笨驢技術(IMFirewall)博客

為了保障網絡安全，提高員工工作效率，企業有必要部署上網行為管理。上網行為管理可對企業內部員工的上網行為進行全方位有效管理，保護Web訪問安全，降低互聯網使用風險，避免機密信息泄露，提升工作效率，限制下載和視頻P等嚴重消耗帶寬的應用，保障企業核心業務帶寬。

利用WSG的用戶認證和行為管理策略，可以對域用戶、非域用戶配置不同的上網策略。比如，你可以默認禁止所有的終端上網，當電腦加入域后，則可以根據賬號、OU等放行具體的訪問內容。本文中，我將介紹如何開啟域認證，并且屏蔽非域用戶上網。

該視頻簡要介紹了WSG上網行為管理的各項功能。

在局域網內部署WSG上網行為管理后，可以對全網的上網行為進行分析、記錄和統計。除了內置的一系列報表外，你還可以利用WSG的自定義報表功能，來實現更強大的統計功能。在本文中，我將介紹如何用WSG的統計報表，來對員工找工作的行為進行分析告警，從而使公司領導了解員工的工作心態，減少公司損失。

1. 首先，創建一個自定義報表。

如下圖，選擇“網頁統計”-“網頁瀏覽次數統計”，勾選“保存該報表”，點擊保存后，再點擊“設置”。

很多情況下，局域網內部的一些終端，比如領導電腦、移動pos機、內網服務器等，需要不加限制的訪問外網（即不受到任何上網行為策略的管控）。在WFilter NGF（WSG上網行為管理）中，我們主要通過“例外設置”來實現。本例中，我將介紹如何用例外設置來實現終端白名單的功能。

不加管控的局域網下載，不但會占用大量的帶寬資源，而且下載不明類型的軟件程序等會給局域網來的病毒等危害。在本文中，我將結合WSG上網行為管理網關，來介紹如何屏蔽局域網的下載行為。

下載行為的管控，主要從以下幾個方面來入手：

1. 屏蔽各類下載站的訪問。

2. 屏蔽各類下載工具、P2P下載軟件等。

3. 禁止網盤等文件傳輸。

4. 屏蔽網頁上的文件下載。

釘釘的使用過程中必須連接外網，對于網絡權限設置比較嚴格的局域網來說，如何開放釘釘一直是一個難題。由于釘釘官方已經不再公布服務器的段，所以不能基于IP范圍來做管控。必須要有專業的上網行為管理產品，才可以準確識別出釘釘的流量并且加以管控。

本文，我就來介紹下在WSG上網行為管理網關中如何放行釘釘。釘釘的使用需要通過https訪問釘釘相關的網站，另外還有自己的通訊協議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘這兩個應用協議，并且允許釘釘的相關網站。具體的配置步驟如下：

在部署了上網行為管理的局域網內，總會有人想各種各樣的辦法來突破上網管控。常見的方法有：

1. IP地址盜用。
   

2. MAC地址克隆。

首先可以考慮不開放管理員權限，或者采用域控的方式禁止客戶機自行修改網絡設置等辦法。其次也可以通過上網行為管理的管控策略來阻止這些行為。本文中，我來介紹下如何用WSG上網行為管理網關來應對IP地址盜用和MAC地址克隆。

在三層交換機環境下，由于三層交換機屏蔽了終端的實際mac地址，上層的上網行為管理在不開啟“MAC地址收集器”的情況下，是檢測不到終端的實際mac地址的。這樣也就不能實現mac地址黑白名單的功能。網絡結構如下圖：

我們一般把WSG上網行為管理的使用分為三個步驟：安裝部署、基本配置、策略配置。

1. 安裝部署：把設備安裝到網絡中，使網絡能正常工作。
   

2. 基礎配置：DHCP和VLAN設置、防火墻策略、端口映射、分組設置等基本配置。

3. 策略配置：上網行為的審計策略、過濾策略、查詢和報表等功能和配置。

在本文中，我將介紹WSG網關的安裝部署的具體步驟。用戶拿到設備后，按此步驟即可完成安裝部署工作，并且開通遠程管理訪問。使技術人員可以進行遠程協助配置。

2018俄羅斯世界杯大幕拉開，世界杯期間球迷們將通過各種途徑觀看世界杯?；ヂ摼W作為世界杯的主要承載媒體，也使得我們的網絡感受到了前所未有的壓力。對于各類企事業單位來說，首要保障公司業務所需的帶寬資源，同時也要人性化的滿足世界杯的激情需要。

因此在世界杯期間，無論是門戶網站、運營商或是企事業單位，都需要解決帶寬分配和流量管理的問題。既讓客戶和員工可以觀看世界杯，同時又要讓企業的網絡帶寬不被搶占，關鍵應用的質量不受影響。

相對于固定IP而言，自動獲取IP（DHCP）更加方便，而且不會導致IP地址沖突。但是對于局域網網絡管理而言，IP地址不固定就無法實現有效的管控。作為專業的上網行為管理廠家，WFilter系列上網行為管理產品針對該情況可以提供兩種解決方案：

1. 先進行IP-mac地址綁定，然后基于IP地址管控。

2. 直接基于MAC地址進行管控。
   

以WFilter NGF（WSG網關）為例，具體配置介紹如下：

全世界的路由，防火墻，網關，VPN服務器，各種服務器的設備可以說都是一樣的構造：軟件系統灌到硬件設備當中去。同時差別又很大：一兩百就可以買到一個小路由，十萬二十萬才能購置一臺重量級服務器。為什么差別這么大？其實就兩樣：硬件配置和軟件系統。幾百的小路由是那種路由芯片，過萬的服務器最低intel X86的芯片。而用什么硬件設備，取決灌什么軟件系統了。

以最普遍的路由器來說，都是基于嵌入式系統裁剪出來的。一些經典的路由系統，比如Routeros，系統很輕巧，運算壓力也不大，簡單的芯片就可以承載。而防火墻系統、上網行為管理系統，還需要在LINUX的基礎上，做大量的開發。所以對硬件需求，一定要有個強勁的CPU，以及大容量的硬盤和內存才足夠。普遍都用工控機來實現。

就上網行為管理設備來說，首先WSG上網行為管理網關，系統基于LINUX獨立系統，支持海量協議庫和網址庫。這點就決定了硬件的配置級別一定不是路由芯片可以滿足的。

之前有用戶反映過一個挺困擾的問題：就是騰訊的QQ經常會自動下載QQ電腦管家和QQ瀏覽器，占用大量的帶寬資源，而且給PC機的管理帶來麻煩。如圖，你只要點擊“一鍵領取”，就會自動下載并安裝騰訊的相關軟件。

本文中，我將介紹如何用WFilter ICF來禁止這些軟件的自動下載安裝。