這里說的網橋部署，是透明網橋部署。有的局域網環境里面，路由暫時不想被代替，那么WSG上網行為管理網關可以用網橋部署的方式接在局域網里面。

• 網橋模式下，只用到LAN和WAN1這兩個端口。其他端口都不起作用。

• WSG接在路由器（防火墻）和交換機之間。

• 內網交換機接在LAN口。

• 上層設備（路由器或者防火墻）接在WAN1口。

上網行為管理網關不管是在功能還是在性能上，都是完爆路由器的。隨著生產力的提高，硬件設備的成本也逐步降低，普及也越來越廣（例如電器的價格越來越低）。上網行為管理網關部署也將成為一個趨勢，因為網關除了擁有專業路由的功能以外，還有專業的網絡管理功能，和專業防火墻功能，這個都是路由硬件芯片做不到的。

那么上網行為管理設備應該如何部署呢？其實很簡單，就是和路由器一樣，直接把路由器的相關配置移植到行為管理設備上，把之前的路由器替換掉即可。

WSG系列上網行為管理網關是WFilter系列上網行為管理產品的經典之作，軟件系統采用了WFilter NGF企業級上網行為管理系統，而且在硬件的選型上絕不吝嗇，都是優選的工控機。比如WSG-50E的D525 CPU（推薦50用戶），放在其他廠商，至少都是100-200臺的環境的宣傳了。下面讓我們一起來看看WSG-50E這款企業級上網行為管理硬件網關有哪些特殊功能吧。

1. 外觀一覽

第一印象就是盒子好大，比一般的路由器要大的多。開箱后，1U的鐵殼機箱，相當于一臺14寸筆記本的大小，還挺沉的。典型的企業級網絡硬件設備，和華為思科的機器差不多。

1.1) 機器正面

全世界的路由，防火墻，網關，VPN服務器，各種服務器的設備可以說都是一樣的構造：軟件系統灌到硬件設備當中去。同時差別又很大：一兩百就可以買到一個小路由，十萬二十萬才能購置一臺重量級服務器。為什么差別這么大？其實就兩樣：硬件配置和軟件系統。幾百的小路由是那種路由芯片，過萬的服務器最低intel X86的芯片。而用什么硬件設備，取決灌什么軟件系統了。

以最普遍的路由器來說，都是基于嵌入式系統裁剪出來的。一些經典的路由系統，比如Routeros，系統很輕巧，運算壓力也不大，簡單的芯片就可以承載。而防火墻系統、上網行為管理系統，還需要在LINUX的基礎上，做大量的開發。所以對硬件需求，一定要有個強勁的CPU，以及大容量的硬盤和內存才足夠。普遍都用工控機來實現。

就上網行為管理設備來說，首先WSG上網行為管理網關，系統基于LINUX獨立系統，支持海量協議庫和網址庫。這點就決定了硬件的配置級別一定不是路由芯片可以滿足的。

在最新版的WFilter NGF中，新增了“ip-mac歷史查詢”的功能，可以實現如下功能：

1. 記錄局域網客戶機的ip、mac、mac廠商的歷史記錄。

2. 支持網橋和網關部署模式，即使是網橋模式，也可以記錄ip-mac信息。

3. 啟用“mac地址收集器”功能后，可以跨三層交換機獲取實際的ip mac信息。

   
   

無線上網已經是企業員工的基本需求，企業為了滿足員工的無線上網需要，大部分都部署了無線路由器或者無線AP設備。但是，不加管理的無線接入無疑會威脅企業的信息安全，并且給帶寬帶來較大壓力。

1. 概述

本文將介紹如何對局域網的無線設備進行管理和流控。一般而言，無線的部署有如下兩種方案：

1. 多個無線路由器或者胖AP，采用云管理的方案。

2. 集中AC管理加瘦AP的部署方案。

隨身WIFI非常方便，USB大小的東西，電腦一插，手機就可以無線上網了，但是企業局域網來說，其實是個讓網絡管理頭疼的東西，隨身WIFI的帶寬用的都是局域網帶寬資源，員工或者什么人偷偷把隨身WIFI接在電腦上，看視頻，玩APP，占用帶寬，影響資源。但是實際管理上又很難抓到，因為一插一拔瞬間的工夫就搞定了。那么有了我們的WFilter-ICF,WFilter-NGF或者WSG的E系列，這個問題完全不是問題，我們可以檢測到局域網哪些電腦接了隨身WIFI，WIFI下有什么手機。那么第一步檢測到了，

旁路部署實現上網監控的好處顯而易見，旁路在網絡上，對網絡沒有任何影響。上網監控機器關機也不會影響網絡流通，對監控服務器配置要求不用太高，也無需聯網。

WFilter-ICF目前也是國內外最典型的旁路監控原理的上網行為管理軟件。注意哦，WFilter-ICF本身就是一個旁路原理的上網行為管理軟件，下面介紹的只是ICF的部署方式。

微信WiFi，又名“微信連WiFi”。這個功能要求連接WiFi的用戶關注公眾號后上網，既可以推廣公眾號，還可以顯示廣告位，具備很實用的商業價值。微信WiFi認證的實現，有如下辦法：

1. 廣告路由器。直接把微信WiFi集成在無線路由器中，通過路由器界面或者云管理來進行配置。

2. 認證網關（網橋） + 無線AP的方式。由認證網關網橋來進行微信WiFi認證，無線AP只提供無線接入。

3. 旁路軟件 + 無線AP的方式。由旁路軟件來推送認證頁面，無線AP只提供無線接入。

這三種方案，廣告路由器的方案比較適合小環境，成本和實施都非常的簡單。如果網絡有一定規模，不適合部署多個廣告路由器時，就需要考慮第二和第三種方案。“認證網關”和“旁路軟件”的主要差別在于部署模式。

所謂串聯部署，顧名思義就是串接在網絡里面，所有數據都會流經過監控系統，從而可以讓監控系統解析，還原；還可以實現中間人技術（HTTPS,SSL監控）。這樣部署可以直接深入網絡，對網絡管理，協議分析，內容審計更加全面到位。

串聯部署方案兩種形式：

無線上網的被監控端主要都是手機、PAD，也包括無線上網的電腦。手機的安卓系統以及蘋果系統底層都是不開放的，所以沒有任何辦法安裝監控客戶端。所以無線監控只有一個方式，就是網絡監控。網絡監控的部署分兩種，串聯監控部署以及旁路監控部署。

現在很多企業局域網都是全無線覆蓋，給員工和客戶的網絡接入提供了很大的便利。無論在公司或者廠區的任何位置，都可以很方便的接入到公司局域網和互聯網。但是這樣也帶來了不可避免的安全性問題：一旦有未經授權的網絡接入，不但會占用寶貴的帶寬資源；而且會帶來病毒、黑客攻擊等局域網安全問題。

所以，局域網在做無線覆蓋的同時，一定要考慮到安全問題。一般來說，可以從兩方面入手：

1. 合理的劃分VLAN。無線接入應當處于單獨的VLAN，并且控制該VLAN對企業內部資源的訪問。即使有惡意的攻擊，也可以被控制在無線VLAN內部。

2. 對無線上網的設備進行用戶認證。

3. 對無線上網的設備進行ip-mac綁定。

4. 記錄無線上網的上網記錄，包括ip地址、mac地址、網站訪問等信息。供需要時查詢。

無線設備的應用，不管是生活上，還是企業應用，現在多么深多么廣無需在累贅說明。就企業信息管理，網絡管理來說，WIFI的管理也是企業上網行為管理的一個重要的部分。網絡監控對于WIFI的優勢還是非常明顯的，網絡監控走的網絡層面，那么被監控的設備就沒有要求，不管是手機還是電腦，或者PAD，也不管是windows系統還是MAC系統或者LINUX系統，統統都可以監控管理。

作者:笨小驢 | 分類:WiFi監控管理方案 | 瀏覽:7819 | 評論:0

之前有用戶反映過一個挺困擾的問題：就是騰訊的QQ經常會自動下載QQ電腦管家和QQ瀏覽器，占用大量的帶寬資源，而且給PC機的管理帶來麻煩。如圖，你只要點擊“一鍵領取”，就會自動下載并安裝騰訊的相關軟件。

本文中，我將介紹如何用WFilter ICF來禁止這些軟件的自動下載安裝。

上網行為管理的部署方式主要有旁路、網關、網橋這三種部署方式。在之前的一篇博客“企業上網行為管理部署方案”中，我們已經簡單介紹了三種方案的優缺點。那么在本文中，我們再側重介紹下“網橋”和“網關”兩種模式的優缺點比較。

經常有用戶問到上網行為管理是軟件好還是硬件好，實際上硬件從本質上來說也是軟件，只不過是預裝好的系統。所以從功能上來說，硬件和軟件并沒有區別，差別主要在穩定性、兼容性和服務上。

本文將著重從穩定性、兼容性、服務上討論上網行為管理軟件和硬件的區別。

企業在部署上網行為管理時，對方案的選擇需要考慮如下因素：

1. 是否需要改變現有的網絡結構？

2. 是否需要對現有設備進行重新配置？

3. 對現有網絡穩定性和網速的影響。

4. 網絡結構改造的工作量。

除非現有的設備面臨升級換代，我相信大部分人都不會選擇替換現有的設備和改變網絡結構。那么首選的方案就是兩個：“旁路部署方案”和“網橋部署方案”。這兩個方案，都可以透明部署，無需改變現有結構，也不會帶來對性能和網速的影響。具體的比較如下：

現在大部分企業或多或少都會有一些業務要發布到互聯網上供外網訪問，比如：ERP系統、OA系統等。為了保證這些業務的正常運行，需要提供一個穩定的帶寬保障，如何解決內網辦公和外網訪問的帶寬共享，也是一個讓大部分網管頭疼的問題。

本文中，我將結合一個實際的網絡改造例子，來介紹如何保障互聯網業務的帶寬。

1. 網絡結構介紹

本例中，用戶之前用的是一個普通的多WAN口路由器，接了三根光纖（兩個固定IP），用兩個固定IP分別映射到內網的OA系統和ERP系統。在實際使用中，由于內網的流量比較高，外網用戶經常會反映連接不上ERP/OA系統。結合公司的上網行為管理系統，決定購買一臺“WSG-500E上網行為管理網關”，替代掉現有的路由器。網絡結構圖如下：

有些用戶為了提高網速，一味的申請更多的帶寬，其實是不足取的。要保證局域網的網速，帶寬雖然不可或缺，但是正確的組網方式和管理手段更加重要。在當前的網絡環境下，出口帶寬500K/人就完全可以滿足正常的上網需要，舉例來說，100人50M帶寬，50人20M帶寬。

本文中，我將介紹一個典型的多線路局域網改造方案。

對于一個小型的局域網環境（終端數少于50）來說，一個企業級上網行為管理路由器就可以實現基本的上網行為管理功能。當然，路由器的功能比較局限，對于上網內容記錄、上網統計、網址庫過濾等高級功能，你就需要部署一臺專業的上網行為管理來實現了。

本文中，我將介紹少于50客戶端的局域網，如何部署一臺專業的上網行為管理設備？

你需要一臺雙網卡的PC機或者x86架構的工控機，安裝上WFilter NGF上網行為管理系統。

很多局域網采用的是“防火墻/路由--三層交換機--二層交換機”的拓撲結構，而由于三層交換機的配置相對來說比較復雜，在這樣的局域網中部署上網行為管理，用戶往往會面臨如下的一些問題：

1. 找不到交換機的管理員用戶名和口令。
   

2. 沒有技術人員可以修改交換機的配置。

3. 沒有交換機廠商技術支持。

其實在有三層交換機的網絡環境中部署上網行為管理并不困難。在本文中，我將分別介紹“網橋部署”和“網關部署”的兩種方案。我們的方案，都盡量避免了對交換機的配置進行修改。

電腦修改IP，最直接的結果，會導致這個電腦不能上網，如果改成另外一臺電腦的IP，那么IP會沖突，兩個電腦都沒法上網。這樣的問題，不是大問題，但是卻很麻煩，如果是想在本機禁止，網上有一水的經驗和方法，就不一一介紹的。但是如果碰到員工自己的電腦，或者網管的爪子伸不到電腦上，那么如果在網絡層管理呢？

1. 如果您是域環境，做禁止修改IP也好做的。給每臺電腦設置固定IP地址，且不開放管理員權限（客戶機無法自行修改）。這個方案只能對電腦起作用，一般在域環境的局域網用的比較多。如圖中的組策略配置。

WFilter NGF的整個系統設計都遵循了API設計的原則，甚至可以說，現有的WFilterNGF的UI就是基于我們的API系統開發而成。本文，將結合一個簡單的例子，來演示下WFilter NGF的API調用。需求很簡單：“調用WFilter的API，對某個IP進行限速和Web過濾。”

首先，要進行WFilterNGF的相關配置。

由于限速和Web過濾是分開的模塊，那么我們的思路是建立一個“虛擬組”，對這個虛擬組配置限速和Web過濾策略，API調用只需要把這個IP加入到虛擬組即可。

這個世界有矛就有盾，既然有IP-MAC綁定的技術，總歸就有人會嘗試去突破這個綁定。一般來說，無非是通過”修改IP地址“和”修改MAC地址“兩種方式。

1. IP地址的修改很簡單，在“本地連接”里面，修改TCP/IP的屬性就可以，如圖：

隨著移動終端使用越來越廣泛，WIFI也是漫天遍野都是，但是企業局域網里面私接路由或者電腦上插了隨身WIFI，看視頻或者下載什么，對于局域網帶寬消耗很大，最直接的也非常影響了工作狀態。如果把IP綁定以后，能否杜絕這一現象呢？一半的一半，私接路由可以拒絕，但是隨身WIFI不行。

1. 先說私接路由，這里的私接路由，是局域網里面某個大神自己帶個小無線路由器，往角落里面交換機上一插，然后就可以無線上網了，那么這個時候如果想要阻止這位大神，需要采用那個NGF或者WSG網關的IP綁定策略，采取這樣的策略，隨便什么無線路由，或者電腦直接插都無法上網，這樣配置，那么局域網里面電腦擅自修改IP，也無法上網。這樣的IP管理的妥妥的。一人一P，人改P不改。