很多黑客攻击、DDoS攻击都来源于国外，所以对于大部分局域网来说，屏蔽国外IP就可以减少百分之九十的网络安全风险。在本文中，我将介绍如何用WSG上网行为管理来屏蔽境外IP地址。

WSG上网行为管理设备恢复出厂设置有两种方式：

• 通过Web界面进行重置

• 通过控制台进行重置

1. Web界面重置

用admin登录Web管理界面后，可以在“系统-配置-导入导出”中选择“恢复出厂设置”。如下图：

• “保留日志和统计数据”，这个选项只重置所有的配置，不删除数据。

• “清空所有数据”，这个选项既重置配置，又清空数据。

点击“恢复出厂”，就会重置并且重启设备。

通过路由器或者网关的“端口映射”功能，可以把内网的网络服务映射到外网，供互联网上的用户使用。一些公司的ERP、CRM、OA系统都会采用这样的方式，使代理商、出差员工可以进行网络办公。端口映射的配置如下图：

1. 端口映射的使用条件

端口映射需要满足如下条件：

• 要有固定公网IP地址。如果没有申请专线固定IP，运营商现在一般都直接分配内网IP地址，从公网上是访问不到的。
  

• 如果要映射到外网的80、443、8080等常见Web端口，需要到运营商备案。

一些企事业单位出于工作和安全的需要，希望可以允许局域网内的电脑终端访问互联网，但是不允许发送数据到外网。这个需求从理论上来说其实是矛盾的，以Web访问为例，当我们去访问一个网页的时候，用的是HTTP的GET指令，大概的格式是这样的：

GET /path/to/resource HTTP/1.1 

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Connection: keep-alive

浏览器告诉网站服务器这些信息：需要访问的URL地址、域名、浏览器种类、压缩类型、连接类型等。这个头部的大小在RFC的定义中是2K字节，这是明文的HTTP方式。如果是HTTPS方式，还需要证书交换，上传的数据大约8K字节?；痪浠八担词怪皇卿劳?，每一次访问也需要8K的上传数据。所以说，只允许访问但是不允许任何外发数据，这个需求是自相矛盾的，不能得到真正的实现。

虽然严格的完全只访问不上传是做不到的，但是我们可以通过限定上传数据的大小来实现这个功能需求。如下图：

为满足网络安全国产化要求，我们新推出了WSG-500G型号。WSG-500G采用国产CPU平台硬件和自主研发的WFilter上网行为管理系统，聚焦自主创新的网络安全防护，提供多样化的身份认证、专业的上网行为管控，全面管控网络用户身份安全、阻止终端违规接入和上网违规行为，使网络更加规范和安全。下面是该型号的一些功能和性能介绍。

1. 采用国产CPU平台

先看一下设备的前脸和后脸。

WSG云平台可以集中管理多台WSG设备，可以查看设备地址、系统版本、IP地址、告警信息，还可以远程访问管理界面并且同步配置。本文介绍了使用WSG云平台的基本步骤。

1. 注册WSG云平台

首先要在WSG云平台注册新账号并登录。如下图：

WSG上网行为管理的webvpn功能，可以支持钉钉扫码登录。要实现该功能，你需要有公网域名、固定公网IP地址。本文将介绍具体的配置步骤。配置主要分为两个部分：钉钉应用开发平台的配置、WSG上网行为管理的webvpn配置。

1. 创建钉钉应用

WSG上网行为管理网关是基于WFilter NGF的上网行为管理硬件网关，上网认证系统、入侵防御系统和防火墙。该设备性能强劲，功能丰富，有着很多特色功能，包括如下几个方面：

1. 硬件特色

• 多个千兆万兆端口（不同型号有差异）

• WAN/LAN可配置

• 采用x86架构的高性能CPU，性能远超路由器

对局域网进行漏洞扫描，可以提前发现内网的安全漏洞，比如弱密码、系统漏洞、未授权访问等问题；及时修复这些问题，可以有效地避免黑客攻击等安全事件的发生，?；て笠祷蜃橹男畔⒆什踩Ｔ诒纠?，我将结合WSG上网行为管理的“漏洞扫描”功能，介绍如何对局域网电脑进行漏洞扫描，以及相应的整改操作。

1. 添加扫描任务

在“漏洞扫描”?？橹行略錾枞挝?，输入扫描的目标网段，指定任务运行的时间，保存配置。

WSG自带的openvpn服务端集成了openvpn服务，可以让外网终端拨入到公司内部局域网。WSG的openvpn服务端采用了ca证书和用户名密码认证双重认证，安全性和穿透性都很高。下面是具体的步骤介绍：

1. 开启openvpn服务

在“VPN-openvpn服务端”中开启openvpn服务，选择用户名认证。推送路由里面配置的是允许外网访问的本地局域网网段，如果允许外网终端通过公司线路访问外网也可以在这里配置允许访问的外网网段。

有时候不同运营商之间的GRE协议是不通的，会导致PPTP连接不上。而L2TP工作在UDP 1701端口，和PPTP相比穿透性更强，而PPTP需要开通TCP 1723和GRE协议才可以。

本例中，我将介绍WSG上网行为管理的L2TP的用法。如下图：

1. 开启PPTP/L2TP服务端

VPN类型选择L2TP

有些局域网出于安全需要，需要进行互联网接入备案?；チ尤氡赴?，也就是网络准入的。但是要满足网监部门的要求，还需要关注以下功能：

1. 能否进行网络准入认证？

2. 能否记录上网行为、上网行为审计？

3. 能否提供网络安全防护功能？

WSG上网行为管理有着强大的报表系统，可以实现对于网站访问、流量、工作效率、网络访问趋势等一系列的统计功能。在本文中，我将以每日流量统计为例，配置一个自动发送的流量统计报表。

1. 新增流量统计报表

在“查询统计”-“统计报表”的报表列表中，点击“新增”。

WSG的入侵防御和木马检测模块基于snort特征库，可以检测和阻止各类网络攻击，这两个?？榛岫酝缰械氖萃ㄐ沤屑觳饣乖?，匹配其中的木马特征，一旦匹配到特征时就触发告警和阻断。

WSG上网行为管理通过安装在网络出口处，可以对局域网内终端的上网行为进行审计记录，从而保障企事业单位的信息安全，提供一年以上的上网审计记录，使上网行为有据可查。那么，WSG上网行为管理可以审计哪些内容呢？本文将为您作详细介绍。

1. WSG的部署位置

WSG上网行为审计系统一般部署在网络出口处即可对全网进行审计记录，既可作为网络的主路由器，也可以做透明网桥串接在路由器和交换机之间。网络拓扑图如下：

一些企事业单位为了信息安全的目的，需要在允许终端访问外网的同时屏蔽一切外发行为，即只能浏览和下载但是不允许外发和上传。这个功能是比较专业的功能，需要专业的上网行为管理产品才可以实现。以WSG上网行为管理为例，WSG上网行为管理中有个“智能过滤”功能，该功能会检测所有网络连接并且进行统计，一旦发现上传的数据量超过设置的阈值，就会禁止这个连接从而屏蔽上传行为。如下图所示：

甲方有些业务系统出于安全需要，会绑定登录的IP地址只允许总公司的IP访问。这种情况下，分公司如果想要访问该业务系统，也必须走总公司的宽带才可以。在如何实现分公司访问指定地址的时候走总部流量一文中，我们介绍了通过PPTP来实现分公司走总公司线路的解决方案。本文中，我将介绍Openvpn的实现方案，openvpn不需要GRE协议，穿透性和安全性都比PPTP要强大。以下是具体的配置步骤：

1. 服务端的配置

在总部的WSG上面，需要开启OpenVPN服务端，选择用户名认证，推送路由里面既要推送总部的内网网段，也要推送甲方系统的IP地址。如下图：

网络渗透攻击会严重威胁到企业的网络安全和数据安全。攻击者会有针对性地对某个目标网络进行攻击，以获取其内部的商业资料，进行网络破坏等。一旦其获取了目标网络中网站服务器的权限，还会利用此台服务器，继续入侵目标网络，获取整个网络中所有主机的权限。为了实现渗透攻击，攻击者采用的攻击方式绝不仅此于一种简单的Web脚本漏洞攻击。攻击者会综合运用远程溢出、木马攻击、密码破解、嗅探、ARP欺骗等多种攻击方式，逐步控制网络。

防御网络渗透攻击，主要从如下方面入手：

• 采用安全的网络架构，杜绝未知接入。

• 部署网络安全设备，精确识别和抵御攻击行为。

• 配置策略阻止未知来源的网络连接。

为了网络安全的需要，很多企事业单位都在局域网内部署了上网认证系统。但是怎样来选择一套适合自己的上网认证系统呢？我建议从以下方面来考虑：

1. 可选择的多种认证手段。需要和对内部员工、来访人员提供不同的认证手段。
   

2. 认证方式的选择。如果是企业内部员工认证，建议用户名密码认证。如果是流动人员或者访客，建议使用短信认证（记录手机号）

3. 可以和认证集成的上网审计系统。做了认证但是不记录上网日志是没有意义的。必须要部署和认证系统集成的上网审计系统，能把上网记录和认证的用户名关联到一起，做到有据可查。这才是认证的意义所在。

上网认证是网络安全的基础，只有认证后的终端才允许接入。对于企事业的局域网来说，比较常见的网络认证方案包括802.1X、Web Portal认证，还有基于企业微信、钉钉等第三方的app认证。由于802.1X的认证方式需要支持802.1X的交换机设备，且配置比较复杂，对于大部分用户来说并不适用。本文中，我将介绍利用WSG上网行为管理网关的Web Portal认证、第三方认证、访客认证等功能。

WSG的访客认证主要包括三种认证方式：

1. 短信认证；通过短信平台发送短信来验证用户手机号，从而实现实名认证的需要。

2. 微信小程序认证；终端需要在微信小程序中授权获取手机号，从而记录手机号实名上网。

3. 二维码认证；终端需要把二维码提供给审核人员，审核人员人工审核后上网。

WSG的短信认证可以对网络内部终端进行实名上网认证，短信认证的配置截图如下：

企业在规划网络架构时，一般都会区分员工网络和访客网络，并且实现不同的上网认证方式，比如员工采用用户名密码认证，访客采用短信实名认证。但是有些网络由于设计缺陷，不区分内部员工和访客，为了实现上网认证，需要对同一个网段同时启用短信认证和用户名认证。本文中，我将介绍如何同时启用短信认证和用户名认证。

通过用上网行为管理限制电脑的网络访问，管控终端可以访问的外网站点，可以实现只允许终端使用指定的网络软件。请注意，网络管控只能管控网络软件，并不能限制单机软件。

本文中，我将以WSG上网行为管理为例，使终端电脑只能使用“虚幻引擎”这个软件。

1. 首先，配置“应用过滤”禁止所有外网

用WSG上网行为管理很容易就可以屏蔽一台网络终端访问外网，本文中，我将演示如何用WSG上网行为管理来配置策略禁止一台电脑访问外网。

1. 在应用过滤中新增策略

在“?？椤?“行为管理”-“应用过滤”中新增策略，选择“增加一个全新的配置”。