對于局域網(wǎng)信息安全來說,首要的一點(diǎn)就是接入認(rèn)證,缺少接入認(rèn)證,那內(nèi)網(wǎng)安全完全無從談起。而在接入認(rèn)證中,“Web Portal認(rèn)證”是目前應(yīng)用最為廣泛的一種方式。那么,今天我們來看看WFilter的“Web認(rèn)證”提供哪些認(rèn)證解決方案。
首先,WFilter NGF的“Web認(rèn)證”包括兩個部分:
用戶名認(rèn)證:基于用戶名口令的認(rèn)證方案
營銷認(rèn)證:主要是微信WiFi(國內(nèi))和Facebook WiFi(國外)。
現(xiàn)在的便攜式路由器非常的小巧輕便,而且即插即用,很受大家的喜愛。
但是,對于局域網(wǎng)的網(wǎng)管人員來說,這個小東西造成的危害可不小,比如:
有這么一個app,很多人沉溺其中,但是你會發(fā)現(xiàn)隨隨便便刷幾個小時的短視頻,你就會收到短信提示“您本月的流量已經(jīng)用完”。即使你用wifi網(wǎng)絡(luò),網(wǎng)管同學(xué)們也會發(fā)現(xiàn)最近公司的帶寬完全不夠用啊。這就是抖音短視頻,稱之為流量殺手絕對不過分。
今天,我就來實(shí)際測試下,看一個抖音究竟要耗費(fèi)多大的帶寬。“測試手機(jī):iphone 7 plus,抓包工具wireshark,網(wǎng)關(guān):WSG-500E上網(wǎng)行為管理”。
如圖所示,我用iphone7 plus刷了3個抖音視頻,耗時30秒左右。平均帶寬占用高達(dá)766Kbyte,也就是6Mbps。
局域網(wǎng)網(wǎng)絡(luò)慢,一般存在如下可能:
內(nèi)網(wǎng)ARP欺騙攻擊。
內(nèi)網(wǎng)病毒攻擊。
交換機(jī)、路由器硬件故障。
網(wǎng)線接觸不良、網(wǎng)線老化。
廣播風(fēng)暴、網(wǎng)絡(luò)環(huán)路。
以上這些問題,即使是一個有經(jīng)驗(yàn)的網(wǎng)管,需要組合ping、arp、tracert等多條命令進(jìn)行測試分析,才可以逐步排查出來。有時還需要用抓包工具來抓包分析。為了簡化網(wǎng)管人員的工作,我們的WFilter軟件(WSG網(wǎng)關(guān))中,都集成了一個實(shí)用性很強(qiáng)的插件“網(wǎng)絡(luò)健康度檢測”。以上問題一鍵就可以檢測出來。如下圖:
騰訊游戲是騰訊四大網(wǎng)絡(luò)平臺之一,是全球領(lǐng)先的游戲開發(fā)和運(yùn)營機(jī)構(gòu),也是國內(nèi)最大的網(wǎng)絡(luò)游戲社區(qū)。但是,很多青少年沉迷游戲,不但影響工作和學(xué)習(xí),還會傷害身體、滋生犯罪。
本文中,我將演示如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來屏蔽騰訊游戲的登錄。根據(jù)騰訊游戲登錄協(xié)議介紹,騰訊游戲的登錄主要是http方式,需要連接
抖音現(xiàn)在實(shí)在是太火了,辦公室一個個都忙著刷抖音,哈哈大笑者有之,忍俊不禁者有之...,可這帶寬占用可也不小啊。一個人看抖音的實(shí)時帶寬可以達(dá)到5Mbps,十幾個人一起刷就可以把百兆帶寬給用完了。而且手指一刷就換到下一個視頻,隨便刷刷就幾G的流量。如圖:
上班時間刷刷朋友圈,一眨眼半小時就過去了。不但會影響工作效率,而且朋友圈的視頻會占用大量的帶寬。所以對企業(yè)管理人員來說,很多時候需要禁止員工在工作時段刷朋友圈。但是行政手段要和技術(shù)手段配合,才可以發(fā)揮真正的作用。
本文將介紹如何用WFilter NGF(WSG網(wǎng)關(guān))來禁止朋友圈的視頻。
當(dāng)我們看到app store有更新的時候,總是忍不住要去點(diǎn)擊下。可你知道點(diǎn)擊的一剎那要消耗多少流量嗎?根據(jù)WFilter的監(jiān)控,在WiFi狀態(tài)下,app store的更新速度可以達(dá)到幾兆。初步估算下,如果同一個局域網(wǎng)有十個人同時打開app store進(jìn)行更新,那么百兆帶寬瞬間就可以被占滿。如下圖:
WFilter NGF(WSG上網(wǎng)行為管理網(wǎng)關(guān))的“Web認(rèn)證模塊”主要包括兩個部分:“用戶名認(rèn)證”和“營銷認(rèn)證”。
用戶名認(rèn)證:輸入用戶名口令來認(rèn)證上網(wǎng)。
營銷認(rèn)證:國內(nèi)主要是“微信WiFi”,國外主要用“Facebook WiFi”。
本文中,我將簡單介紹如何用WFilter NGF(WSG上網(wǎng)行為管理網(wǎng)關(guān))來實(shí)現(xiàn)微信掃碼上網(wǎng)。
163和騰訊的企業(yè)郵箱,給企業(yè)帶來了很大的便利。很多企業(yè)都采用兩家的企業(yè)郵箱服務(wù),有的企業(yè)出于信息安全的考慮,需要對企業(yè)郵箱的外發(fā)內(nèi)容進(jìn)行監(jiān)管。本文中,我將簡單介紹企業(yè)郵箱監(jiān)控的兩個重點(diǎn)關(guān)注的方面:
網(wǎng)頁版的企業(yè)郵箱監(jiān)控。
客戶端收發(fā)的企業(yè)郵箱監(jiān)控。
IP-MAC綁定一直是局域網(wǎng)管理的一個重要部分。但是其實(shí)現(xiàn)卻往往比較復(fù)雜,一般會有如下問題:
大部分路由器的IP-MAC綁定功能比較局限。一般就是簡單的ARP綁定。客戶機(jī)手動修改IP等方式來突破。
路由器由于硬件限制,允許的IP-MAC綁定條目比較少,一般在256條以內(nèi)。
交換機(jī)上進(jìn)行IP-MAC綁定,配置和維護(hù)的工作量會比較大。
三層交換機(jī)的IP-MAC綁定往往需要專業(yè)技術(shù)人員才可以操作。
今天,我要介紹的是一種非常簡單方便的IP-MAC綁定方式,無需修改交換機(jī)和路由器,不改變當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)和配置,即插即用,web界面配置。非常簡單方便就可以實(shí)現(xiàn)對局域網(wǎng)內(nèi)客戶機(jī)的IP-MAC綁定。具體介紹如下:
《絕地求生》(PUBG) 是一款突破性的戰(zhàn)術(shù)競技類游戲,憑借其獨(dú)特創(chuàng)新的玩法模式,寫實(shí)風(fēng)格帶來的代入感和沉浸感深受玩家喜愛。目前,吃雞類游戲深受用戶喜愛,也涌現(xiàn)了一大批的同款端游和手游。
對于上網(wǎng)行為管理來說,我們要討論的是如何禁止局域網(wǎng)客戶機(jī)(電腦和手機(jī))玩這類游戲。在本文中,我將演示如何用WSG-500E(WFilter NGF系統(tǒng))來屏蔽局域網(wǎng)用戶玩吃雞類游戲。
很多局域網(wǎng)考慮到安全需要,會部署兩臺核心交換機(jī)做雙機(jī)熱備。在這樣的情況下,如果要旁路部署上網(wǎng)行為管理軟件,需要在兩臺核心上都配置端口鏡像,從而實(shí)現(xiàn)不間斷的監(jiān)控管理。拓?fù)鋱D如下:
微信作為現(xiàn)在很常用的一個通訊軟件,很多企業(yè)在管理時不想把微信完全禁止掉,但是微信的傳文件和視頻聊天等行為會占用大量帶寬,并且影響網(wǎng)絡(luò)安全。所以很多我們的WFilter用戶,都會在局域網(wǎng)內(nèi)把微信傳文件和微信視頻禁止掉。
本文將演示如何用WSG-200E來配置微信視頻聊天的屏蔽。
說到https,不得不提http(HyperText Transfer Protocol)這個互聯(lián)網(wǎng)上用的最廣泛的網(wǎng)絡(luò)協(xié)議,其技術(shù)架構(gòu),協(xié)議功能,協(xié)議原理百度或者google都有詳細(xì)解釋。而https(Hyper Text Transfer Protocol over Secure Socket Layer)多就多在這個S上,SSL加密,通常理解,https就是http加入SSL加密層變成以安全為目標(biāo)的http傳輸。那么SSL是個啥呢,SSL是一個目前應(yīng)用非常廣泛的一種非對稱加密方式,也是公認(rèn)破解不了的。安全,又好用,所以才能廣泛應(yīng)用,除了http,郵件的pop3,smtp,IM通訊等等,都能用上,是個很好的加密方式。起初用https通常都是金融類網(wǎng)站用到財(cái)務(wù)交易,時光如水,歲月如歌,IT技術(shù)一日百里的飛速發(fā)展,現(xiàn)在很多門戶網(wǎng)站,企業(yè)網(wǎng)站也都逐漸使用https協(xié)議,這個也是事實(shí)的趨勢。概念就是這個概念了,那么https如何監(jiān)控管理呢?以下說明是獻(xiàn)給非專業(yè)IT技術(shù)人員,非專業(yè)碼農(nóng)的。為了大家都能明白,可能有些敘述比較幼稚和粗淺,請多多理解。
WSG-200E上網(wǎng)行為管理網(wǎng)關(guān),不是用的最頂尖高端的硬件設(shè)備,但是對于150-300人局域網(wǎng)范圍,真的是性價(jià)比最高的一款。系統(tǒng)采用了WFilter NGF企業(yè)級上網(wǎng)行為管理系統(tǒng),在硬件方面,采用了Intel B75的主板架構(gòu),I3-32200的酷睿4核CPU,主頻高達(dá)3.3GHz.實(shí)實(shí)在在的優(yōu)質(zhì)選型。
WSG-500E上網(wǎng)行為管理設(shè)備是WFilter系列上網(wǎng)行為管理中性能非常強(qiáng)悍的一款設(shè)備,系統(tǒng)采用了WFilter NGF企業(yè)級上網(wǎng)行為管理系統(tǒng),在硬件方面,采用了Intel B75的主板架構(gòu),I5-3450的酷睿4核CPU,主頻高達(dá)3.1GHz。很多用戶對這個性能缺少形象的概念,讓我來簡單比較下:
普通的路由器芯片,比如典型的MTK7620芯片,主頻是580MHz。
D525工控機(jī),CPU是4核1.8GHz。性能至少是MTK的3-4倍。
WSG-500E的I5-3450,采用了新的設(shè)計(jì),性能差不多又是D525的3-4倍。
配合4G的DDR3內(nèi)存,6個千兆端口,構(gòu)建了性能強(qiáng)悍的WSG-500E。這款設(shè)備,雖然官方推薦是500Mbps的帶寬,實(shí)測可以達(dá)到900-920M,而且網(wǎng)絡(luò)訪問很順暢,一點(diǎn)也不卡頓。
這里說的大型局域網(wǎng)是500-1000臺局域網(wǎng)環(huán)境,一般是一棟樓,廠房或者學(xué)校。大型局域網(wǎng)的組網(wǎng)方案已經(jīng)非常成熟了。大網(wǎng)絡(luò),多了防火墻,核心交換機(jī),不同需求的服務(wù)器。這里就不一一贅述,這里重點(diǎn)介紹大局域網(wǎng)的上網(wǎng)行為管理方案。大網(wǎng)環(huán)境數(shù)據(jù)量大,各種協(xié)議走的很復(fù)雜。很多網(wǎng)安廠家把第二代防火墻的概念
(Next Generation Firewall)包括了上網(wǎng)行為管理概念,專業(yè)的上網(wǎng)行為管理是無法被代替的。協(xié)議分析,應(yīng)用層解析,上網(wǎng)日志記錄,審計(jì)等模塊需要大量的運(yùn)算,后期需要專業(yè)的研發(fā)團(tuán)隊(duì)維護(hù)升級。所以不應(yīng)該被防火墻,殺毒的概念混亂。上網(wǎng)方式這三十年發(fā)生了天翻地覆的變化,網(wǎng)絡(luò)協(xié)議一年又一年的更新,應(yīng)用協(xié)議天天有新出,移動上網(wǎng)方式的應(yīng)用都已經(jīng)變成日常行為了。各種病毒方式已經(jīng)不像原始方式文件打開,有的時候甚至點(diǎn)開一個不安全的網(wǎng)站會導(dǎo)致病毒入侵,所以內(nèi)網(wǎng)管控不僅僅是上網(wǎng)效率提高,還有上網(wǎng)行為管控,網(wǎng)址庫,協(xié)議庫過濾,才會讓局域網(wǎng)上網(wǎng)內(nèi)網(wǎng)安全兼得。
提到上網(wǎng)行為管理,最初想到的內(nèi)容記錄、聊天內(nèi)容、郵件內(nèi)容、文件傳輸內(nèi)容、網(wǎng)頁瀏覽記錄等等。但是再往深里研究,對于有一定規(guī)模的局域網(wǎng),內(nèi)容審計(jì)的意義并不是很大,聊天幾句話、瀏覽的幾個網(wǎng)站都是瞬間的意識。所以,企業(yè)的對員工聊天內(nèi)容的審計(jì)實(shí)在沒有太大的意義。況且國內(nèi)主流的QQ和微信的通訊,騰訊公司早就進(jìn)行了協(xié)議改進(jìn)和安全強(qiáng)化,加上微信QQ都可以綁定銀行卡。所以,網(wǎng)絡(luò)監(jiān)控解析QQ和微信的內(nèi)容,理論上已經(jīng)不現(xiàn)實(shí)。對于企業(yè)網(wǎng)絡(luò)管理來說,規(guī)整的上網(wǎng)秩序、上網(wǎng)內(nèi)容的報(bào)表分析以及信息安全才是王道。
WSG-200P上網(wǎng)行為管理路由是一款性價(jià)比非常高的上網(wǎng)行為管理設(shè)備。和WSG的企業(yè)版(E系列)相比,雖然沒有上網(wǎng)記錄、域賬號等功能,但是就上網(wǎng)行為管理和流控來說,與E系列基本是一樣的,可以提供專業(yè)的上網(wǎng)行為管理和流控。下面讓我們一起來看看WSG-200P這款企業(yè)級上網(wǎng)行為管理路由有哪些亮點(diǎn)功能吧。
這里說的小型局域網(wǎng)是50臺左右上網(wǎng)設(shè)備(電腦加手機(jī)),出口帶寬不超過100兆的局域網(wǎng)。比較普遍的組網(wǎng)方案設(shè)備,路由,交換機(jī),無線路由,對于小局域網(wǎng)足夠了。但是對于企業(yè),公共網(wǎng)絡(luò)來說,管理是必不可少的。
常規(guī)小型局域網(wǎng)組網(wǎng)一般是這樣的:
作者:笨小驢 | 分類:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì) | 瀏覽:5830 | 評論:0
上網(wǎng)行為管理網(wǎng)關(guān)、防火墻、路由,不管是硬件還是軟件,其基本原理都是一樣的。硬件產(chǎn)品其實(shí)就是軟件包灌到硬件設(shè)備里面打包成一個整體設(shè)備。而上網(wǎng)行為管理、防火墻和路由的共同點(diǎn),都是部署在局域網(wǎng)出口的,大部分都基于LINUX系統(tǒng)進(jìn)行的定制開發(fā)。如果是軟件方式,安裝時需要用一臺專門的服務(wù)器。所以,產(chǎn)品性能的指標(biāo)取決于兩方面:硬件配置和軟件系統(tǒng)。那么產(chǎn)品的選擇,主要在這兩方面進(jìn)行優(yōu)選。以下是一些簡單的介紹:
一、從軟件內(nèi)核角度來說,路由系統(tǒng)、防火墻系統(tǒng)、上網(wǎng)行為管理網(wǎng)關(guān)系統(tǒng),都是在LINUX上裁剪開發(fā)出來的。但是這些系統(tǒng)各自的功能側(cè)重點(diǎn)、和性能指標(biāo)都是完全不一樣的。如下圖:
這里說的網(wǎng)橋部署,是透明網(wǎng)橋部署。有的局域網(wǎng)環(huán)境里面,路由暫時不想被代替,那么WSG上網(wǎng)行為管理網(wǎng)關(guān)可以用網(wǎng)橋部署的方式接在局域網(wǎng)里面。
網(wǎng)橋模式下,只用到LAN和WAN1這兩個端口。其他端口都不起作用。
WSG接在路由器(防火墻)和交換機(jī)之間。
內(nèi)網(wǎng)交換機(jī)接在LAN口。
上層設(shè)備(路由器或者防火墻)接在WAN1口。
上網(wǎng)行為管理網(wǎng)關(guān)不管是在功能還是在性能上,都是完爆路由器的。隨著生產(chǎn)力的提高,硬件設(shè)備的成本也逐步降低,普及也越來越廣(例如電器的價(jià)格越來越低)。上網(wǎng)行為管理網(wǎng)關(guān)部署也將成為一個趨勢,因?yàn)榫W(wǎng)關(guān)除了擁有專業(yè)路由的功能以外,還有專業(yè)的網(wǎng)絡(luò)管理功能,和專業(yè)防火墻功能,這個都是路由硬件芯片做不到的。
那么上網(wǎng)行為管理設(shè)備應(yīng)該如何部署呢?其實(shí)很簡單,就是和路由器一樣,直接把路由器的相關(guān)配置移植到行為管理設(shè)備上,把之前的路由器替換掉即可。
WSG系列上網(wǎng)行為管理網(wǎng)關(guān)是WFilter系列上網(wǎng)行為管理產(chǎn)品的經(jīng)典之作,軟件系統(tǒng)采用了WFilter NGF企業(yè)級上網(wǎng)行為管理系統(tǒng),而且在硬件的選型上絕不吝嗇,都是優(yōu)選的工控機(jī)。比如WSG-50E的D525 CPU(推薦50用戶),放在其他廠商,至少都是100-200臺的環(huán)境的宣傳了。下面讓我們一起來看看WSG-50E這款企業(yè)級上網(wǎng)行為管理硬件網(wǎng)關(guān)有哪些特殊功能吧。
第一印象就是盒子好大,比一般的路由器要大的多。開箱后,1U的鐵殼機(jī)箱,相當(dāng)于一臺14寸筆記本的大小,還挺沉的。典型的企業(yè)級網(wǎng)絡(luò)硬件設(shè)備,和華為思科的機(jī)器差不多。
1.1) 機(jī)器正面
