的實現多地組網，無需修改現有網絡結構，無需替換現有的網絡設備，只要在兩地通過旁路方式分別接一臺SDWAN盒子即可組建虛擬局域網。網絡結構如下圖：

本文將介紹笨驢SD-WAN盒子的首次安裝步驟。

1. 接線方式

如圖所示，SD-WAN盒子這款硬件有如下配置：

• 一個以太網網口，默認自動獲取IP。

• 自帶wifi（SID: wfilter-sdwan，無線網段是192.168.120.0/24）

隨著疫情反反復復，主動或被動采取遠程辦公的公司越來越多。企業網絡除了滿足日常的局域網組網，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業內網。傳統的做法一般需要企業申請帶固定IP的企業專線，通過該固定IP提供遠程撥入服務。而由于專線方案價格高，很多企業承受不了。在本文中，我將介紹沒有公網IP時如何通過SD-WAN的方案來實現遠程辦公撥入。網絡結構圖如下：

為了保障網絡的100%暢通，有些情況下需要用兩臺WSG設備來實現雙機熱備，一旦主服務器故障，幾秒鐘網絡就會切換到備份機上，從而實現保證流量業務不中斷，主備機無縫切換。在本文中，我將介紹如何用兩臺WSG上網行為管理來實現雙機熱備。

利用WSG的用戶認證和行為管理策略，可以對域用戶、非域用戶配置不同的上網策略。比如，你可以默認禁止所有的終端上網，當電腦加入域后，則可以根據賬號、OU等放行具體的訪問內容。本文中，我將介紹如何開啟域認證，并且屏蔽非域用戶上網。

主管部門發出的安全風險報告，一般只能定位到局域網的公網IP。網管技術人員要處理解決該安全事件，還需要定位到具體的終端電腦。這個定位工作非常考驗網管的技術，沒有對應的技術儲備，加上沒有合適的工具的話，你就只能一臺電腦一臺電腦的殺毒了。

在如何檢測局域網內感染了木馬病毒的電腦？一文中，我們介紹了如何通過WSG上網行為管理網關的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說，開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進行查毒殺毒就可以了。有些情況下，由于特征庫版本不一致，或者檢測技術不一樣，也可能存在并沒有檢測到的情況。這時候，我們還可以通過自定義規則的方式，來擴大檢測的內容。在本文中，我將介紹如何自定義檢測規則。

傳統的異地組網方式要求企業有帶固定公網IP的專線才可以實現；由于IPv4資源的短缺，運營商專線價格高企，大部分企業無法承擔高額的專線費用。為解決此問題，各大網絡廠商各顯神通，研發出了一系列的解決方案。本文中，我將介紹如何利用“SD-WAN技術”來實現沒有公網IP時的異地組網互聯。和傳統的VPN相比，SD-WAN有如下優勢：

• 自動尋址，無需公網IP。

• 點對點加密傳輸，無需通過服務器轉發，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

• 既能實現多地組網，又可以實現遠程辦公撥入。

隨著互聯網、數字化的迅速發展，遠程辦公、移動辦公、居家辦公已經是企業必備的網絡服務。企業網絡除了滿足日常的局域網組網，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業內網。傳統的做法，一般有如下兩種：

1). 企業申請帶固定IP的企業專線，通過該固定IP提供遠程撥入服務。

2). 在路由器上綁定動態域名，通過動態域名來訪問。

近年以來，由于IPv4資源的短缺，運營商改為只分配內網的IPv4地址，導致動態域名這個方案已經不可行了。而專線方案價格高企，很多企業承受不了。