一些企事業(yè)單位出于安全考慮，需要做內(nèi)外網(wǎng)分離。舉例來說，需要達(dá)到如下的技術(shù)要求：

1. 生產(chǎn)網(wǎng)、辦公網(wǎng)、外網(wǎng)三網(wǎng)隔離。

2. 啟用網(wǎng)絡(luò)準(zhǔn)入，對非規(guī)定允許接入的設(shè)備禁止其接入網(wǎng)絡(luò)。
   

3. 上網(wǎng)數(shù)據(jù)留存。

在本文中，我將結(jié)合WSG上網(wǎng)行為管理來闡述如何實現(xiàn)內(nèi)外網(wǎng)分離。

WFilter NGF上網(wǎng)行為管理系統(tǒng)（WSG網(wǎng)關(guān)）提供了豐富的系統(tǒng)調(diào)用API接口，具體的API接口請參考：WFilter API接口。在本文中，我將介紹如何用WFilter的API接口來直接查詢數(shù)據(jù)庫。以php為例，流程如下：

1. 下載并引用WFilterNGF的php sdk。
   

2. 調(diào)用login接口，獲取登錄的session。

3. 調(diào)用query_db這個api接口，可以直接查詢數(shù)據(jù)庫。

query_db需要兩個參數(shù)，第一個參數(shù)是數(shù)據(jù)庫名，第二個參數(shù)是查詢的sql語句。如下圖：

在如何用OpenVPN實現(xiàn)遠(yuǎn)程辦公？一文中，我們介紹了如何用openvpn 2.4.7版本撥入WSG。在本文中，我將介紹如何用openvpn connnect3.2.3來撥入WSG的openvpn。最新版本的openvpn connect更加好用，而且支持開機自動啟動。

Openvpn服務(wù)端的配置過程不再贅述，請參考前文：如何用OpenVPN實現(xiàn)遠(yuǎn)程辦公？下面只介紹openvpn connect的安裝部分：

1. 安裝openvpn connect

WSG的Openvpn服務(wù)端模塊，主要用于遠(yuǎn)程辦公撥入和多地組網(wǎng)。Openvpn撥入后，在默認(rèn)配置情況下，只有“推送路由”的訪問才會走vpn隧道?？蛻舳说耐饩W(wǎng)數(shù)據(jù)仍然走的是自己的外網(wǎng)線路。在有些情況下，你可能需要讓openvpn客戶端的所有外網(wǎng)數(shù)據(jù)都經(jīng)過vpn連接。要實現(xiàn)此功能，需要一系列的步驟，具體步驟如下：

有些單位出于網(wǎng)絡(luò)安全的需要，只允許使用公司的郵箱來收發(fā)郵件；其余的郵件方式一律屏蔽掉。在本文中，我將介紹如何用“WSG上網(wǎng)行為管理”來進行相關(guān)策略的配置。具體步驟如下：

出于安全目的和相關(guān)政策要求，大部分WiFi都需要對WiFi終端進行上網(wǎng)實名認(rèn)證，并且保留一定時間內(nèi)終端的上網(wǎng)記錄。實名認(rèn)證目前主要都是通過短信認(rèn)證來實現(xiàn)。在本文中，我將介紹如何用微信小程序來實現(xiàn)WiFi上網(wǎng)實名認(rèn)證。微信小程序做上網(wǎng)實名認(rèn)證具備如下優(yōu)勢：

1. 配置簡單快捷。
   

2. 無需依賴其他平臺。

3. 不產(chǎn)生任何費用。

相關(guān)的配置步驟如下：

企業(yè)的內(nèi)網(wǎng)存放著很多重要信息，比如公司的技術(shù)資料、客戶信息等。一旦發(fā)生信息泄露，會給企業(yè)帶來不可估計的損失。信息安全是系統(tǒng)工程，涉及到管理行政手段，文件加密技術(shù)、網(wǎng)絡(luò)安全技術(shù)等各方面。本文中，我將從網(wǎng)絡(luò)架構(gòu)的角度，來論述如何保障內(nèi)網(wǎng)的信息安全。主要涉及到如下兩點：

1. 如何防范非法接入？

2. 如何保障重要信息的安全？

酒店和賓館WiFi出于安全目的和政策要求，需要對WiFi終端進行上網(wǎng)實名認(rèn)證，并且保留終端上網(wǎng)的上網(wǎng)記錄。WSG上網(wǎng)行為管理網(wǎng)關(guān)，既可以滿足上網(wǎng)日志的記錄，又可以實現(xiàn)上網(wǎng)實名認(rèn)證，是公共WiFi上網(wǎng)行為管理的首選產(chǎn)品。在本文中，我將介紹如何結(jié)合客戶實際的網(wǎng)絡(luò)環(huán)境來部署WSG上網(wǎng)行為管理網(wǎng)關(guān)。主要包括如下步驟：

1. WSG上網(wǎng)行為管理的部署
   

2. 上網(wǎng)日志的保留天數(shù)

3. 開啟實名認(rèn)證

4. 制作實名認(rèn)證的二維碼

局域網(wǎng)內(nèi)部有一些查詢資料的公共電腦，一般是多人使用。出于安全考慮，需要記錄每個人的上網(wǎng)記錄。WFilter NGF（WSG網(wǎng)關(guān)）默認(rèn)配置就可以記錄上網(wǎng)內(nèi)容，但是因為公共電腦人員不固定，所以需要配合Web認(rèn)證。本文中，我將介紹如何用Web認(rèn)證來對內(nèi)網(wǎng)公共電腦進行實名上網(wǎng)記錄。

內(nèi)部的實名認(rèn)證，主要有如下方式：

1. 用戶名密碼認(rèn)證?？梢栽凇百~號管理”里面添加賬號；如果公司有現(xiàn)成的AD域、企業(yè)郵箱、Radius等；也可以配置WSG到域/radius/郵箱認(rèn)證。
   

2. 釘釘認(rèn)證、企業(yè)微信認(rèn)證?？梢灾苯佑檬謾C釘釘app或者手機微信app掃碼認(rèn)證。

很多情況下，局域網(wǎng)內(nèi)部的一些終端，比如領(lǐng)導(dǎo)電腦、移動pos機、內(nèi)網(wǎng)服務(wù)器等，需要不加限制的訪問外網(wǎng)（即不受到任何上網(wǎng)行為策略的管控）。在WFilter NGF（WSG上網(wǎng)行為管理）中，我們主要通過“例外設(shè)置”來實現(xiàn)。本例中，我將介紹如何用例外設(shè)置來實現(xiàn)終端白名單的功能。

WFilter NGF（WSG上網(wǎng)行為管理）的WebVPN功能，既可以支持用戶名密碼認(rèn)證登錄，還可以支持釘釘掃碼和企業(yè)微信掃碼登錄。WebVPN的用戶驗證方式如下圖：

在本文中，我將介紹如何給WebVPN添加釘釘掃碼認(rèn)證和企業(yè)微信掃碼認(rèn)證功能。

WSG上網(wǎng)行為管理的“事件查看器”中記錄了一系列的事件、告警以及錯誤信息，包括操作日志、wan口聯(lián)通狀況、入侵攻擊事件、以及自定義的關(guān)鍵詞告警、流量告警和新增設(shè)備告警等事件日志。傳統(tǒng)的郵件告警方式已經(jīng)越來不能滿足實時通知的需要。在本文中，我將介紹如何利用企業(yè)微信機器人來實現(xiàn)事件日志的實時發(fā)送。具體步驟如下：

1. 創(chuàng)建企業(yè)微信機器人

在手機版的企業(yè)微信群聊中，添加群機器人，并記錄webhook的URL地址。如下圖：

WSG的“事件查看器”中記錄了一系列的事件、告警以及錯誤信息，包括操作日志、wan口聯(lián)通狀況、入侵攻擊事件、以及自定義的關(guān)鍵詞告警、流量告警和新增設(shè)備告警等事件日志。傳統(tǒng)的郵件告警方式已經(jīng)越來不能滿足實時通知的需要。在本文中，我將介紹如何利用釘釘機器人來實現(xiàn)事件日志的實時發(fā)送。具體步驟如下：

1. 添加釘釘機器人

首先需要在釘釘pc版的群助手里面添加機器人

ZeroTier可以在無公網(wǎng)IP的情況下提供便捷的虛擬局域網(wǎng)組網(wǎng)和內(nèi)網(wǎng)穿透方案。簡單來說, ZeroTier就是一個VLAN組建工具，主要有如下的優(yōu)勢和缺點：

• 配置非常簡單，只需要在官網(wǎng)創(chuàng)建Network?？蛻舳酥苯蛹尤隢etwork即可。

• 跨平臺: ZeroTier提供了windows, macOS, linux, Android, iOS...幾乎全平臺的客戶端, 你可以把任意平臺的設(shè)備接入VLAN。

• 免費可以支持100個設(shè)備組網(wǎng)。
  

• 缺點：官網(wǎng)只提供英文，沒有中文版。

本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，介紹如何用ZeroTier來實現(xiàn)遠(yuǎn)程辦公撥入和內(nèi)網(wǎng)穿透。

在企事業(yè)的WiFi環(huán)境中，需要對手機的上網(wǎng)進行實名管理，記錄上網(wǎng)內(nèi)容并且設(shè)置一定的管理策略。本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來對WiFi手機上網(wǎng)進行實名管理。

手機的上網(wǎng)實名認(rèn)證，主要包括如下方法：

1. MAC綁定；把手機的MAC地址綁定到姓名。

2. 短信認(rèn)證；通過短信認(rèn)證來獲取手機號，基于手機號進行實名。

3. 用戶名密碼認(rèn)證；手機上網(wǎng)時需要輸入用戶名密碼，從而認(rèn)證到每個人。

4. 二維碼認(rèn)證；由審核員掃描二維碼進行審核并且錄入姓名。

5. 釘釘、企業(yè)微信認(rèn)證；用釘釘app和企業(yè)微信app掃碼認(rèn)證上網(wǎng)。
   

6. 微信小程序認(rèn)證；通過微信小程序獲取手機號碼，從而實現(xiàn)實名上網(wǎng)。
   

每個方法各有優(yōu)缺點，用戶可以基于實際情況選擇合適的認(rèn)證方式。

不加管控的局域網(wǎng)下載，不但會占用大量的帶寬資源，而且下載不明類型的軟件程序等會給局域網(wǎng)來的病毒等危害。在本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來介紹如何屏蔽局域網(wǎng)的下載行為。

下載行為的管控，主要從以下幾個方面來入手：

1. 屏蔽各類下載站的訪問。

2. 屏蔽各類下載工具、P2P下載軟件等。

3. 禁止網(wǎng)盤等文件傳輸。

4. 屏蔽網(wǎng)頁上的文件下載。

企業(yè)的無線網(wǎng)絡(luò)經(jīng)常會迎來一些訪客，如果對訪客不進行用戶實名認(rèn)證和上網(wǎng)記錄，則會給企業(yè)的網(wǎng)絡(luò)帶來一定的風(fēng)險。WSG的WiFi上網(wǎng)實名認(rèn)證，可以支持“用戶名密碼認(rèn)證”“短信認(rèn)證”、“釘釘認(rèn)證”、“企業(yè)微信認(rèn)證”。

網(wǎng)絡(luò)安全現(xiàn)在已經(jīng)是互聯(lián)網(wǎng)領(lǐng)域的重要問題，網(wǎng)絡(luò)安全引發(fā)的事故也一直呈上升趨勢。中小企業(yè)雖然網(wǎng)絡(luò)環(huán)境比較簡單，但是一樣會受到網(wǎng)絡(luò)安全的威脅。如果不注重網(wǎng)絡(luò)安全，往往會導(dǎo)致企業(yè)的重大損失。下面我們就一起來看看中小企業(yè)面臨的常見網(wǎng)絡(luò)安全威脅：

企業(yè)出于工作的需要，一般會映射一些內(nèi)網(wǎng)主機供外網(wǎng)訪問。比如：ERP系統(tǒng)、財務(wù)系統(tǒng)、CRM系統(tǒng)，甚至一些內(nèi)網(wǎng)主機的遠(yuǎn)程桌面等等。分公司、出差員工在外網(wǎng)通過互聯(lián)網(wǎng)就可以訪問到內(nèi)網(wǎng)資源，給工作帶來了很大的便利。但是，不加限制和保護的端口映射訪問，給網(wǎng)絡(luò)安全帶來了很大的挑戰(zhàn)。

端口映射的內(nèi)網(wǎng)主機安全，主要考慮如下幾點：

1. 被映射的內(nèi)網(wǎng)主機要安裝防火墻，并且確保已經(jīng)打了各項安全補丁。

2. 限制訪問端的IP地址，阻止從其他地區(qū)連入。一般可以在網(wǎng)關(guān)防火墻上進行配置，限制能訪問映射主機的IP地址。

3. 避免常用的端口。比如你用默認(rèn)的3389端口，那么攻擊程序立刻就知道這是遠(yuǎn)程桌面服務(wù)，從而就可以采用對應(yīng)的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。

4. 部署入侵防御，一旦發(fā)現(xiàn)外網(wǎng)攻擊時，可以及時阻止攻擊者的IP地址。從而保護內(nèi)網(wǎng)主機。

近年來公安部持續(xù)推出護網(wǎng)行動，以戰(zhàn)養(yǎng)兵，推進關(guān)鍵信息基礎(chǔ)設(shè)施的安全監(jiān)測、應(yīng)急響應(yīng)等保障能力。為積極響應(yīng)護網(wǎng)行動，做好安全防守工作；本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)來介紹網(wǎng)絡(luò)邊界的安全防護工作。服務(wù)器安全、內(nèi)網(wǎng)安全并不在本文討論的課題內(nèi)。

利用“擴展插件”中的“NGF配置同步插件”可以同步多臺WFilter NGF（WSG硬件）的相關(guān)配置，這個功能在管理維護多臺WSG設(shè)備時非常實用。在本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)來介紹“NGF配置同步插件”的使用步驟。

1. 準(zhǔn)備工作

1. 首先要有一臺WSG作為服務(wù)端，其他做為客戶端。服務(wù)端可以直接把配置推送給客戶端，也可以等客戶端主動來進行同步。
   

2. 多臺WSG之間通過Web來同步配置，所以要確保服務(wù)端和客戶端之間的Web連接可達(dá)。（在服務(wù)端可以訪問客戶端的web，或者客戶端可以訪問服務(wù)端的web）

3. 創(chuàng)建同步用戶。每臺WSG都應(yīng)當(dāng)建一個用戶名密碼一樣的操作員用于進行同步操作。

4. 下載“NGF配置同步插件”，并且進行配置。

在WFilter NGF的“運營管理”中，我們可以配置終端的帶寬策略、用戶賬號、到期時間等信息。本文將結(jié)合WFilter NGF的“運營管理模塊”介紹如何對接第三方的支付平臺。

一、運營管理模塊的配置

1. 給用戶創(chuàng)建不同的帶寬套餐

釘釘?shù)耐ㄓ嵾^程比較復(fù)雜，需要用到釘釘相關(guān)的網(wǎng)站、阿里云平臺，還有一些私有的通訊協(xié)議。所以要達(dá)到“只允許釘釘并且屏蔽其他網(wǎng)絡(luò)行為“這個管控效果，一般的路由器是做不到的，需要專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以。專業(yè)的上網(wǎng)行為管理產(chǎn)品可以準(zhǔn)確識別出釘釘?shù)牧髁坎⑶壹右怨芸亍?/span>

當(dāng)前網(wǎng)絡(luò)安全形勢嚴(yán)峻，來自外網(wǎng)的攻擊與日俱增。局域網(wǎng)一不小心就會受到病毒、蠕蟲、勒索軟件的攻擊，導(dǎo)致嚴(yán)重的損失。本文中，我將結(jié)合WSG網(wǎng)關(guān)（WFilter NGF）來介紹如何阻止外網(wǎng)的攻擊。請注意，本文只討論如何阻止網(wǎng)絡(luò)攻擊，單機的防護是另外的課題不在本文的討論范圍內(nèi)。阻止外網(wǎng)攻擊主要包括如下部分：

釘釘?shù)氖褂眠^程中必須連接外網(wǎng)，對于網(wǎng)絡(luò)權(quán)限設(shè)置比較嚴(yán)格的局域網(wǎng)來說，如何開放釘釘一直是一個難題。由于釘釘官方已經(jīng)不再公布服務(wù)器的段，所以不能基于IP范圍來做管控。必須要有專業(yè)的上網(wǎng)行為管理產(chǎn)品，才可以準(zhǔn)確識別出釘釘?shù)牧髁坎⑶壹右怨芸亍?/span>

本文，我就來介紹下在WSG上網(wǎng)行為管理網(wǎng)關(guān)中如何放行釘釘。釘釘?shù)氖褂眯枰ㄟ^https訪問釘釘相關(guān)的網(wǎng)站，另外還有自己的通訊協(xié)議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘這兩個應(yīng)用協(xié)議，并且允許釘釘?shù)南嚓P(guān)網(wǎng)站。具體的配置步驟如下：