笨驢信息(IMFirewall)博客

用WSG的防火墻規則，可以設置網絡層的訪問規則。防火墻規則和行為管理規則是不一樣的，防火墻規則工作在網絡層，直接把IP或者端口屏蔽掉；而行為管理策略工作在應用層，阻止的是應用層訪問，并不禁止ICMP（ping）。

本例中，我將用防火墻規則來演示怎樣實現內網服務器只允許與外網的一個ip互通。

一旦有設備和網關的IP地址沖突，就會出現下列現象：

• 外網不穩定、時斷時續

• 網關的界面打不開，或者有時候打不開

這個現象涉及的設備比較多，有可能是網關、交換機、網線等問題。本文中，我介紹一下如何判斷是由于IP地址沖突導致的。

阿里云改版后，AccessKey的管理已經移到賬號的“權限和安全”中，如下圖：

很多黑客攻擊、DDoS攻擊都來源于國外，所以對于大部分局域網來說，屏蔽國外IP就可以減少百分之九十的網絡安全風險。在本文中，我將介紹如何用WSG上網行為管理來屏蔽境外IP地址。

WSG上網行為管理設備恢復出廠設置有兩種方式：

• 通過Web界面進行重置

• 通過控制臺進行重置

1. Web界面重置

用admin登錄Web管理界面后，可以在“系統-配置-導入導出”中選擇“恢復出廠設置”。如下圖：

• “保留日志和統計數據”，這個選項只重置所有的配置，不刪除數據。

• “清空所有數據”，這個選項既重置配置，又清空數據。

點擊“恢復出廠”，就會重置并且重啟設備。

通過路由器或者網關的“端口映射”功能，可以把內網的網絡服務映射到外網，供互聯網上的用戶使用。一些公司的ERP、CRM、OA系統都會采用這樣的方式，使代理商、出差員工可以進行網絡辦公。端口映射的配置如下圖：

1. 端口映射的使用條件

端口映射需要滿足如下條件：

• 要有固定公網IP地址。如果沒有申請專線固定IP，運營商現在一般都直接分配內網IP地址，從公網上是訪問不到的。
  

• 如果要映射到外網的80、443、8080等常見Web端口，需要到運營商備案。

一些企事業單位出于工作和安全的需要，希望可以允許局域網內的電腦終端訪問互聯網，但是不允許發送數據到外網。這個需求從理論上來說其實是矛盾的，以Web訪問為例，當我們去訪問一個網頁的時候，用的是HTTP的GET指令，大概的格式是這樣的：

GET /path/to/resource HTTP/1.1 

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Connection: keep-alive

瀏覽器告訴網站服務器這些信息：需要訪問的URL地址、域名、瀏覽器種類、壓縮類型、連接類型等。這個頭部的大小在RFC的定義中是2K字節，這是明文的HTTP方式。如果是HTTPS方式，還需要證書交換，上傳的數據大約8K字節。換句話說，即使只是瀏覽網站，每一次訪問也需要8K的上傳數據。所以說，只允許訪問但是不允許任何外發數據，這個需求是自相矛盾的，不能得到真正的實現。

雖然嚴格的完全只訪問不上傳是做不到的，但是我們可以通過限定上傳數據的大小來實現這個功能需求。如下圖：

為滿足網絡安全國產化要求，我們新推出了WSG-500G型號。WSG-500G采用國產CPU平臺硬件和自主研發的WFilter上網行為管理系統，聚焦自主創新的網絡安全防護，提供多樣化的身份認證、專業的上網行為管控，全面管控網絡用戶身份安全、阻止終端違規接入和上網違規行為，使網絡更加規范和安全。下面是該型號的一些功能和性能介紹。

1. 采用國產CPU平臺

先看一下設備的前臉和后臉。

WSG云平臺可以集中管理多臺WSG設備，可以查看設備地址、系統版本、IP地址、告警信息，還可以遠程訪問管理界面并且同步配置。本文介紹了使用WSG云平臺的基本步驟。

1. 注冊WSG云平臺

首先要在WSG云平臺注冊新賬號并登錄。如下圖：

WSG上網行為管理的webvpn功能，可以支持釘釘掃碼登錄。要實現該功能，你需要有公網域名、固定公網IP地址。本文將介紹具體的配置步驟。配置主要分為兩個部分：釘釘應用開發平臺的配置、WSG上網行為管理的webvpn配置。

1. 創建釘釘應用

WSG上網行為管理網關是基于WFilter NGF的上網行為管理硬件網關，上網認證系統、入侵防御系統和防火墻。該設備性能強勁，功能豐富，有著很多特色功能，包括如下幾個方面：

1. 硬件特色

• 多個千兆萬兆端口（不同型號有差異）

• WAN/LAN可配置

• 采用x86架構的高性能CPU，性能遠超路由器

對局域網進行漏洞掃描，可以提前發現內網的安全漏洞，比如弱密碼、系統漏洞、未授權訪問等問題；及時修復這些問題，可以有效地避免黑客攻擊等安全事件的發生，保護企業或組織的信息資產安全。在本例中，我將結合WSG上網行為管理的“漏洞掃描”功能，介紹如何對局域網電腦進行漏洞掃描，以及相應的整改操作。

1. 添加掃描任務

在“漏洞掃描”模塊中新增掃描任務，輸入掃描的目標網段，指定任務運行的時間，保存配置。

WSG自帶的openvpn服務端集成了openvpn服務，可以讓外網終端撥入到公司內部局域網。WSG的openvpn服務端采用了ca證書和用戶名密碼認證雙重認證，安全性和穿透性都很高。下面是具體的步驟介紹：

1. 開啟openvpn服務

在“VPN-openvpn服務端”中開啟openvpn服務，選擇用戶名認證。推送路由里面配置的是允許外網訪問的本地局域網網段，如果允許外網終端通過公司線路訪問外網也可以在這里配置允許訪問的外網網段。

有時候不同運營商之間的GRE協議是不通的，會導致PPTP連接不上。而L2TP工作在UDP 1701端口，和PPTP相比穿透性更強，而PPTP需要開通TCP 1723和GRE協議才可以。

本例中，我將介紹WSG上網行為管理的L2TP的用法。如下圖：

1. 開啟PPTP/L2TP服務端

VPN類型選擇L2TP

有些局域網出于安全需要，需要進行互聯網接入備案。互聯網接入備案，也就是網絡準入的。但是要滿足網監部門的要求，還需要關注以下功能：

1. 能否進行網絡準入認證？

2. 能否記錄上網行為、上網行為審計？

3. 能否提供網絡安全防護功能？

WSG上網行為管理有著強大的報表系統，可以實現對于網站訪問、流量、工作效率、網絡訪問趨勢等一系列的統計功能。在本文中，我將以每日流量統計為例，配置一個自動發送的流量統計報表。

1. 新增流量統計報表

在“查詢統計”-“統計報表”的報表列表中，點擊“新增”。

WSG的入侵防御和木馬檢測模塊基于snort特征庫，可以檢測和阻止各類網絡攻擊，這兩個模塊會對網絡中的數據通信進行檢測還原，匹配其中的木馬特征，一旦匹配到特征時就觸發告警和阻斷。

WSG上網行為管理通過安裝在網絡出口處，可以對局域網內終端的上網行為進行審計記錄，從而保障企事業單位的信息安全，提供一年以上的上網審計記錄，使上網行為有據可查。那么，WSG上網行為管理可以審計哪些內容呢？本文將為您作詳細介紹。

1. WSG的部署位置

WSG上網行為審計系統一般部署在網絡出口處即可對全網進行審計記錄，既可作為網絡的主路由器，也可以做透明網橋串接在路由器和交換機之間。網絡拓撲圖如下：

一些企事業單位為了信息安全的目的，需要在允許終端訪問外網的同時屏蔽一切外發行為，即只能瀏覽和下載但是不允許外發和上傳。這個功能是比較專業的功能，需要專業的上網行為管理產品才可以實現。以WSG上網行為管理為例，WSG上網行為管理中有個“智能過濾”功能，該功能會檢測所有網絡連接并且進行統計，一旦發現上傳的數據量超過設置的閾值，就會禁止這個連接從而屏蔽上傳行為。如下圖所示：

甲方有些業務系統出于安全需要，會綁定登錄的IP地址只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業務系統，也必須走總公司的寬帶才可以。在如何實現分公司訪問指定地址的時候走總部流量一文中，我們介紹了通過PPTP來實現分公司走總公司線路的解決方案。本文中，我將介紹Openvpn的實現方案，openvpn不需要GRE協議，穿透性和安全性都比PPTP要強大。以下是具體的配置步驟：

1. 服務端的配置

在總部的WSG上面，需要開啟OpenVPN服務端，選擇用戶名認證，推送路由里面既要推送總部的內網網段，也要推送甲方系統的IP地址。如下圖：

網絡滲透攻擊會嚴重威脅到企業的網絡安全和數據安全。攻擊者會有針對性地對某個目標網絡進行攻擊，以獲取其內部的商業資料，進行網絡破壞等。一旦其獲取了目標網絡中網站服務器的權限，還會利用此臺服務器，繼續入侵目標網絡，獲取整個網絡中所有主機的權限。為了實現滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡單的Web腳本漏洞攻擊。攻擊者會綜合運用遠程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網絡。

防御網絡滲透攻擊，主要從如下方面入手：

• 采用安全的網絡架構，杜絕未知接入。

• 部署網絡安全設備，精確識別和抵御攻擊行為。

• 配置策略阻止未知來源的網絡連接。

為了網絡安全的需要，很多企事業單位都在局域網內部署了上網認證系統。但是怎樣來選擇一套適合自己的上網認證系統呢？我建議從以下方面來考慮：

1. 可選擇的多種認證手段。需要和對內部員工、來訪人員提供不同的認證手段。
   

2. 認證方式的選擇。如果是企業內部員工認證，建議用戶名密碼認證。如果是流動人員或者訪客，建議使用短信認證（記錄手機號）

3. 可以和認證集成的上網審計系統。做了認證但是不記錄上網日志是沒有意義的。必須要部署和認證系統集成的上網審計系統，能把上網記錄和認證的用戶名關聯到一起，做到有據可查。這才是認證的意義所在。

上網認證是網絡安全的基礎，只有認證后的終端才允許接入。對于企事業的局域網來說，比較常見的網絡認證方案包括802.1X、Web Portal認證，還有基于企業微信、釘釘等第三方的app認證。由于802.1X的認證方式需要支持802.1X的交換機設備，且配置比較復雜，對于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網行為管理網關的Web Portal認證、第三方認證、訪客認證等功能。

WSG的訪客認證主要包括三種認證方式：

1. 短信認證；通過短信平臺發送短信來驗證用戶手機號，從而實現實名認證的需要。

2. 微信小程序認證；終端需要在微信小程序中授權獲取手機號，從而記錄手機號實名上網。

3. 二維碼認證；終端需要把二維碼提供給審核人員，審核人員人工審核后上網。

WSG的短信認證可以對網絡內部終端進行實名上網認證，短信認證的配置截圖如下：