在“域賬號(hào)”中，我們介紹了在server 2003/2008下如何設(shè)置adclient登錄注銷腳本。如果您用的是server 2016之后的windows系統(tǒng)，配置步驟略有差異。本文將介紹如何在server 2016下配置登錄注銷腳本。具體步驟如下：

1. 打開(kāi)組策略編輯器

右鍵點(diǎn)擊“組策略管理”中域的“組策略對(duì)象”下面的“Default Domain Policy”。

很多公司出于工作需要，都會(huì)提供遠(yuǎn)程辦公撥入的VPN，供員工在外地可以連接到企業(yè)內(nèi)網(wǎng)處理工作。但是這也帶來(lái)一些安全方面的隱患；所以很多情況下，我們需要對(duì)外網(wǎng)撥入后的訪問(wèn)權(quán)限進(jìn)行控制。

在本例中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)的openvpn來(lái)介紹如何限制外網(wǎng)撥入后的訪問(wèn)權(quán)限。

網(wǎng)管技術(shù)人員經(jīng)常需要處理網(wǎng)站打不開(kāi)的問(wèn)題，而網(wǎng)站打不開(kāi)可能有很多原因，作為一名合格的網(wǎng)絡(luò)技術(shù)人員，需要可以快速定位問(wèn)題所在，然后加以解決。

本文中，我將介紹網(wǎng)站打不開(kāi)的常見(jiàn)原因以及對(duì)應(yīng)的解決方法。

1. 網(wǎng)站自身問(wèn)題

2. DNS解析問(wèn)題

3. 線路不通

4. 網(wǎng)絡(luò)安全策略

本文將介紹如何用阿里云的短信服務(wù)來(lái)實(shí)現(xiàn)WiFi上網(wǎng)實(shí)名認(rèn)證。

1. 申請(qǐng)阿里云賬號(hào)并完成實(shí)名認(rèn)證

首先你要申請(qǐng)一個(gè)阿里云賬號(hào)，因?yàn)槎绦欧?wù)是需要審核的，所以賬號(hào)最好要用企業(yè)為主體并且完成實(shí)名認(rèn)證。如果是個(gè)人賬號(hào)，那么申請(qǐng)短信簽名和模板時(shí)，流程會(huì)復(fù)雜一些。企業(yè)主體完成實(shí)名認(rèn)證后，界面是這樣的：

2. 申請(qǐng)短信服務(wù)

然后在“產(chǎn)品和服務(wù)”中選擇“短信服務(wù)”，并且購(gòu)買(mǎi)適合的套餐。

在局域網(wǎng)內(nèi)部署WSG上網(wǎng)行為管理后，可以對(duì)全網(wǎng)的上網(wǎng)行為進(jìn)行分析、記錄和統(tǒng)計(jì)。除了內(nèi)置的一系列報(bào)表外，你還可以利用WSG的自定義報(bào)表功能，來(lái)實(shí)現(xiàn)更強(qiáng)大的統(tǒng)計(jì)功能。在本文中，我將介紹如何用WSG的統(tǒng)計(jì)報(bào)表，來(lái)對(duì)員工找工作的行為進(jìn)行分析告警，從而使公司領(lǐng)導(dǎo)了解員工的工作心態(tài)，減少公司損失。

1. 首先，創(chuàng)建一個(gè)自定義報(bào)表。

如下圖，選擇“網(wǎng)頁(yè)統(tǒng)計(jì)”-“網(wǎng)頁(yè)瀏覽次數(shù)統(tǒng)計(jì)”，勾選“保存該報(bào)表”，點(diǎn)擊保存后，再點(diǎn)擊“設(shè)置”。

采用企業(yè)微信做上網(wǎng)實(shí)名認(rèn)證存在很多優(yōu)勢(shì)，比如：

1. 可以直接利用企業(yè)微信中現(xiàn)有的組織架構(gòu)，不需要另行創(chuàng)建認(rèn)證的賬號(hào)。
   

2. 和短信認(rèn)證相比，不會(huì)產(chǎn)生費(fèi)用。

3. 電腦和手機(jī)都可以支持。

4. 可以自動(dòng)獲取并記錄企業(yè)微信的員工姓名。

5. 可以基于企業(yè)微信員工姓名配置上網(wǎng)策略和統(tǒng)計(jì)。

很多網(wǎng)絡(luò)環(huán)境目前都采用光纖的連接方式，比如主交換機(jī)到其他樓層交換機(jī)采用光口連接，再?gòu)臉菍咏粨Q機(jī)的RJ45電口連接到其他網(wǎng)絡(luò)設(shè)備。這種網(wǎng)絡(luò)環(huán)境中，很多情況下都采用透明網(wǎng)橋的方式部署上網(wǎng)行為管理。本文中，我將介紹如何把上網(wǎng)行為管理的透明網(wǎng)橋串接到光口交換機(jī)和電口交換機(jī)中間。主要有如下兩種方式：

1. 采用支持光口的上網(wǎng)行為管理設(shè)備

如下圖，以WSG-500E為例，該型號(hào)有6個(gè)千兆電口和2個(gè)千兆光口，可以把網(wǎng)橋創(chuàng)建在一個(gè)光口和一個(gè)電口上。光口接上層的匯聚交換機(jī)，電口接下面的二層交換機(jī)。

很多企事業(yè)單位需要對(duì)電腦的外網(wǎng)訪問(wèn)采用嚴(yán)格的控制策略，比如只允許工作網(wǎng)站、只允許使用163郵箱等。本文中，我將以WSG上網(wǎng)行為管理為例，來(lái)演示如何實(shí)現(xiàn)網(wǎng)站白名單功能。

具體的配置邏輯是：先在“應(yīng)用過(guò)濾”中禁止所有的網(wǎng)絡(luò)應(yīng)用，然后再把要放行的內(nèi)容加到“例外設(shè)置”里面。因?yàn)椤袄庠O(shè)置”的優(yōu)先級(jí)是最高的，這樣就達(dá)到了管控的效果，被管控的終端只能訪問(wèn)指定

勒索軟件對(duì)企業(yè)數(shù)據(jù)有著毀滅性的破壞力，而且企業(yè)中了勒索病毒后，如果沒(méi)有相關(guān)的數(shù)據(jù)備份，要么承擔(dān)損失，要么只能支付贖金。因此勒索軟件的種類和擴(kuò)散逐年遞增，防御勒索軟件工作成為了企業(yè)數(shù)據(jù)安全防護(hù)工作中的眾矢之的。

勒索軟件的傳播途徑和工作原理主要有兩種：

1). 通過(guò)攻擊windows服務(wù)器漏洞入侵到企業(yè)內(nèi)網(wǎng)，然后再進(jìn)行大面積的攻擊感染。

2). 通過(guò)郵件、網(wǎng)站掛馬、文件等方式，先感染個(gè)人電腦，然后攻擊整個(gè)局域網(wǎng)。

WSG上網(wǎng)行為管理網(wǎng)關(guān)的“短信認(rèn)證”功能，可以對(duì)網(wǎng)內(nèi)的終端進(jìn)行短信實(shí)名認(rèn)證，記錄手機(jī)號(hào)以及對(duì)應(yīng)的上網(wǎng)內(nèi)容。在有些情況下，用戶需要指定短信認(rèn)證的手機(jī)號(hào)，未授權(quán)的手機(jī)號(hào)不允許做短信認(rèn)證。在本文中，我將結(jié)合WSG的短信認(rèn)證功能，來(lái)介紹如何限制認(rèn)證的手機(jī)號(hào)碼。

1. 編輯認(rèn)證頁(yè)面

在“web認(rèn)證”-“第三方認(rèn)證”的短信認(rèn)證中，點(diǎn)擊“編輯認(rèn)證頁(yè)面”，可以看到認(rèn)證頁(yè)面信息。如下圖：

企業(yè)的網(wǎng)絡(luò)環(huán)境有很多重要信息，不能被未授權(quán)的用戶訪問(wèn)到，也不能泄露到外網(wǎng)。所以，很多企業(yè)對(duì)公司的WiFi使用，都要求手機(jī)進(jìn)行實(shí)名認(rèn)證，只有認(rèn)證過(guò)的手機(jī)才可以接入。并且記錄上網(wǎng)內(nèi)容和上網(wǎng)策略。本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來(lái)實(shí)現(xiàn)內(nèi)部手機(jī)的實(shí)名上網(wǎng)。

一些企事業(yè)單位出于安全考慮，需要做內(nèi)外網(wǎng)分離。舉例來(lái)說(shuō)，需要達(dá)到如下的技術(shù)要求：

1. 生產(chǎn)網(wǎng)、辦公網(wǎng)、外網(wǎng)三網(wǎng)隔離。

2. 啟用網(wǎng)絡(luò)準(zhǔn)入，對(duì)非規(guī)定允許接入的設(shè)備禁止其接入網(wǎng)絡(luò)。
   

3. 上網(wǎng)數(shù)據(jù)留存。

在本文中，我將結(jié)合WSG上網(wǎng)行為管理來(lái)闡述如何實(shí)現(xiàn)內(nèi)外網(wǎng)分離。

WFilter NGF上網(wǎng)行為管理系統(tǒng)（WSG網(wǎng)關(guān)）提供了豐富的系統(tǒng)調(diào)用API接口，具體的API接口請(qǐng)參考：WFilter API接口。在本文中，我將介紹如何用WFilter的API接口來(lái)直接查詢數(shù)據(jù)庫(kù)。以php為例，流程如下：

1. 下載并引用WFilterNGF的php sdk。
   

2. 調(diào)用login接口，獲取登錄的session。

3. 調(diào)用query_db這個(gè)api接口，可以直接查詢數(shù)據(jù)庫(kù)。

query_db需要兩個(gè)參數(shù)，第一個(gè)參數(shù)是數(shù)據(jù)庫(kù)名，第二個(gè)參數(shù)是查詢的sql語(yǔ)句。如下圖：

在如何用OpenVPN實(shí)現(xiàn)遠(yuǎn)程辦公？一文中，我們介紹了如何用openvpn 2.4.7版本撥入WSG。在本文中，我將介紹如何用openvpn connnect3.2.3來(lái)?yè)苋隬SG的openvpn。最新版本的openvpn connect更加好用，而且支持開(kāi)機(jī)自動(dòng)啟動(dòng)。

Openvpn服務(wù)端的配置過(guò)程不再贅述，請(qǐng)參考前文：如何用OpenVPN實(shí)現(xiàn)遠(yuǎn)程辦公？下面只介紹openvpn connect的安裝部分：

1. 安裝openvpn connect

WSG的Openvpn服務(wù)端模塊，主要用于遠(yuǎn)程辦公撥入和多地組網(wǎng)。Openvpn撥入后，在默認(rèn)配置情況下，只有“推送路由”的訪問(wèn)才會(huì)走vpn隧道?？蛻舳说耐饩W(wǎng)數(shù)據(jù)仍然走的是自己的外網(wǎng)線路。在有些情況下，你可能需要讓openvpn客戶端的所有外網(wǎng)數(shù)據(jù)都經(jīng)過(guò)vpn連接。要實(shí)現(xiàn)此功能，需要一系列的步驟，具體步驟如下：

有些單位出于網(wǎng)絡(luò)安全的需要，只允許使用公司的郵箱來(lái)收發(fā)郵件；其余的郵件方式一律屏蔽掉。在本文中，我將介紹如何用“WSG上網(wǎng)行為管理”來(lái)進(jìn)行相關(guān)策略的配置。具體步驟如下：

出于安全目的和相關(guān)政策要求，大部分WiFi都需要對(duì)WiFi終端進(jìn)行上網(wǎng)實(shí)名認(rèn)證，并且保留一定時(shí)間內(nèi)終端的上網(wǎng)記錄。實(shí)名認(rèn)證目前主要都是通過(guò)短信認(rèn)證來(lái)實(shí)現(xiàn)。在本文中，我將介紹如何用微信小程序來(lái)實(shí)現(xiàn)WiFi上網(wǎng)實(shí)名認(rèn)證。微信小程序做上網(wǎng)實(shí)名認(rèn)證具備如下優(yōu)勢(shì)：

1. 配置簡(jiǎn)單快捷。
   

2. 無(wú)需依賴其他平臺(tái)。

3. 不產(chǎn)生任何費(fèi)用。

相關(guān)的配置步驟如下：

企業(yè)的內(nèi)網(wǎng)存放著很多重要信息，比如公司的技術(shù)資料、客戶信息等。一旦發(fā)生信息泄露，會(huì)給企業(yè)帶來(lái)不可估計(jì)的損失。信息安全是系統(tǒng)工程，涉及到管理行政手段，文件加密技術(shù)、網(wǎng)絡(luò)安全技術(shù)等各方面。本文中，我將從網(wǎng)絡(luò)架構(gòu)的角度，來(lái)論述如何保障內(nèi)網(wǎng)的信息安全。主要涉及到如下兩點(diǎn)：

1. 如何防范非法接入？

2. 如何保障重要信息的安全？

酒店和賓館WiFi出于安全目的和政策要求，需要對(duì)WiFi終端進(jìn)行上網(wǎng)實(shí)名認(rèn)證，并且保留終端上網(wǎng)的上網(wǎng)記錄。WSG上網(wǎng)行為管理網(wǎng)關(guān)，既可以滿足上網(wǎng)日志的記錄，又可以實(shí)現(xiàn)上網(wǎng)實(shí)名認(rèn)證，是公共WiFi上網(wǎng)行為管理的首選產(chǎn)品。在本文中，我將介紹如何結(jié)合客戶實(shí)際的網(wǎng)絡(luò)環(huán)境來(lái)部署WSG上網(wǎng)行為管理網(wǎng)關(guān)。主要包括如下步驟：

1. WSG上網(wǎng)行為管理的部署
   

2. 上網(wǎng)日志的保留天數(shù)

3. 開(kāi)啟實(shí)名認(rèn)證

4. 制作實(shí)名認(rèn)證的二維碼

局域網(wǎng)內(nèi)部有一些查詢資料的公共電腦，一般是多人使用。出于安全考慮，需要記錄每個(gè)人的上網(wǎng)記錄。WFilter NGF（WSG網(wǎng)關(guān)）默認(rèn)配置就可以記錄上網(wǎng)內(nèi)容，但是因?yàn)楣搽娔X人員不固定，所以需要配合Web認(rèn)證。本文中，我將介紹如何用Web認(rèn)證來(lái)對(duì)內(nèi)網(wǎng)公共電腦進(jìn)行實(shí)名上網(wǎng)記錄。

內(nèi)部的實(shí)名認(rèn)證，主要有如下方式：

1. 用戶名密碼認(rèn)證?？梢栽凇百~號(hào)管理”里面添加賬號(hào)；如果公司有現(xiàn)成的AD域、企業(yè)郵箱、Radius等；也可以配置WSG到域/radius/郵箱認(rèn)證。
   

2. 釘釘認(rèn)證、企業(yè)微信認(rèn)證?？梢灾苯佑檬謾C(jī)釘釘app或者手機(jī)微信app掃碼認(rèn)證。

很多情況下，局域網(wǎng)內(nèi)部的一些終端，比如領(lǐng)導(dǎo)電腦、移動(dòng)pos機(jī)、內(nèi)網(wǎng)服務(wù)器等，需要不加限制的訪問(wèn)外網(wǎng)（即不受到任何上網(wǎng)行為策略的管控）。在WFilter NGF（WSG上網(wǎng)行為管理）中，我們主要通過(guò)“例外設(shè)置”來(lái)實(shí)現(xiàn)。本例中，我將介紹如何用例外設(shè)置來(lái)實(shí)現(xiàn)終端白名單的功能。

WFilter NGF（WSG上網(wǎng)行為管理）的WebVPN功能，既可以支持用戶名密碼認(rèn)證登錄，還可以支持釘釘掃碼和企業(yè)微信掃碼登錄。WebVPN的用戶驗(yàn)證方式如下圖：

在本文中，我將介紹如何給WebVPN添加釘釘掃碼認(rèn)證和企業(yè)微信掃碼認(rèn)證功能。

WSG上網(wǎng)行為管理的“事件查看器”中記錄了一系列的事件、告警以及錯(cuò)誤信息，包括操作日志、wan口聯(lián)通狀況、入侵攻擊事件、以及自定義的關(guān)鍵詞告警、流量告警和新增設(shè)備告警等事件日志。傳統(tǒng)的郵件告警方式已經(jīng)越來(lái)不能滿足實(shí)時(shí)通知的需要。在本文中，我將介紹如何利用企業(yè)微信機(jī)器人來(lái)實(shí)現(xiàn)事件日志的實(shí)時(shí)發(fā)送。具體步驟如下：

1. 創(chuàng)建企業(yè)微信機(jī)器人

在手機(jī)版的企業(yè)微信群聊中，添加群機(jī)器人，并記錄webhook的URL地址。如下圖：

WSG的“事件查看器”中記錄了一系列的事件、告警以及錯(cuò)誤信息，包括操作日志、wan口聯(lián)通狀況、入侵攻擊事件、以及自定義的關(guān)鍵詞告警、流量告警和新增設(shè)備告警等事件日志。傳統(tǒng)的郵件告警方式已經(jīng)越來(lái)不能滿足實(shí)時(shí)通知的需要。在本文中，我將介紹如何利用釘釘機(jī)器人來(lái)實(shí)現(xiàn)事件日志的實(shí)時(shí)發(fā)送。具體步驟如下：

1. 添加釘釘機(jī)器人

首先需要在釘釘pc版的群助手里面添加機(jī)器人

ZeroTier可以在無(wú)公網(wǎng)IP的情況下提供便捷的虛擬局域網(wǎng)組網(wǎng)和內(nèi)網(wǎng)穿透方案。簡(jiǎn)單來(lái)說(shuō), ZeroTier就是一個(gè)VLAN組建工具，主要有如下的優(yōu)勢(shì)和缺點(diǎn)：

• 配置非常簡(jiǎn)單，只需要在官網(wǎng)創(chuàng)建Network?？蛻舳酥苯蛹尤隢etwork即可。

• 跨平臺(tái): ZeroTier提供了windows, macOS, linux, Android, iOS...幾乎全平臺(tái)的客戶端, 你可以把任意平臺(tái)的設(shè)備接入VLAN。

• 免費(fèi)可以支持100個(gè)設(shè)備組網(wǎng)。
  

• 缺點(diǎn)：官網(wǎng)只提供英文，沒(méi)有中文版。

本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，介紹如何用ZeroTier來(lái)實(shí)現(xiàn)遠(yuǎn)程辦公撥入和內(nèi)網(wǎng)穿透。