某企業(yè)由于網(wǎng)絡架設比較早，網(wǎng)絡設備和網(wǎng)絡結(jié)構(gòu)已經(jīng)不再適合當前的網(wǎng)絡需要。為了更好的實現(xiàn)網(wǎng)絡管理和信息安全的需要，提出了如下升級改造需求：

1. 帶寬擴容，采用兩條寬帶接入。
   

2. 內(nèi)網(wǎng)需要劃分不同的VLAN，分為辦公、監(jiān)控、生產(chǎn)幾大網(wǎng)段。

3. 內(nèi)網(wǎng)客戶機需要進行嚴格的IP-MAC綁定，只有綁定后的設備才可以接入。

4. 全網(wǎng)上網(wǎng)行為審計記錄。

5. 部署上網(wǎng)行為管理策略，建立上網(wǎng)秩序。

1. 方案設計

綜合考慮各項改造需求，我們提出了如下的解決方案：

1). 采用一臺WSG-XE上網(wǎng)行為管理設備，做多線接入。

2). 在WSG設備上設置基于端口的VLAN，每個端口一個VLAN，接到相應的二層交換機。

3). 啟用IP-MAC綁定，未綁定的mac地址不分配IP，并且禁止上網(wǎng)。

4). 全時段記錄上網(wǎng)內(nèi)容。

5). 配置“應用過濾”和“網(wǎng)頁過濾”，上班時段禁止在線視頻、下載等行為。

6). 對生產(chǎn)和辦公網(wǎng)段進行限速，避免單IP占用大量帶寬的情況。

網(wǎng)絡拓撲圖如下：

WSG-XE：

2. 相關功能

2.1 VLAN劃分

辦公、生產(chǎn)、監(jiān)控分為不同的VLAN，互不影響。

配置分流策略，使監(jiān)控組走單獨的外線。

2.2 IP-mac綁定

對內(nèi)網(wǎng)的所有客戶機配置IP-MAC綁定，未綁定的mac地址一律禁止上網(wǎng)。

2.3 上網(wǎng)內(nèi)容審計

利用WFilter的上網(wǎng)記錄模塊，可以記錄全網(wǎng)的網(wǎng)頁瀏覽、發(fā)帖、文件傳輸、QQ號、FTP/Telnet命令、郵件內(nèi)容等信息。

2.4 上網(wǎng)行為管理

通過配置上網(wǎng)行為管理策略，禁止上班時間段內(nèi)容視頻、下載等行為，提高工作效率，節(jié)省帶寬資源。

2.6 帶寬限制

給辦公網(wǎng)段、生產(chǎn)網(wǎng)段的客戶機進行一定的限速，避免出現(xiàn)某些用戶占用大量帶寬的情況。