欧美国产日韩在线成人a,又大又长又租又大的房子叫什么

IPSec的ike v1和ike v2驗證方式有什么差別？

Mon, 13 Oct 2025 15:03:33 +0800

今天發(fā)現(xiàn)了一個有趣的問題，有個WSG的客戶用ipsec組網(wǎng)，服務(wù)端和客戶端組網(wǎng)時有兩個網(wǎng)段需要互通，但是只能有一個網(wǎng)段可以組網(wǎng)成功。檢查后發(fā)現(xiàn)原來用來ike v1的野蠻模式。IPsec的ike v1和ike v2有很多的差別，如下：

IKEv1和IKEv2的主要差異對比

特性	IKEv1	IKEv2
交換過程	6條消息（主模式）或3條消息（野蠻模式）	4條消息
身份保護	主模式提供，野蠻模式不提供	始終提供身份保護
驗證靈活性	相對固定	支持混合驗證（如服務(wù)端證書+客戶端EAP）
重驗證	需要重新建立整個IKE_SA	支持會話恢復(fù)和重驗證
DoS保護	較弱	更好的Cookie機制

而且，IKEv1對多網(wǎng)段的支持是不如IKEv2的，相對IKEv1，IKEv2有著：

更好的多子網(wǎng)支持 - 原生支持多個子網(wǎng)協(xié)商
更強的安全性 - 更現(xiàn)代的加密算法
更好的穩(wěn)定性 - 自動重連、移動性支持
簡化配置 - 更清晰的配置語法

把兩端的驗證方式都改成IKEV2后，問題得到了解決。

怎樣用SD-WAN盒子來組網(wǎng)訪問遠(yuǎn)端系統(tǒng)？

Thu, 25 Sep 2025 14:07:31 +0800

1. 接線方式

如下圖所示，SD-WAN盒子這款硬件有如下配置：

一個以太網(wǎng)網(wǎng)口，默認(rèn)自動獲取IP。
自帶wifi（SID: wfilter-sdwan，無線網(wǎng)段是192.168.120.0/24）

以太網(wǎng)網(wǎng)口會自動獲取IP，用網(wǎng)線把sdwan盒子接在路由器或者交換機上即可。用手機連接sdwan盒子自帶的wfilter-sdwan網(wǎng)絡(luò)。如圖：

2. 用手機訪問管理界面

用手機瀏覽器掃碼，或者用瀏覽器訪問http://192.168.120.1

3. 用電腦瀏覽器訪問管理界面

電腦瀏覽器可以通過設(shè)備的IP地址來訪問管理界面

4. 配置遠(yuǎn)程訪問

配置SD-WAN網(wǎng)絡(luò)，在SD-WAN中可以加入云平臺或者自定義的SD-WAN網(wǎng)絡(luò)，就可以和你現(xiàn)有的設(shè)備互通了。在SD-WAN平臺中給設(shè)備固定一個IP地址，你就可以從外網(wǎng)訪問到SD-WAN盒子的管理界面。

還可以開啟OpenVPN來連接到VPN服務(wù)，OpenVPN需要先導(dǎo)入CA證書，輸入正確的服務(wù)端地址（可以填寫多個，支持IP地址和域名），輸入正確的用戶名密碼。

如果同時配置了SD-WAN網(wǎng)絡(luò)和OpenVPN，意味著您可以同時通過SD-WAN和OpenVPN來訪問到設(shè)備，兩者可以互為備份。

5. 配置路由規(guī)則或者反向代理

如果只是需要訪問內(nèi)部的Web系統(tǒng)，可以通過配置反向代理來實現(xiàn)，反向代理不需要在路由器上配置路由規(guī)則，簡單易用。如圖：

如果你需要兩地互訪（內(nèi)網(wǎng)IP互通），需要在路由器上配置路由規(guī)則。請參考：http://wiki.imfirewall.com/Sdwanbox

怎樣用防火墻規(guī)則使內(nèi)網(wǎng)服務(wù)器只允許與外網(wǎng)的一個ip互通？

Fri, 29 Aug 2025 10:53:00 +0800

用WSG的防火墻規(guī)則，可以設(shè)置網(wǎng)絡(luò)層的訪問規(guī)則。防火墻規(guī)則和行為管理規(guī)則是不一樣的，防火墻規(guī)則工作在網(wǎng)絡(luò)層，直接把IP或者端口屏蔽掉；而行為管理策略工作在應(yīng)用層，阻止的是應(yīng)用層訪問，并不禁止ICMP（ping）。

本例中，我將用防火墻規(guī)則來演示怎樣實現(xiàn)內(nèi)網(wǎng)服務(wù)器只允許與外網(wǎng)的一個ip互通。

1. 添加禁止所有外網(wǎng)的防火墻規(guī)則

區(qū)域選擇“內(nèi)網(wǎng)”，方向“轉(zhuǎn)發(fā)”，指定源IP為要限制的內(nèi)網(wǎng)IP地址，阻止該IP訪問所有外網(wǎng)。

2. 添加允許訪問指定IP的防火墻規(guī)則

還是在“內(nèi)網(wǎng)-轉(zhuǎn)發(fā)“，目的IP指定為允許訪問的IP地址，動作設(shè)置為”允許“

3. 調(diào)整策略順序

點擊排序的圖標(biāo)，調(diào)整策略順序，把允許訪問的策略拖動到禁止訪問的策略上方。別忘了“應(yīng)用新配置”，這樣就實現(xiàn)限制訪問指定IP的效果。

如何找到和WSG網(wǎng)關(guān)IP地址沖突的設(shè)備MAC地址？

Tue, 17 Jun 2025 10:47:23 +0800

一旦有設(shè)備和網(wǎng)關(guān)的IP地址沖突，就會出現(xiàn)下列現(xiàn)象：

外網(wǎng)不穩(wěn)定、時斷時續(xù)
網(wǎng)關(guān)的界面打不開，或者有時候打不開

這個現(xiàn)象涉及的設(shè)備比較多，有可能是網(wǎng)關(guān)、交換機、網(wǎng)線等問題。本文中，我介紹一下如何判斷是由于IP地址沖突導(dǎo)致的。

1. 先查看一下網(wǎng)關(guān)的MAC地址

配置-網(wǎng)絡(luò)-接口設(shè)置的內(nèi)網(wǎng)口中，可以查看到設(shè)備內(nèi)網(wǎng)口的MAC地址。記錄下這個mac地址值。如下圖：

2. 查看電腦端的ARP表

在電腦的cmd窗口里面，輸入arp -a命令，就可以查看電腦的arp表。如下圖：

判斷的原則是：

ARP表中網(wǎng)關(guān)IP地址對應(yīng)的MAC地址和WSG界面上查看到的MAC地址一致，那說明沒有ip地址沖突。
ARP表中的MAC地址和界面上的MAC地址不一致，說明存在IP地址沖突，且ARP表中的MAC地址就是沖突設(shè)備。
ARP表會變化的，要在出問題的時候去查看。

內(nèi)網(wǎng)的IP地址沖突會帶來嚴(yán)重問題，發(fā)現(xiàn)沖突后應(yīng)當(dāng)盡快查實并做相應(yīng)的修改。

阿里云的AccessKey怎么創(chuàng)建和管理？

Thu, 05 Jun 2025 10:56:21 +0800

阿里云改版后，AccessKey的管理已經(jīng)移到賬號的“權(quán)限和安全”中，如下圖：

點擊“AccessKey”，會彈出對話框，需要勾選“我確認(rèn)已知曉云賬號AccessKey安全風(fēng)險”。然后點擊“繼續(xù)使用云賬號AccessKey”。相對于“RAM用戶AccessKey”，云賬號AccessKey的使用和配置都簡單一些，所以本文中，我們繼續(xù)使用云賬號AccessKey，如果你有更高的權(quán)限管控需求，也可以使用RAM用戶AccessKey。

點擊“創(chuàng)建AccessKey”。

保存好界面上顯示的AccessKey ID和AccessKey Secret即可。

配置到WSG的短信認(rèn)證中阿里云的“AccessKeyID”和“AccessKeySecret”字段中即可使用。默認(rèn)的阿里云“網(wǎng)絡(luò)訪問策略”是直接可以訪問的，但是如果你的阿里云網(wǎng)絡(luò)訪問策略處于開啟狀態(tài)，可能會導(dǎo)致連接不了，還需要配置網(wǎng)絡(luò)訪問策略來放行。

如何禁止國外IP訪問公司局域網(wǎng)？怎樣屏蔽境外IP地址？

Sat, 10 May 2025 14:43:49 +0800

很多黑客攻擊、DDoS攻擊都來源于國外，所以對于大部分局域網(wǎng)來說，屏蔽國外IP就可以減少百分之九十的網(wǎng)絡(luò)安全風(fēng)險。在本文中，我將介紹如何用WSG上網(wǎng)行為管理來屏蔽境外IP地址。

防火墻規(guī)則的配置

要實現(xiàn)禁止國外IP的訪問，我們需要配置兩條防火墻規(guī)則，一條是允許國內(nèi)IP地址，一條是屏蔽所有IP。請注意：防火墻規(guī)則的匹配是按順序進(jìn)行的，這樣的效果就是國內(nèi)IP匹配第一條規(guī)則被放行，其他IP都匹配第二條規(guī)則被禁止。如圖：

有一點要注意的就是防火墻的區(qū)域方向，要過濾外網(wǎng)的訪問，那么區(qū)域就要選擇“外網(wǎng)”，到內(nèi)網(wǎng)端口映射服務(wù)器的訪問走的是“轉(zhuǎn)發(fā)”方向。所以防火墻規(guī)則要這樣來設(shè)置，以第一條為例，如下圖：

源IP選擇”自定義“，然后點擊”編輯“，可以輸入自定義的IP范圍和域名，也可以選擇國家地區(qū)。在本例中，我們選擇的是指定國家地區(qū)（China），這樣的效果就是只有來源中國的訪問才會被允許。如下圖：

另外一條規(guī)則是屏蔽所有，如圖：

通過上述的兩條規(guī)則配合使用，就可以實現(xiàn)只允許國內(nèi)IP，并且禁止所有外網(wǎng)IP，屏蔽境外IP訪問公司局域網(wǎng)的功能，從而杜絕來自國外的網(wǎng)絡(luò)攻擊，提升公司局域網(wǎng)網(wǎng)絡(luò)安全指數(shù)。

WSG上網(wǎng)行為管理如何恢復(fù)出廠設(shè)置？

Wed, 23 Apr 2025 14:07:30 +0800

WSG上網(wǎng)行為管理設(shè)備恢復(fù)出廠設(shè)置有兩種方式：

通過Web界面進(jìn)行重置
通過控制臺進(jìn)行重置

1. Web界面重置

用admin登錄Web管理界面后，可以在“系統(tǒng)-配置-導(dǎo)入導(dǎo)出”中選擇“恢復(fù)出廠設(shè)置”。如下圖：

“保留日志和統(tǒng)計數(shù)據(jù)”，這個選項只重置所有的配置，不刪除數(shù)據(jù)。
“清空所有數(shù)據(jù)”，這個選項既重置配置，又清空數(shù)據(jù)。

點擊“恢復(fù)出廠”，就會重置并且重啟設(shè)備。

2. 通過控制臺進(jìn)行重置

如果你沒法進(jìn)入Web界面，還可以選擇通過控制臺進(jìn)行重置恢復(fù)出廠設(shè)置的操作。你需要一個VGA顯示器和一個USB鍵盤。如下圖：

接上顯示器和鍵盤后，按Enter回車，就可以看到控制臺菜單。如下圖：

恢復(fù)出廠設(shè)置的菜單序號是5，輸入5并且按Enter回車。

這里還需要輸入y（小寫）確認(rèn)一下。Y確認(rèn)后系統(tǒng)就會恢復(fù)出廠設(shè)置并且重啟設(shè)備。

怎樣限定允許訪問端口映射的IP地址？

Tue, 22 Apr 2025 14:46:22 +0800

通過路由器或者網(wǎng)關(guān)的“端口映射”功能，可以把內(nèi)網(wǎng)的網(wǎng)絡(luò)服務(wù)映射到外網(wǎng)，供互聯(lián)網(wǎng)上的用戶使用。一些公司的ERP、CRM、OA系統(tǒng)都會采用這樣的方式，使代理商、出差員工可以進(jìn)行網(wǎng)絡(luò)辦公。端口映射的配置如下圖：

1. 端口映射的使用條件

端口映射需要滿足如下條件：

要有固定公網(wǎng)IP地址。如果沒有申請專線固定IP，運營商現(xiàn)在一般都直接分配內(nèi)網(wǎng)IP地址，從公網(wǎng)上是訪問不到的。
如果要映射到外網(wǎng)的80、443、8080等常見Web端口，需要到運營商備案。

2. 端口映射的安全問題

端口映射的服務(wù)可以直接在公網(wǎng)上訪問到，所以必然會招來攻擊。要保護端口映射服務(wù)器的安全，需要考慮如下方面：

盡量采用不常見的端口
開啟入侵防御來阻止入侵攻擊
阻止來自國外的IP地址
限定只能訪問的IP地址

請參考：端口映射的服務(wù)器被攻擊怎么辦？

3. 限制訪問端口映射的公網(wǎng)IP地址

下面我再來演示一下如何用WSG上網(wǎng)行為管理限制訪問端口映射的外網(wǎng)IP地址。端口映射的訪問在“外網(wǎng)”區(qū)域的“轉(zhuǎn)發(fā)”方向，我們需要配置兩條規(guī)則。一條是阻止所有的外網(wǎng)轉(zhuǎn)發(fā)，一條是允許指定IP的外網(wǎng)轉(zhuǎn)發(fā)。如下圖：

通過上述配置，即可限定允許訪問端口映射的外網(wǎng)IP地址。

怎樣允許局域網(wǎng)電腦訪問網(wǎng)站但是不允許外發(fā)？

Tue, 22 Apr 2025 14:07:43 +0800

一些企事業(yè)單位出于工作和安全的需要，希望可以允許局域網(wǎng)內(nèi)的電腦終端訪問互聯(lián)網(wǎng)，但是不允許發(fā)送數(shù)據(jù)到外網(wǎng)。這個需求從理論上來說其實是矛盾的，以Web訪問為例，當(dāng)我們?nèi)ピL問一個網(wǎng)頁的時候，用的是HTTP的GET指令，大概的格式是這樣的：

GET /path/to/resource HTTP/1.1

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Connection: keep-alive

瀏覽器告訴網(wǎng)站服務(wù)器這些信息：需要訪問的URL地址、域名、瀏覽器種類、壓縮類型、連接類型等。這個頭部的大小在RFC的定義中是2K字節(jié)，這是明文的HTTP方式。如果是HTTPS方式，還需要證書交換，上傳的數(shù)據(jù)大約8K字節(jié)。換句話說，即使只是瀏覽網(wǎng)站，每一次訪問也需要8K的上傳數(shù)據(jù)。所以說，只允許訪問但是不允許任何外發(fā)數(shù)據(jù)，這個需求是自相矛盾的，不能得到真正的實現(xiàn)。

雖然嚴(yán)格的完全只訪問不上傳是做不到的，但是我們可以通過限定上傳數(shù)據(jù)的大小來實現(xiàn)這個功能需求。如下圖：

WSG上網(wǎng)行為管理的“應(yīng)用過濾”有一項“智能過濾”的功能，可以設(shè)置每個連接的最大允許的上傳數(shù)據(jù)?；谏厦娴姆治?，我們把這個值設(shè)置為“10KB”即可不影響正常的網(wǎng)站訪問，而且不能上傳超過10KB的信息。

啟用該選項后，WSG會自動統(tǒng)計每個連接中的上傳數(shù)據(jù)大小，一旦上傳數(shù)據(jù)超過限定的閾值，就會判定為”疑似上傳行為“而加以禁止。利用該選項有如下好處：

對所有的應(yīng)用協(xié)議都可以生效。
不在應(yīng)用特征庫中的上傳行為也可以禁止。
https網(wǎng)站中的上傳也一樣可以設(shè)別和屏蔽。

如下圖，https的網(wǎng)頁郵件中的上傳附件可以被識別和禁止掉。

論壇發(fā)帖的附件一樣可以禁止掉。

不但是Web上傳，對于各類客戶端APP，比QQ傳文件、微信傳文件中的上傳行為也一樣可以禁止。

在WSG的實時流量圖中，點擊總帶寬的數(shù)字進(jìn)去，就可以看到每個終端的實時連接和實時封堵。實時封堵里面顯示了連接被禁止的原因、對應(yīng)的模塊和策略。如下圖中所示，可以看到“疑似上傳文件”的禁止記錄。

這樣就實現(xiàn)了“只允許下載和訪問但是不允許上傳”的功能需求，滿足了企事業(yè)單位的安全需要。需要注意的一點是：為了避免分片傳輸，盡量不要把疑似上傳的閾值設(shè)置的過大（500K以內(nèi)為宜）。

WSG-500G，國產(chǎn)CPU信創(chuàng)上網(wǎng)行為管理硬件安全網(wǎng)關(guān)

Mon, 24 Mar 2025 15:49:10 +0800

為滿足網(wǎng)絡(luò)安全國產(chǎn)化要求，我們新推出了WSG-500G型號。WSG-500G采用國產(chǎn)CPU平臺硬件和自主研發(fā)的WFilter上網(wǎng)行為管理系統(tǒng)，聚焦自主創(chuàng)新的網(wǎng)絡(luò)安全防護，提供多樣化的身份認(rèn)證、專業(yè)的上網(wǎng)行為管控，全面管控網(wǎng)絡(luò)用戶身份安全、阻止終端違規(guī)接入和上網(wǎng)違規(guī)行為，使網(wǎng)絡(luò)更加規(guī)范和安全。下面是該型號的一些功能和性能介紹。

1. 采用國產(chǎn)CPU平臺

先看一下設(shè)備的前臉和后臉。

WSG-500G這個型號采用了兆芯CPU平臺+8G內(nèi)存+1T硬盤，支持2個千兆電口和2個萬兆光口，2U機箱，滿足信創(chuàng)要求。

2. WSG-500G的處理性能

該型號可以支持2.5G的應(yīng)用層帶寬，1000個內(nèi)網(wǎng)終端。

更多的功能介紹，請參考：WSG上網(wǎng)行為管理硬件，關(guān)于該型號的更多信息，請聯(lián)系我們。