WFilter NGF上網(wǎng)行為管理系統(tǒng)（WSG網(wǎng)關(guān)）提供了豐富的系統(tǒng)調(diào)用API接口，具體的API接口請參考：WFilter API接口。在本文中，我將介紹如何用WFilter的API接口來直接訪問統(tǒng)計報表系統(tǒng)。

1. WFilter的統(tǒng)計報表系統(tǒng)

如圖，WFilter中有一系列的內(nèi)置統(tǒng)計報表，您也可以自己定義需要的報表格式。

本文將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來記錄局域網(wǎng)內(nèi)的郵件收發(fā)內(nèi)容。郵件收發(fā)主要有兩種方式：

1. 客戶端郵件，比如outlook, foxmail，thundbird等客戶端。
   

2. 網(wǎng)頁郵件，國內(nèi)比較普遍的是qq和163的網(wǎng)頁郵件。

“MAC地址認(rèn)證”通過客戶機的MAC地址來對客戶端進(jìn)行身份認(rèn)證，只有通過認(rèn)證的客戶端設(shè)備才可以訪問網(wǎng)絡(luò)以及服務(wù)器資源。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

WFilter的“SSL監(jiān)控”模塊，可以對https以及SSL加密的smtp/imap/pop3的內(nèi)容進(jìn)行解密從而記錄其內(nèi)容。該SSL監(jiān)控模塊，既可以對電腦進(jìn)行管控，而且對手機一樣生效。但是要不影響客戶機的正常使用，首先需要在客戶機上安裝ca證書。電腦上安裝ca證書比較簡單，我們不再贅述。本文中，我將介紹如何在蘋果手機（iphone）上安裝SSL監(jiān)控的ca證書，從而實現(xiàn)對iphone的SSL監(jiān)控。

1. 開啟SSL監(jiān)控

企業(yè)局域網(wǎng)由于網(wǎng)絡(luò)環(huán)境復(fù)雜；終端數(shù)量、設(shè)備數(shù)量都比較多；經(jīng)常會出現(xiàn)網(wǎng)絡(luò)卡頓等故障。一旦網(wǎng)絡(luò)變慢時，面對復(fù)雜的網(wǎng)絡(luò)環(huán)境，網(wǎng)管技術(shù)人員需要迅速并且準(zhǔn)確的診斷出問題所在，并且加以解決。本文中，我將盡量描述網(wǎng)絡(luò)變卡變慢的常見原因以及診斷方法。大體來說，網(wǎng)絡(luò)卡頓的原因有如下方面：

1. 外網(wǎng)原因：運營商線路故障、帶寬不夠，路由器軟硬件故障等。
   

2. 內(nèi)網(wǎng)原因：內(nèi)網(wǎng)的設(shè)備故障、病毒攻擊、網(wǎng)絡(luò)設(shè)置等原因。

所以在斷網(wǎng)、網(wǎng)絡(luò)卡頓時，第一步要判斷問題出在內(nèi)網(wǎng)還是外網(wǎng)，然后再進(jìn)行后續(xù)的診斷。

無線網(wǎng)絡(luò)由于安全性比較低，企事業(yè)單位的無線組網(wǎng)需要考慮如下因素：

1. 有線網(wǎng)段和無線網(wǎng)段互相隔離。
   

2. 辦公無線和訪客無線也需要互相隔離。

3. 每個網(wǎng)段的無線終端建議控制在150以內(nèi)，避免廣播風(fēng)暴。
   

4. 員工內(nèi)網(wǎng)要做接入認(rèn)證或者設(shè)備綁定。

5. 對訪客進(jìn)行實名認(rèn)證（可選）

一般采用這樣的網(wǎng)絡(luò)結(jié)構(gòu)圖：

WSG上網(wǎng)行為管理做透明網(wǎng)橋部署有很多優(yōu)勢：

1. 即插即用，不影響現(xiàn)有網(wǎng)絡(luò)。
   

2. 不需要修改原有設(shè)備的配置（交換機、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使機器斷電死機也不會斷網(wǎng)。

由于政策要求和網(wǎng)絡(luò)安全的需要，現(xiàn)在絕大部分的酒店無線WiFi都要求實名認(rèn)證。只有實名認(rèn)證過的設(shè)備才允許連接酒店的WiFi網(wǎng)絡(luò)，并且記錄和留存該終端的上網(wǎng)內(nèi)容。

一般來說實名認(rèn)證都采用短信認(rèn)證的方式，由于手機號是已經(jīng)經(jīng)過實名認(rèn)證的，記錄手機號就等于是實現(xiàn)了實名認(rèn)證上網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)可以采用如下的部署方式，用一臺WSG上網(wǎng)行為管理做主路由（也可以做透明網(wǎng)橋部署）。

WFilter上網(wǎng)行為管理，包括WFilter ICF和WFilter NGF（WSG網(wǎng)關(guān)），都可以對http和https的站點進(jìn)行網(wǎng)站黑白名單控制。如圖：

作者:笨小驢 | 分類:網(wǎng)頁過濾方案 | 瀏覽:8729 | 評論:0

不管是企業(yè)內(nèi)網(wǎng)的私有WiFi，還是公共WiFi網(wǎng)絡(luò)；出于安全性需要以及相關(guān)政策法規(guī)的要求，都要對WiFi無線上網(wǎng)的用戶進(jìn)行實名認(rèn)證。本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)介紹如何實現(xiàn)無線WiFi的實名認(rèn)證。

1. 微信連WiFi

騰訊從2014年推出的微信WiFi服務(wù)，可以用微信掃碼進(jìn)行認(rèn)證，從而記錄微信的openid。不過由于apple公司的接口調(diào)整，微信WiFi已經(jīng)暫停服務(wù)。所以通過微信來進(jìn)行實名認(rèn)證已經(jīng)不可行了。

二級路由器默認(rèn)都啟用了網(wǎng)絡(luò)地址轉(zhuǎn)換，會把客戶機的IP地址和mac地址都轉(zhuǎn)換成路由器的IP和mac。這樣從上層的行為管理來看，只能看到路由器的IP地址。要區(qū)分二級路由下面的終端，必須把二級路由器改成AP模式（也就是無線交換機模式）。

局域網(wǎng)的文件泄露，主要是通過usb拷貝以及網(wǎng)絡(luò)傳輸?shù)姆绞健Ｎ覀冊?a href="http://www.songzi-home.com/blog/post/382.html" target="_blank">企業(yè)外發(fā)文件管控方案總結(jié)一文中，已經(jīng)介紹了多種管控外發(fā)文件的方案。在本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)如何來有效的管控外發(fā)文件。

1. 首先要屏蔽電腦的usb存儲設(shè)備。

需要在windows電腦的組策略里面禁止配置，把“禁止安裝可移動設(shè)備“修改成”已啟用“即可。當(dāng)然，管理員權(quán)限就不能給使用者啦，要不然再把這個策略改回去就不起作用了。

當(dāng)防火墻檢測到某個IP存在病毒攻擊或者異常流量時，網(wǎng)管技術(shù)人員往往需要到電腦上面進(jìn)行后續(xù)操作。而對于自動獲取IP的局域網(wǎng)來說，如何定位IP地址的電腦位置一直是一個技術(shù)難題。如果沒有好的工具，最笨的辦法就是一臺一臺電腦進(jìn)行查看，通過比對IP地址和mac地址來定位。那么還有哪些聰明一些的辦法呢？

1. 在三層交換機上查看ARP表

有網(wǎng)管交換機時，可以在網(wǎng)管交換機上查看arp表找到該IP地址所在的端口，然后根據(jù)端口順藤摸瓜，從而定位電腦的物理位置。比如，在交換機上執(zhí)行“disp arp”命令（不同型號的交換機命令不一樣），可以得到如下結(jié)果：

在部署了上網(wǎng)行為管理的局域網(wǎng)內(nèi)，總會有人想各種各樣的辦法來突破上網(wǎng)管控。常見的方法有：

1. IP地址盜用。
   

2. MAC地址克隆。

首先可以考慮不開放管理員權(quán)限，或者采用域控的方式禁止客戶機自行修改網(wǎng)絡(luò)設(shè)置等辦法。其次也可以通過上網(wǎng)行為管理的管控策略來阻止這些行為。本文中，我來介紹下如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來應(yīng)對IP地址盜用和MAC地址克隆。

由于視頻和下載可以輕易的占用大量帶寬，為了網(wǎng)絡(luò)的穩(wěn)定運行，大部分局域網(wǎng)都會對客戶端進(jìn)行一定的限速。本文中，我將介紹如何根據(jù)帶寬來做限速，限速設(shè)置多少比較合理？

1. 限速多少比較合理？

正常的辦公上網(wǎng)，每個終端至少需要2Mbit的帶寬才夠用；平均值如果低于2Mbit需要考慮增加接入帶寬。假設(shè)你有200Mbit的帶寬，有50個終端，那么平均下來每個終端可以分配到4Mbit；但是考慮到不是所有人都會在同時全速下載，可以給每個終端分配8-10Mbit的帶寬。如下圖：

IP地址沖突一般是由于手動設(shè)置IP的原因，綜合來說有如下兩種可能性：

1. A電腦和B電腦都手工設(shè)置了同樣的IP地址。
   

2. A電腦自動獲取，B電腦手動設(shè)置了和A電腦一樣的IP地址。

出現(xiàn)IP地址沖突時，通過arp -a命令，可以看到?jīng)_突對方的MAC地址。如下圖：

在三層交換機環(huán)境下，由于三層交換機屏蔽了終端的實際mac地址，上層的上網(wǎng)行為管理在不開啟“MAC地址收集器”的情況下，是檢測不到終端的實際mac地址的。這樣也就不能實現(xiàn)mac地址黑白名單的功能。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

在WFilter NGF(WSG上網(wǎng)行為管理網(wǎng)關(guān)）的”Web認(rèn)證“配置中，可以基于IP范圍來配置要進(jìn)行Web認(rèn)證的客戶端。實際使用中，有些局域網(wǎng)電腦和手機無線終端都混雜在同一個網(wǎng)段，這種情況下，如果要只對電腦做認(rèn)證，或者只對手機做認(rèn)證，就不能通過IP范圍來實現(xiàn)了。需要修改默認(rèn)的認(rèn)證頁面，基于瀏覽器的useragent來獲取客戶端操作系統(tǒng)類型，并且判斷是否放行（無需認(rèn)證直接放行）。

如下圖，點擊”編輯Web認(rèn)證頁面”，然后點擊源代碼圖標(biāo)。

在上網(wǎng)行為管理如何實現(xiàn)釘釘掃描二維碼進(jìn)行Web認(rèn)證登錄這篇文章中，我們介紹了如何用手機釘釘掃碼登錄電腦。電腦在上外網(wǎng)之前，需要用手機釘釘掃描二維碼才可以使用網(wǎng)絡(luò)，并且記錄該用戶賬號的上網(wǎng)內(nèi)容。而在實際使用中，有些用戶還想對手機上外網(wǎng)進(jìn)行用戶認(rèn)證，從而可以識別到手機的員工姓名并記錄上網(wǎng)日志。

本文中，我將介紹如何用手機釘釘掃碼對自身手機進(jìn)行Web認(rèn)證。

在認(rèn)證前，該手機是無法上外網(wǎng)的。大部分手機會自動彈出Web認(rèn)證頁面（也可以手動在瀏覽器里面打開），如下圖：

WSG上網(wǎng)行為管理網(wǎng)關(guān)（WFilter NGF）的Web認(rèn)證功能非常強大，可以支持多種用戶名認(rèn)證（本地用戶、郵箱認(rèn)證、域認(rèn)證、Radius認(rèn)證等），還可以支持短信認(rèn)證、微信認(rèn)證、釘釘認(rèn)證等第三方認(rèn)證。不過在有些情況下，用戶還希望WSG可以對接第三方的Web認(rèn)證界面，即通過其他的Web認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，而由WSG來實現(xiàn)上網(wǎng)管控和上網(wǎng)記錄。本例中，我將介紹如何用WSG來對接第三方Web認(rèn)證平臺。

首先，開啟WSG的Web認(rèn)證功能。

“Web認(rèn)證”的需求是對需要管控的員工網(wǎng)段開啟認(rèn)證，一些電腦不開啟認(rèn)證。如圖：
1. 設(shè)置要管控的IP范圍
2. 設(shè)置一個合理的超時重新認(rèn)證時間，1440就是每天都需要重新認(rèn)證一次。
3. 領(lǐng)導(dǎo)的mac地址加到“例外的MAC地址”

出于信息安全的考慮，很多企業(yè)不允許工作電腦外發(fā)文件，但是QQ和微信又是常見的辦公工具。所以“既允許QQ和微信聊天，同時又不允許外發(fā)文件”，一直是企業(yè)管理的一個難題。其實上網(wǎng)行為管理技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)可以精確的識別出文件傳輸和普通聊天的協(xié)議特征。專業(yè)的上網(wǎng)行為管理產(chǎn)品，都可以單獨屏蔽QQ和微信傳文件。以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，在“行為管理”的“應(yīng)用過濾”中，搜索QQ，可以看到20多個QQ相關(guān)的應(yīng)用協(xié)議，包括QQ聊天、QQ發(fā)文件、QQ接收文件、QQ游戲等各種相關(guān)應(yīng)用。如下圖：

勒索病毒是一種新型電腦病毒。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。由于其巨大的破壞性，勒索病毒可以說是“談虎色變”。

WSG上網(wǎng)行為管理（WFilter NGF）既可以做網(wǎng)關(guān)部署，也可以做網(wǎng)橋部署。在網(wǎng)橋部署模式下，WSG的IPSec VPN和OpenVPN一樣是可用的，可以實現(xiàn)單臂模式的VPN組網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

本文將結(jié)合WSG介紹如何實現(xiàn)IPSec VPN的單臂部署。

現(xiàn)在大部分虛擬局域網(wǎng)的組建都通過IPSec的方式，其實用openvpn來組網(wǎng)也是很不錯的方案。跟IPSec相比，openvpn的功能更加強大和靈活：

1. 可以修改端口和通訊方式。
   

2. 可以實現(xiàn)用戶名認(rèn)證和證書認(rèn)證兩種認(rèn)證方式。

3. 可以對客戶端分配IP，從而實現(xiàn)更加細(xì)致的防火墻權(quán)限控制。

本文將簡單介紹openvpn組網(wǎng)的一些簡單步驟，如果您要用openvpn實現(xiàn)遠(yuǎn)程辦公撥入，請參考：如何用OpenVPN實現(xiàn)遠(yuǎn)程辦公？

WFilter NGF（WSG上網(wǎng)行為管理網(wǎng)關(guān)）支持網(wǎng)關(guān)和網(wǎng)橋兩種部署模式：

1. 網(wǎng)關(guān)模式：WSG作為整個局域網(wǎng)的網(wǎng)關(guān)，提供NAT服務(wù)。

2. 網(wǎng)橋模式：WSG作為透明網(wǎng)橋串接在局域網(wǎng)中。

在有些情況下，我們需要采用純路由模式（WSG只做路由轉(zhuǎn)接，不進(jìn)行NAT轉(zhuǎn)換）。本例中，我將介紹如何用WSG來搭建路由模式的上網(wǎng)行為管理。

網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

具體配置步驟如下：