笨驢技術(IMFirewall)博客

企業網絡信息安全問題日益突出，為了加強企業內部的網絡安全建設，網絡管理技術人員應當從如下幾個方面來設計網絡安全解決方案：

1. 合理的制度和管理

首先需要有完善的網絡安全管理制度，根據企業的實際工作需要制定符合公司實際情況的管理制度和措施來保證網絡的正常運行和網絡的安全運行，并且配備專業的技術人員負責管理維護內網的計算機和網絡設備。

越來越多的企事業單位開始重視信息安全，企業的技術資料、客戶信息等一旦發生信息泄露，會給企業帶來不可估計的損失。即使是網絡環境比較簡單的中小企業，也一樣會受到網絡安全的威脅。如果不注重網絡安全，往往會導致企業的重大損失。本文中，我將從網絡安全的角度，來論述如何保障公司內網的網絡信息安全。主要涉及到如下四點：

1. 合理的網絡架構
   

2. 了解內網的終端
   

3. 管控到外網的訪問

4. 管控來自外網的訪問
   

為了保障網絡安全，提高員工工作效率，企業有必要部署上網行為管理。上網行為管理可對企業內部員工的上網行為進行全方位有效管理，保護Web訪問安全，降低互聯網使用風險，避免機密信息泄露，提升工作效率，限制下載和視頻P等嚴重消耗帶寬的應用，保障企業核心業務帶寬。

根據《中華人民共和國網絡安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計算機信息網絡國際聯網安全保護管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯網安全保護技術措施規定》(第七條、第八條、第十一條)等相關法律規定：

1. 提供WiFi上網服務的公共場所，必須落實上網實名認證。

2. 提供上網服務的公共場所，必須至少保存六十天的上網記錄備份。

短信實名認證是目前最穩定、最普遍的實名認證方案。對于絕大部分WiFi網絡而言，只需要在網絡出口處部署一臺WSG上網行為管理設備，就可以同時實現短信認證和上網記錄的功能，滿足網絡安全法的安全要求。WSG上網行為管理的WiFi短信認證方案，具備如下優勢：

1. 一臺設備就可以滿足認證+審計+安全的功能需求。
   

2. 對內網的網絡設備沒有要求，不需要更改現有的無線方案。

3. 透明部署、即插即用。

網絡拓撲圖如下：

局域網內電腦中了木馬病毒，會有帶來下述壞處：

1. 感染內網其他電腦。

2. 大量攻擊數據的存在，使得網絡緩慢，被攻擊的電腦運行緩慢。

發現內網電腦中毒后，一般都會采取重新安裝系統，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進行病毒查殺。有些殺毒軟件或者防火墻可以檢測到內網的攻擊源，本文中，我將介紹如何用WSG上網行為管理的“木馬檢測”功能來進行檢測。WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，如下圖：

WSG的應用特征庫已經包含了“QQ小程序”和“微信小程序”這兩個應用特征，只要把對應的應用設置成“禁止”即可屏蔽所有的小程序。但是在實際使用過程中，有些用戶只想屏蔽游戲類的小程序，同時允許其他的小程序功能。本文，我將結合管唄上網行為管理，來演示如何實現該需求。

方案一：直接屏蔽“QQ小程序”和“微信小程序”

在“上網策略”的“APP”中，搜索小程序，把QQ小程序和微信小程序設置成“禁止”。這樣的效果是直接把所有的小程序都禁用掉。如下圖：

WFilter的擴展插件系統有一系列實用的擴展插件。本文中，我將介紹插件中的“遠程喚醒”功能，該功能可以給指定的電腦發送WOL（Wake on LAN）數據包，從而實現遠程喚醒和遠程開機。

具體步驟如下：

1. 搜索IP或者MAC地址

輸入IP地址、MAC地址、機器名備注等信息，可以查詢出終端列表。如下圖：

在“WSG撥號上網如何配置IPv6地址？”一文中，我們介紹了如何在撥號上網的情況下開啟IPv6，如文中所述撥號上網時IPv6地址主要都是通過自動獲取來實現的。對于靜態固定IPv6地址來說，配置方式就不一樣了。你需要合理的劃分自己的網段。

IPv6不僅能解決網絡地址資源數量的問題，而且也解決了多種接入設備連入互聯網的障礙。本文中，我將介紹WSG上網行為管理在撥號上網時如何啟用和配置IPv6地址。

1. 首先在外網口開啟IPv6

配置外網口時，需要在外網口啟用IPv6。

在防火墻、上網行為管理如何實現雙機熱備一文中，我們介紹了如何用兩條外線來實現網絡雙機熱備。在有些情況下，一些用戶還需要對同一條線路做雙機熱備。準確的說，外線只有一條，但是要確保防火墻/上網行為管理設備是可以實現熱備的。這種情況下，和防火墻、上網行為管理如何實現雙機熱備一文不同的是，我們需要同時在“內網口”和“外網口”上都開啟虛擬IP。這樣的效果就是：內網口和外網口都工作虛擬IP上，一旦主設備故障，可以迅速切換到備份設備上去。

多條外線時，我們一般都會配置線路負載均衡或者線路分流。線路均衡負載的配置，請參考：同運營商多條外線如何做負載均衡？ 有時候用戶只希望單純的實現一個線路備份的功能，意思就是正常只用一條外線，另外一條外線只在主線路故障時才啟用。本文我就來介紹一下如何用WSG網關來實現兩條線路自動主備切換。

笨驢SD-WAN盒子可以非常方便的實現多地組網，無需修改現有網絡結構，無需替換現有的網絡設備，只要在兩地通過旁路方式分別接一臺SDWAN盒子即可組建虛擬局域網。網絡結構如下圖：

本文將介紹笨驢SD-WAN盒子的首次安裝步驟。

1. 接線方式

如圖所示，SD-WAN盒子這款硬件有如下配置：

• 一個以太網網口，默認自動獲取IP。

• 自帶wifi（SID: wfilter-sdwan，無線網段是192.168.120.0/24）

隨著疫情反反復復，主動或被動采取遠程辦公的公司越來越多。企業網絡除了滿足日常的局域網組網，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業內網。傳統的做法一般需要企業申請帶固定IP的企業專線，通過該固定IP提供遠程撥入服務。而由于專線方案價格高，很多企業承受不了。在本文中，我將介紹沒有公網IP時如何通過SD-WAN的方案來實現遠程辦公撥入。網絡結構圖如下：

為了保障網絡的100%暢通，有些情況下需要用兩臺WSG設備來實現雙機熱備，一旦主服務器故障，幾秒鐘網絡就會切換到備份機上，從而實現保證流量業務不中斷，主備機無縫切換。在本文中，我將介紹如何用兩臺WSG上網行為管理來實現雙機熱備。