對局域網進行漏洞掃描，可以提前發現內網的安全漏洞，比如弱密碼、系統漏洞、未授權訪問等問題；及時修復這些問題，可以有效地避免黑客攻擊等安全事件的發生，保護企業或組織的信息資產安全。在本例中，我將結合WSG上網行為管理的“漏洞掃描”功能，介紹如何對局域網電腦進行漏洞掃描，以及相應的整改操作。

1. 添加掃描任務

在“漏洞掃描”模塊中新增掃描任務，輸入掃描的目標網段，指定任務運行的時間，保存配置。

WSG自帶的openvpn服務端集成了openvpn服務，可以讓外網終端撥入到公司內部局域網。WSG的openvpn服務端采用了ca證書和用戶名密碼認證雙重認證，安全性和穿透性都很高。下面是具體的步驟介紹：

1. 開啟openvpn服務

在“VPN-openvpn服務端”中開啟openvpn服務，選擇用戶名認證。推送路由里面配置的是允許外網訪問的本地局域網網段，如果允許外網終端通過公司線路訪問外網也可以在這里配置允許訪問的外網網段。

有時候不同運營商之間的GRE協議是不通的，會導致PPTP連接不上。而L2TP工作在UDP 1701端口，和PPTP相比穿透性更強，而PPTP需要開通TCP 1723和GRE協議才可以。

本例中，我將介紹WSG上網行為管理的L2TP的用法。如下圖：

1. 開啟PPTP/L2TP服務端

VPN類型選擇L2TP

有些局域網出于安全需要，需要進行互聯網接入備案?；ヂ摼W接入備案，也就是網絡準入的。但是要滿足網監部門的要求，還需要關注以下功能：

1. 能否進行網絡準入認證？

2. 能否記錄上網行為、上網行為審計？

3. 能否提供網絡安全防護功能？

WSG上網行為管理有著強大的報表系統，可以實現對于網站訪問、流量、工作效率、網絡訪問趨勢等一系列的統計功能。在本文中，我將以每日流量統計為例，配置一個自動發送的流量統計報表。

1. 新增流量統計報表

在“查詢統計”-“統計報表”的報表列表中，點擊“新增”。

WSG的入侵防御和木馬檢測模塊基于snort特征庫，可以檢測和阻止各類網絡攻擊，這兩個模塊會對網絡中的數據通信進行檢測還原，匹配其中的木馬特征，一旦匹配到特征時就觸發告警和阻斷。

WSG上網行為管理通過安裝在網絡出口處，可以對局域網內終端的上網行為進行審計記錄，從而保障企事業單位的信息安全，提供一年以上的上網審計記錄，使上網行為有據可查。那么，WSG上網行為管理可以審計哪些內容呢？本文將為您作詳細介紹。

1. WSG的部署位置

WSG上網行為審計系統一般部署在網絡出口處即可對全網進行審計記錄，既可作為網絡的主路由器，也可以做透明網橋串接在路由器和交換機之間。網絡拓撲圖如下：

一些企事業單位為了信息安全的目的，需要在允許終端訪問外網的同時屏蔽一切外發行為，即只能瀏覽和下載但是不允許外發和上傳。這個功能是比較專業的功能，需要專業的上網行為管理產品才可以實現。以WSG上網行為管理為例，WSG上網行為管理中有個“智能過濾”功能，該功能會檢測所有網絡連接并且進行統計，一旦發現上傳的數據量超過設置的閾值，就會禁止這個連接從而屏蔽上傳行為。如下圖所示：

甲方有些業務系統出于安全需要，會綁定登錄的IP地址只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業務系統，也必須走總公司的寬帶才可以。在如何實現分公司訪問指定地址的時候走總部流量一文中，我們介紹了通過PPTP來實現分公司走總公司線路的解決方案。本文中，我將介紹Openvpn的實現方案，openvpn不需要GRE協議，穿透性和安全性都比PPTP要強大。以下是具體的配置步驟：

1. 服務端的配置

在總部的WSG上面，需要開啟OpenVPN服務端，選擇用戶名認證，推送路由里面既要推送總部的內網網段，也要推送甲方系統的IP地址。如下圖：

網絡滲透攻擊會嚴重威脅到企業的網絡安全和數據安全。攻擊者會有針對性地對某個目標網絡進行攻擊，以獲取其內部的商業資料，進行網絡破壞等。一旦其獲取了目標網絡中網站服務器的權限，還會利用此臺服務器，繼續入侵目標網絡，獲取整個網絡中所有主機的權限。為了實現滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡單的Web腳本漏洞攻擊。攻擊者會綜合運用遠程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網絡。

防御網絡滲透攻擊，主要從如下方面入手：

• 采用安全的網絡架構，杜絕未知接入。

• 部署網絡安全設備，精確識別和抵御攻擊行為。

• 配置策略阻止未知來源的網絡連接。

為了網絡安全的需要，很多企事業單位都在局域網內部署了上網認證系統。但是怎樣來選擇一套適合自己的上網認證系統呢？我建議從以下方面來考慮：

1. 可選擇的多種認證手段。需要和對內部員工、來訪人員提供不同的認證手段。
   

2. 認證方式的選擇。如果是企業內部員工認證，建議用戶名密碼認證。如果是流動人員或者訪客，建議使用短信認證（記錄手機號）

3. 可以和認證集成的上網審計系統。做了認證但是不記錄上網日志是沒有意義的。必須要部署和認證系統集成的上網審計系統，能把上網記錄和認證的用戶名關聯到一起，做到有據可查。這才是認證的意義所在。

上網認證是網絡安全的基礎，只有認證后的終端才允許接入。對于企事業的局域網來說，比較常見的網絡認證方案包括802.1X、Web Portal認證，還有基于企業微信、釘釘等第三方的app認證。由于802.1X的認證方式需要支持802.1X的交換機設備，且配置比較復雜，對于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網行為管理網關的Web Portal認證、第三方認證、訪客認證等功能。

WSG的訪客認證主要包括三種認證方式：

1. 短信認證；通過短信平臺發送短信來驗證用戶手機號，從而實現實名認證的需要。

2. 微信小程序認證；終端需要在微信小程序中授權獲取手機號，從而記錄手機號實名上網。

3. 二維碼認證；終端需要把二維碼提供給審核人員，審核人員人工審核后上網。

WSG的短信認證可以對網絡內部終端進行實名上網認證，短信認證的配置截圖如下：

企業在規劃網絡架構時，一般都會區分員工網絡和訪客網絡，并且實現不同的上網認證方式，比如員工采用用戶名密碼認證，訪客采用短信實名認證。但是有些網絡由于設計缺陷，不區分內部員工和訪客，為了實現上網認證，需要對同一個網段同時啟用短信認證和用戶名認證。本文中，我將介紹如何同時啟用短信認證和用戶名認證。

通過用上網行為管理限制電腦的網絡訪問，管控終端可以訪問的外網站點，可以實現只允許終端使用指定的網絡軟件。請注意，網絡管控只能管控網絡軟件，并不能限制單機軟件。

本文中，我將以WSG上網行為管理為例，使終端電腦只能使用“虛幻引擎”這個軟件。

1. 首先，配置“應用過濾”禁止所有外網

用WSG上網行為管理很容易就可以屏蔽一臺網絡終端訪問外網，本文中，我將演示如何用WSG上網行為管理來配置策略禁止一臺電腦訪問外網。

1. 在應用過濾中新增策略

在“模塊”-“行為管理”-“應用過濾”中新增策略，選擇“增加一個全新的配置”。

“公司辦公網，想要實現電腦可以登陸微信，但其他網站均不允許打開。目的是允許辦公人員在電腦上使用微信，但是不允許他們瀏覽網頁和其他與網絡有關的內容。”這樣的需求，我們可以通過在局域網內網橋部署一臺WSG上網管理軟件來實現，網絡結構如下：

現在越來越多的企業開始關注網絡安全，但是辦公網絡安全現狀還不容樂觀。首先，領導層和員工的安全意識不高。一些員工在密碼設置、郵件和文件收發等方面缺少安全意識，很容易使企業網絡受到攻擊和病毒感染。而且一些企業缺少網絡安全應急預案，沒有做好數據備份，一旦在發生網絡攻擊事件時響應遲緩造成巨大損失。其次，缺少網絡安全設備；一些企業網絡還沒有安裝防火墻和入侵檢測設備，一旦被攻擊就抵擋防御。所以，企業網絡安全最需要注重如下幾個方面：

網絡安全已經是企業局域網不可忽視的安全問題。那么企業網絡安全的防護技術有哪些呢？主要包括如下幾點：防火墻、入侵檢測和防御、DDoS防護、內網上網管控。本文中，我將以WSG上網行為管理為例，介紹企業網絡防護技術。

1. 防火墻

防火墻是網絡防護的第一道門戶。企業的網絡防護需要對來自外網的訪問進行限制。比如：阻止外網訪問防火墻，限制外網訪問端口映射的IP范圍等。

電腦一旦被安裝了挖礦程序，會帶來很多危害：占用大量的電力和運算資源、拖慢機器、感染局域網內的其他終端......所以，挖礦行為目前是被各級部門明令禁止的，一旦被上級部門檢測到有挖礦行為，很可能會被阻止互聯網接入直至整改完成。當接到上級部門通告時，作為網管人員需要怎樣去處置解決這個問題呢？

被上級部門檢測到，一般存在如下三種情況：

1. 訪問了礦池或者虛擬貨幣服務器的目標IP

2. 訪問了“挖礦”域名（HTTP/HTTPS）

3. 查詢了“挖礦”域名（DNS）

企業內部的ERP、OA服務器很多都是通過端口映射到公網的，這樣就不可避免會招來攻擊。如下圖：

公司網絡準入認證方案是網絡安全的基礎，該方案通過對網絡的接入設備進行統一的認證和訪問授權管理，以保證內網的網絡安全。對于企業局域網來說，比較常見的網絡準入認證方案包括802.1X、Portal認證，還有基于企業微信、釘釘等第三方的app認證。

802.1X的認證方式需要支持802.1X的交換機設備，且配置比較復雜，對于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網行為管理網關的Portal認證、第三方認證等功能來實現企業網絡的準入認證。

作為網管技術人員，你一定會因為IP沖突感到煩惱過。IP沖突會導致電腦上不了網，因為業務正常運行等。一旦發現IP地址沖突，在網絡設備上是解決不了的，唯一的解決辦法就是找到沖突的這臺終端并且修改其IP地址或者改成自動獲取IP；而預防IP沖突的唯一辦法就是：自動獲取IP。通過DHCP服務器，統一規劃分配IP，這樣就避免了IP沖突的問題。一般來說，可以采用如下的網絡規劃：

• 服務器、打印機等設備都采用固定IP的方式。

• 辦公電腦自動獲取IP

• 無線設備自動獲取IP

本文以WSG上網行為管理為例，介紹如何檢測、管理IP地址沖突。

上級部門通知局域網內存在僵尸木馬要求網絡進行整改，作為網管人員需要怎樣去處置解決這個問題呢？首先，上級部門只能檢測到局域網總出口的IP地址，并不能識別終端的IP地址。當網內的終端數量比較多時，每臺電腦做病毒查殺的工作量太大了，網管人員會很頭疼這個問題。

比較合理的方案是在局域網內部署一臺入侵檢測系統，通過對網絡數據包進行分析檢測，從而發現問題主機。在本文中，我將以“WSG上網行為管理”為例，來介紹如何進行內網的木馬檢測。

WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，這兩個模塊的檢測原理都是入侵檢測snort。如下圖：