局域網(wǎng)的文件泄露，主要是通過(guò)usb拷貝以及網(wǎng)絡(luò)傳輸?shù)姆绞?。我們?cè)?a href="http://m.1234gogogo.com/blog/post/382.html" target="_blank">企業(yè)外發(fā)文件管控方案總結(jié)一文中，已經(jīng)介紹了多種管控外發(fā)文件的方案。在本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)如何來(lái)有效的管控外發(fā)文件。

1. 首先要屏蔽電腦的usb存儲(chǔ)設(shè)備。

需要在windows電腦的組策略里面禁止配置，把“禁止安裝可移動(dòng)設(shè)備“修改成”已啟用“即可。當(dāng)然，管理員權(quán)限就不能給使用者啦，要不然再把這個(gè)策略改回去就不起作用了。

當(dāng)防火墻檢測(cè)到某個(gè)IP存在病毒攻擊或者異常流量時(shí)，網(wǎng)管技術(shù)人員往往需要到電腦上面進(jìn)行后續(xù)操作。而對(duì)于自動(dòng)獲取IP的局域網(wǎng)來(lái)說(shuō)，如何定位IP地址的電腦位置一直是一個(gè)技術(shù)難題。如果沒(méi)有好的工具，最笨的辦法就是一臺(tái)一臺(tái)電腦進(jìn)行查看，通過(guò)比對(duì)IP地址和mac地址來(lái)定位。那么還有哪些聰明一些的辦法呢？

1. 在三層交換機(jī)上查看ARP表

有網(wǎng)管交換機(jī)時(shí)，可以在網(wǎng)管交換機(jī)上查看arp表找到該IP地址所在的端口，然后根據(jù)端口順藤摸瓜，從而定位電腦的物理位置。比如，在交換機(jī)上執(zhí)行“disp arp”命令（不同型號(hào)的交換機(jī)命令不一樣），可以得到如下結(jié)果：

在部署了上網(wǎng)行為管理的局域網(wǎng)內(nèi)，總會(huì)有人想各種各樣的辦法來(lái)突破上網(wǎng)管控。常見(jiàn)的方法有：

1. IP地址盜用。
   

2. MAC地址克隆。

首先可以考慮不開(kāi)放管理員權(quán)限，或者采用域控的方式禁止客戶機(jī)自行修改網(wǎng)絡(luò)設(shè)置等辦法。其次也可以通過(guò)上網(wǎng)行為管理的管控策略來(lái)阻止這些行為。本文中，我來(lái)介紹下如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來(lái)應(yīng)對(duì)IP地址盜用和MAC地址克隆。

由于視頻和下載可以輕易的占用大量帶寬，為了網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，大部分局域網(wǎng)都會(huì)對(duì)客戶端進(jìn)行一定的限速。本文中，我將介紹如何根據(jù)帶寬來(lái)做限速，限速設(shè)置多少比較合理？

1. 限速多少比較合理？

正常的辦公上網(wǎng)，每個(gè)終端至少需要2Mbit的帶寬才夠用；平均值如果低于2Mbit需要考慮增加接入帶寬。假設(shè)你有200Mbit的帶寬，有50個(gè)終端，那么平均下來(lái)每個(gè)終端可以分配到4Mbit；但是考慮到不是所有人都會(huì)在同時(shí)全速下載，可以給每個(gè)終端分配8-10Mbit的帶寬。如下圖：

IP地址沖突一般是由于手動(dòng)設(shè)置IP的原因，綜合來(lái)說(shuō)有如下兩種可能性：

1. A電腦和B電腦都手工設(shè)置了同樣的IP地址。
   

2. A電腦自動(dòng)獲取，B電腦手動(dòng)設(shè)置了和A電腦一樣的IP地址。

出現(xiàn)IP地址沖突時(shí)，通過(guò)arp -a命令，可以看到?jīng)_突對(duì)方的MAC地址。如下圖：

在三層交換機(jī)環(huán)境下，由于三層交換機(jī)屏蔽了終端的實(shí)際mac地址，上層的上網(wǎng)行為管理在不開(kāi)啟“MAC地址收集器”的情況下，是檢測(cè)不到終端的實(shí)際mac地址的。這樣也就不能實(shí)現(xiàn)mac地址黑白名單的功能。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

在WFilter NGF(WSG上網(wǎng)行為管理網(wǎng)關(guān)）的”Web認(rèn)證“配置中，可以基于IP范圍來(lái)配置要進(jìn)行Web認(rèn)證的客戶端。實(shí)際使用中，有些局域網(wǎng)電腦和手機(jī)無(wú)線終端都混雜在同一個(gè)網(wǎng)段，這種情況下，如果要只對(duì)電腦做認(rèn)證，或者只對(duì)手機(jī)做認(rèn)證，就不能通過(guò)IP范圍來(lái)實(shí)現(xiàn)了。需要修改默認(rèn)的認(rèn)證頁(yè)面，基于瀏覽器的useragent來(lái)獲取客戶端操作系統(tǒng)類(lèi)型，并且判斷是否放行（無(wú)需認(rèn)證直接放行）。

如下圖，點(diǎn)擊”編輯Web認(rèn)證頁(yè)面”，然后點(diǎn)擊源代碼圖標(biāo)。

在上網(wǎng)行為管理如何實(shí)現(xiàn)釘釘掃描二維碼進(jìn)行Web認(rèn)證登錄這篇文章中，我們介紹了如何用手機(jī)釘釘掃碼登錄電腦。電腦在上外網(wǎng)之前，需要用手機(jī)釘釘掃描二維碼才可以使用網(wǎng)絡(luò)，并且記錄該用戶賬號(hào)的上網(wǎng)內(nèi)容。而在實(shí)際使用中，有些用戶還想對(duì)手機(jī)上外網(wǎng)進(jìn)行用戶認(rèn)證，從而可以識(shí)別到手機(jī)的員工姓名并記錄上網(wǎng)日志。

本文中，我將介紹如何用手機(jī)釘釘掃碼對(duì)自身手機(jī)進(jìn)行Web認(rèn)證。

在認(rèn)證前，該手機(jī)是無(wú)法上外網(wǎng)的。大部分手機(jī)會(huì)自動(dòng)彈出Web認(rèn)證頁(yè)面（也可以手動(dòng)在瀏覽器里面打開(kāi)），如下圖：

WSG上網(wǎng)行為管理網(wǎng)關(guān)（WFilter NGF）的Web認(rèn)證功能非常強(qiáng)大，可以支持多種用戶名認(rèn)證（本地用戶、郵箱認(rèn)證、域認(rèn)證、Radius認(rèn)證等），還可以支持短信認(rèn)證、微信認(rèn)證、釘釘認(rèn)證等第三方認(rèn)證。不過(guò)在有些情況下，用戶還希望WSG可以對(duì)接第三方的Web認(rèn)證界面，即通過(guò)其他的Web認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，而由WSG來(lái)實(shí)現(xiàn)上網(wǎng)管控和上網(wǎng)記錄。本例中，我將介紹如何用WSG來(lái)對(duì)接第三方Web認(rèn)證平臺(tái)。

首先，開(kāi)啟WSG的Web認(rèn)證功能。

“Web認(rèn)證”的需求是對(duì)需要管控的員工網(wǎng)段開(kāi)啟認(rèn)證，一些電腦不開(kāi)啟認(rèn)證。如圖：
1. 設(shè)置要管控的IP范圍
2. 設(shè)置一個(gè)合理的超時(shí)重新認(rèn)證時(shí)間，1440就是每天都需要重新認(rèn)證一次。
3. 領(lǐng)導(dǎo)的mac地址加到“例外的MAC地址”

出于信息安全的考慮，很多企業(yè)不允許工作電腦外發(fā)文件，但是QQ和微信又是常見(jiàn)的辦公工具。所以“既允許QQ和微信聊天，同時(shí)又不允許外發(fā)文件”，一直是企業(yè)管理的一個(gè)難題。其實(shí)上網(wǎng)行為管理技術(shù)經(jīng)過(guò)十幾年的發(fā)展，已經(jīng)可以精確的識(shí)別出文件傳輸和普通聊天的協(xié)議特征。專(zhuān)業(yè)的上網(wǎng)行為管理產(chǎn)品，都可以單獨(dú)屏蔽QQ和微信傳文件。以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，在“行為管理”的“應(yīng)用過(guò)濾”中，搜索QQ，可以看到20多個(gè)QQ相關(guān)的應(yīng)用協(xié)議，包括QQ聊天、QQ發(fā)文件、QQ接收文件、QQ游戲等各種相關(guān)應(yīng)用。如下圖：

勒索病毒是一種新型電腦病毒。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來(lái)無(wú)法估量的損失。由于其巨大的破壞性，勒索病毒可以說(shuō)是“談虎色變”。

WSG上網(wǎng)行為管理（WFilter NGF）既可以做網(wǎng)關(guān)部署，也可以做網(wǎng)橋部署。在網(wǎng)橋部署模式下，WSG的IPSec VPN和OpenVPN一樣是可用的，可以實(shí)現(xiàn)單臂模式的VPN組網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

本文將結(jié)合WSG介紹如何實(shí)現(xiàn)IPSec VPN的單臂部署。

現(xiàn)在大部分虛擬局域網(wǎng)的組建都通過(guò)IPSec的方式，其實(shí)用openvpn來(lái)組網(wǎng)也是很不錯(cuò)的方案。跟IPSec相比，openvpn的功能更加強(qiáng)大和靈活：

1. 可以修改端口和通訊方式。
   

2. 可以實(shí)現(xiàn)用戶名認(rèn)證和證書(shū)認(rèn)證兩種認(rèn)證方式。

3. 可以對(duì)客戶端分配IP，從而實(shí)現(xiàn)更加細(xì)致的防火墻權(quán)限控制。

本文將簡(jiǎn)單介紹openvpn組網(wǎng)的一些簡(jiǎn)單步驟，如果您要用openvpn實(shí)現(xiàn)遠(yuǎn)程辦公撥入，請(qǐng)參考：如何用OpenVPN實(shí)現(xiàn)遠(yuǎn)程辦公？

WFilter NGF（WSG上網(wǎng)行為管理網(wǎng)關(guān)）支持網(wǎng)關(guān)和網(wǎng)橋兩種部署模式：

1. 網(wǎng)關(guān)模式：WSG作為整個(gè)局域網(wǎng)的網(wǎng)關(guān)，提供NAT服務(wù)。

2. 網(wǎng)橋模式：WSG作為透明網(wǎng)橋串接在局域網(wǎng)中。

在有些情況下，我們需要采用純路由模式（WSG只做路由轉(zhuǎn)接，不進(jìn)行NAT轉(zhuǎn)換）。本例中，我將介紹如何用WSG來(lái)搭建路由模式的上網(wǎng)行為管理。

網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

具體配置步驟如下：

在WFilter NGF（WSG上網(wǎng)行為管理網(wǎng)關(guān)）的“網(wǎng)頁(yè)過(guò)濾”模塊中，我們可以設(shè)置”文件下載”的過(guò)濾規(guī)則；比如禁止exe可執(zhí)行文件，或者壓縮文件的下載。如下圖：

IPSec VPN 技術(shù)在IP傳輸上通過(guò)加密隧道，在用公網(wǎng)傳送內(nèi)部專(zhuān)網(wǎng)的內(nèi)容的同時(shí)，保證內(nèi)部數(shù)據(jù)的安全性，從而實(shí)現(xiàn)企業(yè)總部與各分支機(jī)構(gòu)組建虛擬局域網(wǎng)的需要。IPSec組網(wǎng)的具體步驟，請(qǐng)參考：一次典型的IPSec VPN組網(wǎng)方案。很多情況下，我們還需要控制對(duì)端的訪問(wèn)權(quán)限。在本文中，我將介紹WFilter NGF中的IPSec VPN訪問(wèn)權(quán)限。

1. 防火墻規(guī)則的選項(xiàng)

IPSec隧道的配置中，”防火墻規(guī)則“有“自動(dòng)”和“手動(dòng)”兩個(gè)選項(xiàng)：

很多局域網(wǎng)需要向外網(wǎng)提供服務(wù)，比如ERP、OA系統(tǒng)，或者需要進(jìn)行虛擬局域網(wǎng)組網(wǎng)等。而由于公網(wǎng)IP資源越來(lái)越緊張，大部分寬帶都不能獲取到公網(wǎng)IP；這些情況下，企業(yè)只能選擇運(yùn)營(yíng)商的企業(yè)專(zhuān)線。和普通的寬帶相比，企業(yè)專(zhuān)線有如下特點(diǎn)：

1. 獨(dú)享帶寬，速度有保障。
   

2. 可以申請(qǐng)固定公網(wǎng)IP。

不過(guò)專(zhuān)線的費(fèi)用比較昂貴，如下圖：

對(duì)于一些安全性要求比較高的局域網(wǎng)來(lái)說(shuō)，有時(shí)候只允許客戶機(jī)訪問(wèn)指定的網(wǎng)站，其他網(wǎng)絡(luò)行為一律禁止。這時(shí)候我們就需要用到“網(wǎng)站白名單”功能（只允許訪問(wèn)下列網(wǎng)站）。具體的配置如下圖：

1. 在網(wǎng)頁(yè)過(guò)濾中開(kāi)啟“只允許訪問(wèn)下列網(wǎng)站”

“只允許訪問(wèn)下列網(wǎng)站”功能開(kāi)啟后，客戶機(jī)只能訪問(wèn)允許的站點(diǎn)。其他網(wǎng)頁(yè)一律訪問(wèn)不了。

選擇應(yīng)用對(duì)象和生效時(shí)間

企業(yè)微信,是騰訊微信團(tuán)隊(duì)為企業(yè)打造的專(zhuān)業(yè)辦公管理工具。與微信一致的溝通體驗(yàn),豐富免費(fèi)的OA應(yīng)用,并與微信消息、小程序、微信支付等互通,助力企業(yè)高效辦公和管理。在“如何實(shí)現(xiàn)釘釘掃描二維碼進(jìn)行Web認(rèn)證登錄？”一文中，我們介紹了如何用釘釘掃碼認(rèn)證上網(wǎng)。而一些局域網(wǎng)采用的是企業(yè)微信來(lái)做辦公管理。本文，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)（WFilter NGF）中的“Web認(rèn)證”功能，介紹如何利用企業(yè)微信的掃描二維碼功能來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)用戶的Web認(rèn)證登錄。該功能有如下優(yōu)勢(shì)：

1. 直接用企業(yè)微信掃碼登錄，無(wú)需在WSG系統(tǒng)內(nèi)創(chuàng)建用戶。
   

2. 可以自動(dòng)獲取并記錄企業(yè)微信的員工姓名。

3. 可以基于企業(yè)微信員工姓名配置上網(wǎng)策略和統(tǒng)計(jì)。

一些配置的步驟和截圖如下：

釘釘（DingTalk）是阿里巴巴集團(tuán)專(zhuān)為中國(guó)企業(yè)打造的免費(fèi)溝通和協(xié)同的多端平臺(tái)。釘釘因中國(guó)企業(yè)而生，幫助中國(guó)企業(yè)通過(guò)系統(tǒng)化的解決方案（微應(yīng)用），全方位提升中國(guó)企業(yè)溝通和協(xié)同效率。一些局域網(wǎng)為了信息安全和管理需要，需要用戶進(jìn)行Web認(rèn)證后才可以使用局域網(wǎng)，并且記錄該用戶賬號(hào)的上網(wǎng)內(nèi)容。

本文，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)（WFilter NGF）中的“Web認(rèn)證”功能，介紹如何利用釘釘?shù)膾呙瓒S碼功能來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)用戶的Web認(rèn)證登錄。該功能有如下優(yōu)勢(shì)：

1. 直接用釘釘掃碼登錄，無(wú)需在WSG系統(tǒng)內(nèi)創(chuàng)建用戶。
   

2. 可以自動(dòng)獲取并記錄釘釘?shù)膯T工姓名。

3. 可以基于釘釘員工姓名配置上網(wǎng)策略和統(tǒng)計(jì)。

一些配置的步驟和截圖如下：

在《同運(yùn)營(yíng)商多條外線如何做負(fù)載均衡？》一文中，我們介紹了多條外線（同一個(gè)運(yùn)營(yíng)商）時(shí)如何進(jìn)行負(fù)載均衡。在實(shí)際使用中，很多用戶的外線是不同運(yùn)營(yíng)商的（比如一條電信和一條移動(dòng)）。對(duì)于大部分用戶來(lái)說(shuō)，采用《同運(yùn)營(yíng)商多條外線如何做負(fù)載均衡？》中的方案，即可產(chǎn)生多線疊加的效果。但是不同運(yùn)營(yíng)商多條外線直接進(jìn)行均衡并不是最優(yōu)化的方案，主要在于DNS的原因：“假設(shè)某終端DNS查詢某域名時(shí)，獲取的是運(yùn)營(yíng)商A的IP；而在后續(xù)訪問(wèn)的過(guò)程中，卻會(huì)被均衡到運(yùn)營(yíng)商B，這樣就不夠優(yōu)化了?！苯鉀Q的方案主要涉及到兩個(gè)技術(shù)：

1. 運(yùn)營(yíng)商分流，根據(jù)目的IP來(lái)自動(dòng)選擇運(yùn)營(yíng)商線路（即電信IP走電信線路，移動(dòng)IP走移動(dòng)線路）。
   

2. DNS重定向，配置DNS重定向規(guī)則來(lái)設(shè)置客戶機(jī)的默認(rèn)DNS（也間接決定了客戶機(jī)的線路）。

1. 運(yùn)營(yíng)商分流

WFilter NGF（WSG）已經(jīng)內(nèi)置了“運(yùn)營(yíng)商分流”策略，基于各大運(yùn)營(yíng)商的IP段來(lái)選擇各自的線路，如下圖，點(diǎn)擊狀態(tài)標(biāo)志啟用這條“運(yùn)營(yíng)商分流”策略即可。

局域網(wǎng)出于帶寬的需要，經(jīng)常會(huì)采用多外線接入的方式，一則可以帶寬疊加，提示帶寬；再則還可以互為備份，一旦一條線路中斷，另外一條線路可以繼續(xù)使用，保障網(wǎng)絡(luò)的正常運(yùn)行。

本文將介紹如何用WFilter NGF（WSG）來(lái)實(shí)現(xiàn)同ISP多外線的負(fù)載均衡和線路檢測(cè)。

1. 配置負(fù)載均衡

同運(yùn)營(yíng)商沒(méi)有線路DNS的問(wèn)題，可以直接進(jìn)行負(fù)載均衡，在“多線均衡”模塊里面，創(chuàng)建負(fù)載均衡的線路方案即可。如圖：

局域網(wǎng)內(nèi)的私接路由器、私接隨身WiFi等行為，不但會(huì)讓其他客戶機(jī)繞開(kāi)上網(wǎng)行為管理的管控，破壞局域網(wǎng)上網(wǎng)秩序；而且會(huì)干擾企業(yè)WiFi的無(wú)線信號(hào)。所以在企業(yè)局域網(wǎng)中，一般都是嚴(yán)禁私接路由器的。

在“WFilter是如何來(lái)屏蔽和禁用隨身wifi的？”一文中，我們介紹了如何使用“隨身WiFi和私接路由檢測(cè)插件”來(lái)檢測(cè)和懲罰局域網(wǎng)內(nèi)的私接行為。該插件使用簡(jiǎn)單方便，而且功能強(qiáng)大；一直倍受用戶喜愛(ài)。在最新版的WFilter NGF系統(tǒng)中（1.1.2019.03.25版本），我們已經(jīng)把該插件集成到NGF的主系統(tǒng)中來(lái)（共享檢測(cè)模塊）。除了“隨身WiFi和私接路由檢測(cè)插件”的功能外，該共享檢測(cè)模塊還可以支持共享檢測(cè)的歷史記錄查詢，并且可以把檢測(cè)到的客戶機(jī)加入虛擬懲罰組來(lái)實(shí)現(xiàn)更多的管控策略。一些配置介紹如下圖：

企業(yè)局域網(wǎng)為了業(yè)務(wù)發(fā)展需要和辦公上網(wǎng)的需要，很多都申請(qǐng)了“專(zhuān)線+ADSL寬帶”的多線接入模式。這樣的模式有如下優(yōu)點(diǎn)：

1. 既滿足了固定公網(wǎng)IP（專(zhuān)線）的需要，又滿足了辦公上網(wǎng)的需要（ADSL寬帶）。
   

2. 可以減少昂貴的專(zhuān)線投入。比如采用“10M的專(zhuān)線+100M的ADSL寬帶”這樣的結(jié)合模式，可以大大的減少專(zhuān)線的投入。

需要注意的是，不合理的負(fù)載均衡配置會(huì)浪費(fèi)寶貴的專(zhuān)線資源，并且達(dá)不到良好的帶寬效果。本文中，我將結(jié)合WSG網(wǎng)關(guān)來(lái)介紹這種情況下，如何正確的配置策略路由和負(fù)載均衡。

首先，建議采用如下的配置原則：

1. 不要把專(zhuān)線和ADSL做負(fù)載均衡。專(zhuān)線和ADSL的原理、運(yùn)營(yíng)商都不一樣，負(fù)載均衡會(huì)把兩者都拖累。

2. 專(zhuān)線資源是寶貴的，應(yīng)該專(zhuān)款專(zhuān)用，只提供給業(yè)務(wù)主機(jī)和服務(wù)器網(wǎng)段。
   

3. 辦公上網(wǎng)全部走ADSL（把專(zhuān)線資源用來(lái)做辦公上網(wǎng)是極大的浪費(fèi)）

以下是一些相關(guān)的配置截圖：

1. 添加“電信專(zhuān)線100%”的線路方案

《英魂之刃》 是由網(wǎng)龍公司開(kāi)發(fā)，由騰訊公司獨(dú)家代理的全球首款微端類(lèi)DOTA對(duì)戰(zhàn)網(wǎng)游。游戲基于DOTA游戲特色打造，采用網(wǎng)龍公司獨(dú)家研發(fā)的S3引擎，以濃郁的中國(guó)風(fēng)、穿越古今的英雄亂斗以及快節(jié)奏的競(jìng)技對(duì)戰(zhàn)，在短短兩年內(nèi)一躍成為千萬(wàn)活躍用戶級(jí)別的MOBA人氣新寵。

本文將介紹如何使用WFilter NGF（WSG網(wǎng)關(guān)）的“應(yīng)用過(guò)濾”功能來(lái)屏蔽局域網(wǎng)玩《英魂之刃》。

1. 首先，確保您的特征庫(kù)是最新版本。

點(diǎn)擊“配置”->“系統(tǒng)“->“更新設(shè)置”里面的“立即檢查更新”，可以檢查更新并且把您的特征庫(kù)（網(wǎng)址庫(kù)和協(xié)議庫(kù)）升級(jí)到最新版本。如果不點(diǎn)擊，也會(huì)在每天的凌晨自動(dòng)檢查更新。如下圖：