WSG上網(wǎng)行為管理的“事件查看器”中記錄了一系列的事件、告警以及錯(cuò)誤信息，包括操作日志、wan口聯(lián)通狀況、入侵攻擊事件、以及自定義的關(guān)鍵詞告警、流量告警和新增設(shè)備告警等事件日志。傳統(tǒng)的郵件告警方式已經(jīng)越來不能滿足實(shí)時(shí)通知的需要。在本文中，我將介紹如何利用企業(yè)微信機(jī)器人來實(shí)現(xiàn)事件日志的實(shí)時(shí)發(fā)送。具體步驟如下：

1. 創(chuàng)建企業(yè)微信機(jī)器人

在手機(jī)版的企業(yè)微信群聊中，添加群機(jī)器人，并記錄webhook的URL地址。如下圖：

WSG的“事件查看器”中記錄了一系列的事件、告警以及錯(cuò)誤信息，包括操作日志、wan口聯(lián)通狀況、入侵攻擊事件、以及自定義的關(guān)鍵詞告警、流量告警和新增設(shè)備告警等事件日志。傳統(tǒng)的郵件告警方式已經(jīng)越來不能滿足實(shí)時(shí)通知的需要。在本文中，我將介紹如何利用釘釘機(jī)器人來實(shí)現(xiàn)事件日志的實(shí)時(shí)發(fā)送。具體步驟如下：

1. 添加釘釘機(jī)器人

首先需要在釘釘pc版的群助手里面添加機(jī)器人

ZeroTier可以在無公網(wǎng)IP的情況下提供便捷的虛擬局域網(wǎng)組網(wǎng)和內(nèi)網(wǎng)穿透方案。簡單來說, ZeroTier就是一個(gè)VLAN組建工具，主要有如下的優(yōu)勢和缺點(diǎn)：

• 配置非常簡單，只需要在官網(wǎng)創(chuàng)建Network?？蛻舳酥苯蛹尤隢etwork即可。

• 跨平臺(tái): ZeroTier提供了windows, macOS, linux, Android, iOS...幾乎全平臺(tái)的客戶端, 你可以把任意平臺(tái)的設(shè)備接入VLAN。

• 免費(fèi)可以支持100個(gè)設(shè)備組網(wǎng)。
  

• 缺點(diǎn)：官網(wǎng)只提供英文，沒有中文版。

本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，介紹如何用ZeroTier來實(shí)現(xiàn)遠(yuǎn)程辦公撥入和內(nèi)網(wǎng)穿透。

在企事業(yè)的WiFi環(huán)境中，需要對(duì)手機(jī)的上網(wǎng)進(jìn)行實(shí)名管理，記錄上網(wǎng)內(nèi)容并且設(shè)置一定的管理策略。本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來對(duì)WiFi手機(jī)上網(wǎng)進(jìn)行實(shí)名管理。

手機(jī)的上網(wǎng)實(shí)名認(rèn)證，主要包括如下方法：

1. MAC綁定；把手機(jī)的MAC地址綁定到姓名。

2. 短信認(rèn)證；通過短信認(rèn)證來獲取手機(jī)號(hào)，基于手機(jī)號(hào)進(jìn)行實(shí)名。

3. 用戶名密碼認(rèn)證；手機(jī)上網(wǎng)時(shí)需要輸入用戶名密碼，從而認(rèn)證到每個(gè)人。

4. 二維碼認(rèn)證；由審核員掃描二維碼進(jìn)行審核并且錄入姓名。

5. 釘釘、企業(yè)微信認(rèn)證；用釘釘app和企業(yè)微信app掃碼認(rèn)證上網(wǎng)。
   

6. 微信小程序認(rèn)證；通過微信小程序獲取手機(jī)號(hào)碼，從而實(shí)現(xiàn)實(shí)名上網(wǎng)。
   

每個(gè)方法各有優(yōu)缺點(diǎn)，用戶可以基于實(shí)際情況選擇合適的認(rèn)證方式。

不加管控的局域網(wǎng)下載，不但會(huì)占用大量的帶寬資源，而且下載不明類型的軟件程序等會(huì)給局域網(wǎng)來的病毒等危害。在本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來介紹如何屏蔽局域網(wǎng)的下載行為。

下載行為的管控，主要從以下幾個(gè)方面來入手：

1. 屏蔽各類下載站的訪問。

2. 屏蔽各類下載工具、P2P下載軟件等。

3. 禁止網(wǎng)盤等文件傳輸。

4. 屏蔽網(wǎng)頁上的文件下載。

企業(yè)的無線網(wǎng)絡(luò)經(jīng)常會(huì)迎來一些訪客，如果對(duì)訪客不進(jìn)行用戶實(shí)名認(rèn)證和上網(wǎng)記錄，則會(huì)給企業(yè)的網(wǎng)絡(luò)帶來一定的風(fēng)險(xiǎn)。WSG的WiFi上網(wǎng)實(shí)名認(rèn)證，可以支持“用戶名密碼認(rèn)證”“短信認(rèn)證”、“釘釘認(rèn)證”、“企業(yè)微信認(rèn)證”。

網(wǎng)絡(luò)安全現(xiàn)在已經(jīng)是互聯(lián)網(wǎng)領(lǐng)域的重要問題，網(wǎng)絡(luò)安全引發(fā)的事故也一直呈上升趨勢。中小企業(yè)雖然網(wǎng)絡(luò)環(huán)境比較簡單，但是一樣會(huì)受到網(wǎng)絡(luò)安全的威脅。如果不注重網(wǎng)絡(luò)安全，往往會(huì)導(dǎo)致企業(yè)的重大損失。下面我們就一起來看看中小企業(yè)面臨的常見網(wǎng)絡(luò)安全威脅：

企業(yè)出于工作的需要，一般會(huì)映射一些內(nèi)網(wǎng)主機(jī)供外網(wǎng)訪問。比如：ERP系統(tǒng)、財(cái)務(wù)系統(tǒng)、CRM系統(tǒng)，甚至一些內(nèi)網(wǎng)主機(jī)的遠(yuǎn)程桌面等等。分公司、出差員工在外網(wǎng)通過互聯(lián)網(wǎng)就可以訪問到內(nèi)網(wǎng)資源，給工作帶來了很大的便利。但是，不加限制和保護(hù)的端口映射訪問，給網(wǎng)絡(luò)安全帶來了很大的挑戰(zhàn)。

端口映射的內(nèi)網(wǎng)主機(jī)安全，主要考慮如下幾點(diǎn)：

1. 被映射的內(nèi)網(wǎng)主機(jī)要安裝防火墻，并且確保已經(jīng)打了各項(xiàng)安全補(bǔ)丁。

2. 限制訪問端的IP地址，阻止從其他地區(qū)連入。一般可以在網(wǎng)關(guān)防火墻上進(jìn)行配置，限制能訪問映射主機(jī)的IP地址。

3. 避免常用的端口。比如你用默認(rèn)的3389端口，那么攻擊程序立刻就知道這是遠(yuǎn)程桌面服務(wù)，從而就可以采用對(duì)應(yīng)的滲透手動(dòng)來攻擊。采用一些不常用的端口可以起到一定的保護(hù)作用。

4. 部署入侵防御，一旦發(fā)現(xiàn)外網(wǎng)攻擊時(shí)，可以及時(shí)阻止攻擊者的IP地址。從而保護(hù)內(nèi)網(wǎng)主機(jī)。

近年來公安部持續(xù)推出護(hù)網(wǎng)行動(dòng)，以戰(zhàn)養(yǎng)兵，推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施的安全監(jiān)測、應(yīng)急響應(yīng)等保障能力。為積極響應(yīng)護(hù)網(wǎng)行動(dòng)，做好安全防守工作；本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)來介紹網(wǎng)絡(luò)邊界的安全防護(hù)工作。服務(wù)器安全、內(nèi)網(wǎng)安全并不在本文討論的課題內(nèi)。

利用“擴(kuò)展插件”中的“NGF配置同步插件”可以同步多臺(tái)WFilter NGF（WSG硬件）的相關(guān)配置，這個(gè)功能在管理維護(hù)多臺(tái)WSG設(shè)備時(shí)非常實(shí)用。在本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)來介紹“NGF配置同步插件”的使用步驟。

1. 準(zhǔn)備工作

1. 首先要有一臺(tái)WSG作為服務(wù)端，其他做為客戶端。服務(wù)端可以直接把配置推送給客戶端，也可以等客戶端主動(dòng)來進(jìn)行同步。
   

2. 多臺(tái)WSG之間通過Web來同步配置，所以要確保服務(wù)端和客戶端之間的Web連接可達(dá)。（在服務(wù)端可以訪問客戶端的web，或者客戶端可以訪問服務(wù)端的web）

3. 創(chuàng)建同步用戶。每臺(tái)WSG都應(yīng)當(dāng)建一個(gè)用戶名密碼一樣的操作員用于進(jìn)行同步操作。

4. 下載“NGF配置同步插件”，并且進(jìn)行配置。

在WFilter NGF的“運(yùn)營管理”中，我們可以配置終端的帶寬策略、用戶賬號(hào)、到期時(shí)間等信息。本文將結(jié)合WFilter NGF的“運(yùn)營管理模塊”介紹如何對(duì)接第三方的支付平臺(tái)。

一、運(yùn)營管理模塊的配置

1. 給用戶創(chuàng)建不同的帶寬套餐

釘釘?shù)耐ㄓ嵾^程比較復(fù)雜，需要用到釘釘相關(guān)的網(wǎng)站、阿里云平臺(tái)，還有一些私有的通訊協(xié)議。所以要達(dá)到“只允許釘釘并且屏蔽其他網(wǎng)絡(luò)行為“這個(gè)管控效果，一般的路由器是做不到的，需要專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以。專業(yè)的上網(wǎng)行為管理產(chǎn)品可以準(zhǔn)確識(shí)別出釘釘?shù)牧髁坎⑶壹右怨芸亍?/span>

當(dāng)前網(wǎng)絡(luò)安全形勢嚴(yán)峻，來自外網(wǎng)的攻擊與日俱增。局域網(wǎng)一不小心就會(huì)受到病毒、蠕蟲、勒索軟件的攻擊，導(dǎo)致嚴(yán)重的損失。本文中，我將結(jié)合WSG網(wǎng)關(guān)（WFilter NGF）來介紹如何阻止外網(wǎng)的攻擊。請(qǐng)注意，本文只討論如何阻止網(wǎng)絡(luò)攻擊，單機(jī)的防護(hù)是另外的課題不在本文的討論范圍內(nèi)。阻止外網(wǎng)攻擊主要包括如下部分：

釘釘?shù)氖褂眠^程中必須連接外網(wǎng)，對(duì)于網(wǎng)絡(luò)權(quán)限設(shè)置比較嚴(yán)格的局域網(wǎng)來說，如何開放釘釘一直是一個(gè)難題。由于釘釘官方已經(jīng)不再公布服務(wù)器的段，所以不能基于IP范圍來做管控。必須要有專業(yè)的上網(wǎng)行為管理產(chǎn)品，才可以準(zhǔn)確識(shí)別出釘釘?shù)牧髁坎⑶壹右怨芸亍?/span>

本文，我就來介紹下在WSG上網(wǎng)行為管理網(wǎng)關(guān)中如何放行釘釘。釘釘?shù)氖褂眯枰ㄟ^https訪問釘釘相關(guān)的網(wǎng)站，另外還有自己的通訊協(xié)議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘這兩個(gè)應(yīng)用協(xié)議，并且允許釘釘?shù)南嚓P(guān)網(wǎng)站。具體的配置步驟如下：

企業(yè)內(nèi)網(wǎng)一般都會(huì)劃分多個(gè)VLAN。劃分VLAN可以提高內(nèi)網(wǎng)安全性，而且更加便于管理。比如：有線和無線處于不同的網(wǎng)段，不允許無線設(shè)備訪問企業(yè)內(nèi)網(wǎng)，這樣可以保護(hù)內(nèi)部信息安全；而且可以對(duì)不同網(wǎng)段配置不同的上網(wǎng)策略和流控策略。而且劃分VLAN可以分割廣播域，避免廣播風(fēng)暴。VLAN的劃分一般有如下三種方法：

1. 通過三層交換機(jī)來劃分VLAN

有些單位出于工作目的，需要允許員工訪問百度網(wǎng)盤和百度文庫，但是又要屏蔽員工通過網(wǎng)盤和文庫上傳文件。由于百度旗下網(wǎng)站已經(jīng)全面采用https的方式，傳統(tǒng)的基于IP地址、端口、甚至域名來做過濾，都無法實(shí)現(xiàn)這樣的需求。要實(shí)現(xiàn)類似功能，必須要有專業(yè)的上網(wǎng)行為管理產(chǎn)品。

以我們的WSG上網(wǎng)行為管理為例，應(yīng)用過濾模塊中的“屏蔽疑似上傳”功能，可以對(duì)每個(gè)鏈接的上傳下載數(shù)據(jù)大小進(jìn)行檢查，一旦發(fā)現(xiàn)疑似外發(fā)文件的行為，立刻切斷該連接。而且不會(huì)影響正常的瀏覽和下載。相關(guān)配置如下圖：

我們?cè)诠ぷ髦薪?jīng)常需要用到QQ和微信來交流和發(fā)送截圖，但是QQ和微信方便的外發(fā)文件功能，卻給企業(yè)的信息安全帶來挑戰(zhàn)。很多用戶咨詢?nèi)绾卧诒Ａ艚貓D功能的同時(shí)，又要屏蔽QQ和微信的外發(fā)文件功能。所以我們的技術(shù)人員專門做了針對(duì)性的測試。

本文中，我將介紹如何用WSG硬件網(wǎng)關(guān)（WFilter NGF）來屏蔽QQ和微信外發(fā)文件，同時(shí)保留截圖功能。

通訊協(xié)議分析

首先，QQ和微信的發(fā)送截圖和發(fā)送文件走的是同樣的數(shù)據(jù)通道。無法通過IP地址、通訊端口，以及協(xié)議特征來進(jìn)行區(qū)分。這里我們要用到WSG行為管理的一個(gè)特色功能：屏蔽疑似文件上傳功能。如下圖：

為滿足出差在外人員和分支機(jī)構(gòu)辦公的需要，企事業(yè)單位一般采用如下的兩種方式：

1. 端口映射，把對(duì)應(yīng)的服務(wù)端口映射到公網(wǎng)，供終端訪問。
   

2. VPN?？蛻舳诵枰葥苋隫PN，然后再訪問內(nèi)網(wǎng)服務(wù)。

這兩個(gè)辦法各有優(yōu)缺點(diǎn)：端口映射的方式，配置簡單但是不夠安全。內(nèi)網(wǎng)的服務(wù)系統(tǒng)直接暴露在公網(wǎng)上，容易被攻擊導(dǎo)致嚴(yán)重的損失。VPN的方式，安全系數(shù)要高很多。但是VPN需要配置客戶機(jī)，配置和維護(hù)比較復(fù)雜。

在本文中，我將介紹WFilter NGF（WSG網(wǎng)關(guān)）中新加的一個(gè)功能：Web VPN。采用Web VPN可以帶來如下好處：

隨著釘釘辦公的普及，越來越多的企事業(yè)單位采用釘釘作為日常的辦公工具。而釘釘使用是需要連接互聯(lián)網(wǎng)的，而且釘釘具有非常快捷方便的文件上傳功能。那么對(duì)局域網(wǎng)的網(wǎng)絡(luò)安全就帶來了一定的挑戰(zhàn)。主要在于如下兩點(diǎn)：

1. 如何不允許上外網(wǎng)的電腦使用釘釘，并且禁止其他的所有應(yīng)用？
   

2. 如何防止員工通過釘釘軟件外發(fā)文件導(dǎo)致資料泄露？

下面我將針對(duì)這兩點(diǎn)需求來介紹具體的實(shí)現(xiàn)方案。

釘釘(DingTalk)是中國領(lǐng)先的智能移動(dòng)辦公平臺(tái)，用于商務(wù)溝通和工作協(xié)同。越來越多企業(yè)采用釘釘來進(jìn)行辦公自動(dòng)化，但是由此帶來的信息安全問題也不能忽視。釘釘軟件可以很容易的上傳附件、外發(fā)和接收文件，從而威脅到網(wǎng)絡(luò)內(nèi)部的信息安全。近來很多客戶提出需要屏蔽釘釘?shù)耐獍l(fā)文件功能，所以我們做了針對(duì)性的測試。下文是釘釘外發(fā)文件的協(xié)議詳解和如何屏蔽的方案。

1. 釘釘外發(fā)文件的協(xié)議分析

通過多次的抓包分析，釘釘PC版的外發(fā)文件和手機(jī)版的外發(fā)文件采用的不同的方式。

釘釘PC版的外發(fā)文件，主要通過sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個(gè)網(wǎng)站進(jìn)行轉(zhuǎn)發(fā)。抓包分析如下圖：

企業(yè)開展在家辦公，需要滿足員工從外網(wǎng)接入到企業(yè)內(nèi)網(wǎng)的工作需要，那么在選擇網(wǎng)絡(luò)設(shè)備的時(shí)候，主要關(guān)注以下幾點(diǎn)：

1. 提供安全可靠的VPN遠(yuǎn)程撥入服務(wù)

VPN的訪問安全不能只依賴用戶名和密碼，至少要可以提供雙重認(rèn)證。比如SSL VPN的ca證書加用戶名密碼的方式。用戶既需要有正確的ca證書，還需要正確的用戶名密碼才可以接入。這是內(nèi)網(wǎng)數(shù)據(jù)安全的第一道防線。

疫情期間，很多企事業(yè)單位都選擇在家辦公。員工在家通過虛擬局域網(wǎng)連接到企業(yè)內(nèi)部的ERP、OA、財(cái)務(wù)等系統(tǒng)，既可以滿足疫情防控的需要，又不影響工作。那么企業(yè)要進(jìn)行遠(yuǎn)程辦公應(yīng)該如何搭建網(wǎng)絡(luò)環(huán)境呢？本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來描述企業(yè)如何準(zhǔn)備在家遠(yuǎn)程辦公的網(wǎng)絡(luò)環(huán)境。

1. 先上網(wǎng)絡(luò)拓?fù)鋱D

WFilter NGF（WSG硬件網(wǎng)關(guān)）的“Web認(rèn)證”模塊中，我們新增了“重定向HTTPS”的功能。對(duì)于未經(jīng)認(rèn)證的HTTPS訪問，一樣可以重定向到認(rèn)證地址。具體配置如下圖：

PPTP雖然飽受安全性詬病，但是由于PPTP速度快、支持的系統(tǒng)多（windows、andriod默認(rèn)都可以支持），仍然有很多人選擇PPTP作為遠(yuǎn)程辦公的撥入?yún)f(xié)議。有一點(diǎn)我們要注意的是，PPTP的安全性依賴用戶名密碼，而且通訊加密強(qiáng)度不夠。如果對(duì)安全性要求高，建議采用SSL VPN（openvpn）等更安全的VPN通訊協(xié)議。

在本文中，我講介紹PPTP遠(yuǎn)程辦公撥入的具體步驟。

1. 開啟PPTP服務(wù)端

首先要在遠(yuǎn)程網(wǎng)絡(luò)上開啟PPTP服務(wù)，以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，具體配置如下圖：

入侵檢測系統(tǒng)IDS（“Intrusion Detection System”）可以對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。而入侵防御系統(tǒng)IPS（“Intrusion Prevention System”）在入侵檢測的基礎(chǔ)上添加了防御功能，一旦發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施。兩者的差別在于：

1. 功能不同。入侵防御系統(tǒng)在入侵檢測的基礎(chǔ)之上還實(shí)現(xiàn)了防護(hù)的功能。

2. 實(shí)時(shí)性要求不同。入侵防御必須分析實(shí)時(shí)數(shù)據(jù)，而入侵檢測可以基于歷史數(shù)據(jù)做事后分析。

3. 部署方式不同。入侵檢測一般通過端口鏡像進(jìn)行旁路部署，而入侵防御一般要串聯(lián)部署。