挖礦軟件會占用電腦的大量運算資源和電力資源，而且會引起主管部門的關(guān)注。局域網(wǎng)內(nèi)有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情，對成百上千臺電腦一臺一臺的進(jìn)行排查簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網(wǎng)管人員面對上級部門發(fā)來的整改函一籌莫展。

因為局域網(wǎng)出口做了NAT網(wǎng)絡(luò)地址轉(zhuǎn)換，上級部門只能檢測到公司的公網(wǎng)IP，所以只能靠公司內(nèi)部的網(wǎng)管人員來排查具體的終端了。最笨的辦法就是一臺電腦一臺電腦的檢查，通過檢查程序列表和任務(wù)管理器來找挖礦程序。

本文中，我將介紹如何用WSG上網(wǎng)行為管理中的“入侵防御”功能來檢查挖礦電腦。因為WSG上網(wǎng)行為管理是部署在局域網(wǎng)內(nèi)部的，所以可以檢測到本地挖礦電腦的IP地址和MAC地址，從而準(zhǔn)確的定位到具體電腦。

網(wǎng)管在做遠(yuǎn)程技術(shù)支持的時候，需要連接到客戶的內(nèi)網(wǎng)或者路由器。對于有公網(wǎng)IP的網(wǎng)絡(luò)，可以直接通過公網(wǎng)IP或者動態(tài)域名去訪問。由于現(xiàn)在運營商很多都只給內(nèi)網(wǎng)IP，使得遠(yuǎn)程技術(shù)支持必須要做內(nèi)網(wǎng)穿透才可以。所以很多網(wǎng)管在做網(wǎng)絡(luò)維護(hù)的時候，還需要給用戶安裝FRP或者NPS的內(nèi)網(wǎng)穿透服務(wù)，增加了維護(hù)的成本和復(fù)雜性。

在本文中，我將介紹如何通過SD-WAN的方式來給客戶提供遠(yuǎn)程網(wǎng)管服務(wù)。SD-WAN和其他方式相比，可以自動尋址穿透，無需公網(wǎng)IP，也無需云主機轉(zhuǎn)發(fā)。具體步驟如下：

相對于傳統(tǒng)方案而言，SD-WAN有著無可比擬的優(yōu)勢，很多局域網(wǎng)都采用了SD-WAN的智能組網(wǎng)和遠(yuǎn)程辦公方案。SD-WAN的網(wǎng)絡(luò)規(guī)劃主要考慮如下三個方面：

• 多地虛擬組網(wǎng)

• 遠(yuǎn)程辦公撥入

• 網(wǎng)管技術(shù)支持

所以，我們在配置SD-WAN網(wǎng)絡(luò)時候，主要考慮這三個需求就可以。

如圖：

在“如何用SD-WAN實現(xiàn)多地組網(wǎng)？”一文中，我們介紹了如何用SD-WAN來實現(xiàn)多地組網(wǎng)。實際上SD-WAN不僅可以用于多地組網(wǎng)，而且可以用于遠(yuǎn)程辦公撥入。

和傳統(tǒng)的遠(yuǎn)程辦公方案相比，SD-WAN有如下優(yōu)勢：

• 自動尋址，無需公網(wǎng)IP。

• 點對點加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

本文中，我將介紹如何用SD-WAN實現(xiàn)遠(yuǎn)程辦公撥入。

1. 網(wǎng)絡(luò)拓?fù)鋱D

SD-WAN不需要固定公網(wǎng)IP也可以實現(xiàn)遠(yuǎn)程辦公撥入。如下圖，該局域網(wǎng)通過一臺WSG網(wǎng)關(guān)連接外網(wǎng)，內(nèi)網(wǎng)網(wǎng)段是192.168.10.0/24。

SD-WAN即軟件定義廣域網(wǎng)，可以實現(xiàn)異地智能組網(wǎng)，遠(yuǎn)程辦公撥入。和傳統(tǒng)的VPN相比，SD-WAN有如下優(yōu)勢：

• 自動尋址，無需公網(wǎng)IP。

• 點對點加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

• 既能實現(xiàn)多地異地組網(wǎng)，又可以實現(xiàn)遠(yuǎn)程辦公撥入。

本文中，我將介紹如何用WSG自帶的SD-WAN來實現(xiàn)多地異地虛擬組網(wǎng)。

現(xiàn)在的視頻資源非常多，抖音、愛奇藝、騰訊視頻、優(yōu)酷......可以說是數(shù)不勝數(shù)。而對于公司局域網(wǎng)來說，手機刷視頻不但嚴(yán)重影響工作效率，而且是一個非常耗費網(wǎng)絡(luò)帶寬的一個行為。

本文中，我將以WSG上網(wǎng)行為管理為例，介紹如何在公司局域網(wǎng)內(nèi)禁止手機刷抖音等視頻。

局域網(wǎng)內(nèi)如果有電腦感染了木馬病毒，是一件讓人很頭疼的事情。對成百上千臺電腦一臺一臺的進(jìn)行查殺，簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網(wǎng)管人員面對上級部門發(fā)來的整改函一籌莫展，大部分情況下最終只能一臺一臺的殺毒整理。

從技術(shù)原理上來說，上級部門是在網(wǎng)絡(luò)上層部署了入侵檢測系統(tǒng)，對網(wǎng)絡(luò)流量進(jìn)行分析，從中識別出木馬病毒的特征；由于出口處做了網(wǎng)絡(luò)地址轉(zhuǎn)換，上級部門只能檢測到公網(wǎng)IP，而無法知道實際中毒的電腦。所以，你只需要在本地局域網(wǎng)中部署了入侵檢測，就可以檢測到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對電腦進(jìn)行查殺了。

如下圖，在WSG上網(wǎng)行為管理的“安全防護(hù)”-“入侵防御”中，點擊“IPS檢測項”，就可以看到入侵防御的各個選項。