欧洲毛片,亚洲天堂久久,亚洲欧美另类在线观看

WSG上網行為管理如何恢復出廠設置？

Wed, 23 Apr 2025 14:07:30 +0800

WSG上網行為管理設備恢復出廠設置有兩種方式：

通過Web界面進行重置
通過控制臺進行重置

1. Web界面重置

用admin登錄Web管理界面后，可以在“系統-配置-導入導出”中選擇“恢復出廠設置”。如下圖：

“保留日志和統計數據”，這個選項只重置所有的配置，不刪除數據。
“清空所有數據”，這個選項既重置配置，又清空數據。

點擊“恢復出廠”，就會重置并且重啟設備。

2. 通過控制臺進行重置

如果你沒法進入Web界面，還可以選擇通過控制臺進行重置恢復出廠設置的操作。你需要一個VGA顯示器和一個USB鍵盤。如下圖：

接上顯示器和鍵盤后，按Enter回車，就可以看到控制臺菜單。如下圖：

恢復出廠設置的菜單序號是5，輸入5并且按Enter回車。

這里還需要輸入y（小寫）確認一下。Y確認后系統就會恢復出廠設置并且重啟設備。

怎樣限定允許訪問端口映射的IP地址？

Tue, 22 Apr 2025 14:46:22 +0800

通過路由器或者網關的“端口映射”功能，可以把內網的網絡服務映射到外網，供互聯網上的用戶使用。一些公司的ERP、CRM、OA系統都會采用這樣的方式，使代理商、出差員工可以進行網絡辦公。端口映射的配置如下圖：

1. 端口映射的使用條件

端口映射需要滿足如下條件：

要有固定公網IP地址。如果沒有申請專線固定IP，運營商現在一般都直接分配內網IP地址，從公網上是訪問不到的。
如果要映射到外網的80、443、8080等常見Web端口，需要到運營商備案。

2. 端口映射的安全問題

端口映射的服務可以直接在公網上訪問到，所以必然會招來攻擊。要保護端口映射服務器的安全，需要考慮如下方面：

盡量采用不常見的端口
開啟入侵防御來阻止入侵攻擊
阻止來自國外的IP地址
限定只能訪問的IP地址

請參考：端口映射的服務器被攻擊怎么辦？

3. 限制訪問端口映射的公網IP地址

下面我再來演示一下如何用WSG上網行為管理限制訪問端口映射的外網IP地址。端口映射的訪問在“外網”區域的“轉發”方向，我們需要配置兩條規則。一條是阻止所有的外網轉發，一條是允許指定IP的外網轉發。如下圖：

通過上述配置，即可限定允許訪問端口映射的外網IP地址。

怎樣允許局域網電腦訪問網站但是不允許外發？

Tue, 22 Apr 2025 14:07:43 +0800

一些企事業單位出于工作和安全的需要，希望可以允許局域網內的電腦終端訪問互聯網，但是不允許發送數據到外網。這個需求從理論上來說其實是矛盾的，以Web訪問為例，當我們去訪問一個網頁的時候，用的是HTTP的GET指令，大概的格式是這樣的：

GET /path/to/resource HTTP/1.1

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Connection: keep-alive

瀏覽器告訴網站服務器這些信息：需要訪問的URL地址、域名、瀏覽器種類、壓縮類型、連接類型等。這個頭部的大小在RFC的定義中是2K字節，這是明文的HTTP方式。如果是HTTPS方式，還需要證書交換，上傳的數據大約8K字節。換句話說，即使只是瀏覽網站，每一次訪問也需要8K的上傳數據。所以說，只允許訪問但是不允許任何外發數據，這個需求是自相矛盾的，不能得到真正的實現。

雖然嚴格的完全只訪問不上傳是做不到的，但是我們可以通過限定上傳數據的大小來實現這個功能需求。如下圖：

WSG上網行為管理的“應用過濾”有一項“智能過濾”的功能，可以設置每個連接的最大允許的上傳數據。基于上面的分析，我們把這個值設置為“10KB”即可不影響正常的網站訪問，而且不能上傳超過10KB的信息。

啟用該選項后，WSG會自動統計每個連接中的上傳數據大小，一旦上傳數據超過限定的閾值，就會判定為”疑似上傳行為“而加以禁止。利用該選項有如下好處：

對所有的應用協議都可以生效。
不在應用特征庫中的上傳行為也可以禁止。
https網站中的上傳也一樣可以設別和屏蔽。

如下圖，https的網頁郵件中的上傳附件可以被識別和禁止掉。

論壇發帖的附件一樣可以禁止掉。

不但是Web上傳，對于各類客戶端APP，比QQ傳文件、微信傳文件中的上傳行為也一樣可以禁止。

在WSG的實時流量圖中，點擊總帶寬的數字進去，就可以看到每個終端的實時連接和實時封堵。實時封堵里面顯示了連接被禁止的原因、對應的模塊和策略。如下圖中所示，可以看到“疑似上傳文件”的禁止記錄。

這樣就實現了“只允許下載和訪問但是不允許上傳”的功能需求，滿足了企事業單位的安全需要。需要注意的一點是：為了避免分片傳輸，盡量不要把疑似上傳的閾值設置的過大（500K以內為宜）。

WSG-500G，國產CPU信創上網行為管理硬件安全網關

Mon, 24 Mar 2025 15:49:10 +0800

為滿足網絡安全國產化要求，我們新推出了WSG-500G型號。WSG-500G采用國產CPU平臺硬件和自主研發的WFilter上網行為管理系統，聚焦自主創新的網絡安全防護，提供多樣化的身份認證、專業的上網行為管控，全面管控網絡用戶身份安全、阻止終端違規接入和上網違規行為，使網絡更加規范和安全。下面是該型號的一些功能和性能介紹。

1. 采用國產CPU平臺

先看一下設備的前臉和后臉。

WSG-500G這個型號采用了兆芯CPU平臺+8G內存+1T硬盤，支持2個千兆電口和2個萬兆光口，2U機箱，滿足信創要求。

2. WSG-500G的處理性能

該型號可以支持2.5G的應用層帶寬，1000個內網終端。

更多的功能介紹，請參考：WSG上網行為管理硬件，關于該型號的更多信息，請聯系我們。

怎樣通過WSG云管理平臺來進行遠程管理？

Sat, 15 Mar 2025 22:04:10 +0800

WSG云平臺可以集中管理多臺WSG設備，可以查看設備地址、系統版本、IP地址、告警信息，還可以遠程訪問管理界面并且同步配置。本文介紹了使用WSG云平臺的基本步驟。

1. 注冊WSG云平臺

首先要在WSG云平臺注冊新賬號并登錄。如下圖：

2. 配置終端WSG加入云平臺

如下圖，記錄云平臺界面右上角的云平臺網絡id，并且在終端WSG的VPN-SDWAN菜單中配置加入該網絡。

3. 在云平臺中添加要管控的WSG終端

第三步需要在云平臺中添加需要管理的WSG終端。如下圖，先記錄終端WSG的SD-WAN本機id（VPN-SDWAN菜單）。然后到云平臺的終端管理中添加該終端。

經過上述步驟后，即可在云平臺管理添加的WSG終端了。

如何實現釘釘掃碼登錄webvpn？

Thu, 02 Jan 2025 13:32:29 +0800

WSG上網行為管理的webvpn功能，可以支持釘釘掃碼登錄。要實現該功能，你需要有公網域名、固定公網IP地址。本文將介紹具體的配置步驟。配置主要分為兩個部分：釘釘應用開發平臺的配置、WSG上網行為管理的webvpn配置。

1. 創建釘釘應用

記錄釘釘app的Client ID和Client Secret，對應webvpn配置中的AppKey和AppSecret。

在“安全設置”中配置公司的出口IP地址，只有從這個ip發起的請求才可以調用該APP。配置重定向URL（回調域名），該回調域名需要和webvpn中的配置一致。

2. 配置WebVPN

WebVPN的用戶認證中啟用第三方認證的釘釘認證方式，填入AppKey，AppSecret和回調域名（回調域名必須是域名，不能是IP地址）。

測試webvpn的登錄：

還有一點要注意的：webvpn通過cookie來實現認證，由于釘釘掃碼需要通過第三方域名，所以這里會涉及到一個跨域cookie的安全問題。Chrome內核的瀏覽器默認情況下要求跨域的cookie設置必須采用https的方式連接。所以如果發現Chrome掃碼后不能跳轉到內頁，多半就是因為這個跨域cookie的安全限制原因。這種情況建議換用其他瀏覽器，或者采用https方式登錄。

WSG上網行為管理網關有哪些特色功能和參數？

Thu, 05 Dec 2024 10:23:39 +0800

WSG上網行為管理網關是基于WFilter NGF的上網行為管理硬件網關，上網認證系統、入侵防御系統和防火墻。該設備性能強勁，功能豐富，有著很多特色功能，包括如下幾個方面：

1. 硬件特色

多個千兆萬兆端口（不同型號有差異）
WAN/LAN可配置
采用x86架構的高性能CPU，性能遠超路由器

2. 功能特色

2.1 上網審計和上網管控

提供網關模式、透明網橋模式、旁路模式的部署方案。
上網日志審計支持Web記錄、郵件記錄、文件傳輸、FTP/Telnet命令、IP-MAC歷史、連接明細的記錄。
提供高價值的業務報表，如網頁瀏覽次數統計、網站瀏覽時長統計、應用時長統計、帶寬分析報表、網絡延時統計、網絡流量趨勢等。支持報表自定義，支持報表自動發送到郵箱。
豐富的上網行為管理功能，包括IP-MAC綁定、應用過濾、網頁過濾、郵件過濾、例外設置等管控方式?？梢愿鶕蘒P地址、IP段、MAC地址、賬號、用戶組來配置上網策略。
支持跨網段IP-MAC綁定，可以通過MAC地址收集器從三層交換機獲取終端的實際MAC地址。
支持臨時虛擬組策略，可以對終端設置一定時限內的臨時策略。
支持外發管控，可以禁止超過指定大小的外發行為。
支持SSL監控，可以對HTTPS網站、SSL郵件進行記錄、攔截和監控。
支持共享檢測，可以檢測并懲罰局域網中的互聯網共享行為。

2.2 用戶認證

可以和AD域集成，可以基于域賬號、OU設置上網策略和查詢統計。
用戶名密碼認證支持本地賬號、域賬號(LDAP)、郵箱、Radius進行認證。
支持短信認證、釘釘掃碼認證、企業微信掃碼認證、二維碼認證。

2.3 安全方面

記錄管理員登錄和操作日志、登錄嘗試過多時鎖定賬號。支持多管理員，且可以配置管理員菜單權限。可以限制允許登錄本系統的終端IP地址。
支持入侵防御，可以檢測并阻止來自內、外網的惡意攻擊行為。
支持木馬檢測，可以檢測內網感染病毒木馬的可疑終端。

2.4 其他

支持SD-WAN、IPSec、SSL VPN組網方案，支持網關部署和單臂部署。支持SSL VPN遠程辦公，支持Web VPN。
支持網絡健康度檢測、私接路由和隨身Wifi檢測、網絡掃描、代理服務器掃描、DHCP掃描等各種擴展插件。
支持MAC地址收集器，可以從三層交換機獲取客戶機MAC地址，配合其他模塊實現跨網段IP-mac綁定、MAC地址記錄。
支持雙機熱備自動切換。

更多詳細介紹請參考：WSG上網行為管理

如何對局域網電腦進行漏洞掃描？

Mon, 23 Sep 2024 13:30:24 +0800

對局域網進行漏洞掃描，可以提前發現內網的安全漏洞，比如弱密碼、系統漏洞、未授權訪問等問題；及時修復這些問題，可以有效地避免黑客攻擊等安全事件的發生，保護企業或組織的信息資產安全。在本例中，我將結合WSG上網行為管理的“漏洞掃描”功能，介紹如何對局域網電腦進行漏洞掃描，以及相應的整改操作。

1. 添加掃描任務

在“漏洞掃描”模塊中新增掃描任務，輸入掃描的目標網段，指定任務運行的時間，保存配置。

2. 檢查掃描結果

掃描任務需要連接笨驢的云服務器，等待云服務器分配任務并且完成掃描。掃描所需的時間和目標網段的規模相關，時間從幾十分鐘到幾個小時不等，你可以在狀態欄中看到掃描的完成度。如下圖：

等待掃描結束后，點擊旁邊的“放大鏡圖標”，可以查看掃描結果。如下圖：

點擊導出可以導出掃描結果。

3. 修復掃描出的漏洞

針對掃描出來的“高?！焙汀爸形！甭┒?，應該逐項進行修復。每個漏洞的修復方式都是不一樣的，有些是配置問題，有些是版本太舊，有些還需要聯系相關的廠家技術支持進行修復。比如上圖中的“Anonymous FTP Login Reporting”，意思就是檢測到了FTP匿名登錄，這個ftp服務器允許匿名登錄，存在安全隱患。那么修復的方法就是修改ftp服務器的配置，把匿名登錄禁用掉。漏洞修復后，建議再次運行漏洞掃描任務，來驗證漏洞是否得到修復。

如何用WSG的openvpn服務端撥入到局域網？

Thu, 19 Sep 2024 12:49:36 +0800

WSG自帶的openvpn服務端集成了openvpn服務，可以讓外網終端撥入到公司內部局域網。WSG的openvpn服務端采用了ca證書和用戶名密碼認證雙重認證，安全性和穿透性都很高。下面是具體的步驟介紹：

1. 開啟openvpn服務

在“VPN-openvpn服務端”中開啟openvpn服務，選擇用戶名認證。推送路由里面配置的是允許外網訪問的本地局域網網段，如果允許外網終端通過公司線路訪問外網也可以在這里配置允許訪問的外網網段。

2. 生成客戶端配置文件

到“客戶端網段”中點擊“生成配置文件”來生成openvpn客戶端連接的配置文件。最新版本的WSG生成配置文件時可以自動把ca證書包含到配置文件中，不需要另外導出ca證書。如果你想指定客戶端撥入后的IP地址，可以通過點擊“新增”來指定，如果兩地通過openvpn互聯，還需要在這里添加客戶端網段。遠程辦公撥入是不需要添加客戶端網段的。

用記事本打開下載的配置文件，然后把remote后面的IP地址改成實際的公網IP地址。如下圖：

3. 配置防火墻規則

防火墻規則至少需要兩條規則，一條是允許外網撥入openvpn（自動生成），另外一條是允許openvpn客戶端訪問內網。如下圖：

4. 創建vpn賬號

還需要到“用戶認證-賬號管理”中添加vpn賬號，驗證方式中需要勾選VPN選項。

5. Windows終端的配置

安裝openvpn connect后，點擊“Import Profile”來導入配置文件。

輸入用戶名密碼后，點擊“Add”完成添加

測試連接成功

開機自動啟動并連接(Reconnect On Reboot)

如何用l2tp遠程撥入公司局域網？

Sat, 14 Sep 2024 16:10:19 +0800

有時候不同運營商之間的GRE協議是不通的，會導致PPTP連接不上。而L2TP工作在UDP 1701端口，和PPTP相比穿透性更強，而PPTP需要開通TCP 1723和GRE協議才可以。

本例中，我將介紹WSG上網行為管理的L2TP的用法。如下圖：

1. 開啟PPTP/L2TP服務端

VPN類型選擇L2TP

啟用L2TP服務端后，防火墻規則中會自動生成一條允許l2tp撥入的防火墻規則，放行外網區域的UDP 1701端口。這條規則不需要做任何改動。

2. Windows客戶端的配置

Windows系統自帶L2TP+IPSec的支持，但是默認配置下Windows是必須要IPSec加密才可以連接L2TP服務的。由于WSG的IPSec用于site-to-site隧道，我們需要配置Windows注冊表來禁用IPSec。

在“運行”中運行regedit來打開注冊表編輯器

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters中，創建ProhibitIpSec這個注冊表項，DWORD類型，數值為1。如下圖：

重啟電腦，然后創建VPN鏈接，VPN類型選擇“L2TP/IPSec”，數據加密選擇“可選加密”。

一般來說，我們不希望把所有的外網數據都通過VPN線路轉發，需要在IPV4的屬性中，把“在遠程網絡上使用默認網關”去掉勾選。如下圖。

3. 成功撥入L2TP

經過上述配置后，即可成功撥入L2TP VPN服務。