如何實現(xiàn)釘釘掃碼登錄webvpn？

Thu, 02 Jan 2025 13:32:29 +0800

WSG上網(wǎng)行為管理的webvpn功能，可以支持釘釘掃碼登錄。要實現(xiàn)該功能，你需要有公網(wǎng)域名、固定公網(wǎng)IP地址。本文將介紹具體的配置步驟。配置主要分為兩個部分：釘釘應用開發(fā)平臺的配置、WSG上網(wǎng)行為管理的webvpn配置。

1. 創(chuàng)建釘釘應用

記錄釘釘app的Client ID和Client Secret，對應webvpn配置中的AppKey和AppSecret。

在“安全設置”中配置公司的出口IP地址，只有從這個ip發(fā)起的請求才可以調用該APP。配置重定向URL（回調域名），該回調域名需要和webvpn中的配置一致。

2. 配置WebVPN

WebVPN的用戶認證中啟用第三方認證的釘釘認證方式，填入AppKey，AppSecret和回調域名（回調域名必須是域名，不能是IP地址）。

測試webvpn的登錄：

還有一點要注意的：webvpn通過cookie來實現(xiàn)認證，由于釘釘掃碼需要通過第三方域名，所以這里會涉及到一個跨域cookie的安全問題。Chrome內核的瀏覽器默認情況下要求跨域的cookie設置必須采用https的方式連接。所以如果發(fā)現(xiàn)Chrome掃碼后不能跳轉到內頁，多半就是因為這個跨域cookie的安全限制原因。這種情況建議換用其他瀏覽器，或者采用https方式登錄。

WSG上網(wǎng)行為管理網(wǎng)關有哪些特色功能和參數(shù)？

Thu, 05 Dec 2024 10:23:39 +0800

WSG上網(wǎng)行為管理網(wǎng)關是基于WFilter NGF的上網(wǎng)行為管理硬件網(wǎng)關，上網(wǎng)認證系統(tǒng)、入侵防御系統(tǒng)和防火墻。該設備性能強勁，功能豐富，有著很多特色功能，包括如下幾個方面：

1. 硬件特色

多個千兆萬兆端口（不同型號有差異）
WAN/LAN可配置
采用x86架構的高性能CPU，性能遠超路由器

2. 功能特色

2.1 上網(wǎng)審計和上網(wǎng)管控

提供網(wǎng)關模式、透明網(wǎng)橋模式、旁路模式的部署方案。
上網(wǎng)日志審計支持Web記錄、郵件記錄、文件傳輸、FTP/Telnet命令、IP-MAC歷史、連接明細的記錄。
提供高價值的業(yè)務報表，如網(wǎng)頁瀏覽次數(shù)統(tǒng)計、網(wǎng)站瀏覽時長統(tǒng)計、應用時長統(tǒng)計、帶寬分析報表、網(wǎng)絡延時統(tǒng)計、網(wǎng)絡流量趨勢等。支持報表自定義，支持報表自動發(fā)送到郵箱。
豐富的上網(wǎng)行為管理功能，包括IP-MAC綁定、應用過濾、網(wǎng)頁過濾、郵件過濾、例外設置等管控方式。可以根據(jù)IP地址、IP段、MAC地址、賬號、用戶組來配置上網(wǎng)策略。
支持跨網(wǎng)段IP-MAC綁定，可以通過MAC地址收集器從三層交換機獲取終端的實際MAC地址。
支持臨時虛擬組策略，可以對終端設置一定時限內的臨時策略。
支持外發(fā)管控，可以禁止超過指定大小的外發(fā)行為。
支持SSL監(jiān)控，可以對HTTPS網(wǎng)站、SSL郵件進行記錄、攔截和監(jiān)控。
支持共享檢測，可以檢測并懲罰局域網(wǎng)中的互聯(lián)網(wǎng)共享行為。

2.2 用戶認證

可以和AD域集成，可以基于域賬號、OU設置上網(wǎng)策略和查詢統(tǒng)計。
用戶名密碼認證支持本地賬號、域賬號(LDAP)、郵箱、Radius進行認證。
支持短信認證、釘釘掃碼認證、企業(yè)微信掃碼認證、二維碼認證。

2.3 安全方面

記錄管理員登錄和操作日志、登錄嘗試過多時鎖定賬號。支持多管理員，且可以配置管理員菜單權限?？梢韵拗圃试S登錄本系統(tǒng)的終端IP地址。
支持入侵防御，可以檢測并阻止來自內、外網(wǎng)的惡意攻擊行為。
支持木馬檢測，可以檢測內網(wǎng)感染病毒木馬的可疑終端。

2.4 其他

支持SD-WAN、IPSec、SSL VPN組網(wǎng)方案，支持網(wǎng)關部署和單臂部署。支持SSL VPN遠程辦公，支持Web VPN。
支持網(wǎng)絡健康度檢測、私接路由和隨身Wifi檢測、網(wǎng)絡掃描、代理服務器掃描、DHCP掃描等各種擴展插件。
支持MAC地址收集器，可以從三層交換機獲取客戶機MAC地址，配合其他模塊實現(xiàn)跨網(wǎng)段IP-mac綁定、MAC地址記錄。
支持雙機熱備自動切換。

更多詳細介紹請參考：WSG上網(wǎng)行為管理

如何對局域網(wǎng)電腦進行漏洞掃描？

Mon, 23 Sep 2024 13:30:24 +0800

對局域網(wǎng)進行漏洞掃描，可以提前發(fā)現(xiàn)內網(wǎng)的安全漏洞，比如弱密碼、系統(tǒng)漏洞、未授權訪問等問題；及時修復這些問題，可以有效地避免黑客攻擊等安全事件的發(fā)生，保護企業(yè)或組織的信息資產(chǎn)安全。在本例中，我將結合WSG上網(wǎng)行為管理的“漏洞掃描”功能，介紹如何對局域網(wǎng)電腦進行漏洞掃描，以及相應的整改操作。

1. 添加掃描任務

在“漏洞掃描”模塊中新增掃描任務，輸入掃描的目標網(wǎng)段，指定任務運行的時間，保存配置。

2. 檢查掃描結果

掃描任務需要連接笨驢的云服務器，等待云服務器分配任務并且完成掃描。掃描所需的時間和目標網(wǎng)段的規(guī)模相關，時間從幾十分鐘到幾個小時不等，你可以在狀態(tài)欄中看到掃描的完成度。如下圖：

等待掃描結束后，點擊旁邊的“放大鏡圖標”，可以查看掃描結果。如下圖：

點擊導出可以導出掃描結果。

3. 修復掃描出的漏洞

針對掃描出來的“高?！焙汀爸形！甭┒?，應該逐項進行修復。每個漏洞的修復方式都是不一樣的，有些是配置問題，有些是版本太舊，有些還需要聯(lián)系相關的廠家技術支持進行修復。比如上圖中的“Anonymous FTP Login Reporting”，意思就是檢測到了FTP匿名登錄，這個ftp服務器允許匿名登錄，存在安全隱患。那么修復的方法就是修改ftp服務器的配置，把匿名登錄禁用掉。漏洞修復后，建議再次運行漏洞掃描任務，來驗證漏洞是否得到修復。

如何用WSG的openvpn服務端撥入到局域網(wǎng)？

Thu, 19 Sep 2024 12:49:36 +0800

WSG自帶的openvpn服務端集成了openvpn服務，可以讓外網(wǎng)終端撥入到公司內部局域網(wǎng)。WSG的openvpn服務端采用了ca證書和用戶名密碼認證雙重認證，安全性和穿透性都很高。下面是具體的步驟介紹：

1. 開啟openvpn服務

在“VPN-openvpn服務端”中開啟openvpn服務，選擇用戶名認證。推送路由里面配置的是允許外網(wǎng)訪問的本地局域網(wǎng)網(wǎng)段，如果允許外網(wǎng)終端通過公司線路訪問外網(wǎng)也可以在這里配置允許訪問的外網(wǎng)網(wǎng)段。

2. 生成客戶端配置文件

到“客戶端網(wǎng)段”中點擊“生成配置文件”來生成openvpn客戶端連接的配置文件。最新版本的WSG生成配置文件時可以自動把ca證書包含到配置文件中，不需要另外導出ca證書。如果你想指定客戶端撥入后的IP地址，可以通過點擊“新增”來指定，如果兩地通過openvpn互聯(lián)，還需要在這里添加客戶端網(wǎng)段。遠程辦公撥入是不需要添加客戶端網(wǎng)段的。

用記事本打開下載的配置文件，然后把remote后面的IP地址改成實際的公網(wǎng)IP地址。如下圖：

3. 配置防火墻規(guī)則

防火墻規(guī)則至少需要兩條規(guī)則，一條是允許外網(wǎng)撥入openvpn（自動生成），另外一條是允許openvpn客戶端訪問內網(wǎng)。如下圖：

4. 創(chuàng)建vpn賬號

還需要到“用戶認證-賬號管理”中添加vpn賬號，驗證方式中需要勾選VPN選項。

5. Windows終端的配置

安裝openvpn connect后，點擊“Import Profile”來導入配置文件。

輸入用戶名密碼后，點擊“Add”完成添加

測試連接成功

開機自動啟動并連接(Reconnect On Reboot)

如何用l2tp遠程撥入公司局域網(wǎng)？

Sat, 14 Sep 2024 16:10:19 +0800

有時候不同運營商之間的GRE協(xié)議是不通的，會導致PPTP連接不上。而L2TP工作在UDP 1701端口，和PPTP相比穿透性更強，而PPTP需要開通TCP 1723和GRE協(xié)議才可以。

本例中，我將介紹WSG上網(wǎng)行為管理的L2TP的用法。如下圖：

1. 開啟PPTP/L2TP服務端

VPN類型選擇L2TP

啟用L2TP服務端后，防火墻規(guī)則中會自動生成一條允許l2tp撥入的防火墻規(guī)則，放行外網(wǎng)區(qū)域的UDP 1701端口。這條規(guī)則不需要做任何改動。

2. Windows客戶端的配置

Windows系統(tǒng)自帶L2TP+IPSec的支持，但是默認配置下Windows是必須要IPSec加密才可以連接L2TP服務的。由于WSG的IPSec用于site-to-site隧道，我們需要配置Windows注冊表來禁用IPSec。

在“運行”中運行regedit來打開注冊表編輯器

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters中，創(chuàng)建ProhibitIpSec這個注冊表項，DWORD類型，數(shù)值為1。如下圖：

重啟電腦，然后創(chuàng)建VPN鏈接，VPN類型選擇“L2TP/IPSec”，數(shù)據(jù)加密選擇“可選加密”。

一般來說，我們不希望把所有的外網(wǎng)數(shù)據(jù)都通過VPN線路轉發(fā)，需要在IPV4的屬性中，把“在遠程網(wǎng)絡上使用默認網(wǎng)關”去掉勾選。如下圖。

3. 成功撥入L2TP

經(jīng)過上述配置后，即可成功撥入L2TP VPN服務。

互聯(lián)網(wǎng)接入備案設備怎么選擇？

Mon, 13 May 2024 14:17:59 +0800

有些局域網(wǎng)出于安全需要，需要進行互聯(lián)網(wǎng)接入備案?；ヂ?lián)網(wǎng)接入備案，也就是網(wǎng)絡準入的。但是要滿足網(wǎng)監(jiān)部門的要求，還需要關注以下功能：

能否進行網(wǎng)絡準入認證？
能否記錄上網(wǎng)行為、上網(wǎng)行為審計？
能否提供網(wǎng)絡安全防護功能？

以WSG上網(wǎng)行為管理為例，該產(chǎn)品集成了網(wǎng)絡準入、網(wǎng)絡安全防護、上網(wǎng)行為管理、上網(wǎng)行為審計、防火墻等功能，不但可以滿足互聯(lián)網(wǎng)接入備案的需要，還可以進行上網(wǎng)管理和網(wǎng)絡安全防護，為企事業(yè)網(wǎng)絡安全提供一站式解決方案。以下是一些功能界面截圖：

1. 網(wǎng)絡準入認證

IP-MAC綁定

Web Portal認證

2. 上網(wǎng)審計和記錄功能

3. 網(wǎng)絡安全防護

網(wǎng)絡安全防護可以提供DDos防火墻、入侵防御、木馬檢測、主動防御等功能，保障網(wǎng)絡安全。

WSG上網(wǎng)行為管理如何自定義報表？統(tǒng)計并且發(fā)送每日的流量統(tǒng)計。

Thu, 09 May 2024 09:22:45 +0800

WSG上網(wǎng)行為管理有著強大的報表系統(tǒng)，可以實現(xiàn)對于網(wǎng)站訪問、流量、工作效率、網(wǎng)絡訪問趨勢等一系列的統(tǒng)計功能。在本文中，我將以每日流量統(tǒng)計為例，配置一個自動發(fā)送的流量統(tǒng)計報表。

1. 新增流量統(tǒng)計報表

在“查詢統(tǒng)計”-“統(tǒng)計報表”的報表列表中，點擊“新增”。

選擇統(tǒng)計條件，不同的統(tǒng)計條件會顯示不同的統(tǒng)計內容，請按您的需求選擇正確的報表類型。在本例中，選擇“流量統(tǒng)計報表”，統(tǒng)計字段1選擇“協(xié)議”，就可以統(tǒng)計每個協(xié)議的對應流量。如下圖：

統(tǒng)計對象默認是“所有”，如果只想統(tǒng)計指定的終端，可以選擇“指定設備”，然后點擊“編輯統(tǒng)計對象”進行設置。

2. 設置自動發(fā)送

您還可以保存該報表并配置自動發(fā)送，可以自動把報表發(fā)送到指定的郵箱。如下圖：

點擊“立即發(fā)送”測試報表能否成功發(fā)送。

如果發(fā)送郵件不成功，或者郵件接收不到。請先到“配置-系統(tǒng)-SMTP設置”中確保SMTP功能可以正確使用。

下圖是接收到的統(tǒng)計報表內容格式：

WSG的入侵防御系統(tǒng)可以防范哪些網(wǎng)絡攻擊？

Tue, 12 Mar 2024 14:11:26 +0800

WSG的入侵防御和木馬檢測模塊基于snort特征庫，可以檢測和阻止各類網(wǎng)絡攻擊，這兩個模塊會對網(wǎng)絡中的數(shù)據(jù)通信進行檢測還原，匹配其中的木馬特征，一旦匹配到特征時就觸發(fā)告警和阻斷。

WSG上網(wǎng)行為管理有內置的網(wǎng)址庫、應用特征庫和入侵防御特征庫，其中入侵防御特征庫是基于snort的，木馬檢測分為以下幾個大類：

indicator-compromise: 檢測內網(wǎng)被惡意軟件感染的終端。
indicator-obfuscation: 惡意軟件的模糊特征檢測。
indicator-scan：檢測惡意軟件的掃描行為。
indicator-shellcode：檢測shellcode的執(zhí)行特征。
malware-backdoor：檢測后門端口的通訊特征。如果某個惡意軟件打開一個端口并等待其控制功能的傳入命令，則會出現(xiàn)此類檢測。
malware-cnc：此類別包含已識別的僵尸網(wǎng)絡流量的已知惡意命令和控制活動。
malware-tool：此類別包含處理本質上可被視為惡意工具的規(guī)則。

入侵防御模塊分為以下幾個大類：

os-linux/windows/mobile/solaris: 檢測針對各種操作系統(tǒng)的攻擊
protocol-services/rpc/dns/finger/ftp/imap...: 檢測針對各種協(xié)議漏洞的攻擊
server-apache/iis/mssql/mysql/oracle..: 檢測針對各種服務器軟件漏洞的攻擊

WSG上網(wǎng)行為審計系統(tǒng)可以記錄哪些內容？

Wed, 06 Mar 2024 14:18:00 +0800

WSG上網(wǎng)行為管理通過安裝在網(wǎng)絡出口處，可以對局域網(wǎng)內終端的上網(wǎng)行為進行審計記錄，從而保障企事業(yè)單位的信息安全，提供一年以上的上網(wǎng)審計記錄，使上網(wǎng)行為有據(jù)可查。那么，WSG上網(wǎng)行為管理可以審計哪些內容呢？本文將為您作詳細介紹。

1. WSG的部署位置

WSG上網(wǎng)行為審計系統(tǒng)一般部署在網(wǎng)絡出口處即可對全網(wǎng)進行審計記錄，既可作為網(wǎng)絡的主路由器，也可以做透明網(wǎng)橋串接在路由器和交換機之間。網(wǎng)絡拓撲圖如下：

2. 實時審計功能

WSG可以實時監(jiān)控所有的內網(wǎng)終端列表，顯示終端的IP地址、MAC地址等信息。點擊帶寬的數(shù)字進去，還可以看到所有的實時連接，包括每個連接的帶寬、遠程IP、端口、內容等信息。網(wǎng)絡數(shù)據(jù)一目了然。

3. 上網(wǎng)記錄功能

上網(wǎng)記錄功能提供歷史記錄功能，可以記錄網(wǎng)頁瀏覽、網(wǎng)頁粘貼、郵件收發(fā)、聊天賬號、FTP/Telnet歷史、IP-MAC歷史、連接明細。如下圖所示：

網(wǎng)頁瀏覽記錄訪問的網(wǎng)站域名、IP、端口等信息。

收發(fā)郵件可以記錄收發(fā)郵件的收件人、發(fā)件人、遠程IP端口、郵件標題和郵件正文

文件傳輸主要記錄Web下載、FTP上傳下載的歷史。

記錄FTP/Telnet的命令歷史

IP-MAC歷史中記錄了局域網(wǎng)內出現(xiàn)的所有終端，包括IP地址、MAC地址信息。

連接明細中記錄了終端的每個連接，包括時間、遠程IP和端口、應用協(xié)議、訪問內容、放行還是被阻止。

以上就是WSG上網(wǎng)審計系統(tǒng)的記錄主要內容，WSG還可以對記錄的內容配置告警，并且提供網(wǎng)絡安全、入侵防御等功能。

上網(wǎng)行為管理如何只允許下載和訪問但是不允許上傳？

Thu, 29 Feb 2024 13:58:09 +0800

一些企事業(yè)單位為了信息安全的目的，需要在允許終端訪問外網(wǎng)的同時屏蔽一切外發(fā)行為，即只能瀏覽和下載但是不允許外發(fā)和上傳。這個功能是比較專業(yè)的功能，需要專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以實現(xiàn)。以WSG上網(wǎng)行為管理為例，WSG上網(wǎng)行為管理中有個“智能過濾”功能，該功能會檢測所有網(wǎng)絡連接并且進行統(tǒng)計，一旦發(fā)現(xiàn)上傳的數(shù)據(jù)量超過設置的閾值，就會禁止這個連接從而屏蔽上傳行為。如下圖所示：

啟用該選項后，WSG會自動統(tǒng)計每個連接中的上傳數(shù)據(jù)大小，一旦上傳數(shù)據(jù)超過限定的閾值，就會判定為”疑似上傳行為“而加以禁止。利用該選項有如下好處：

對所有的應用協(xié)議都可以生效。
不在應用特征庫中的上傳行為也可以禁止。
https網(wǎng)站中的上傳也一樣可以設別和屏蔽。

如下圖，https的網(wǎng)頁郵件中的上傳附件可以被識別和禁止掉。

論壇發(fā)帖的附件一樣可以禁止掉。

不但是Web上傳，對于各類客戶端APP，比QQ傳文件、微信傳文件中的上傳行為也一樣可以禁止。

在WSG的實時流量圖中，點擊總帶寬的數(shù)字進去，就可以看到每個終端的實時連接和實時封堵。實時封堵里面顯示了連接被禁止的原因、對應的模塊和策略。如下圖中所示，可以看到“疑似上傳文件”的禁止記錄。

這樣就實現(xiàn)了“只允許下載和訪問但是不允許上傳”的功能需求，滿足了企事業(yè)單位的安全需要。需要注意的一點是：為了避免分片傳輸，盡量不要把疑似上傳的閾值設置的過大（500K以內為宜）。

如何實現(xiàn)釘釘掃碼登錄webvpn？