上級部門通知局域網(wǎng)內(nèi)存在僵尸木馬要求網(wǎng)絡(luò)進(jìn)行整改，作為網(wǎng)管人員需要怎樣去處置解決這個問題呢？首先，上級部門只能檢測到局域網(wǎng)總出口的IP地址，并不能識別終端的IP地址。當(dāng)網(wǎng)內(nèi)的終端數(shù)量比較多時，每臺電腦做病毒查殺的工作量太大了，網(wǎng)管人員會很頭疼這個問題。

比較合理的方案是在局域網(wǎng)內(nèi)部署一臺入侵檢測系統(tǒng)，通過對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析檢測，從而發(fā)現(xiàn)問題主機(jī)。在本文中，我將以“WSG上網(wǎng)行為管理”為例，來介紹如何進(jìn)行內(nèi)網(wǎng)的木馬檢測。

WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測”這兩個安全防護(hù)模塊，這兩個模塊的檢測原理都是入侵檢測snort。如下圖：

WSG上網(wǎng)行為管理的“IP-MAC綁定”功能非常強(qiáng)大，可以實(shí)現(xiàn)IP-MAC綁定、ARP綁定、分配靜態(tài)IP等功能。但是配置IP-MAC綁定需要預(yù)先收集mac地址并且分配IP，還是有一定的工作量的。在本文中，我將介紹基于用戶認(rèn)證的IP-MAC綁定功能，其實(shí)現(xiàn)原理是：“用戶一旦認(rèn)證成功就會自動配置IP-MAC綁定”，這樣不但實(shí)現(xiàn)了用戶認(rèn)證，而且固定了IP和mac地址；可以說是IP-MAC綁定的一個有效功能補(bǔ)充。具體的步驟如下：

當(dāng)你有多臺WSG時，你可能會想把上網(wǎng)日志和統(tǒng)計數(shù)據(jù)集中保存和管理。集中保存可以保存更長日期的歷史數(shù)據(jù)，也更加便于管理。本文中，我將介紹如何搭建WSG數(shù)據(jù)中心管理系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)的集中存儲管理。

1. WSG數(shù)據(jù)中心的搭建

WSG數(shù)據(jù)中心安裝在一臺windows電腦上，該系統(tǒng)的搭建需要安裝以下產(chǎn)品：

1. SQL Server數(shù)據(jù)庫，所有的日志數(shù)據(jù)都會被導(dǎo)入到SQL Server數(shù)據(jù)庫中。

2. FTP服務(wù)器，用于提供FTP上傳服務(wù)。

3. WFilterDC（WFilter數(shù)據(jù)中心管理系統(tǒng)），該系統(tǒng)可以導(dǎo)入數(shù)據(jù)并且提供查詢和統(tǒng)計等功能。