網(wǎng)絡(luò)滲透攻擊會(huì)嚴(yán)重威脅到企業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。攻擊者會(huì)有針對(duì)性地對(duì)某個(gè)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊，以獲取其內(nèi)部的商業(yè)資料，進(jìn)行網(wǎng)絡(luò)破壞等。一旦其獲取了目標(biāo)網(wǎng)絡(luò)中網(wǎng)站服務(wù)器的權(quán)限，還會(huì)利用此臺(tái)服務(wù)器，繼續(xù)入侵目標(biāo)網(wǎng)絡(luò)，獲取整個(gè)網(wǎng)絡(luò)中所有主機(jī)的權(quán)限。為了實(shí)現(xiàn)滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡(jiǎn)單的Web腳本漏洞攻擊。攻擊者會(huì)綜合運(yùn)用遠(yuǎn)程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網(wǎng)絡(luò)。

防御網(wǎng)絡(luò)滲透攻擊，主要從如下方面入手：

• 采用安全的網(wǎng)絡(luò)架構(gòu)，杜絕未知接入。

• 部署網(wǎng)絡(luò)安全設(shè)備，精確識(shí)別和抵御攻擊行為。

• 配置策略阻止未知來源的網(wǎng)絡(luò)連接。

為了網(wǎng)絡(luò)安全的需要，很多企事業(yè)單位都在局域網(wǎng)內(nèi)部署了上網(wǎng)認(rèn)證系統(tǒng)。但是怎樣來選擇一套適合自己的上網(wǎng)認(rèn)證系統(tǒng)呢？我建議從以下方面來考慮：

1. 可選擇的多種認(rèn)證手段。需要和對(duì)內(nèi)部員工、來訪人員提供不同的認(rèn)證手段。
   

2. 認(rèn)證方式的選擇。如果是企業(yè)內(nèi)部員工認(rèn)證，建議用戶名密碼認(rèn)證。如果是流動(dòng)人員或者訪客，建議使用短信認(rèn)證（記錄手機(jī)號(hào)）

3. 可以和認(rèn)證集成的上網(wǎng)審計(jì)系統(tǒng)。做了認(rèn)證但是不記錄上網(wǎng)日志是沒有意義的。必須要部署和認(rèn)證系統(tǒng)集成的上網(wǎng)審計(jì)系統(tǒng)，能把上網(wǎng)記錄和認(rèn)證的用戶名關(guān)聯(lián)到一起，做到有據(jù)可查。這才是認(rèn)證的意義所在。

上網(wǎng)認(rèn)證是網(wǎng)絡(luò)安全的基礎(chǔ)，只有認(rèn)證后的終端才允許接入。對(duì)于企事業(yè)的局域網(wǎng)來說，比較常見的網(wǎng)絡(luò)認(rèn)證方案包括802.1X、Web Portal認(rèn)證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認(rèn)證。由于802.1X的認(rèn)證方式需要支持802.1X的交換機(jī)設(shè)備，且配置比較復(fù)雜，對(duì)于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)的Web Portal認(rèn)證、第三方認(rèn)證、訪客認(rèn)證等功能。

WSG的訪客認(rèn)證主要包括三種認(rèn)證方式：

1. 短信認(rèn)證；通過短信平臺(tái)發(fā)送短信來驗(yàn)證用戶手機(jī)號(hào)，從而實(shí)現(xiàn)實(shí)名認(rèn)證的需要。

2. 微信小程序認(rèn)證；終端需要在微信小程序中授權(quán)獲取手機(jī)號(hào)，從而記錄手機(jī)號(hào)實(shí)名上網(wǎng)。

3. 二維碼認(rèn)證；終端需要把二維碼提供給審核人員，審核人員人工審核后上網(wǎng)。

WSG的短信認(rèn)證可以對(duì)網(wǎng)絡(luò)內(nèi)部終端進(jìn)行實(shí)名上網(wǎng)認(rèn)證，短信認(rèn)證的配置截圖如下：

企業(yè)在規(guī)劃網(wǎng)絡(luò)架構(gòu)時(shí)，一般都會(huì)區(qū)分員工網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)，并且實(shí)現(xiàn)不同的上網(wǎng)認(rèn)證方式，比如員工采用用戶名密碼認(rèn)證，訪客采用短信實(shí)名認(rèn)證。但是有些網(wǎng)絡(luò)由于設(shè)計(jì)缺陷，不區(qū)分內(nèi)部員工和訪客，為了實(shí)現(xiàn)上網(wǎng)認(rèn)證，需要對(duì)同一個(gè)網(wǎng)段同時(shí)啟用短信認(rèn)證和用戶名認(rèn)證。本文中，我將介紹如何同時(shí)啟用短信認(rèn)證和用戶名認(rèn)證。

通過用上網(wǎng)行為管理限制電腦的網(wǎng)絡(luò)訪問，管控終端可以訪問的外網(wǎng)站點(diǎn)，可以實(shí)現(xiàn)只允許終端使用指定的網(wǎng)絡(luò)軟件。請(qǐng)注意，網(wǎng)絡(luò)管控只能管控網(wǎng)絡(luò)軟件，并不能限制單機(jī)軟件。

本文中，我將以WSG上網(wǎng)行為管理為例，使終端電腦只能使用“虛幻引擎”這個(gè)軟件。

1. 首先，配置“應(yīng)用過濾”禁止所有外網(wǎng)

用WSG上網(wǎng)行為管理很容易就可以屏蔽一臺(tái)網(wǎng)絡(luò)終端訪問外網(wǎng)，本文中，我將演示如何用WSG上網(wǎng)行為管理來配置策略禁止一臺(tái)電腦訪問外網(wǎng)。

1. 在應(yīng)用過濾中新增策略

在“模塊”-“行為管理”-“應(yīng)用過濾”中新增策略，選擇“增加一個(gè)全新的配置”。

“公司辦公網(wǎng)，想要實(shí)現(xiàn)電腦可以登陸微信，但其他網(wǎng)站均不允許打開。目的是允許辦公人員在電腦上使用微信，但是不允許他們?yōu)g覽網(wǎng)頁和其他與網(wǎng)絡(luò)有關(guān)的內(nèi)容。”這樣的需求，我們可以通過在局域網(wǎng)內(nèi)網(wǎng)橋部署一臺(tái)WSG上網(wǎng)管理軟件來實(shí)現(xiàn)，網(wǎng)絡(luò)結(jié)構(gòu)如下：

現(xiàn)在越來越多的企業(yè)開始關(guān)注網(wǎng)絡(luò)安全，但是辦公網(wǎng)絡(luò)安全現(xiàn)狀還不容樂觀。首先，領(lǐng)導(dǎo)層和員工的安全意識(shí)不高。一些員工在密碼設(shè)置、郵件和文件收發(fā)等方面缺少安全意識(shí)，很容易使企業(yè)網(wǎng)絡(luò)受到攻擊和病毒感染。而且一些企業(yè)缺少網(wǎng)絡(luò)安全應(yīng)急預(yù)案，沒有做好數(shù)據(jù)備份，一旦在發(fā)生網(wǎng)絡(luò)攻擊事件時(shí)響應(yīng)遲緩造成巨大損失。其次，缺少網(wǎng)絡(luò)安全設(shè)備；一些企業(yè)網(wǎng)絡(luò)還沒有安裝防火墻和入侵檢測(cè)設(shè)備，一旦被攻擊就抵擋防御。所以，企業(yè)網(wǎng)絡(luò)安全最需要注重如下幾個(gè)方面：

網(wǎng)絡(luò)安全已經(jīng)是企業(yè)局域網(wǎng)不可忽視的安全問題。那么企業(yè)網(wǎng)絡(luò)安全的防護(hù)技術(shù)有哪些呢？主要包括如下幾點(diǎn)：防火墻、入侵檢測(cè)和防御、DDoS防護(hù)、內(nèi)網(wǎng)上網(wǎng)管控。本文中，我將以WSG上網(wǎng)行為管理為例，介紹企業(yè)網(wǎng)絡(luò)防護(hù)技術(shù)。

1. 防火墻

防火墻是網(wǎng)絡(luò)防護(hù)的第一道門戶。企業(yè)的網(wǎng)絡(luò)防護(hù)需要對(duì)來自外網(wǎng)的訪問進(jìn)行限制。比如：阻止外網(wǎng)訪問防火墻，限制外網(wǎng)訪問端口映射的IP范圍等。

電腦一旦被安裝了挖礦程序，會(huì)帶來很多危害：占用大量的電力和運(yùn)算資源、拖慢機(jī)器、感染局域網(wǎng)內(nèi)的其他終端......所以，挖礦行為目前是被各級(jí)部門明令禁止的，一旦被上級(jí)部門檢測(cè)到有挖礦行為，很可能會(huì)被阻止互聯(lián)網(wǎng)接入直至整改完成。當(dāng)接到上級(jí)部門通告時(shí)，作為網(wǎng)管人員需要怎樣去處置解決這個(gè)問題呢？

被上級(jí)部門檢測(cè)到，一般存在如下三種情況：

1. 訪問了礦池或者虛擬貨幣服務(wù)器的目標(biāo)IP

2. 訪問了“挖礦”域名（HTTP/HTTPS）

3. 查詢了“挖礦”域名（DNS）

企業(yè)內(nèi)部的ERP、OA服務(wù)器很多都是通過端口映射到公網(wǎng)的，這樣就不可避免會(huì)招來攻擊。如下圖：

公司網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案是網(wǎng)絡(luò)安全的基礎(chǔ)，該方案通過對(duì)網(wǎng)絡(luò)的接入設(shè)備進(jìn)行統(tǒng)一的認(rèn)證和訪問授權(quán)管理，以保證內(nèi)網(wǎng)的網(wǎng)絡(luò)安全。對(duì)于企業(yè)局域網(wǎng)來說，比較常見的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案包括802.1X、Portal認(rèn)證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認(rèn)證。

802.1X的認(rèn)證方式需要支持802.1X的交換機(jī)設(shè)備，且配置比較復(fù)雜，對(duì)于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)的Portal認(rèn)證、第三方認(rèn)證等功能來實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證。

作為網(wǎng)管技術(shù)人員，你一定會(huì)因?yàn)镮P沖突感到煩惱過。IP沖突會(huì)導(dǎo)致電腦上不了網(wǎng)，因?yàn)闃I(yè)務(wù)正常運(yùn)行等。一旦發(fā)現(xiàn)IP地址沖突，在網(wǎng)絡(luò)設(shè)備上是解決不了的，唯一的解決辦法就是找到?jīng)_突的這臺(tái)終端并且修改其IP地址或者改成自動(dòng)獲取IP；而預(yù)防IP沖突的唯一辦法就是：自動(dòng)獲取IP。通過DHCP服務(wù)器，統(tǒng)一規(guī)劃分配IP，這樣就避免了IP沖突的問題。一般來說，可以采用如下的網(wǎng)絡(luò)規(guī)劃：

• 服務(wù)器、打印機(jī)等設(shè)備都采用固定IP的方式。

• 辦公電腦自動(dòng)獲取IP

• 無線設(shè)備自動(dòng)獲取IP

本文以WSG上網(wǎng)行為管理為例，介紹如何檢測(cè)、管理IP地址沖突。

上級(jí)部門通知局域網(wǎng)內(nèi)存在僵尸木馬要求網(wǎng)絡(luò)進(jìn)行整改，作為網(wǎng)管人員需要怎樣去處置解決這個(gè)問題呢？首先，上級(jí)部門只能檢測(cè)到局域網(wǎng)總出口的IP地址，并不能識(shí)別終端的IP地址。當(dāng)網(wǎng)內(nèi)的終端數(shù)量比較多時(shí)，每臺(tái)電腦做病毒查殺的工作量太大了，網(wǎng)管人員會(huì)很頭疼這個(gè)問題。

比較合理的方案是在局域網(wǎng)內(nèi)部署一臺(tái)入侵檢測(cè)系統(tǒng)，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析檢測(cè)，從而發(fā)現(xiàn)問題主機(jī)。在本文中，我將以“WSG上網(wǎng)行為管理”為例，來介紹如何進(jìn)行內(nèi)網(wǎng)的木馬檢測(cè)。

WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測(cè)”這兩個(gè)安全防護(hù)模塊，這兩個(gè)模塊的檢測(cè)原理都是入侵檢測(cè)snort。如下圖：

WSG上網(wǎng)行為管理的“IP-MAC綁定”功能非常強(qiáng)大，可以實(shí)現(xiàn)IP-MAC綁定、ARP綁定、分配靜態(tài)IP等功能。但是配置IP-MAC綁定需要預(yù)先收集mac地址并且分配IP，還是有一定的工作量的。在本文中，我將介紹基于用戶認(rèn)證的IP-MAC綁定功能，其實(shí)現(xiàn)原理是：“用戶一旦認(rèn)證成功就會(huì)自動(dòng)配置IP-MAC綁定”，這樣不但實(shí)現(xiàn)了用戶認(rèn)證，而且固定了IP和mac地址；可以說是IP-MAC綁定的一個(gè)有效功能補(bǔ)充。具體的步驟如下：

當(dāng)你有多臺(tái)WSG時(shí)，你可能會(huì)想把上網(wǎng)日志和統(tǒng)計(jì)數(shù)據(jù)集中保存和管理。集中保存可以保存更長(zhǎng)日期的歷史數(shù)據(jù)，也更加便于管理。本文中，我將介紹如何搭建WSG數(shù)據(jù)中心管理系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)管理。

1. WSG數(shù)據(jù)中心的搭建

WSG數(shù)據(jù)中心安裝在一臺(tái)windows電腦上，該系統(tǒng)的搭建需要安裝以下產(chǎn)品：

1. SQL Server數(shù)據(jù)庫，所有的日志數(shù)據(jù)都會(huì)被導(dǎo)入到SQL Server數(shù)據(jù)庫中。

2. FTP服務(wù)器，用于提供FTP上傳服務(wù)。

3. WFilterDC（WFilter數(shù)據(jù)中心管理系統(tǒng)），該系統(tǒng)可以導(dǎo)入數(shù)據(jù)并且提供查詢和統(tǒng)計(jì)等功能。

企業(yè)網(wǎng)絡(luò)信息安全問題日益突出，為了加強(qiáng)企業(yè)內(nèi)部的網(wǎng)絡(luò)安全建設(shè)，網(wǎng)絡(luò)管理技術(shù)人員應(yīng)當(dāng)從如下幾個(gè)方面來設(shè)計(jì)網(wǎng)絡(luò)安全解決方案：

1. 合理的制度和管理

首先需要有完善的網(wǎng)絡(luò)安全管理制度，根據(jù)企業(yè)的實(shí)際工作需要制定符合公司實(shí)際情況的管理制度和措施來保證網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)的安全運(yùn)行，并且配備專業(yè)的技術(shù)人員負(fù)責(zé)管理維護(hù)內(nèi)網(wǎng)的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備。

越來越多的企事業(yè)單位開始重視信息安全，企業(yè)的技術(shù)資料、客戶信息等一旦發(fā)生信息泄露，會(huì)給企業(yè)帶來不可估計(jì)的損失。即使是網(wǎng)絡(luò)環(huán)境比較簡(jiǎn)單的中小企業(yè)，也一樣會(huì)受到網(wǎng)絡(luò)安全的威脅。如果不注重網(wǎng)絡(luò)安全，往往會(huì)導(dǎo)致企業(yè)的重大損失。本文中，我將從網(wǎng)絡(luò)安全的角度，來論述如何保障公司內(nèi)網(wǎng)的網(wǎng)絡(luò)信息安全。主要涉及到如下四點(diǎn)：

1. 合理的網(wǎng)絡(luò)架構(gòu)
   

2. 了解內(nèi)網(wǎng)的終端
   

3. 管控到外網(wǎng)的訪問

4. 管控來自外網(wǎng)的訪問
   

為了保障網(wǎng)絡(luò)安全，提高員工工作效率，企業(yè)有必要部署上網(wǎng)行為管理。上網(wǎng)行為管理可對(duì)企業(yè)內(nèi)部員工的上網(wǎng)行為進(jìn)行全方位有效管理，保護(hù)Web訪問安全，降低互聯(lián)網(wǎng)使用風(fēng)險(xiǎn)，避免機(jī)密信息泄露，提升工作效率，限制下載和視頻P等嚴(yán)重消耗帶寬的應(yīng)用，保障企業(yè)核心業(yè)務(wù)帶寬。

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》(第七條、第八條、第十一條)等相關(guān)法律規(guī)定：

1. 提供WiFi上網(wǎng)服務(wù)的公共場(chǎng)所，必須落實(shí)上網(wǎng)實(shí)名認(rèn)證。

2. 提供上網(wǎng)服務(wù)的公共場(chǎng)所，必須至少保存六十天的上網(wǎng)記錄備份。

短信實(shí)名認(rèn)證是目前最穩(wěn)定、最普遍的實(shí)名認(rèn)證方案。對(duì)于絕大部分WiFi網(wǎng)絡(luò)而言，只需要在網(wǎng)絡(luò)出口處部署一臺(tái)WSG上網(wǎng)行為管理設(shè)備，就可以同時(shí)實(shí)現(xiàn)短信認(rèn)證和上網(wǎng)記錄的功能，滿足網(wǎng)絡(luò)安全法的安全要求。WSG上網(wǎng)行為管理的WiFi短信認(rèn)證方案，具備如下優(yōu)勢(shì)：

1. 一臺(tái)設(shè)備就可以滿足認(rèn)證+審計(jì)+安全的功能需求。
   

2. 對(duì)內(nèi)網(wǎng)的網(wǎng)絡(luò)設(shè)備沒有要求，不需要更改現(xiàn)有的無線方案。

3. 透明部署、即插即用。

網(wǎng)絡(luò)拓?fù)鋱D如下：

局域網(wǎng)內(nèi)電腦中了木馬病毒，會(huì)有帶來下述壞處：

1. 感染內(nèi)網(wǎng)其他電腦。

2. 大量攻擊數(shù)據(jù)的存在，使得網(wǎng)絡(luò)緩慢，被攻擊的電腦運(yùn)行緩慢。

發(fā)現(xiàn)內(nèi)網(wǎng)電腦中毒后，一般都會(huì)采取重新安裝系統(tǒng)，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進(jìn)行病毒查殺。有些殺毒軟件或者防火墻可以檢測(cè)到內(nèi)網(wǎng)的攻擊源，本文中，我將介紹如何用WSG上網(wǎng)行為管理的“木馬檢測(cè)”功能來進(jìn)行檢測(cè)。WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測(cè)”這兩個(gè)安全防護(hù)模塊，如下圖：

WSG的應(yīng)用特征庫已經(jīng)包含了“QQ小程序”和“微信小程序”這兩個(gè)應(yīng)用特征，只要把對(duì)應(yīng)的應(yīng)用設(shè)置成“禁止”即可屏蔽所有的小程序。但是在實(shí)際使用過程中，有些用戶只想屏蔽游戲類的小程序，同時(shí)允許其他的小程序功能。本文，我將結(jié)合管唄上網(wǎng)行為管理，來演示如何實(shí)現(xiàn)該需求。

方案一：直接屏蔽“QQ小程序”和“微信小程序”

在“上網(wǎng)策略”的“APP”中，搜索小程序，把QQ小程序和微信小程序設(shè)置成“禁止”。這樣的效果是直接把所有的小程序都禁用掉。如下圖：

WFilter的擴(kuò)展插件系統(tǒng)有一系列實(shí)用的擴(kuò)展插件。本文中，我將介紹插件中的“遠(yuǎn)程喚醒”功能，該功能可以給指定的電腦發(fā)送WOL（Wake on LAN）數(shù)據(jù)包，從而實(shí)現(xiàn)遠(yuǎn)程喚醒和遠(yuǎn)程開機(jī)。

具體步驟如下：

1. 搜索IP或者M(jìn)AC地址

輸入IP地址、MAC地址、機(jī)器名備注等信息，可以查詢出終端列表。如下圖：