微信WiFi，又名“微信連WiFi”。這個功能要求連接WiFi的用戶關(guān)注公眾號后上網(wǎng)，既可以推廣公眾號，還可以顯示廣告位，具備很實用的商業(yè)價值。微信WiFi認證的實現(xiàn)，有如下辦法：

1. 廣告路由器。直接把微信WiFi集成在無線路由器中，通過路由器界面或者云管理來進行配置。

2. 認證網(wǎng)關(guān)（網(wǎng)橋） + 無線AP的方式。由認證網(wǎng)關(guān)網(wǎng)橋來進行微信WiFi認證，無線AP只提供無線接入。

3. 旁路軟件 + 無線AP的方式。由旁路軟件來推送認證頁面，無線AP只提供無線接入。

這三種方案，廣告路由器的方案比較適合小環(huán)境，成本和實施都非常的簡單。如果網(wǎng)絡(luò)有一定規(guī)模，不適合部署多個廣告路由器時，就需要考慮第二和第三種方案?！罢J證網(wǎng)關(guān)”和“旁路軟件”的主要差別在于部署模式。

所謂串聯(lián)部署，顧名思義就是串接在網(wǎng)絡(luò)里面，所有數(shù)據(jù)都會流經(jīng)過監(jiān)控系統(tǒng)，從而可以讓監(jiān)控系統(tǒng)解析，還原；還可以實現(xiàn)中間人技術(shù)（HTTPS,SSL監(jiān)控）。這樣部署可以直接深入網(wǎng)絡(luò)，對網(wǎng)絡(luò)管理，協(xié)議分析，內(nèi)容審計更加全面到位。

串聯(lián)部署方案兩種形式：

無線上網(wǎng)的被監(jiān)控端主要都是手機、PAD，也包括無線上網(wǎng)的電腦。手機的安卓系統(tǒng)以及蘋果系統(tǒng)底層都是不開放的，所以沒有任何辦法安裝監(jiān)控客戶端。所以無線監(jiān)控只有一個方式，就是網(wǎng)絡(luò)監(jiān)控。網(wǎng)絡(luò)監(jiān)控的部署分兩種，串聯(lián)監(jiān)控部署以及旁路監(jiān)控部署。

現(xiàn)在很多企業(yè)局域網(wǎng)都是全無線覆蓋，給員工和客戶的網(wǎng)絡(luò)接入提供了很大的便利。無論在公司或者廠區(qū)的任何位置，都可以很方便的接入到公司局域網(wǎng)和互聯(lián)網(wǎng)。但是這樣也帶來了不可避免的安全性問題：一旦有未經(jīng)授權(quán)的網(wǎng)絡(luò)接入，不但會占用寶貴的帶寬資源；而且會帶來病毒、黑客攻擊等局域網(wǎng)安全問題。

所以，局域網(wǎng)在做無線覆蓋的同時，一定要考慮到安全問題。一般來說，可以從兩方面入手：

1. 合理的劃分VLAN。無線接入應(yīng)當處于單獨的VLAN，并且控制該VLAN對企業(yè)內(nèi)部資源的訪問。即使有惡意的攻擊，也可以被控制在無線VLAN內(nèi)部。

2. 對無線上網(wǎng)的設(shè)備進行用戶認證。

3. 對無線上網(wǎng)的設(shè)備進行ip-mac綁定。

4. 記錄無線上網(wǎng)的上網(wǎng)記錄，包括ip地址、mac地址、網(wǎng)站訪問等信息。供需要時查詢。

無線設(shè)備的應(yīng)用，不管是生活上，還是企業(yè)應(yīng)用，現(xiàn)在多么深多么廣無需在累贅說明。就企業(yè)信息管理，網(wǎng)絡(luò)管理來說，WIFI的管理也是企業(yè)上網(wǎng)行為管理的一個重要的部分。網(wǎng)絡(luò)監(jiān)控對于WIFI的優(yōu)勢還是非常明顯的，網(wǎng)絡(luò)監(jiān)控走的網(wǎng)絡(luò)層面，那么被監(jiān)控的設(shè)備就沒有要求，不管是手機還是電腦，或者PAD，也不管是windows系統(tǒng)還是MAC系統(tǒng)或者LINUX系統(tǒng)，統(tǒng)統(tǒng)都可以監(jiān)控管理。

作者:笨小驢 | 分類:WiFi監(jiān)控管理方案 | 瀏覽:7316 | 評論:0

之前有用戶反映過一個挺困擾的問題：就是騰訊的QQ經(jīng)常會自動下載QQ電腦管家和QQ瀏覽器，占用大量的帶寬資源，而且給PC機的管理帶來麻煩。如圖，你只要點擊“一鍵領(lǐng)取”，就會自動下載并安裝騰訊的相關(guān)軟件。

本文中，我將介紹如何用WFilter ICF來禁止這些軟件的自動下載安裝。

上網(wǎng)行為管理的部署方式主要有旁路、網(wǎng)關(guān)、網(wǎng)橋這三種部署方式。在之前的一篇博客“企業(yè)上網(wǎng)行為管理部署方案”中，我們已經(jīng)簡單介紹了三種方案的優(yōu)缺點。那么在本文中，我們再側(cè)重介紹下“網(wǎng)橋”和“網(wǎng)關(guān)”兩種模式的優(yōu)缺點比較。

經(jīng)常有用戶問到上網(wǎng)行為管理是軟件好還是硬件好，實際上硬件從本質(zhì)上來說也是軟件，只不過是預(yù)裝好的系統(tǒng)。所以從功能上來說，硬件和軟件并沒有區(qū)別，差別主要在穩(wěn)定性、兼容性和服務(wù)上。

本文將著重從穩(wěn)定性、兼容性、服務(wù)上討論上網(wǎng)行為管理軟件和硬件的區(qū)別。

企業(yè)在部署上網(wǎng)行為管理時，對方案的選擇需要考慮如下因素：

1. 是否需要改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)？

2. 是否需要對現(xiàn)有設(shè)備進行重新配置？

3. 對現(xiàn)有網(wǎng)絡(luò)穩(wěn)定性和網(wǎng)速的影響。

4. 網(wǎng)絡(luò)結(jié)構(gòu)改造的工作量。

除非現(xiàn)有的設(shè)備面臨升級換代，我相信大部分人都不會選擇替換現(xiàn)有的設(shè)備和改變網(wǎng)絡(luò)結(jié)構(gòu)。那么首選的方案就是兩個：“旁路部署方案”和“網(wǎng)橋部署方案”。這兩個方案，都可以透明部署，無需改變現(xiàn)有結(jié)構(gòu)，也不會帶來對性能和網(wǎng)速的影響。具體的比較如下：

現(xiàn)在大部分企業(yè)或多或少都會有一些業(yè)務(wù)要發(fā)布到互聯(lián)網(wǎng)上供外網(wǎng)訪問，比如：ERP系統(tǒng)、OA系統(tǒng)等。為了保證這些業(yè)務(wù)的正常運行，需要提供一個穩(wěn)定的帶寬保障，如何解決內(nèi)網(wǎng)辦公和外網(wǎng)訪問的帶寬共享，也是一個讓大部分網(wǎng)管頭疼的問題。

本文中，我將結(jié)合一個實際的網(wǎng)絡(luò)改造例子，來介紹如何保障互聯(lián)網(wǎng)業(yè)務(wù)的帶寬。

1. 網(wǎng)絡(luò)結(jié)構(gòu)介紹

本例中，用戶之前用的是一個普通的多WAN口路由器，接了三根光纖（兩個固定IP），用兩個固定IP分別映射到內(nèi)網(wǎng)的OA系統(tǒng)和ERP系統(tǒng)。在實際使用中，由于內(nèi)網(wǎng)的流量比較高，外網(wǎng)用戶經(jīng)常會反映連接不上ERP/OA系統(tǒng)。結(jié)合公司的上網(wǎng)行為管理系統(tǒng)，決定購買一臺“WSG-500E上網(wǎng)行為管理網(wǎng)關(guān)”，替代掉現(xiàn)有的路由器。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

有些用戶為了提高網(wǎng)速，一味的申請更多的帶寬，其實是不足取的。要保證局域網(wǎng)的網(wǎng)速，帶寬雖然不可或缺，但是正確的組網(wǎng)方式和管理手段更加重要。在當前的網(wǎng)絡(luò)環(huán)境下，出口帶寬500K/人就完全可以滿足正常的上網(wǎng)需要，舉例來說，100人50M帶寬，50人20M帶寬。

本文中，我將介紹一個典型的多線路局域網(wǎng)改造方案。

對于一個小型的局域網(wǎng)環(huán)境（終端數(shù)少于50）來說，一個企業(yè)級上網(wǎng)行為管理路由器就可以實現(xiàn)基本的上網(wǎng)行為管理功能。當然，路由器的功能比較局限，對于上網(wǎng)內(nèi)容記錄、上網(wǎng)統(tǒng)計、網(wǎng)址庫過濾等高級功能，你就需要部署一臺專業(yè)的上網(wǎng)行為管理來實現(xiàn)了。

本文中，我將介紹少于50客戶端的局域網(wǎng)，如何部署一臺專業(yè)的上網(wǎng)行為管理設(shè)備？

你需要一臺雙網(wǎng)卡的PC機或者x86架構(gòu)的工控機，安裝上WFilter NGF上網(wǎng)行為管理系統(tǒng)。

很多局域網(wǎng)采用的是“防火墻/路由--三層交換機--二層交換機”的拓撲結(jié)構(gòu)，而由于三層交換機的配置相對來說比較復(fù)雜，在這樣的局域網(wǎng)中部署上網(wǎng)行為管理，用戶往往會面臨如下的一些問題：

1. 找不到交換機的管理員用戶名和口令。
   

2. 沒有技術(shù)人員可以修改交換機的配置。

3. 沒有交換機廠商技術(shù)支持。

其實在有三層交換機的網(wǎng)絡(luò)環(huán)境中部署上網(wǎng)行為管理并不困難。在本文中，我將分別介紹“網(wǎng)橋部署”和“網(wǎng)關(guān)部署”的兩種方案。我們的方案，都盡量避免了對交換機的配置進行修改。

電腦修改IP，最直接的結(jié)果，會導(dǎo)致這個電腦不能上網(wǎng)，如果改成另外一臺電腦的IP，那么IP會沖突，兩個電腦都沒法上網(wǎng)。這樣的問題，不是大問題，但是卻很麻煩，如果是想在本機禁止，網(wǎng)上有一水的經(jīng)驗和方法，就不一一介紹的。但是如果碰到員工自己的電腦，或者網(wǎng)管的爪子伸不到電腦上，那么如果在網(wǎng)絡(luò)層管理呢？

1. 如果您是域環(huán)境，做禁止修改IP也好做的。給每臺電腦設(shè)置固定IP地址，且不開放管理員權(quán)限（客戶機無法自行修改）。這個方案只能對電腦起作用，一般在域環(huán)境的局域網(wǎng)用的比較多。如圖中的組策略配置。

WFilter NGF的整個系統(tǒng)設(shè)計都遵循了API設(shè)計的原則，甚至可以說，現(xiàn)有的WFilterNGF的UI就是基于我們的API系統(tǒng)開發(fā)而成。本文，將結(jié)合一個簡單的例子，來演示下WFilter NGF的API調(diào)用。需求很簡單：“調(diào)用WFilter的API，對某個IP進行限速和Web過濾。”

首先，要進行WFilterNGF的相關(guān)配置。

由于限速和Web過濾是分開的模塊，那么我們的思路是建立一個“虛擬組”，對這個虛擬組配置限速和Web過濾策略，API調(diào)用只需要把這個IP加入到虛擬組即可。

這個世界有矛就有盾，既然有IP-MAC綁定的技術(shù)，總歸就有人會嘗試去突破這個綁定。一般來說，無非是通過”修改IP地址“和”修改MAC地址“兩種方式。

1. IP地址的修改很簡單，在“本地連接”里面，修改TCP/IP的屬性就可以，如圖：

隨著移動終端使用越來越廣泛，WIFI也是漫天遍野都是，但是企業(yè)局域網(wǎng)里面私接路由或者電腦上插了隨身WIFI，看視頻或者下載什么，對于局域網(wǎng)帶寬消耗很大，最直接的也非常影響了工作狀態(tài)。如果把IP綁定以后，能否杜絕這一現(xiàn)象呢？一半的一半，私接路由可以拒絕，但是隨身WIFI不行。

1. 先說私接路由，這里的私接路由，是局域網(wǎng)里面某個大神自己帶個小無線路由器，往角落里面交換機上一插，然后就可以無線上網(wǎng)了，那么這個時候如果想要阻止這位大神，需要采用那個NGF或者WSG網(wǎng)關(guān)的IP綁定策略，采取這樣的策略，隨便什么無線路由，或者電腦直接插都無法上網(wǎng)，這樣配置，那么局域網(wǎng)里面電腦擅自修改IP，也無法上網(wǎng)。這樣的IP管理的妥妥的。一人一P，人改P不改。

交換機上配置IP-mac綁定，主要需要考慮兩個因素：

1. 該交換機是否開啟DHCP服務(wù)？

2. 是采用端口綁定還是ARP綁定？

端口綁定或者ARP綁定，只是強制了IP-MAC的對應(yīng)關(guān)系。但是，對于自動獲取IP地址的客戶機而言，還需要在DHCP服務(wù)器上分配固定IP才可以；否則客戶機重新獲取IP后，就會聯(lián)不了網(wǎng)。所以，一個完善的IP-MAC綁定方案，既要考慮DHCP的靜態(tài)地址分配，還要考慮IP-MAC的實際綁定實現(xiàn)。對于三層交換機而言，分為兩種情況：

對于企業(yè)的辦公局域網(wǎng)來說，IP-MAC綁定帶來的好處是顯而易見的。但是各企業(yè)在具體實施的過程中，應(yīng)當根據(jù)各自局域網(wǎng)的特點，結(jié)合行政手段，有計劃、有目的的進行實施。

首先，獲取管理層的支持，頒布行政命令。

如果沒有相應(yīng)的行政命令，員工會不斷的嘗試手動修改IP來繞開監(jiān)管。從而導(dǎo)致不斷的IP地址沖突等網(wǎng)絡(luò)問題。所以在行政命令上，需要做到：

1. 禁止私自修改IP。

2. 禁止私接路由器、隨身wifi等設(shè)備。

以上行為一旦發(fā)現(xiàn)，配合一定的懲罰手段，可以減少技術(shù)手段的工作負擔(dān)。

對局域網(wǎng)設(shè)備進行IP-MAC綁定是網(wǎng)絡(luò)管理的一個重要手段，可以有效的防止IP盜用、IP濫用、IP地址沖突等異常情況。

IP-MAC綁定可以采用多種方法來實現(xiàn)，本文中，我將介紹一些常用的局域網(wǎng)IP-MAC綁定方案。

1. 域的組策略禁止修改IP

給每臺電腦設(shè)置固定IP地址，且不開放管理員權(quán)限（客戶機無法自行修改）。這個方案只能對電腦起作用，一般在域環(huán)境的局域網(wǎng)用的比較多。如圖中的組策略配置。

IP地址沖突是一個非常常見的網(wǎng)絡(luò)問題，電腦甲本來用的IPA的，不知道怎么回事，改成電腦乙的IPB了，那么做直接的結(jié)果就是電腦甲和乙都沒法上網(wǎng)，這種事故真的是平常事故，但是一出來，就不能上網(wǎng)了，如果沒有合適的檢測工具，IT或者網(wǎng)管為這樣事故頭疼愈烈的時候多呢。

1. 要有一個好的檢測工具，這樣網(wǎng)絡(luò)問題可以初步判斷出來。這個功能我們我們的WFilter的所有產(chǎn)品以及WSG的所有產(chǎn)品都有的。檢測到IP和MAC地址沖突了，具體情況看的妥妥的。

很多公司出于安全考慮，需要對IP-MAC地址進行綁定。IP-MAC綁定可以采用多種方法來實現(xiàn)，本文中，我將介紹各款交換機是如何進行IP-MAC綁定的。請注意，本文中的IP-MAC綁定是基于端口做的綁定，要求客戶機必須固定IP地址才可以聯(lián)網(wǎng)。

思科2950

#進入配置模式

Switch#config terminal

#進入具體端口配置模式

Switch(config)#Interface fastethernet 0/1

#配置端口安全模式

#配置該端口要綁定的主機的MAC地址

Switch(config-if )#switchport port-security mac-address MAC(主機的MAC地址) ip-address 192.168.x.x

WFilter NGF上網(wǎng)行為管理系統(tǒng)專為企事業(yè)單位的局域網(wǎng)量身打造，今天我來介紹下為什么說WFilter NGF更適合做企業(yè)的局域網(wǎng)環(huán)境。

1. 上網(wǎng)行為管理、流控、防火墻、VPN、VLAN等N合一

很多廠商的上網(wǎng)行為管理、防火墻、VPN都是單獨的產(chǎn)品，企業(yè)實現(xiàn)這些功能必須要買多臺設(shè)備，不但導(dǎo)致高額的投入，而且設(shè)備的維護管理也比較麻煩。而WFilter NGF系統(tǒng)集成了“上網(wǎng)行為管理”、“防火墻”、“流控”、“VPN”以及劃分VLAN的功能。只需要一臺設(shè)備，即可滿足企業(yè)的多種需求，大大降低企業(yè)的運營成本，能夠防止外部攻擊及內(nèi)部威脅，并將復(fù)雜化的網(wǎng)絡(luò)環(huán)境簡便化，方便后期的運營與維護。

WFilter ICF（超級嗅探狗）是一款為企事業(yè)單位的局域網(wǎng)量身打造的上網(wǎng)行為管理軟件，今天我來介紹下為什么說WFilter ICF更適合做企業(yè)的上網(wǎng)行為管理？

1. 更適合企業(yè)需求的網(wǎng)址庫和協(xié)議庫

上網(wǎng)行為管理的核心是”網(wǎng)址庫“和”協(xié)議庫“。沒有哪家的產(chǎn)品可以涵蓋所有的網(wǎng)站和協(xié)議，所以網(wǎng)址庫和協(xié)議庫的設(shè)計直接就體現(xiàn)了產(chǎn)品的適用對象。舉例來說：有的協(xié)議庫主要針對各種網(wǎng)游，那么這個產(chǎn)品的主要適用對象一定是網(wǎng)吧這樣的客戶，用于做游戲的加速。

而WFilter的網(wǎng)址庫和協(xié)議庫，都是和企業(yè)網(wǎng)絡(luò)管理息息相關(guān)的，比如用于提高工作效率的”游戲類“、”聊天類“等，用于節(jié)省帶寬的”流媒體類“、“下載類”等，用于信息安全的“文件傳輸類”、“郵件類”、“網(wǎng)盤和文件分享類”等。

WFilter NGF的IPSec VPN模塊，可以很方便的在企業(yè)總部和分支機構(gòu)之間創(chuàng)建VPN局域網(wǎng)，利用現(xiàn)有的互聯(lián)網(wǎng)出口，虛擬出一條“專線”，將組織的分支機構(gòu)和總部連接起來，組成一個大的局域網(wǎng)。網(wǎng)絡(luò)拓撲圖如下：

IPSec隧道建立成功后，總部以及各分支的內(nèi)網(wǎng)之間就可以直接互相訪問。下面是具體的配置步驟：