DDOS全稱Distributed Denial of Service，中文叫做“分布式拒絕服務”，就是利用大量合法的分布式服務器對目標發(fā)送請求，從而導致正常合法用戶無法獲得服務。DDOS會耗盡網(wǎng)絡服務的資源，使服務器失去響應，為實施下一步網(wǎng)絡攻擊來做準備。比如用KaLi_Linux的hping3就可以很容易的實現(xiàn)DDOS攻擊。

1. DDOS攻擊的具體步驟

如圖，未受攻擊時，netstat -nat可以查看到只有少量的網(wǎng)絡鏈接。

在本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關結合中國移動的10086云MAS平臺，來實現(xiàn)局域網(wǎng)WiFi實名認證。

1. 首先要在10086云MAS平臺中創(chuàng)建短信接口用戶。

對于三層交換機劃分多個VLAN的局域網(wǎng)來說，要設置IP-MAC綁定可真不容易。在三層交換機上進行IP-MAC綁定，不但配置復雜而且維護工作量很大，所以大部分網(wǎng)管都不會直接在三層交換機上進行綁定。在本文中，我將介紹用WSG上網(wǎng)行為管理，在網(wǎng)橋部署的模式下，如何來實現(xiàn)三層交換機下的IP和MAC綁定。

1. 先看下網(wǎng)絡拓撲圖。

Win10的自動更新非常的頻繁，而且windows的更新很耗帶寬資源。所以，如果網(wǎng)內(nèi)的windows電腦比較多，那么一旦windows發(fā)布了新的更新包，會占用大量的網(wǎng)絡帶寬資源。

當然，windows的更新很多都是安全方面的更新，保持系統(tǒng)更新有助于提高終端的安全，我們并不建議關閉更新。不過，有些網(wǎng)絡為了節(jié)省帶寬資源，需要屏蔽局域網(wǎng)內(nèi)電腦的自動更新。在沒有部署上網(wǎng)行為管理的情況下，你需要在路由器或者網(wǎng)關設備上屏蔽站點“.*(officecdn|mp|updates)\.microsoft\.com“（正則表達式）和".*\.windowsupdate\.com”（正則表達式）。“windows更新”的通訊協(xié)議描述如下圖：

日前，深圳市網(wǎng)絡與信息安全信息通報中心發(fā)出緊急通告，指出目前知名遠程辦公工具TeamViewer已經(jīng)被境外黑客組織APT41攻破，提醒企業(yè)組織做好防護措施。也就是說，APT41已經(jīng)攻破TeamViewer公司的所有防護體，并取得有相關數(shù)據(jù)權限，危險等級非常高。在teamviewer官方提供解決方案和發(fā)布相關補丁之前，我們建議用戶暫停teamviewer軟件的使用，避免造成不必要的損失。

以下是teamviewer通訊方式介紹，以及如何用WSG上網(wǎng)行為管理來禁止teamviewer。

1. teamviewer通訊方式

1. teamviewer在啟動時，首先會連接teamviewer官網(wǎng)（http和https方式都有），來獲取ID和路由信息。如果直接連接不了，teamviewer還會獲取本機的代理配置，嘗試通過代理服務器去連接。
   

2. teamviewer后續(xù)的點對點遠程控制，大部分通過的端口是tcp 5938。也存在其他動態(tài)端口的通訊數(shù)據(jù)。

有些公司為了安全需要，只允許使用微信等指定軟件，同時屏蔽所有的其他網(wǎng)站和軟件。這樣的管理需求，必須要用專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以實現(xiàn)。以我司的WSG上網(wǎng)行為管理為例，只需要兩條行為管理規(guī)則，即可實現(xiàn)該功能。配置的思路是“應用過濾屏蔽所有+例外設置開通部分應用”這兩者結合的方式。下面是具體配置的步驟介紹：

1. 先在應用過濾里面屏蔽所有

如圖，應用過濾添加規(guī)則，禁止所有應用的訪問。

WSG上網(wǎng)行為管理的一些型號，如WSG-500E、WSG-XE都可以支持光口，設備接口如下圖：

本文我將介紹如何來使用WSG上網(wǎng)行為管理的光纖接口。

IOS系統(tǒng)的自動更新非常耗帶寬，每次IOS版本更新動輒好幾個G。每次IOS推出新版本，都是對企業(yè)帶寬資源的一大考驗。

WFilter NGF上網(wǎng)行為管理系統(tǒng)（WSG網(wǎng)關）提供了豐富的系統(tǒng)調(diào)用API接口，具體的API接口請參考：WFilter API接口。在本文中，我將介紹如何用WFilter的API接口來直接訪問統(tǒng)計報表系統(tǒng)。

1. WFilter的統(tǒng)計報表系統(tǒng)

如圖，WFilter中有一系列的內(nèi)置統(tǒng)計報表，您也可以自己定義需要的報表格式。

本文將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關來記錄局域網(wǎng)內(nèi)的郵件收發(fā)內(nèi)容。郵件收發(fā)主要有兩種方式：

1. 客戶端郵件，比如outlook, foxmail，thundbird等客戶端。
   

2. 網(wǎng)頁郵件，國內(nèi)比較普遍的是qq和163的網(wǎng)頁郵件。

“MAC地址認證”通過客戶機的MAC地址來對客戶端進行身份認證，只有通過認證的客戶端設備才可以訪問網(wǎng)絡以及服務器資源。網(wǎng)絡結構圖如下：

WFilter的“SSL監(jiān)控”模塊，可以對https以及SSL加密的smtp/imap/pop3的內(nèi)容進行解密從而記錄其內(nèi)容。該SSL監(jiān)控模塊，既可以對電腦進行管控，而且對手機一樣生效。但是要不影響客戶機的正常使用，首先需要在客戶機上安裝ca證書。電腦上安裝ca證書比較簡單，我們不再贅述。本文中，我將介紹如何在蘋果手機（iphone）上安裝SSL監(jiān)控的ca證書，從而實現(xiàn)對iphone的SSL監(jiān)控。

1. 開啟SSL監(jiān)控

企業(yè)局域網(wǎng)由于網(wǎng)絡環(huán)境復雜；終端數(shù)量、設備數(shù)量都比較多；經(jīng)常會出現(xiàn)網(wǎng)絡卡頓等故障。一旦網(wǎng)絡變慢時，面對復雜的網(wǎng)絡環(huán)境，網(wǎng)管技術人員需要迅速并且準確的診斷出問題所在，并且加以解決。本文中，我將盡量描述網(wǎng)絡變卡變慢的常見原因以及診斷方法。大體來說，網(wǎng)絡卡頓的原因有如下方面：

1. 外網(wǎng)原因：運營商線路故障、帶寬不夠，路由器軟硬件故障等。
   

2. 內(nèi)網(wǎng)原因：內(nèi)網(wǎng)的設備故障、病毒攻擊、網(wǎng)絡設置等原因。

所以在斷網(wǎng)、網(wǎng)絡卡頓時，第一步要判斷問題出在內(nèi)網(wǎng)還是外網(wǎng)，然后再進行后續(xù)的診斷。

無線網(wǎng)絡由于安全性比較低，企事業(yè)單位的無線組網(wǎng)需要考慮如下因素：

1. 有線網(wǎng)段和無線網(wǎng)段互相隔離。
   

2. 辦公無線和訪客無線也需要互相隔離。

3. 每個網(wǎng)段的無線終端建議控制在150以內(nèi)，避免廣播風暴。
   

4. 員工內(nèi)網(wǎng)要做接入認證或者設備綁定。

5. 對訪客進行實名認證（可選）

一般采用這樣的網(wǎng)絡結構圖：

WSG上網(wǎng)行為管理做透明網(wǎng)橋部署有很多優(yōu)勢：

1. 即插即用，不影響現(xiàn)有網(wǎng)絡。
   

2. 不需要修改原有設備的配置（交換機、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使機器斷電死機也不會斷網(wǎng)。

由于政策要求和網(wǎng)絡安全的需要，現(xiàn)在絕大部分的酒店無線WiFi都要求實名認證。只有實名認證過的設備才允許連接酒店的WiFi網(wǎng)絡，并且記錄和留存該終端的上網(wǎng)內(nèi)容。

一般來說實名認證都采用短信認證的方式，由于手機號是已經(jīng)經(jīng)過實名認證的，記錄手機號就等于是實現(xiàn)了實名認證上網(wǎng)。網(wǎng)絡結構可以采用如下的部署方式，用一臺WSG上網(wǎng)行為管理做主路由（也可以做透明網(wǎng)橋部署）。

WFilter上網(wǎng)行為管理，包括WFilter ICF和WFilter NGF（WSG網(wǎng)關），都可以對http和https的站點進行網(wǎng)站黑白名單控制。如圖：

作者:笨小驢 | 分類:網(wǎng)頁過濾方案 | 瀏覽:9185 | 評論:0

不管是企業(yè)內(nèi)網(wǎng)的私有WiFi，還是公共WiFi網(wǎng)絡；出于安全性需要以及相關政策法規(guī)的要求，都要對WiFi無線上網(wǎng)的用戶進行實名認證。本文中，我將結合WSG上網(wǎng)行為管理網(wǎng)關介紹如何實現(xiàn)無線WiFi的實名認證。

1. 微信連WiFi

騰訊從2014年推出的微信WiFi服務，可以用微信掃碼進行認證，從而記錄微信的openid。不過由于apple公司的接口調(diào)整，微信WiFi已經(jīng)暫停服務。所以通過微信來進行實名認證已經(jīng)不可行了。

二級路由器默認都啟用了網(wǎng)絡地址轉換，會把客戶機的IP地址和mac地址都轉換成路由器的IP和mac。這樣從上層的行為管理來看，只能看到路由器的IP地址。要區(qū)分二級路由下面的終端，必須把二級路由器改成AP模式（也就是無線交換機模式）。

局域網(wǎng)的文件泄露，主要是通過usb拷貝以及網(wǎng)絡傳輸?shù)姆绞?。我們?a href="http://www.a4rv.com/blog/post/382.html" target="_blank">企業(yè)外發(fā)文件管控方案總結一文中，已經(jīng)介紹了多種管控外發(fā)文件的方案。在本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關如何來有效的管控外發(fā)文件。

1. 首先要屏蔽電腦的usb存儲設備。

需要在windows電腦的組策略里面禁止配置，把“禁止安裝可移動設備“修改成”已啟用“即可。當然，管理員權限就不能給使用者啦，要不然再把這個策略改回去就不起作用了。

當防火墻檢測到某個IP存在病毒攻擊或者異常流量時，網(wǎng)管技術人員往往需要到電腦上面進行后續(xù)操作。而對于自動獲取IP的局域網(wǎng)來說，如何定位IP地址的電腦位置一直是一個技術難題。如果沒有好的工具，最笨的辦法就是一臺一臺電腦進行查看，通過比對IP地址和mac地址來定位。那么還有哪些聰明一些的辦法呢？

1. 在三層交換機上查看ARP表

有網(wǎng)管交換機時，可以在網(wǎng)管交換機上查看arp表找到該IP地址所在的端口，然后根據(jù)端口順藤摸瓜，從而定位電腦的物理位置。比如，在交換機上執(zhí)行“disp arp”命令（不同型號的交換機命令不一樣），可以得到如下結果：

在部署了上網(wǎng)行為管理的局域網(wǎng)內(nèi)，總會有人想各種各樣的辦法來突破上網(wǎng)管控。常見的方法有：

1. IP地址盜用。
   

2. MAC地址克隆。

首先可以考慮不開放管理員權限，或者采用域控的方式禁止客戶機自行修改網(wǎng)絡設置等辦法。其次也可以通過上網(wǎng)行為管理的管控策略來阻止這些行為。本文中，我來介紹下如何用WSG上網(wǎng)行為管理網(wǎng)關來應對IP地址盜用和MAC地址克隆。

由于視頻和下載可以輕易的占用大量帶寬，為了網(wǎng)絡的穩(wěn)定運行，大部分局域網(wǎng)都會對客戶端進行一定的限速。本文中，我將介紹如何根據(jù)帶寬來做限速，限速設置多少比較合理？

1. 限速多少比較合理？

正常的辦公上網(wǎng)，每個終端至少需要2Mbit的帶寬才夠用；平均值如果低于2Mbit需要考慮增加接入帶寬。假設你有200Mbit的帶寬，有50個終端，那么平均下來每個終端可以分配到4Mbit；但是考慮到不是所有人都會在同時全速下載，可以給每個終端分配8-10Mbit的帶寬。如下圖：

IP地址沖突一般是由于手動設置IP的原因，綜合來說有如下兩種可能性：

1. A電腦和B電腦都手工設置了同樣的IP地址。
   

2. A電腦自動獲取，B電腦手動設置了和A電腦一樣的IP地址。

出現(xiàn)IP地址沖突時，通過arp -a命令，可以看到?jīng)_突對方的MAC地址。如下圖：

在三層交換機環(huán)境下，由于三層交換機屏蔽了終端的實際mac地址，上層的上網(wǎng)行為管理在不開啟“MAC地址收集器”的情況下，是檢測不到終端的實際mac地址的。這樣也就不能實現(xiàn)mac地址黑白名單的功能。網(wǎng)絡結構如下圖：