29
2021
09

一次在三层交换机环境网桥部署WSG上网行为管理的实际经历

相对于二层交换机的网络环境,在三层交换机环境下部署上网行为管理的步骤要复杂一些,差别主要在“静态路由”和“MAC地址收集器”,还有上层防火墙的一些安全策略的影响。在本文中,我将结合一次实际的安装经历,介绍三层环境下用网桥模式部署WSG上网行为管理的一些常见问题。

1. 配置并部署网桥

本例中,网关是华为USG防火墙172.16.200.253,三层交换机是172.16.200.254,子网掩码都是255.255.255.0。既然200段IP是足够的,所以我就直接把管理口设置在网桥上面,把WSG的IP设置为172.16.200.252,网关地址和DNS是防火墙的IP地址172.16.200.253。

07
2021
07

上网行为管理如何光口转电口?

很多网络环境目前都采用光纤的连接方式,比如主交换机到其他楼层交换机采用光口连接,再从楼层交换机的RJ45电口连接到其他网络设备。这种网络环境中,很多情况下都采用透明网桥的方式部署上网行为管理。本文中,我将介绍如何把上网行为管理的透明网桥串接到光口交换机和电口交换机中间。主要有如下两种方式:

1. 采用支持光口的上网行为管理设备

如下图,以WSG-500E为例,该型号有6个千兆电口和2个千兆光口,可以把网桥创建在一个光口和一个电口上。光口接上层的汇聚交换机,电口接下面的二层交换机。

202107071625646468455270.png

18
2020
05

多台WSG网关如何同步配置

利用“扩展插件”中的“NGF配置同步插件”可以同步多台WFilter NGF(WSG硬件)的相关配置,这个功能在管理维护多台WSG设备时非常实用。在本文中,我将结合WSG上网行为管理网关来介绍“NGF配置同步插件”的使用步骤。

1. 准备工作

  1. 首先要有一台WSG作为服务端,其他做为客户端。服务端可以直接把配置推送给客户端,也可以等客户端主动来进行同步。

  2. 多台WSG之间通过Web来同步配置,所以要确保服务端和客户端之间的Web连接可达。(在服务端可以访问客户端的web,或者客户端可以访问服务端的web)

  3. 创建同步用户。每台WSG都应当建一个用户名密码一样的操作员用于进行同步操作。

  4. 下载“NGF配置同步插件”,并且进行配置。

27
2019
08

无线路由器怎样改成AP模式?

二级路由器默认都启用了网络地址转换,会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看,只能看到路由器的IP地址。要区分二级路由下面的终端,必须把二级路由器改成AP模式(也就是无线交换机模式)。

201908271566896735939855.png

11
2018
11

WSG上网行为管理的网桥部署具体步骤

WSG上网行为管理网关的初步设置详细教程中,我们介绍了WSG上网行为管理网关的初步设置,该文档中,我们采用了网关部署的方式。在实际使用中,网桥部署方式也极为常见;用网桥的方式来部署WSG上网行为管理,是完全透明部署,不需要修改现有的网络参数,也不需要更改路由器和交换机的配置。网络拓扑图如下:

Ros guide bridge.png

网桥部署有如下优点:

  • 不需要修改现有的网络设置。

  • 无需断网,即插即用。

  • 功能一样强大:上网行为记录、行为管理、流控都可以实现。

  • 硬件bypass(要看具体型号),即使网桥设备掉电,也可以保证不断网。

1. 网桥部署的准备工作

首先需要给WSG设备分配一个静态IP地址。该IP用于远程访问WSG设备,进行Web认证等远程访问操作。需要注意如下几点:

20
2018
08

如何对来宾用户进行上网行为管理?

来宾用户、流动人员比较多的局域网,如果不对来宾上网进行管控,不但会占用企业带宽资源,还会带来安全隐患和政策风险。对于企业环境来说,一般推荐来宾和办公网络采用不同的无线SSID,分开进行管控。具体方案如下:

  1. 来宾和办公网络采用不同的无线SSID。

  2. 对来宾和办公采用不同的限速和行为管理策略。

  3. 来宾和办公网络采用不同的VLAN,并且不允许来宾访问公司内网。

  4. 不但要设置不同的无线密码,而且需要进行IP-MAC绑定等策略,禁止来宾用户接入到办公网络。

10
2018
07

短信认证网关的具体实现

本文将介绍如何用WFilter NGF来实现短信认证网关,以及短信平台的具体实现步骤。

1. 首先要搭建短信Web服务

WFilter NGF的短信发送通过调用Web API来实现,支持Web API接口的短信平台很多(一些短信猫也可以支持Web API)。下文中,我们以阿里云的短信服务为例。首先需要创建AccessKey,如下图:

201807101531216334586343.png

18
2018
01

两台核心交换机如何部署旁路上网行为管理软件?

很多局域网考虑到安全需要,会部署两台核心交换机做双机热备。在这样的情况下,如果要旁路部署上网行为管理软件,需要在两台核心上都配置端口镜像,从而实现不间断的监控管理。拓扑图如下:

two_switches.jpg

10
2014
02

WFilter网关 + 无线AP的部署方案

  有些小型局域网只通过一个无线路由器接入,而且没有支持镜像的交换机或者路由器。这样的情况下,可以采用本文中演示的方案:“把安装WFilter的电脑配置为网关,然后把无线路由器当成无线AP来提供无线服务”。   网络结构如下图: [IMG]upload/web-1.jpg[/IMG]
24
2013
09

如何用WFilter同时监控多个局域网?

本文将介绍如何用WFilter来监控多个局域网(多个互联网接入)。由于每个镜像只监控到一个局域网,那么要在一台监控主机上监控多个局域网时,需要使用多块网卡,每块网卡都接到一个镜像端口。然后在WFilter的“系统配置”->“监控配置”中配置多个监控网卡来进行监控。

1. 网络拓扑图

以同时监控两个局域网为例,如下图:

[IMG]upload/morelanMon01.jpg[/IMG]

请注意:两个局域网的网段不能设置成一样,否则监控记录会混淆。分别设置不同的网段,比如:192.168.1.x,192.168.2.x。

?? 1 2 3 ? ??