Win10的自動更新非常的頻繁,而且windows的更新很耗帶寬資源。所以,如果網內的windows電腦比較多,那么一旦windows發布了新的更新包,會占用大量的網絡帶寬資源。
當然,windows的更新很多都是安全方面的更新,保持系統更新有助于提高終端的安全,我們并不建議關閉更新。不過,有些網絡為了節省帶寬資源,需要屏蔽局域網內電腦的自動更新。在沒有部署上網行為管理的情況下,你需要在路由器或者網關設備上屏蔽站點“.*(officecdn|mp|updates)\.microsoft\.com“(正則表達式)和".*\.windowsupdate\.com”(正則表達式)。“windows更新”的通訊協議描述如下圖:
日前,深圳市網絡與信息安全信息通報中心發出緊急通告,指出目前知名遠程辦公工具TeamViewer已經被境外黑客組織APT41攻破,提醒企業組織做好防護措施。也就是說,APT41已經攻破TeamViewer公司的所有防護體,并取得有相關數據權限,危險等級非常高。在teamviewer官方提供解決方案和發布相關補丁之前,我們建議用戶暫停teamviewer軟件的使用,避免造成不必要的損失。
以下是teamviewer通訊方式介紹,以及如何用WSG上網行為管理來禁止teamviewer。
teamviewer在啟動時,首先會連接teamviewer官網(http和https方式都有),來獲取ID和路由信息。如果直接連接不了,teamviewer還會獲取本機的代理配置,嘗試通過代理服務器去連接。
teamviewer后續的點對點遠程控制,大部分通過的端口是tcp 5938。也存在其他動態端口的通訊數據。
有些公司為了安全需要,只允許使用微信等指定軟件,同時屏蔽所有的其他網站和軟件。這樣的管理需求,必須要用專業的上網行為管理產品才可以實現。以我司的WSG上網行為管理為例,只需要兩條行為管理規則,即可實現該功能。配置的思路是“應用過濾屏蔽所有+例外設置開通部分應用”這兩者結合的方式。下面是具體配置的步驟介紹:
如圖,應用過濾添加規則,禁止所有應用的訪問。
WSG上網行為管理的一些型號,如WSG-500E、WSG-XE都可以支持光口,設備接口如下圖:
本文我將介紹如何來使用WSG上網行為管理的光纖接口。
IOS系統的自動更新非常耗帶寬,每次IOS版本更新動輒好幾個G。每次IOS推出新版本,都是對企業帶寬資源的一大考驗。
WFilter NGF上網行為管理系統(WSG網關)提供了豐富的系統調用API接口,具體的API接口請參考:WFilter API接口。在本文中,我將介紹如何用WFilter的API接口來直接訪問統計報表系統。
如圖,WFilter中有一系列的內置統計報表,您也可以自己定義需要的報表格式。
本文將介紹如何用WSG上網行為管理網關來記錄局域網內的郵件收發內容。郵件收發主要有兩種方式:
客戶端郵件,比如outlook, foxmail,thundbird等客戶端。
網頁郵件,國內比較普遍的是qq和163的網頁郵件。
“MAC地址認證”通過客戶機的MAC地址來對客戶端進行身份認證,只有通過認證的客戶端設備才可以訪問網絡以及服務器資源。網絡結構圖如下:
WFilter的“SSL監控”模塊,可以對https以及SSL加密的smtp/imap/pop3的內容進行解密從而記錄其內容。該SSL監控模塊,既可以對電腦進行管控,而且對手機一樣生效。但是要不影響客戶機的正常使用,首先需要在客戶機上安裝ca證書。電腦上安裝ca證書比較簡單,我們不再贅述。本文中,我將介紹如何在蘋果手機(iphone)上安裝SSL監控的ca證書,從而實現對iphone的SSL監控。
企業局域網由于網絡環境復雜;終端數量、設備數量都比較多;經常會出現網絡卡頓等故障。一旦網絡變慢時,面對復雜的網絡環境,網管技術人員需要迅速并且準確的診斷出問題所在,并且加以解決。本文中,我將盡量描述網絡變卡變慢的常見原因以及診斷方法。大體來說,網絡卡頓的原因有如下方面:
外網原因:運營商線路故障、帶寬不夠,路由器軟硬件故障等。
內網原因:內網的設備故障、病毒攻擊、網絡設置等原因。
所以在斷網、網絡卡頓時,第一步要判斷問題出在內網還是外網,然后再進行后續的診斷。
無線網絡由于安全性比較低,企事業單位的無線組網需要考慮如下因素:
有線網段和無線網段互相隔離。
辦公無線和訪客無線也需要互相隔離。
每個網段的無線終端建議控制在150以內,避免廣播風暴。
員工內網要做接入認證或者設備綁定。
對訪客進行實名認證(可選)
一般采用這樣的網絡結構圖:
WSG上網行為管理做透明網橋部署有很多優勢:
即插即用,不影響現有網絡。
不需要修改原有設備的配置(交換機、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使機器斷電死機也不會斷網。
由于政策要求和網絡安全的需要,現在絕大部分的酒店無線WiFi都要求實名認證。只有實名認證過的設備才允許連接酒店的WiFi網絡,并且記錄和留存該終端的上網內容。
一般來說實名認證都采用短信認證的方式,由于手機號是已經經過實名認證的,記錄手機號就等于是實現了實名認證上網。網絡結構可以采用如下的部署方式,用一臺WSG上網行為管理做主路由(也可以做透明網橋部署)。
WFilter上網行為管理,包括WFilter ICF和WFilter NGF(WSG網關),都可以對http和https的站點進行網站黑白名單控制。如圖:
作者:笨小驢 | 分類:網頁過濾方案 | 瀏覽:8974 | 評論:0
不管是企業內網的私有WiFi,還是公共WiFi網絡;出于安全性需要以及相關政策法規的要求,都要對WiFi無線上網的用戶進行實名認證。本文中,我將結合WSG上網行為管理網關介紹如何實現無線WiFi的實名認證。
騰訊從2014年推出的微信WiFi服務,可以用微信掃碼進行認證,從而記錄微信的openid。不過由于apple公司的接口調整,微信WiFi已經暫停服務。所以通過微信來進行實名認證已經不可行了。
二級路由器默認都啟用了網絡地址轉換,會把客戶機的IP地址和mac地址都轉換成路由器的IP和mac。這樣從上層的行為管理來看,只能看到路由器的IP地址。要區分二級路由下面的終端,必須把二級路由器改成AP模式(也就是無線交換機模式)。
局域網的文件泄露,主要是通過usb拷貝以及網絡傳輸的方式。我們在企業外發文件管控方案總結一文中,已經介紹了多種管控外發文件的方案。在本文中,我將介紹利用WSG上網行為管理網關如何來有效的管控外發文件。
需要在windows電腦的組策略里面禁止配置,把“禁止安裝可移動設備“修改成”已啟用“即可。當然,管理員權限就不能給使用者啦,要不然再把這個策略改回去就不起作用了。
當防火墻檢測到某個IP存在病毒攻擊或者異常流量時,網管技術人員往往需要到電腦上面進行后續操作。而對于自動獲取IP的局域網來說,如何定位IP地址的電腦位置一直是一個技術難題。如果沒有好的工具,最笨的辦法就是一臺一臺電腦進行查看,通過比對IP地址和mac地址來定位。那么還有哪些聰明一些的辦法呢?
有網管交換機時,可以在網管交換機上查看arp表找到該IP地址所在的端口,然后根據端口順藤摸瓜,從而定位電腦的物理位置。比如,在交換機上執行“disp arp”命令(不同型號的交換機命令不一樣),可以得到如下結果:
在部署了上網行為管理的局域網內,總會有人想各種各樣的辦法來突破上網管控。常見的方法有:
IP地址盜用。
MAC地址克隆。
首先可以考慮不開放管理員權限,或者采用域控的方式禁止客戶機自行修改網絡設置等辦法。其次也可以通過上網行為管理的管控策略來阻止這些行為。本文中,我來介紹下如何用WSG上網行為管理網關來應對IP地址盜用和MAC地址克隆。
由于視頻和下載可以輕易的占用大量帶寬,為了網絡的穩定運行,大部分局域網都會對客戶端進行一定的限速。本文中,我將介紹如何根據帶寬來做限速,限速設置多少比較合理?
正常的辦公上網,每個終端至少需要2Mbit的帶寬才夠用;平均值如果低于2Mbit需要考慮增加接入帶寬。假設你有200Mbit的帶寬,有50個終端,那么平均下來每個終端可以分配到4Mbit;但是考慮到不是所有人都會在同時全速下載,可以給每個終端分配8-10Mbit的帶寬。如下圖:
IP地址沖突一般是由于手動設置IP的原因,綜合來說有如下兩種可能性:
A電腦和B電腦都手工設置了同樣的IP地址。
A電腦自動獲取,B電腦手動設置了和A電腦一樣的IP地址。
出現IP地址沖突時,通過arp -a命令,可以看到沖突對方的MAC地址。如下圖:
在三層交換機環境下,由于三層交換機屏蔽了終端的實際mac地址,上層的上網行為管理在不開啟“MAC地址收集器”的情況下,是檢測不到終端的實際mac地址的。這樣也就不能實現mac地址黑白名單的功能。網絡結構如下圖:
在WFilter NGF(WSG上網行為管理網關)的”Web認證“配置中,可以基于IP范圍來配置要進行Web認證的客戶端。實際使用中,有些局域網電腦和手機無線終端都混雜在同一個網段,這種情況下,如果要只對電腦做認證,或者只對手機做認證,就不能通過IP范圍來實現了。需要修改默認的認證頁面,基于瀏覽器的useragent來獲取客戶端操作系統類型,并且判斷是否放行(無需認證直接放行)。
如下圖,點擊”編輯Web認證頁面”,然后點擊源代碼圖標。
在上網行為管理如何實現釘釘掃描二維碼進行Web認證登錄這篇文章中,我們介紹了如何用手機釘釘掃碼登錄電腦。電腦在上外網之前,需要用手機釘釘掃描二維碼才可以使用網絡,并且記錄該用戶賬號的上網內容。而在實際使用中,有些用戶還想對手機上外網進行用戶認證,從而可以識別到手機的員工姓名并記錄上網日志。
本文中,我將介紹如何用手機釘釘掃碼對自身手機進行Web認證。
在認證前,該手機是無法上外網的。大部分手機會自動彈出Web認證頁面(也可以手動在瀏覽器里面打開),如下圖:
WSG上網行為管理網關(WFilter NGF)的Web認證功能非常強大,可以支持多種用戶名認證(本地用戶、郵箱認證、域認證、Radius認證等),還可以支持短信認證、微信認證、釘釘認證等第三方認證。不過在有些情況下,用戶還希望WSG可以對接第三方的Web認證界面,即通過其他的Web認證系統進行認證,而由WSG來實現上網管控和上網記錄。本例中,我將介紹如何用WSG來對接第三方Web認證平臺。
“Web認證”的需求是對需要管控的員工網段開啟認證,一些電腦不開啟認證。如圖:
1. 設置要管控的IP范圍
2. 設置一個合理的超時重新認證時間,1440就是每天都需要重新認證一次。
3. 領導的mac地址加到“例外的MAC地址”
