隨著疫情反反復(fù)復(fù)，主動或被動采取遠程辦公的公司越來越多。企業(yè)網(wǎng)絡(luò)除了滿足日常的局域網(wǎng)組網(wǎng)，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業(yè)內(nèi)網(wǎng)。傳統(tǒng)的做法一般需要企業(yè)申請帶固定IP的企業(yè)專線，通過該固定IP提供遠程撥入服務(wù)。而由于專線方案價格高，很多企業(yè)承受不了。在本文中，我將介紹沒有公網(wǎng)IP時如何通過SD-WAN的方案來實現(xiàn)遠程辦公撥入。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

為了保障網(wǎng)絡(luò)的100%暢通，有些情況下需要用兩臺WSG設(shè)備來實現(xiàn)雙機熱備，一旦主服務(wù)器故障，幾秒鐘網(wǎng)絡(luò)就會切換到備份機上，從而實現(xiàn)保證流量業(yè)務(wù)不中斷，主備機無縫切換。在本文中，我將介紹如何用兩臺WSG上網(wǎng)行為管理來實現(xiàn)雙機熱備。

利用WSG的用戶認證和行為管理策略，可以對域用戶、非域用戶配置不同的上網(wǎng)策略。比如，你可以默認禁止所有的終端上網(wǎng)，當(dāng)電腦加入域后，則可以根據(jù)賬號、OU等放行具體的訪問內(nèi)容。本文中，我將介紹如何開啟域認證，并且屏蔽非域用戶上網(wǎng)。

主管部門發(fā)出的安全風(fēng)險報告，一般只能定位到局域網(wǎng)的公網(wǎng)IP。網(wǎng)管技術(shù)人員要處理解決該安全事件，還需要定位到具體的終端電腦。這個定位工作非常考驗網(wǎng)管的技術(shù)，沒有對應(yīng)的技術(shù)儲備，加上沒有合適的工具的話，你就只能一臺電腦一臺電腦的殺毒了。

在如何檢測局域網(wǎng)內(nèi)感染了木馬病毒的電腦？一文中，我們介紹了如何通過WSG上網(wǎng)行為管理網(wǎng)關(guān)的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說，開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進行查毒殺毒就可以了。有些情況下，由于特征庫版本不一致，或者檢測技術(shù)不一樣，也可能存在并沒有檢測到的情況。這時候，我們還可以通過自定義規(guī)則的方式，來擴大檢測的內(nèi)容。在本文中，我將介紹如何自定義檢測規(guī)則。

傳統(tǒng)的異地組網(wǎng)方式要求企業(yè)有帶固定公網(wǎng)IP的專線才可以實現(xiàn)；由于IPv4資源的短缺，運營商專線價格高企，大部分企業(yè)無法承擔(dān)高額的專線費用。為解決此問題，各大網(wǎng)絡(luò)廠商各顯神通，研發(fā)出了一系列的解決方案。本文中，我將介紹如何利用“SD-WAN技術(shù)”來實現(xiàn)沒有公網(wǎng)IP時的異地組網(wǎng)互聯(lián)。和傳統(tǒng)的VPN相比，SD-WAN有如下優(yōu)勢：

• 自動尋址，無需公網(wǎng)IP。

• 點對點加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

• 既能實現(xiàn)多地組網(wǎng)，又可以實現(xiàn)遠程辦公撥入。

隨著互聯(lián)網(wǎng)、數(shù)字化的迅速發(fā)展，遠程辦公、移動辦公、居家辦公已經(jīng)是企業(yè)必備的網(wǎng)絡(luò)服務(wù)。企業(yè)網(wǎng)絡(luò)除了滿足日常的局域網(wǎng)組網(wǎng)，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業(yè)內(nèi)網(wǎng)。傳統(tǒng)的做法，一般有如下兩種：

1). 企業(yè)申請帶固定IP的企業(yè)專線，通過該固定IP提供遠程撥入服務(wù)。

2). 在路由器上綁定動態(tài)域名，通過動態(tài)域名來訪問。

近年以來，由于IPv4資源的短缺，運營商改為只分配內(nèi)網(wǎng)的IPv4地址，導(dǎo)致動態(tài)域名這個方案已經(jīng)不可行了。而專線方案價格高企，很多企業(yè)承受不了。

在如何利用Web VPN來保護內(nèi)網(wǎng)信息安全一文中，我們介紹了如何用WebVPN來訪問內(nèi)網(wǎng)的Web服務(wù)器。WebVPN可以給內(nèi)網(wǎng)服務(wù)器添加一層認證保護，只有認證過的用戶才可以訪問內(nèi)網(wǎng)資源，從而有效的保護了內(nèi)網(wǎng)數(shù)據(jù)的安全性。對于Web服務(wù)器來說，WebVPN是通過子域名的方式，每個web服務(wù)都需要對應(yīng)一個不同的二級域名。在WFilter NGF的2.0版本中，我們給WebVPN添加了轉(zhuǎn)發(fā)到“TCP服務(wù)器”的功能，使WebVPN用戶可以在認證后訪問到指定的TCP服務(wù)器。以下是Web方式和TCP方式的差別和優(yōu)缺點分析：

Web方式

1. 只能轉(zhuǎn)發(fā)到指定的Web服務(wù)器。

2. 每個Web服務(wù)器都必須對應(yīng)一個二級子域名。

3. 可以對Web站點的內(nèi)容進行替換。

TCP方式

1. 可以轉(zhuǎn)發(fā)到任意的TCP服務(wù)。比如內(nèi)網(wǎng)的ssh，rdp等，也包括web服務(wù)。

2. 每個TCP服務(wù)必須對應(yīng)一個本地端口。

3. 外網(wǎng)用戶必須經(jīng)過認證才可以訪問TCP端口。

4. 不能對內(nèi)容進行修改。

鏈路聚合和端口聚合是兩個概念：

1). 鏈路聚合是指多條外線的情況下把多條外線聚合使用。該功能可以通過WSG的“多線均衡”模塊來實現(xiàn)。

2). 端口聚合是指在WSG上接多個內(nèi)網(wǎng)交換機端口，從而提升內(nèi)網(wǎng)的上聯(lián)帶寬。

挖礦軟件會占用電腦的大量運算資源和電力資源，而且會引起主管部門的關(guān)注。局域網(wǎng)內(nèi)有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情，對成百上千臺電腦一臺一臺的進行排查簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網(wǎng)管人員面對上級部門發(fā)來的整改函一籌莫展。

因為局域網(wǎng)出口做了NAT網(wǎng)絡(luò)地址轉(zhuǎn)換，上級部門只能檢測到公司的公網(wǎng)IP，所以只能靠公司內(nèi)部的網(wǎng)管人員來排查具體的終端了。最笨的辦法就是一臺電腦一臺電腦的檢查，通過檢查程序列表和任務(wù)管理器來找挖礦程序。

本文中，我將介紹如何用WSG上網(wǎng)行為管理中的“入侵防御”功能來檢查挖礦電腦。因為WSG上網(wǎng)行為管理是部署在局域網(wǎng)內(nèi)部的，所以可以檢測到本地挖礦電腦的IP地址和MAC地址，從而準確的定位到具體電腦。

網(wǎng)管在做遠程技術(shù)支持的時候，需要連接到客戶的內(nèi)網(wǎng)或者路由器。對于有公網(wǎng)IP的網(wǎng)絡(luò)，可以直接通過公網(wǎng)IP或者動態(tài)域名去訪問。由于現(xiàn)在運營商很多都只給內(nèi)網(wǎng)IP，使得遠程技術(shù)支持必須要做內(nèi)網(wǎng)穿透才可以。所以很多網(wǎng)管在做網(wǎng)絡(luò)維護的時候，還需要給用戶安裝FRP或者NPS的內(nèi)網(wǎng)穿透服務(wù)，增加了維護的成本和復(fù)雜性。

在本文中，我將介紹如何通過SD-WAN的方式來給客戶提供遠程網(wǎng)管服務(wù)。SD-WAN和其他方式相比，可以自動尋址穿透，無需公網(wǎng)IP，也無需云主機轉(zhuǎn)發(fā)。具體步驟如下：

相對于傳統(tǒng)方案而言，SD-WAN有著無可比擬的優(yōu)勢，很多局域網(wǎng)都采用了SD-WAN的智能組網(wǎng)和遠程辦公方案。SD-WAN的網(wǎng)絡(luò)規(guī)劃主要考慮如下三個方面：

• 多地虛擬組網(wǎng)

• 遠程辦公撥入

• 網(wǎng)管技術(shù)支持

所以，我們在配置SD-WAN網(wǎng)絡(luò)時候，主要考慮這三個需求就可以。

如圖：

在“如何用SD-WAN實現(xiàn)多地組網(wǎng)？”一文中，我們介紹了如何用SD-WAN來實現(xiàn)多地組網(wǎng)。實際上SD-WAN不僅可以用于多地組網(wǎng)，而且可以用于遠程辦公撥入。

和傳統(tǒng)的遠程辦公方案相比，SD-WAN有如下優(yōu)勢：

• 自動尋址，無需公網(wǎng)IP。

• 點對點加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

本文中，我將介紹如何用SD-WAN實現(xiàn)遠程辦公撥入。

1. 網(wǎng)絡(luò)拓撲圖

SD-WAN不需要固定公網(wǎng)IP也可以實現(xiàn)遠程辦公撥入。如下圖，該局域網(wǎng)通過一臺WSG網(wǎng)關(guān)連接外網(wǎng)，內(nèi)網(wǎng)網(wǎng)段是192.168.10.0/24。

SD-WAN即軟件定義廣域網(wǎng)，可以實現(xiàn)異地智能組網(wǎng)，遠程辦公撥入。和傳統(tǒng)的VPN相比，SD-WAN有如下優(yōu)勢：

• 自動尋址，無需公網(wǎng)IP。

• 點對點加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

• 既能實現(xiàn)多地異地組網(wǎng)，又可以實現(xiàn)遠程辦公撥入。

本文中，我將介紹如何用WSG自帶的SD-WAN來實現(xiàn)多地異地虛擬組網(wǎng)。

現(xiàn)在的視頻資源非常多，抖音、愛奇藝、騰訊視頻、優(yōu)酷......可以說是數(shù)不勝數(shù)。而對于公司局域網(wǎng)來說，手機刷視頻不但嚴重影響工作效率，而且是一個非常耗費網(wǎng)絡(luò)帶寬的一個行為。

本文中，我將以WSG上網(wǎng)行為管理為例，介紹如何在公司局域網(wǎng)內(nèi)禁止手機刷抖音等視頻。

局域網(wǎng)內(nèi)如果有電腦感染了木馬病毒，是一件讓人很頭疼的事情。對成百上千臺電腦一臺一臺的進行查殺，簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網(wǎng)管人員面對上級部門發(fā)來的整改函一籌莫展，大部分情況下最終只能一臺一臺的殺毒整理。

從技術(shù)原理上來說，上級部門是在網(wǎng)絡(luò)上層部署了入侵檢測系統(tǒng)，對網(wǎng)絡(luò)流量進行分析，從中識別出木馬病毒的特征；由于出口處做了網(wǎng)絡(luò)地址轉(zhuǎn)換，上級部門只能檢測到公網(wǎng)IP，而無法知道實際中毒的電腦。所以，你只需要在本地局域網(wǎng)中部署了入侵檢測，就可以檢測到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對電腦進行查殺了。

如下圖，在WSG上網(wǎng)行為管理的“安全防護”-“入侵防御”中，點擊“IPS檢測項”，就可以看到入侵防御的各個選項。

當(dāng)您有多臺WSG設(shè)備時，如果有一個集中可以查看多臺設(shè)備、網(wǎng)絡(luò)狀態(tài)的綜合頁面，是不是很有吸引力？在本文中，我將介紹如何用php調(diào)用WSG的API，來自己DIY一個集中管控平臺。該平臺的源代碼框架如下：

1. index.htm： 定義頁面結(jié)構(gòu)。

2. apidemo.php：php腳本，主要是處理API的調(diào)用。

3. apidemo.js：腳本，主要處理頁面的顯示邏輯。

具體步驟如下：

一些企事業(yè)單位的局域網(wǎng)出于安全需要，必須指定的mac地址才可以聯(lián)網(wǎng)和訪問服務(wù)器資源。在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來介紹如何通過客戶機的MAC地址來對客戶端進行身份認證，只有通過認證的客戶端設(shè)備才可以訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

作者:笨小驢 | 分類:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計 | 瀏覽:6558 | 評論:0

有些業(yè)務(wù)系統(tǒng)出于安全需要，會限制登錄的IP地址，比如只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業(yè)務(wù)系統(tǒng)，也必須走總公司的寬帶才可以。要實現(xiàn)這個需求，一般有以下解決方案：

1). 方案一：分公司的電腦先撥入總公司的VPN，走總公司線路訪問外網(wǎng)。

2). 方案二：分公司和總公司之間組建site-to-site虛擬局域網(wǎng)，分公司電腦通過總部的代理服務(wù)器訪問業(yè)務(wù)系統(tǒng)。

3). 方案三：分公司和總公司之間組建site-to-site虛擬局域網(wǎng)，通過在分公司的網(wǎng)關(guān)上指定分流訪問。

方案一需要在每臺電腦上都撥入VPN，配置和維護都比較麻煩；方案二需要在總部搭建代理服務(wù)器；所以相對來說方案三最為方便快捷。本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，介紹如何通過多線均衡和VPN客戶端來實現(xiàn)分公司走總部線路訪問業(yè)務(wù)系統(tǒng)（方案三）。

該視頻簡要介紹了WSG上網(wǎng)行為管理的各項功能。

相對于二層交換機的網(wǎng)絡(luò)環(huán)境，在三層交換機環(huán)境下部署上網(wǎng)行為管理的步驟要復(fù)雜一些，差別主要在“靜態(tài)路由”和“MAC地址收集器”，還有上層防火墻的一些安全策略的影響。在本文中，我將結(jié)合一次實際的安裝經(jīng)歷，介紹三層環(huán)境下用網(wǎng)橋模式部署WSG上網(wǎng)行為管理的一些常見問題。

1. 配置并部署網(wǎng)橋

本例中，網(wǎng)關(guān)是華為USG防火墻172.16.200.253，三層交換機是172.16.200.254，子網(wǎng)掩碼都是255.255.255.0。既然200段IP是足夠的，所以我就直接把管理口設(shè)置在網(wǎng)橋上面，把WSG的IP設(shè)置為172.16.200.252，網(wǎng)關(guān)地址和DNS是防火墻的IP地址172.16.200.253。

WFilter NGF上網(wǎng)行為管理系統(tǒng)支持“Logo修改器”擴展插件，可以實現(xiàn)如下功能：

1. 自定義產(chǎn)品名

2. 自定義產(chǎn)品Logo圖標

3. 自定義網(wǎng)站鏈接

4. 自定義界面皮膚

該“Logo修改器”擴展插件的使用界面如下圖：

采用釘釘做上網(wǎng)實名認證存在很多優(yōu)勢，比如：

1. 可以直接利用釘釘中現(xiàn)有的組織架構(gòu)，不需要另行創(chuàng)建認證的賬號。
   

2. 和短信認證相比，不會產(chǎn)生費用。

3. 電腦和手機都可以支持。

4. 可以自動獲取并記錄釘釘?shù)膯T工姓名。

5. 可以基于釘釘員工姓名配置上網(wǎng)策略和統(tǒng)計。

在“域賬號”中，我們介紹了在server 2003/2008下如何設(shè)置adclient登錄注銷腳本。如果您用的是server 2016之后的windows系統(tǒng)，配置步驟略有差異。本文將介紹如何在server 2016下配置登錄注銷腳本。具體步驟如下：

1. 打開組策略編輯器

右鍵點擊“組策略管理”中域的“組策略對象”下面的“Default Domain Policy”。

很多公司出于工作需要，都會提供遠程辦公撥入的VPN，供員工在外地可以連接到企業(yè)內(nèi)網(wǎng)處理工作。但是這也帶來一些安全方面的隱患；所以很多情況下，我們需要對外網(wǎng)撥入后的訪問權(quán)限進行控制。

在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)的openvpn來介紹如何限制外網(wǎng)撥入后的訪問權(quán)限。

網(wǎng)管技術(shù)人員經(jīng)常需要處理網(wǎng)站打不開的問題，而網(wǎng)站打不開可能有很多原因，作為一名合格的網(wǎng)絡(luò)技術(shù)人員，需要可以快速定位問題所在，然后加以解決。

本文中，我將介紹網(wǎng)站打不開的常見原因以及對應(yīng)的解決方法。

1. 網(wǎng)站自身問題

2. DNS解析問題

3. 線路不通

4. 網(wǎng)絡(luò)安全策略