挖礦軟件會(huì)占用電腦的大量運(yùn)算資源和電力資源，而且會(huì)引起主管部門的關(guān)注。局域網(wǎng)內(nèi)有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情，對(duì)成百上千臺(tái)電腦一臺(tái)一臺(tái)的進(jìn)行排查簡(jiǎn)直就和大海撈針一樣，需要耗費(fèi)大量的時(shí)間和人力。所以很多網(wǎng)管人員面對(duì)上級(jí)部門發(fā)來的整改函一籌莫展。

因?yàn)榫钟蚓W(wǎng)出口做了NAT網(wǎng)絡(luò)地址轉(zhuǎn)換，上級(jí)部門只能檢測(cè)到公司的公網(wǎng)IP，所以只能靠公司內(nèi)部的網(wǎng)管人員來排查具體的終端了。最笨的辦法就是一臺(tái)電腦一臺(tái)電腦的檢查，通過檢查程序列表和任務(wù)管理器來找挖礦程序。

本文中，我將介紹如何用WSG上網(wǎng)行為管理中的“入侵防御”功能來檢查挖礦電腦。因?yàn)閃SG上網(wǎng)行為管理是部署在局域網(wǎng)內(nèi)部的，所以可以檢測(cè)到本地挖礦電腦的IP地址和MAC地址，從而準(zhǔn)確的定位到具體電腦。

網(wǎng)管在做遠(yuǎn)程技術(shù)支持的時(shí)候，需要連接到客戶的內(nèi)網(wǎng)或者路由器。對(duì)于有公網(wǎng)IP的網(wǎng)絡(luò)，可以直接通過公網(wǎng)IP或者動(dòng)態(tài)域名去訪問。由于現(xiàn)在運(yùn)營(yíng)商很多都只給內(nèi)網(wǎng)IP，使得遠(yuǎn)程技術(shù)支持必須要做內(nèi)網(wǎng)穿透才可以。所以很多網(wǎng)管在做網(wǎng)絡(luò)維護(hù)的時(shí)候，還需要給用戶安裝FRP或者NPS的內(nèi)網(wǎng)穿透服務(wù)，增加了維護(hù)的成本和復(fù)雜性。

在本文中，我將介紹如何通過SD-WAN的方式來給客戶提供遠(yuǎn)程網(wǎng)管服務(wù)。SD-WAN和其他方式相比，可以自動(dòng)尋址穿透，無需公網(wǎng)IP，也無需云主機(jī)轉(zhuǎn)發(fā)。具體步驟如下：

相對(duì)于傳統(tǒng)方案而言，SD-WAN有著無可比擬的優(yōu)勢(shì)，很多局域網(wǎng)都采用了SD-WAN的智能組網(wǎng)和遠(yuǎn)程辦公方案。SD-WAN的網(wǎng)絡(luò)規(guī)劃主要考慮如下三個(gè)方面：

• 多地虛擬組網(wǎng)

• 遠(yuǎn)程辦公撥入

• 網(wǎng)管技術(shù)支持

所以，我們?cè)谂渲肧D-WAN網(wǎng)絡(luò)時(shí)候，主要考慮這三個(gè)需求就可以。

如圖：

在“如何用SD-WAN實(shí)現(xiàn)多地組網(wǎng)？”一文中，我們介紹了如何用SD-WAN來實(shí)現(xiàn)多地組網(wǎng)。實(shí)際上SD-WAN不僅可以用于多地組網(wǎng)，而且可以用于遠(yuǎn)程辦公撥入。

和傳統(tǒng)的遠(yuǎn)程辦公方案相比，SD-WAN有如下優(yōu)勢(shì)：

• 自動(dòng)尋址，無需公網(wǎng)IP。

• 點(diǎn)對(duì)點(diǎn)加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺(tái)支持。有windows，安卓客戶端。

本文中，我將介紹如何用SD-WAN實(shí)現(xiàn)遠(yuǎn)程辦公撥入。

1. 網(wǎng)絡(luò)拓?fù)鋱D

SD-WAN不需要固定公網(wǎng)IP也可以實(shí)現(xiàn)遠(yuǎn)程辦公撥入。如下圖，該局域網(wǎng)通過一臺(tái)WSG網(wǎng)關(guān)連接外網(wǎng)，內(nèi)網(wǎng)網(wǎng)段是192.168.10.0/24。

SD-WAN即軟件定義廣域網(wǎng)，可以實(shí)現(xiàn)異地智能組網(wǎng)，遠(yuǎn)程辦公撥入。和傳統(tǒng)的VPN相比，SD-WAN有如下優(yōu)勢(shì)：

• 自動(dòng)尋址，無需公網(wǎng)IP。

• 點(diǎn)對(duì)點(diǎn)加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺(tái)支持。有windows，安卓客戶端。

• 既能實(shí)現(xiàn)多地異地組網(wǎng)，又可以實(shí)現(xiàn)遠(yuǎn)程辦公撥入。

本文中，我將介紹如何用WSG自帶的SD-WAN來實(shí)現(xiàn)多地異地虛擬組網(wǎng)。

現(xiàn)在的視頻資源非常多，抖音、愛奇藝、騰訊視頻、優(yōu)酷......可以說是數(shù)不勝數(shù)。而對(duì)于公司局域網(wǎng)來說，手機(jī)刷視頻不但嚴(yán)重影響工作效率，而且是一個(gè)非常耗費(fèi)網(wǎng)絡(luò)帶寬的一個(gè)行為。

本文中，我將以WSG上網(wǎng)行為管理為例，介紹如何在公司局域網(wǎng)內(nèi)禁止手機(jī)刷抖音等視頻。

局域網(wǎng)內(nèi)如果有電腦感染了木馬病毒，是一件讓人很頭疼的事情。對(duì)成百上千臺(tái)電腦一臺(tái)一臺(tái)的進(jìn)行查殺，簡(jiǎn)直就和大海撈針一樣，需要耗費(fèi)大量的時(shí)間和人力。所以很多網(wǎng)管人員面對(duì)上級(jí)部門發(fā)來的整改函一籌莫展，大部分情況下最終只能一臺(tái)一臺(tái)的殺毒整理。

從技術(shù)原理上來說，上級(jí)部門是在網(wǎng)絡(luò)上層部署了入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，從中識(shí)別出木馬病毒的特征；由于出口處做了網(wǎng)絡(luò)地址轉(zhuǎn)換，上級(jí)部門只能檢測(cè)到公網(wǎng)IP，而無法知道實(shí)際中毒的電腦。所以，你只需要在本地局域網(wǎng)中部署了入侵檢測(cè)，就可以檢測(cè)到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對(duì)電腦進(jìn)行查殺了。

如下圖，在WSG上網(wǎng)行為管理的“安全防護(hù)”-“入侵防御”中，點(diǎn)擊“IPS檢測(cè)項(xiàng)”，就可以看到入侵防御的各個(gè)選項(xiàng)。

當(dāng)您有多臺(tái)WSG設(shè)備時(shí)，如果有一個(gè)集中可以查看多臺(tái)設(shè)備、網(wǎng)絡(luò)狀態(tài)的綜合頁面，是不是很有吸引力？在本文中，我將介紹如何用php調(diào)用WSG的API，來自己DIY一個(gè)集中管控平臺(tái)。該平臺(tái)的源代碼框架如下：

1. index.htm： 定義頁面結(jié)構(gòu)。

2. apidemo.php：php腳本，主要是處理API的調(diào)用。

3. apidemo.js：腳本，主要處理頁面的顯示邏輯。

具體步驟如下：

一些企事業(yè)單位的局域網(wǎng)出于安全需要，必須指定的mac地址才可以聯(lián)網(wǎng)和訪問服務(wù)器資源。在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來介紹如何通過客戶機(jī)的MAC地址來對(duì)客戶端進(jìn)行身份認(rèn)證，只有通過認(rèn)證的客戶端設(shè)備才可以訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

作者:笨小驢 | 分類:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì) | 瀏覽:6021 | 評(píng)論:0

有些業(yè)務(wù)系統(tǒng)出于安全需要，會(huì)限制登錄的IP地址，比如只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業(yè)務(wù)系統(tǒng)，也必須走總公司的寬帶才可以。要實(shí)現(xiàn)這個(gè)需求，一般有以下解決方案：

1). 方案一：分公司的電腦先撥入總公司的VPN，走總公司線路訪問外網(wǎng)。

2). 方案二：分公司和總公司之間組建site-to-site虛擬局域網(wǎng)，分公司電腦通過總部的代理服務(wù)器訪問業(yè)務(wù)系統(tǒng)。

3). 方案三：分公司和總公司之間組建site-to-site虛擬局域網(wǎng)，通過在分公司的網(wǎng)關(guān)上指定分流訪問。

方案一需要在每臺(tái)電腦上都撥入VPN，配置和維護(hù)都比較麻煩；方案二需要在總部搭建代理服務(wù)器；所以相對(duì)來說方案三最為方便快捷。本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，介紹如何通過多線均衡和VPN客戶端來實(shí)現(xiàn)分公司走總部線路訪問業(yè)務(wù)系統(tǒng)（方案三）。

該視頻簡(jiǎn)要介紹了WSG上網(wǎng)行為管理的各項(xiàng)功能。

相對(duì)于二層交換機(jī)的網(wǎng)絡(luò)環(huán)境，在三層交換機(jī)環(huán)境下部署上網(wǎng)行為管理的步驟要復(fù)雜一些，差別主要在“靜態(tài)路由”和“MAC地址收集器”，還有上層防火墻的一些安全策略的影響。在本文中，我將結(jié)合一次實(shí)際的安裝經(jīng)歷，介紹三層環(huán)境下用網(wǎng)橋模式部署WSG上網(wǎng)行為管理的一些常見問題。

1. 配置并部署網(wǎng)橋

本例中，網(wǎng)關(guān)是華為USG防火墻172.16.200.253，三層交換機(jī)是172.16.200.254，子網(wǎng)掩碼都是255.255.255.0。既然200段IP是足夠的，所以我就直接把管理口設(shè)置在網(wǎng)橋上面，把WSG的IP設(shè)置為172.16.200.252，網(wǎng)關(guān)地址和DNS是防火墻的IP地址172.16.200.253。

WFilter NGF上網(wǎng)行為管理系統(tǒng)支持“Logo修改器”擴(kuò)展插件，可以實(shí)現(xiàn)如下功能：

1. 自定義產(chǎn)品名

2. 自定義產(chǎn)品Logo圖標(biāo)

3. 自定義網(wǎng)站鏈接

4. 自定義界面皮膚

該“Logo修改器”擴(kuò)展插件的使用界面如下圖：

采用釘釘做上網(wǎng)實(shí)名認(rèn)證存在很多優(yōu)勢(shì)，比如：

1. 可以直接利用釘釘中現(xiàn)有的組織架構(gòu)，不需要另行創(chuàng)建認(rèn)證的賬號(hào)。
   

2. 和短信認(rèn)證相比，不會(huì)產(chǎn)生費(fèi)用。

3. 電腦和手機(jī)都可以支持。

4. 可以自動(dòng)獲取并記錄釘釘?shù)膯T工姓名。

5. 可以基于釘釘員工姓名配置上網(wǎng)策略和統(tǒng)計(jì)。

在“域賬號(hào)”中，我們介紹了在server 2003/2008下如何設(shè)置adclient登錄注銷腳本。如果您用的是server 2016之后的windows系統(tǒng)，配置步驟略有差異。本文將介紹如何在server 2016下配置登錄注銷腳本。具體步驟如下：

1. 打開組策略編輯器

右鍵點(diǎn)擊“組策略管理”中域的“組策略對(duì)象”下面的“Default Domain Policy”。

很多公司出于工作需要，都會(huì)提供遠(yuǎn)程辦公撥入的VPN，供員工在外地可以連接到企業(yè)內(nèi)網(wǎng)處理工作。但是這也帶來一些安全方面的隱患；所以很多情況下，我們需要對(duì)外網(wǎng)撥入后的訪問權(quán)限進(jìn)行控制。

在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)的openvpn來介紹如何限制外網(wǎng)撥入后的訪問權(quán)限。

網(wǎng)管技術(shù)人員經(jīng)常需要處理網(wǎng)站打不開的問題，而網(wǎng)站打不開可能有很多原因，作為一名合格的網(wǎng)絡(luò)技術(shù)人員，需要可以快速定位問題所在，然后加以解決。

本文中，我將介紹網(wǎng)站打不開的常見原因以及對(duì)應(yīng)的解決方法。

1. 網(wǎng)站自身問題

2. DNS解析問題

3. 線路不通

4. 網(wǎng)絡(luò)安全策略

本文將介紹如何用阿里云的短信服務(wù)來實(shí)現(xiàn)WiFi上網(wǎng)實(shí)名認(rèn)證。

1. 申請(qǐng)阿里云賬號(hào)并完成實(shí)名認(rèn)證

首先你要申請(qǐng)一個(gè)阿里云賬號(hào)，因?yàn)槎绦欧?wù)是需要審核的，所以賬號(hào)最好要用企業(yè)為主體并且完成實(shí)名認(rèn)證。如果是個(gè)人賬號(hào)，那么申請(qǐng)短信簽名和模板時(shí)，流程會(huì)復(fù)雜一些。企業(yè)主體完成實(shí)名認(rèn)證后，界面是這樣的：

2. 申請(qǐng)短信服務(wù)

然后在“產(chǎn)品和服務(wù)”中選擇“短信服務(wù)”，并且購買適合的套餐。

在局域網(wǎng)內(nèi)部署WSG上網(wǎng)行為管理后，可以對(duì)全網(wǎng)的上網(wǎng)行為進(jìn)行分析、記錄和統(tǒng)計(jì)。除了內(nèi)置的一系列報(bào)表外，你還可以利用WSG的自定義報(bào)表功能，來實(shí)現(xiàn)更強(qiáng)大的統(tǒng)計(jì)功能。在本文中，我將介紹如何用WSG的統(tǒng)計(jì)報(bào)表，來對(duì)員工找工作的行為進(jìn)行分析告警，從而使公司領(lǐng)導(dǎo)了解員工的工作心態(tài)，減少公司損失。

1. 首先，創(chuàng)建一個(gè)自定義報(bào)表。

如下圖，選擇“網(wǎng)頁統(tǒng)計(jì)”-“網(wǎng)頁瀏覽次數(shù)統(tǒng)計(jì)”，勾選“保存該報(bào)表”，點(diǎn)擊保存后，再點(diǎn)擊“設(shè)置”。

采用企業(yè)微信做上網(wǎng)實(shí)名認(rèn)證存在很多優(yōu)勢(shì)，比如：

1. 可以直接利用企業(yè)微信中現(xiàn)有的組織架構(gòu)，不需要另行創(chuàng)建認(rèn)證的賬號(hào)。
   

2. 和短信認(rèn)證相比，不會(huì)產(chǎn)生費(fèi)用。

3. 電腦和手機(jī)都可以支持。

4. 可以自動(dòng)獲取并記錄企業(yè)微信的員工姓名。

5. 可以基于企業(yè)微信員工姓名配置上網(wǎng)策略和統(tǒng)計(jì)。

很多網(wǎng)絡(luò)環(huán)境目前都采用光纖的連接方式，比如主交換機(jī)到其他樓層交換機(jī)采用光口連接，再從樓層交換機(jī)的RJ45電口連接到其他網(wǎng)絡(luò)設(shè)備。這種網(wǎng)絡(luò)環(huán)境中，很多情況下都采用透明網(wǎng)橋的方式部署上網(wǎng)行為管理。本文中，我將介紹如何把上網(wǎng)行為管理的透明網(wǎng)橋串接到光口交換機(jī)和電口交換機(jī)中間。主要有如下兩種方式：

1. 采用支持光口的上網(wǎng)行為管理設(shè)備

如下圖，以WSG-500E為例，該型號(hào)有6個(gè)千兆電口和2個(gè)千兆光口，可以把網(wǎng)橋創(chuàng)建在一個(gè)光口和一個(gè)電口上。光口接上層的匯聚交換機(jī)，電口接下面的二層交換機(jī)。

很多企事業(yè)單位需要對(duì)電腦的外網(wǎng)訪問采用嚴(yán)格的控制策略，比如只允許工作網(wǎng)站、只允許使用163郵箱等。本文中，我將以WSG上網(wǎng)行為管理為例，來演示如何實(shí)現(xiàn)網(wǎng)站白名單功能。

具體的配置邏輯是：先在“應(yīng)用過濾”中禁止所有的網(wǎng)絡(luò)應(yīng)用，然后再把要放行的內(nèi)容加到“例外設(shè)置”里面。因?yàn)椤袄庠O(shè)置”的優(yōu)先級(jí)是最高的，這樣就達(dá)到了管控的效果，被管控的終端只能訪問指定

勒索軟件對(duì)企業(yè)數(shù)據(jù)有著毀滅性的破壞力，而且企業(yè)中了勒索病毒后，如果沒有相關(guān)的數(shù)據(jù)備份，要么承擔(dān)損失，要么只能支付贖金。因此勒索軟件的種類和擴(kuò)散逐年遞增，防御勒索軟件工作成為了企業(yè)數(shù)據(jù)安全防護(hù)工作中的眾矢之的。

勒索軟件的傳播途徑和工作原理主要有兩種：

1). 通過攻擊windows服務(wù)器漏洞入侵到企業(yè)內(nèi)網(wǎng)，然后再進(jìn)行大面積的攻擊感染。

2). 通過郵件、網(wǎng)站掛馬、文件等方式，先感染個(gè)人電腦，然后攻擊整個(gè)局域網(wǎng)。

WSG上網(wǎng)行為管理網(wǎng)關(guān)的“短信認(rèn)證”功能，可以對(duì)網(wǎng)內(nèi)的終端進(jìn)行短信實(shí)名認(rèn)證，記錄手機(jī)號(hào)以及對(duì)應(yīng)的上網(wǎng)內(nèi)容。在有些情況下，用戶需要指定短信認(rèn)證的手機(jī)號(hào)，未授權(quán)的手機(jī)號(hào)不允許做短信認(rèn)證。在本文中，我將結(jié)合WSG的短信認(rèn)證功能，來介紹如何限制認(rèn)證的手機(jī)號(hào)碼。

1. 編輯認(rèn)證頁面

在“web認(rèn)證”-“第三方認(rèn)證”的短信認(rèn)證中，點(diǎn)擊“編輯認(rèn)證頁面”，可以看到認(rèn)證頁面信息。如下圖：

企業(yè)的網(wǎng)絡(luò)環(huán)境有很多重要信息，不能被未授權(quán)的用戶訪問到，也不能泄露到外網(wǎng)。所以，很多企業(yè)對(duì)公司的WiFi使用，都要求手機(jī)進(jìn)行實(shí)名認(rèn)證，只有認(rèn)證過的手機(jī)才可以接入。并且記錄上網(wǎng)內(nèi)容和上網(wǎng)策略。本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來實(shí)現(xiàn)內(nèi)部手機(jī)的實(shí)名上網(wǎng)。