主管部門發(fā)出的安全風(fēng)險報告,一般只能定位到局域網(wǎng)的公網(wǎng)IP。網(wǎng)管技術(shù)人員要處理解決該安全事件,還需要定位到具體的終端電腦。這個定位工作非常考驗網(wǎng)管的技術(shù),沒有對應(yīng)的技術(shù)儲備,加上沒有合適的工具的話,你就只能一臺電腦一臺電腦的殺毒了。
在如何檢測局域網(wǎng)內(nèi)感染了木馬病毒的電腦?一文中,我們介紹了如何通過WSG上網(wǎng)行為管理網(wǎng)關(guān)的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說,開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進(jìn)行查毒殺毒就可以了。有些情況下,由于特征庫版本不一致,或者檢測技術(shù)不一樣,也可能存在并沒有檢測到的情況。這時候,我們還可以通過自定義規(guī)則的方式,來擴(kuò)大檢測的內(nèi)容。在本文中,我將介紹如何自定義檢測規(guī)則。
傳統(tǒng)的異地組網(wǎng)方式要求企業(yè)有帶固定公網(wǎng)IP的專線才可以實現(xiàn);由于IPv4資源的短缺,運營商專線價格高企,大部分企業(yè)無法承擔(dān)高額的專線費用。為解決此問題,各大網(wǎng)絡(luò)廠商各顯神通,研發(fā)出了一系列的解決方案。本文中,我將介紹如何利用“SD-WAN技術(shù)”來實現(xiàn)沒有公網(wǎng)IP時的異地組網(wǎng)互聯(lián)。和傳統(tǒng)的VPN相比,SD-WAN有如下優(yōu)勢:
自動尋址,無需公網(wǎng)IP。
點對點加密傳輸,無需通過服務(wù)器轉(zhuǎn)發(fā),傳輸安全性高。
多平臺支持。有windows,安卓客戶端。
既能實現(xiàn)多地組網(wǎng),又可以實現(xiàn)遠(yuǎn)程辦公撥入。
隨著互聯(lián)網(wǎng)、數(shù)字化的迅速發(fā)展,遠(yuǎn)程辦公、移動辦公、居家辦公已經(jīng)是企業(yè)必備的網(wǎng)絡(luò)服務(wù)。企業(yè)網(wǎng)絡(luò)除了滿足日常的局域網(wǎng)組網(wǎng),還需要可以滿足員工在外、在家時可以隨時隨地接入到企業(yè)內(nèi)網(wǎng)。傳統(tǒng)的做法,一般有如下兩種:
1). 企業(yè)申請帶固定IP的企業(yè)專線,通過該固定IP提供遠(yuǎn)程撥入服務(wù)。
2). 在路由器上綁定動態(tài)域名,通過動態(tài)域名來訪問。
近年以來,由于IPv4資源的短缺,運營商改為只分配內(nèi)網(wǎng)的IPv4地址,導(dǎo)致動態(tài)域名這個方案已經(jīng)不可行了。而專線方案價格高企,很多企業(yè)承受不了。
在如何利用Web VPN來保護(hù)內(nèi)網(wǎng)信息安全一文中,我們介紹了如何用WebVPN來訪問內(nèi)網(wǎng)的Web服務(wù)器。WebVPN可以給內(nèi)網(wǎng)服務(wù)器添加一層認(rèn)證保護(hù),只有認(rèn)證過的用戶才可以訪問內(nèi)網(wǎng)資源,從而有效的保護(hù)了內(nèi)網(wǎng)數(shù)據(jù)的安全性。對于Web服務(wù)器來說,WebVPN是通過子域名的方式,每個web服務(wù)都需要對應(yīng)一個不同的二級域名。在WFilter NGF的2.0版本中,我們給WebVPN添加了轉(zhuǎn)發(fā)到“TCP服務(wù)器”的功能,使WebVPN用戶可以在認(rèn)證后訪問到指定的TCP服務(wù)器。以下是Web方式和TCP方式的差別和優(yōu)缺點分析:
Web方式
只能轉(zhuǎn)發(fā)到指定的Web服務(wù)器。
每個Web服務(wù)器都必須對應(yīng)一個二級子域名。
可以對Web站點的內(nèi)容進(jìn)行替換。
TCP方式
可以轉(zhuǎn)發(fā)到任意的TCP服務(wù)。比如內(nèi)網(wǎng)的ssh,rdp等,也包括web服務(wù)。
每個TCP服務(wù)必須對應(yīng)一個本地端口。
外網(wǎng)用戶必須經(jīng)過認(rèn)證才可以訪問TCP端口。
不能對內(nèi)容進(jìn)行修改。
鏈路聚合和端口聚合是兩個概念:
1). 鏈路聚合是指多條外線的情況下把多條外線聚合使用。該功能可以通過WSG的“多線均衡”模塊來實現(xiàn)。
2). 端口聚合是指在WSG上接多個內(nèi)網(wǎng)交換機(jī)端口,從而提升內(nèi)網(wǎng)的上聯(lián)帶寬。
挖礦軟件會占用電腦的大量運算資源和電力資源,而且會引起主管部門的關(guān)注。局域網(wǎng)內(nèi)有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情,對成百上千臺電腦一臺一臺的進(jìn)行排查簡直就和大海撈針一樣,需要耗費大量的時間和人力。所以很多網(wǎng)管人員面對上級部門發(fā)來的整改函一籌莫展。
因為局域網(wǎng)出口做了NAT網(wǎng)絡(luò)地址轉(zhuǎn)換,上級部門只能檢測到公司的公網(wǎng)IP,所以只能靠公司內(nèi)部的網(wǎng)管人員來排查具體的終端了。最笨的辦法就是一臺電腦一臺電腦的檢查,通過檢查程序列表和任務(wù)管理器來找挖礦程序。
本文中,我將介紹如何用WSG上網(wǎng)行為管理中的“入侵防御”功能來檢查挖礦電腦。因為WSG上網(wǎng)行為管理是部署在局域網(wǎng)內(nèi)部的,所以可以檢測到本地挖礦電腦的IP地址和MAC地址,從而準(zhǔn)確的定位到具體電腦。
網(wǎng)管在做遠(yuǎn)程技術(shù)支持的時候,需要連接到客戶的內(nèi)網(wǎng)或者路由器。對于有公網(wǎng)IP的網(wǎng)絡(luò),可以直接通過公網(wǎng)IP或者動態(tài)域名去訪問。由于現(xiàn)在運營商很多都只給內(nèi)網(wǎng)IP,使得遠(yuǎn)程技術(shù)支持必須要做內(nèi)網(wǎng)穿透才可以。所以很多網(wǎng)管在做網(wǎng)絡(luò)維護(hù)的時候,還需要給用戶安裝FRP或者NPS的內(nèi)網(wǎng)穿透服務(wù),增加了維護(hù)的成本和復(fù)雜性。
在本文中,我將介紹如何通過SD-WAN的方式來給客戶提供遠(yuǎn)程網(wǎng)管服務(wù)。SD-WAN和其他方式相比,可以自動尋址穿透,無需公網(wǎng)IP,也無需云主機(jī)轉(zhuǎn)發(fā)。具體步驟如下:
相對于傳統(tǒng)方案而言,SD-WAN有著無可比擬的優(yōu)勢,很多局域網(wǎng)都采用了SD-WAN的智能組網(wǎng)和遠(yuǎn)程辦公方案。SD-WAN的網(wǎng)絡(luò)規(guī)劃主要考慮如下三個方面:
多地虛擬組網(wǎng)
遠(yuǎn)程辦公撥入
網(wǎng)管技術(shù)支持
所以,我們在配置SD-WAN網(wǎng)絡(luò)時候,主要考慮這三個需求就可以。
如圖:
在“如何用SD-WAN實現(xiàn)多地組網(wǎng)?”一文中,我們介紹了如何用SD-WAN來實現(xiàn)多地組網(wǎng)。實際上SD-WAN不僅可以用于多地組網(wǎng),而且可以用于遠(yuǎn)程辦公撥入。
和傳統(tǒng)的遠(yuǎn)程辦公方案相比,SD-WAN有如下優(yōu)勢:
自動尋址,無需公網(wǎng)IP。
點對點加密傳輸,無需通過服務(wù)器轉(zhuǎn)發(fā),傳輸安全性高。
多平臺支持。有windows,安卓客戶端。
本文中,我將介紹如何用SD-WAN實現(xiàn)遠(yuǎn)程辦公撥入。
SD-WAN不需要固定公網(wǎng)IP也可以實現(xiàn)遠(yuǎn)程辦公撥入。如下圖,該局域網(wǎng)通過一臺WSG網(wǎng)關(guān)連接外網(wǎng),內(nèi)網(wǎng)網(wǎng)段是192.168.10.0/24。
SD-WAN即軟件定義廣域網(wǎng),可以實現(xiàn)異地智能組網(wǎng),遠(yuǎn)程辦公撥入。和傳統(tǒng)的VPN相比,SD-WAN有如下優(yōu)勢:
自動尋址,無需公網(wǎng)IP。
點對點加密傳輸,無需通過服務(wù)器轉(zhuǎn)發(fā),傳輸安全性高。
多平臺支持。有windows,安卓客戶端。
既能實現(xiàn)多地異地組網(wǎng),又可以實現(xiàn)遠(yuǎn)程辦公撥入。
本文中,我將介紹如何用WSG自帶的SD-WAN來實現(xiàn)多地異地虛擬組網(wǎng)。
現(xiàn)在的視頻資源非常多,抖音、愛奇藝、騰訊視頻、優(yōu)酷......可以說是數(shù)不勝數(shù)。而對于公司局域網(wǎng)來說,手機(jī)刷視頻不但嚴(yán)重影響工作效率,而且是一個非常耗費網(wǎng)絡(luò)帶寬的一個行為。
本文中,我將以WSG上網(wǎng)行為管理為例,介紹如何在公司局域網(wǎng)內(nèi)禁止手機(jī)刷抖音等視頻。
局域網(wǎng)內(nèi)如果有電腦感染了木馬病毒,是一件讓人很頭疼的事情。對成百上千臺電腦一臺一臺的進(jìn)行查殺,簡直就和大海撈針一樣,需要耗費大量的時間和人力。所以很多網(wǎng)管人員面對上級部門發(fā)來的整改函一籌莫展,大部分情況下最終只能一臺一臺的殺毒整理。
從技術(shù)原理上來說,上級部門是在網(wǎng)絡(luò)上層部署了入侵檢測系統(tǒng),對網(wǎng)絡(luò)流量進(jìn)行分析,從中識別出木馬病毒的特征;由于出口處做了網(wǎng)絡(luò)地址轉(zhuǎn)換,上級部門只能檢測到公網(wǎng)IP,而無法知道實際中毒的電腦。所以,你只需要在本地局域網(wǎng)中部署了入侵檢測,就可以檢測到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對電腦進(jìn)行查殺了。
如下圖,在WSG上網(wǎng)行為管理的“安全防護(hù)”-“入侵防御”中,點擊“IPS檢測項”,就可以看到入侵防御的各個選項。
當(dāng)您有多臺WSG設(shè)備時,如果有一個集中可以查看多臺設(shè)備、網(wǎng)絡(luò)狀態(tài)的綜合頁面,是不是很有吸引力?在本文中,我將介紹如何用php調(diào)用WSG的API,來自己DIY一個集中管控平臺。該平臺的源代碼框架如下:
index.htm: 定義頁面結(jié)構(gòu)。
apidemo.php:php腳本,主要是處理API的調(diào)用。
apidemo.js:腳本,主要處理頁面的顯示邏輯。
具體步驟如下:
一些企事業(yè)單位的局域網(wǎng)出于安全需要,必須指定的mac地址才可以聯(lián)網(wǎng)和訪問服務(wù)器資源。在本例中,我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān),來介紹如何通過客戶機(jī)的MAC地址來對客戶端進(jìn)行身份認(rèn)證,只有通過認(rèn)證的客戶端設(shè)備才可以訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)結(jié)構(gòu)圖如下:
作者:笨小驢 | 分類:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計 | 瀏覽:6291 | 評論:0
有些業(yè)務(wù)系統(tǒng)出于安全需要,會限制登錄的IP地址,比如只允許總公司的IP訪問。這種情況下,分公司如果想要訪問該業(yè)務(wù)系統(tǒng),也必須走總公司的寬帶才可以。要實現(xiàn)這個需求,一般有以下解決方案:
1). 方案一:分公司的電腦先撥入總公司的VPN,走總公司線路訪問外網(wǎng)。
2). 方案二:分公司和總公司之間組建site-to-site虛擬局域網(wǎng),分公司電腦通過總部的代理服務(wù)器訪問業(yè)務(wù)系統(tǒng)。
3). 方案三:分公司和總公司之間組建site-to-site虛擬局域網(wǎng),通過在分公司的網(wǎng)關(guān)上指定分流訪問。
方案一需要在每臺電腦上都撥入VPN,配置和維護(hù)都比較麻煩;方案二需要在總部搭建代理服務(wù)器;所以相對來說方案三最為方便快捷。本例中,我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān),介紹如何通過多線均衡和VPN客戶端來實現(xiàn)分公司走總部線路訪問業(yè)務(wù)系統(tǒng)(方案三)。
相對于二層交換機(jī)的網(wǎng)絡(luò)環(huán)境,在三層交換機(jī)環(huán)境下部署上網(wǎng)行為管理的步驟要復(fù)雜一些,差別主要在“靜態(tài)路由”和“MAC地址收集器”,還有上層防火墻的一些安全策略的影響。在本文中,我將結(jié)合一次實際的安裝經(jīng)歷,介紹三層環(huán)境下用網(wǎng)橋模式部署WSG上網(wǎng)行為管理的一些常見問題。
本例中,網(wǎng)關(guān)是華為USG防火墻172.16.200.253,三層交換機(jī)是172.16.200.254,子網(wǎng)掩碼都是255.255.255.0。既然200段IP是足夠的,所以我就直接把管理口設(shè)置在網(wǎng)橋上面,把WSG的IP設(shè)置為172.16.200.252,網(wǎng)關(guān)地址和DNS是防火墻的IP地址172.16.200.253。
WFilter NGF上網(wǎng)行為管理系統(tǒng)支持“Logo修改器”擴(kuò)展插件,可以實現(xiàn)如下功能:
自定義產(chǎn)品名
自定義產(chǎn)品Logo圖標(biāo)
自定義網(wǎng)站鏈接
自定義界面皮膚
該“Logo修改器”擴(kuò)展插件的使用界面如下圖:
采用釘釘做上網(wǎng)實名認(rèn)證存在很多優(yōu)勢,比如:
可以直接利用釘釘中現(xiàn)有的組織架構(gòu),不需要另行創(chuàng)建認(rèn)證的賬號。
和短信認(rèn)證相比,不會產(chǎn)生費用。
電腦和手機(jī)都可以支持。
可以自動獲取并記錄釘釘?shù)膯T工姓名。
可以基于釘釘員工姓名配置上網(wǎng)策略和統(tǒng)計。
在“域賬號”中,我們介紹了在server 2003/2008下如何設(shè)置adclient登錄注銷腳本。如果您用的是server 2016之后的windows系統(tǒng),配置步驟略有差異。本文將介紹如何在server 2016下配置登錄注銷腳本。具體步驟如下:
右鍵點擊“組策略管理”中域的“組策略對象”下面的“Default Domain Policy”。
很多公司出于工作需要,都會提供遠(yuǎn)程辦公撥入的VPN,供員工在外地可以連接到企業(yè)內(nèi)網(wǎng)處理工作。但是這也帶來一些安全方面的隱患;所以很多情況下,我們需要對外網(wǎng)撥入后的訪問權(quán)限進(jìn)行控制。
在本例中,我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)的openvpn來介紹如何限制外網(wǎng)撥入后的訪問權(quán)限。
網(wǎng)管技術(shù)人員經(jīng)常需要處理網(wǎng)站打不開的問題,而網(wǎng)站打不開可能有很多原因,作為一名合格的網(wǎng)絡(luò)技術(shù)人員,需要可以快速定位問題所在,然后加以解決。
本文中,我將介紹網(wǎng)站打不開的常見原因以及對應(yīng)的解決方法。
網(wǎng)站自身問題
DNS解析問題
線路不通
網(wǎng)絡(luò)安全策略
本文將介紹如何用阿里云的短信服務(wù)來實現(xiàn)WiFi上網(wǎng)實名認(rèn)證。
首先你要申請一個阿里云賬號,因為短信服務(wù)是需要審核的,所以賬號最好要用企業(yè)為主體并且完成實名認(rèn)證。如果是個人賬號,那么申請短信簽名和模板時,流程會復(fù)雜一些。企業(yè)主體完成實名認(rèn)證后,界面是這樣的:
然后在“產(chǎn)品和服務(wù)”中選擇“短信服務(wù)”,并且購買適合的套餐。
在局域網(wǎng)內(nèi)部署WSG上網(wǎng)行為管理后,可以對全網(wǎng)的上網(wǎng)行為進(jìn)行分析、記錄和統(tǒng)計。除了內(nèi)置的一系列報表外,你還可以利用WSG的自定義報表功能,來實現(xiàn)更強大的統(tǒng)計功能。在本文中,我將介紹如何用WSG的統(tǒng)計報表,來對員工找工作的行為進(jìn)行分析告警,從而使公司領(lǐng)導(dǎo)了解員工的工作心態(tài),減少公司損失。
如下圖,選擇“網(wǎng)頁統(tǒng)計”-“網(wǎng)頁瀏覽次數(shù)統(tǒng)計”,勾選“保存該報表”,點擊保存后,再點擊“設(shè)置”。
采用企業(yè)微信做上網(wǎng)實名認(rèn)證存在很多優(yōu)勢,比如:
可以直接利用企業(yè)微信中現(xiàn)有的組織架構(gòu),不需要另行創(chuàng)建認(rèn)證的賬號。
和短信認(rèn)證相比,不會產(chǎn)生費用。
電腦和手機(jī)都可以支持。
可以自動獲取并記錄企業(yè)微信的員工姓名。
可以基于企業(yè)微信員工姓名配置上網(wǎng)策略和統(tǒng)計。
