提到上網(wǎng)行為管理，最初想到的內(nèi)容記錄、聊天內(nèi)容、郵件內(nèi)容、文件傳輸內(nèi)容、網(wǎng)頁(yè)瀏覽記錄等等。但是再往深里研究，對(duì)于有一定規(guī)模的局域網(wǎng)，內(nèi)容審計(jì)的意義并不是很大，聊天幾句話、瀏覽的幾個(gè)網(wǎng)站都是瞬間的意識(shí)。所以，企業(yè)的對(duì)員工聊天內(nèi)容的審計(jì)實(shí)在沒(méi)有太大的意義。況且國(guó)內(nèi)主流的QQ和微信的通訊，騰訊公司早就進(jìn)行了協(xié)議改進(jìn)和安全強(qiáng)化，加上微信QQ都可以綁定銀行卡。所以，網(wǎng)絡(luò)監(jiān)控解析QQ和微信的內(nèi)容，理論上已經(jīng)不現(xiàn)實(shí)。對(duì)于企業(yè)網(wǎng)絡(luò)管理來(lái)說(shuō)，規(guī)整的上網(wǎng)秩序、上網(wǎng)內(nèi)容的報(bào)表分析以及信息安全才是王道。

WSG-200P上網(wǎng)行為管理路由是一款性價(jià)比非常高的上網(wǎng)行為管理設(shè)備。和WSG的企業(yè)版（E系列）相比，雖然沒(méi)有上網(wǎng)記錄、域賬號(hào)等功能，但是就上網(wǎng)行為管理和流控來(lái)說(shuō)，與E系列基本是一樣的，可以提供專業(yè)的上網(wǎng)行為管理和流控。下面讓我們一起來(lái)看看WSG-200P這款企業(yè)級(jí)上網(wǎng)行為管理路由有哪些亮點(diǎn)功能吧。

這里說(shuō)的小型局域網(wǎng)是50臺(tái)左右上網(wǎng)設(shè)備（電腦加手機(jī)），出口帶寬不超過(guò)100兆的局域網(wǎng)。比較普遍的組網(wǎng)方案設(shè)備，路由，交換機(jī)，無(wú)線路由，對(duì)于小局域網(wǎng)足夠了。但是對(duì)于企業(yè)，公共網(wǎng)絡(luò)來(lái)說(shuō)，管理是必不可少的。

常規(guī)小型局域網(wǎng)組網(wǎng)一般是這樣的：

作者:笨小驢 | 分類:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì) | 瀏覽:6254 | 評(píng)論:0

上網(wǎng)行為管理網(wǎng)關(guān)、防火墻、路由，不管是硬件還是軟件，其基本原理都是一樣的。硬件產(chǎn)品其實(shí)就是軟件包灌到硬件設(shè)備里面打包成一個(gè)整體設(shè)備。而上網(wǎng)行為管理、防火墻和路由的共同點(diǎn)，都是部署在局域網(wǎng)出口的，大部分都基于LINUX系統(tǒng)進(jìn)行的定制開發(fā)。如果是軟件方式，安裝時(shí)需要用一臺(tái)專門的服務(wù)器。所以，產(chǎn)品性能的指標(biāo)取決于兩方面：硬件配置和軟件系統(tǒng)。那么產(chǎn)品的選擇，主要在這兩方面進(jìn)行優(yōu)選。以下是一些簡(jiǎn)單的介紹：

一、從軟件內(nèi)核角度來(lái)說(shuō)，路由系統(tǒng)、防火墻系統(tǒng)、上網(wǎng)行為管理網(wǎng)關(guān)系統(tǒng)，都是在LINUX上裁剪開發(fā)出來(lái)的。但是這些系統(tǒng)各自的功能側(cè)重點(diǎn)、和性能指標(biāo)都是完全不一樣的。如下圖：

這里說(shuō)的網(wǎng)橋部署，是透明網(wǎng)橋部署。有的局域網(wǎng)環(huán)境里面，路由暫時(shí)不想被代替，那么WSG上網(wǎng)行為管理網(wǎng)關(guān)可以用網(wǎng)橋部署的方式接在局域網(wǎng)里面。

• 網(wǎng)橋模式下，只用到LAN和WAN1這兩個(gè)端口。其他端口都不起作用。

• WSG接在路由器（防火墻）和交換機(jī)之間。

• 內(nèi)網(wǎng)交換機(jī)接在LAN口。

• 上層設(shè)備（路由器或者防火墻）接在WAN1口。

上網(wǎng)行為管理網(wǎng)關(guān)不管是在功能還是在性能上，都是完爆路由器的。隨著生產(chǎn)力的提高，硬件設(shè)備的成本也逐步降低，普及也越來(lái)越廣（例如電器的價(jià)格越來(lái)越低）。上網(wǎng)行為管理網(wǎng)關(guān)部署也將成為一個(gè)趨勢(shì)，因?yàn)榫W(wǎng)關(guān)除了擁有專業(yè)路由的功能以外，還有專業(yè)的網(wǎng)絡(luò)管理功能，和專業(yè)防火墻功能，這個(gè)都是路由硬件芯片做不到的。

那么上網(wǎng)行為管理設(shè)備應(yīng)該如何部署呢？其實(shí)很簡(jiǎn)單，就是和路由器一樣，直接把路由器的相關(guān)配置移植到行為管理設(shè)備上，把之前的路由器替換掉即可。

WSG系列上網(wǎng)行為管理網(wǎng)關(guān)是WFilter系列上網(wǎng)行為管理產(chǎn)品的經(jīng)典之作，軟件系統(tǒng)采用了WFilter NGF企業(yè)級(jí)上網(wǎng)行為管理系統(tǒng)，而且在硬件的選型上絕不吝嗇，都是優(yōu)選的工控機(jī)。比如WSG-50E的D525 CPU（推薦50用戶），放在其他廠商，至少都是100-200臺(tái)的環(huán)境的宣傳了。下面讓我們一起來(lái)看看WSG-50E這款企業(yè)級(jí)上網(wǎng)行為管理硬件網(wǎng)關(guān)有哪些特殊功能吧。

1. 外觀一覽

第一印象就是盒子好大，比一般的路由器要大的多。開箱后，1U的鐵殼機(jī)箱，相當(dāng)于一臺(tái)14寸筆記本的大小，還挺沉的。典型的企業(yè)級(jí)網(wǎng)絡(luò)硬件設(shè)備，和華為思科的機(jī)器差不多。

1.1) 機(jī)器正面

全世界的路由，防火墻，網(wǎng)關(guān)，VPN服務(wù)器，各種服務(wù)器的設(shè)備可以說(shuō)都是一樣的構(gòu)造：軟件系統(tǒng)灌到硬件設(shè)備當(dāng)中去。同時(shí)差別又很大：一兩百就可以買到一個(gè)小路由，十萬(wàn)二十萬(wàn)才能購(gòu)置一臺(tái)重量級(jí)服務(wù)器。為什么差別這么大？其實(shí)就兩樣：硬件配置和軟件系統(tǒng)。幾百的小路由是那種路由芯片，過(guò)萬(wàn)的服務(wù)器最低intel X86的芯片。而用什么硬件設(shè)備，取決灌什么軟件系統(tǒng)了。

以最普遍的路由器來(lái)說(shuō)，都是基于嵌入式系統(tǒng)裁剪出來(lái)的。一些經(jīng)典的路由系統(tǒng)，比如Routeros，系統(tǒng)很輕巧，運(yùn)算壓力也不大，簡(jiǎn)單的芯片就可以承載。而防火墻系統(tǒng)、上網(wǎng)行為管理系統(tǒng)，還需要在LINUX的基礎(chǔ)上，做大量的開發(fā)。所以對(duì)硬件需求，一定要有個(gè)強(qiáng)勁的CPU，以及大容量的硬盤和內(nèi)存才足夠。普遍都用工控機(jī)來(lái)實(shí)現(xiàn)。

就上網(wǎng)行為管理設(shè)備來(lái)說(shuō)，首先WSG上網(wǎng)行為管理網(wǎng)關(guān)，系統(tǒng)基于LINUX獨(dú)立系統(tǒng)，支持海量協(xié)議庫(kù)和網(wǎng)址庫(kù)。這點(diǎn)就決定了硬件的配置級(jí)別一定不是路由芯片可以滿足的。

在最新版的WFilter NGF中，新增了“ip-mac歷史查詢”的功能，可以實(shí)現(xiàn)如下功能：

1. 記錄局域網(wǎng)客戶機(jī)的ip、mac、mac廠商的歷史記錄。

2. 支持網(wǎng)橋和網(wǎng)關(guān)部署模式，即使是網(wǎng)橋模式，也可以記錄ip-mac信息。

3. 啟用“mac地址收集器”功能后，可以跨三層交換機(jī)獲取實(shí)際的ip mac信息。

   
   

無(wú)線上網(wǎng)已經(jīng)是企業(yè)員工的基本需求，企業(yè)為了滿足員工的無(wú)線上網(wǎng)需要，大部分都部署了無(wú)線路由器或者無(wú)線AP設(shè)備。但是，不加管理的無(wú)線接入無(wú)疑會(huì)威脅企業(yè)的信息安全，并且給帶寬帶來(lái)較大壓力。

1. 概述

本文將介紹如何對(duì)局域網(wǎng)的無(wú)線設(shè)備進(jìn)行管理和流控。一般而言，無(wú)線的部署有如下兩種方案：

1. 多個(gè)無(wú)線路由器或者胖AP，采用云管理的方案。

2. 集中AC管理加瘦AP的部署方案。

隨身WIFI非常方便，USB大小的東西，電腦一插，手機(jī)就可以無(wú)線上網(wǎng)了，但是企業(yè)局域網(wǎng)來(lái)說(shuō)，其實(shí)是個(gè)讓網(wǎng)絡(luò)管理頭疼的東西，隨身WIFI的帶寬用的都是局域網(wǎng)帶寬資源，員工或者什么人偷偷把隨身WIFI接在電腦上，看視頻，玩APP，占用帶寬，影響資源。但是實(shí)際管理上又很難抓到，因?yàn)橐徊逡话嗡查g的工夫就搞定了。那么有了我們的WFilter-ICF,WFilter-NGF或者WSG的E系列，這個(gè)問(wèn)題完全不是問(wèn)題，我們可以檢測(cè)到局域網(wǎng)哪些電腦接了隨身WIFI，WIFI下有什么手機(jī)。那么第一步檢測(cè)到了，

旁路部署實(shí)現(xiàn)上網(wǎng)監(jiān)控的好處顯而易見(jiàn)，旁路在網(wǎng)絡(luò)上，對(duì)網(wǎng)絡(luò)沒(méi)有任何影響。上網(wǎng)監(jiān)控機(jī)器關(guān)機(jī)也不會(huì)影響網(wǎng)絡(luò)流通，對(duì)監(jiān)控服務(wù)器配置要求不用太高，也無(wú)需聯(lián)網(wǎng)。

WFilter-ICF目前也是國(guó)內(nèi)外最典型的旁路監(jiān)控原理的上網(wǎng)行為管理軟件。注意哦，WFilter-ICF本身就是一個(gè)旁路原理的上網(wǎng)行為管理軟件，下面介紹的只是ICF的部署方式。

微信WiFi，又名“微信連WiFi”。這個(gè)功能要求連接WiFi的用戶關(guān)注公眾號(hào)后上網(wǎng)，既可以推廣公眾號(hào)，還可以顯示廣告位，具備很實(shí)用的商業(yè)價(jià)值。微信WiFi認(rèn)證的實(shí)現(xiàn)，有如下辦法：

1. 廣告路由器。直接把微信WiFi集成在無(wú)線路由器中，通過(guò)路由器界面或者云管理來(lái)進(jìn)行配置。

2. 認(rèn)證網(wǎng)關(guān)（網(wǎng)橋） + 無(wú)線AP的方式。由認(rèn)證網(wǎng)關(guān)網(wǎng)橋來(lái)進(jìn)行微信WiFi認(rèn)證，無(wú)線AP只提供無(wú)線接入。

3. 旁路軟件 + 無(wú)線AP的方式。由旁路軟件來(lái)推送認(rèn)證頁(yè)面，無(wú)線AP只提供無(wú)線接入。

這三種方案，廣告路由器的方案比較適合小環(huán)境，成本和實(shí)施都非常的簡(jiǎn)單。如果網(wǎng)絡(luò)有一定規(guī)模，不適合部署多個(gè)廣告路由器時(shí)，就需要考慮第二和第三種方案?！罢J(rèn)證網(wǎng)關(guān)”和“旁路軟件”的主要差別在于部署模式。

所謂串聯(lián)部署，顧名思義就是串接在網(wǎng)絡(luò)里面，所有數(shù)據(jù)都會(huì)流經(jīng)過(guò)監(jiān)控系統(tǒng)，從而可以讓監(jiān)控系統(tǒng)解析，還原；還可以實(shí)現(xiàn)中間人技術(shù)（HTTPS,SSL監(jiān)控）。這樣部署可以直接深入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)管理，協(xié)議分析，內(nèi)容審計(jì)更加全面到位。

串聯(lián)部署方案兩種形式：

無(wú)線上網(wǎng)的被監(jiān)控端主要都是手機(jī)、PAD，也包括無(wú)線上網(wǎng)的電腦。手機(jī)的安卓系統(tǒng)以及蘋果系統(tǒng)底層都是不開放的，所以沒(méi)有任何辦法安裝監(jiān)控客戶端。所以無(wú)線監(jiān)控只有一個(gè)方式，就是網(wǎng)絡(luò)監(jiān)控。網(wǎng)絡(luò)監(jiān)控的部署分兩種，串聯(lián)監(jiān)控部署以及旁路監(jiān)控部署。

現(xiàn)在很多企業(yè)局域網(wǎng)都是全無(wú)線覆蓋，給員工和客戶的網(wǎng)絡(luò)接入提供了很大的便利。無(wú)論在公司或者廠區(qū)的任何位置，都可以很方便的接入到公司局域網(wǎng)和互聯(lián)網(wǎng)。但是這樣也帶來(lái)了不可避免的安全性問(wèn)題：一旦有未經(jīng)授權(quán)的網(wǎng)絡(luò)接入，不但會(huì)占用寶貴的帶寬資源；而且會(huì)帶來(lái)病毒、黑客攻擊等局域網(wǎng)安全問(wèn)題。

所以，局域網(wǎng)在做無(wú)線覆蓋的同時(shí)，一定要考慮到安全問(wèn)題。一般來(lái)說(shuō)，可以從兩方面入手：

1. 合理的劃分VLAN。無(wú)線接入應(yīng)當(dāng)處于單獨(dú)的VLAN，并且控制該VLAN對(duì)企業(yè)內(nèi)部資源的訪問(wèn)。即使有惡意的攻擊，也可以被控制在無(wú)線VLAN內(nèi)部。

2. 對(duì)無(wú)線上網(wǎng)的設(shè)備進(jìn)行用戶認(rèn)證。

3. 對(duì)無(wú)線上網(wǎng)的設(shè)備進(jìn)行ip-mac綁定。

4. 記錄無(wú)線上網(wǎng)的上網(wǎng)記錄，包括ip地址、mac地址、網(wǎng)站訪問(wèn)等信息。供需要時(shí)查詢。

無(wú)線設(shè)備的應(yīng)用，不管是生活上，還是企業(yè)應(yīng)用，現(xiàn)在多么深多么廣無(wú)需在累贅說(shuō)明。就企業(yè)信息管理，網(wǎng)絡(luò)管理來(lái)說(shuō)，WIFI的管理也是企業(yè)上網(wǎng)行為管理的一個(gè)重要的部分。網(wǎng)絡(luò)監(jiān)控對(duì)于WIFI的優(yōu)勢(shì)還是非常明顯的，網(wǎng)絡(luò)監(jiān)控走的網(wǎng)絡(luò)層面，那么被監(jiān)控的設(shè)備就沒(méi)有要求，不管是手機(jī)還是電腦，或者PAD，也不管是windows系統(tǒng)還是MAC系統(tǒng)或者LINUX系統(tǒng)，統(tǒng)統(tǒng)都可以監(jiān)控管理。

作者:笨小驢 | 分類:WiFi監(jiān)控管理方案 | 瀏覽:8353 | 評(píng)論:0

之前有用戶反映過(guò)一個(gè)挺困擾的問(wèn)題：就是騰訊的QQ經(jīng)常會(huì)自動(dòng)下載QQ電腦管家和QQ瀏覽器，占用大量的帶寬資源，而且給PC機(jī)的管理帶來(lái)麻煩。如圖，你只要點(diǎn)擊“一鍵領(lǐng)取”，就會(huì)自動(dòng)下載并安裝騰訊的相關(guān)軟件。

本文中，我將介紹如何用WFilter ICF來(lái)禁止這些軟件的自動(dòng)下載安裝。

上網(wǎng)行為管理的部署方式主要有旁路、網(wǎng)關(guān)、網(wǎng)橋這三種部署方式。在之前的一篇博客“企業(yè)上網(wǎng)行為管理部署方案”中，我們已經(jīng)簡(jiǎn)單介紹了三種方案的優(yōu)缺點(diǎn)。那么在本文中，我們?cè)賯?cè)重介紹下“網(wǎng)橋”和“網(wǎng)關(guān)”兩種模式的優(yōu)缺點(diǎn)比較。

經(jīng)常有用戶問(wèn)到上網(wǎng)行為管理是軟件好還是硬件好，實(shí)際上硬件從本質(zhì)上來(lái)說(shuō)也是軟件，只不過(guò)是預(yù)裝好的系統(tǒng)。所以從功能上來(lái)說(shuō)，硬件和軟件并沒(méi)有區(qū)別，差別主要在穩(wěn)定性、兼容性和服務(wù)上。

本文將著重從穩(wěn)定性、兼容性、服務(wù)上討論上網(wǎng)行為管理軟件和硬件的區(qū)別。

企業(yè)在部署上網(wǎng)行為管理時(shí)，對(duì)方案的選擇需要考慮如下因素：

1. 是否需要改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)？

2. 是否需要對(duì)現(xiàn)有設(shè)備進(jìn)行重新配置？

3. 對(duì)現(xiàn)有網(wǎng)絡(luò)穩(wěn)定性和網(wǎng)速的影響。

4. 網(wǎng)絡(luò)結(jié)構(gòu)改造的工作量。

除非現(xiàn)有的設(shè)備面臨升級(jí)換代，我相信大部分人都不會(huì)選擇替換現(xiàn)有的設(shè)備和改變網(wǎng)絡(luò)結(jié)構(gòu)。那么首選的方案就是兩個(gè)：“旁路部署方案”和“網(wǎng)橋部署方案”。這兩個(gè)方案，都可以透明部署，無(wú)需改變現(xiàn)有結(jié)構(gòu)，也不會(huì)帶來(lái)對(duì)性能和網(wǎng)速的影響。具體的比較如下：

現(xiàn)在大部分企業(yè)或多或少都會(huì)有一些業(yè)務(wù)要發(fā)布到互聯(lián)網(wǎng)上供外網(wǎng)訪問(wèn)，比如：ERP系統(tǒng)、OA系統(tǒng)等。為了保證這些業(yè)務(wù)的正常運(yùn)行，需要提供一個(gè)穩(wěn)定的帶寬保障，如何解決內(nèi)網(wǎng)辦公和外網(wǎng)訪問(wèn)的帶寬共享，也是一個(gè)讓大部分網(wǎng)管頭疼的問(wèn)題。

本文中，我將結(jié)合一個(gè)實(shí)際的網(wǎng)絡(luò)改造例子，來(lái)介紹如何保障互聯(lián)網(wǎng)業(yè)務(wù)的帶寬。

1. 網(wǎng)絡(luò)結(jié)構(gòu)介紹

本例中，用戶之前用的是一個(gè)普通的多WAN口路由器，接了三根光纖（兩個(gè)固定IP），用兩個(gè)固定IP分別映射到內(nèi)網(wǎng)的OA系統(tǒng)和ERP系統(tǒng)。在實(shí)際使用中，由于內(nèi)網(wǎng)的流量比較高，外網(wǎng)用戶經(jīng)常會(huì)反映連接不上ERP/OA系統(tǒng)。結(jié)合公司的上網(wǎng)行為管理系統(tǒng)，決定購(gòu)買一臺(tái)“WSG-500E上網(wǎng)行為管理網(wǎng)關(guān)”，替代掉現(xiàn)有的路由器。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

有些用戶為了提高網(wǎng)速，一味的申請(qǐng)更多的帶寬，其實(shí)是不足取的。要保證局域網(wǎng)的網(wǎng)速，帶寬雖然不可或缺，但是正確的組網(wǎng)方式和管理手段更加重要。在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，出口帶寬500K/人就完全可以滿足正常的上網(wǎng)需要，舉例來(lái)說(shuō)，100人50M帶寬，50人20M帶寬。

本文中，我將介紹一個(gè)典型的多線路局域網(wǎng)改造方案。

對(duì)于一個(gè)小型的局域網(wǎng)環(huán)境（終端數(shù)少于50）來(lái)說(shuō)，一個(gè)企業(yè)級(jí)上網(wǎng)行為管理路由器就可以實(shí)現(xiàn)基本的上網(wǎng)行為管理功能。當(dāng)然，路由器的功能比較局限，對(duì)于上網(wǎng)內(nèi)容記錄、上網(wǎng)統(tǒng)計(jì)、網(wǎng)址庫(kù)過(guò)濾等高級(jí)功能，你就需要部署一臺(tái)專業(yè)的上網(wǎng)行為管理來(lái)實(shí)現(xiàn)了。

本文中，我將介紹少于50客戶端的局域網(wǎng)，如何部署一臺(tái)專業(yè)的上網(wǎng)行為管理設(shè)備？

你需要一臺(tái)雙網(wǎng)卡的PC機(jī)或者x86架構(gòu)的工控機(jī)，安裝上WFilter NGF上網(wǎng)行為管理系統(tǒng)。

很多局域網(wǎng)采用的是“防火墻/路由--三層交換機(jī)--二層交換機(jī)”的拓?fù)浣Y(jié)構(gòu)，而由于三層交換機(jī)的配置相對(duì)來(lái)說(shuō)比較復(fù)雜，在這樣的局域網(wǎng)中部署上網(wǎng)行為管理，用戶往往會(huì)面臨如下的一些問(wèn)題：

1. 找不到交換機(jī)的管理員用戶名和口令。
   

2. 沒(méi)有技術(shù)人員可以修改交換機(jī)的配置。

3. 沒(méi)有交換機(jī)廠商技術(shù)支持。

其實(shí)在有三層交換機(jī)的網(wǎng)絡(luò)環(huán)境中部署上網(wǎng)行為管理并不困難。在本文中，我將分別介紹“網(wǎng)橋部署”和“網(wǎng)關(guān)部署”的兩種方案。我們的方案，都盡量避免了對(duì)交換機(jī)的配置進(jìn)行修改。