微信WiFi，又名“微信連WiFi”。這個功能要求連接WiFi的用戶關注公眾號后上網，既可以推廣公眾號，還可以顯示廣告位，具備很實用的商業價值。微信WiFi認證的實現，有如下辦法：

1. 廣告路由器。直接把微信WiFi集成在無線路由器中，通過路由器界面或者云管理來進行配置。

2. 認證網關（網橋） + 無線AP的方式。由認證網關網橋來進行微信WiFi認證，無線AP只提供無線接入。

3. 旁路軟件 + 無線AP的方式。由旁路軟件來推送認證頁面，無線AP只提供無線接入。

這三種方案，廣告路由器的方案比較適合小環境，成本和實施都非常的簡單。如果網絡有一定規模，不適合部署多個廣告路由器時，就需要考慮第二和第三種方案?！罢J證網關”和“旁路軟件”的主要差別在于部署模式。

所謂串聯部署，顧名思義就是串接在網絡里面，所有數據都會流經過監控系統，從而可以讓監控系統解析，還原；還可以實現中間人技術（HTTPS,SSL監控）。這樣部署可以直接深入網絡，對網絡管理，協議分析，內容審計更加全面到位。

串聯部署方案兩種形式：

無線上網的被監控端主要都是手機、PAD，也包括無線上網的電腦。手機的安卓系統以及蘋果系統底層都是不開放的，所以沒有任何辦法安裝監控客戶端。所以無線監控只有一個方式，就是網絡監控。網絡監控的部署分兩種，串聯監控部署以及旁路監控部署。

現在很多企業局域網都是全無線覆蓋，給員工和客戶的網絡接入提供了很大的便利。無論在公司或者廠區的任何位置，都可以很方便的接入到公司局域網和互聯網。但是這樣也帶來了不可避免的安全性問題：一旦有未經授權的網絡接入，不但會占用寶貴的帶寬資源；而且會帶來病毒、黑客攻擊等局域網安全問題。

所以，局域網在做無線覆蓋的同時，一定要考慮到安全問題。一般來說，可以從兩方面入手：

1. 合理的劃分VLAN。無線接入應當處于單獨的VLAN，并且控制該VLAN對企業內部資源的訪問。即使有惡意的攻擊，也可以被控制在無線VLAN內部。

2. 對無線上網的設備進行用戶認證。

3. 對無線上網的設備進行ip-mac綁定。

4. 記錄無線上網的上網記錄，包括ip地址、mac地址、網站訪問等信息。供需要時查詢。

無線設備的應用，不管是生活上，還是企業應用，現在多么深多么廣無需在累贅說明。就企業信息管理，網絡管理來說，WIFI的管理也是企業上網行為管理的一個重要的部分。網絡監控對于WIFI的優勢還是非常明顯的，網絡監控走的網絡層面，那么被監控的設備就沒有要求，不管是手機還是電腦，或者PAD，也不管是windows系統還是MAC系統或者LINUX系統，統統都可以監控管理。

作者:笨小驢 | 分類:WiFi監控管理方案 | 瀏覽:7430 | 評論:0

之前有用戶反映過一個挺困擾的問題：就是騰訊的QQ經常會自動下載QQ電腦管家和QQ瀏覽器，占用大量的帶寬資源，而且給PC機的管理帶來麻煩。如圖，你只要點擊“一鍵領取”，就會自動下載并安裝騰訊的相關軟件。

本文中，我將介紹如何用WFilter ICF來禁止這些軟件的自動下載安裝。

上網行為管理的部署方式主要有旁路、網關、網橋這三種部署方式。在之前的一篇博客“企業上網行為管理部署方案”中，我們已經簡單介紹了三種方案的優缺點。那么在本文中，我們再側重介紹下“網橋”和“網關”兩種模式的優缺點比較。

經常有用戶問到上網行為管理是軟件好還是硬件好，實際上硬件從本質上來說也是軟件，只不過是預裝好的系統。所以從功能上來說，硬件和軟件并沒有區別，差別主要在穩定性、兼容性和服務上。

本文將著重從穩定性、兼容性、服務上討論上網行為管理軟件和硬件的區別。

企業在部署上網行為管理時，對方案的選擇需要考慮如下因素：

1. 是否需要改變現有的網絡結構？

2. 是否需要對現有設備進行重新配置？

3. 對現有網絡穩定性和網速的影響。

4. 網絡結構改造的工作量。

除非現有的設備面臨升級換代，我相信大部分人都不會選擇替換現有的設備和改變網絡結構。那么首選的方案就是兩個：“旁路部署方案”和“網橋部署方案”。這兩個方案，都可以透明部署，無需改變現有結構，也不會帶來對性能和網速的影響。具體的比較如下：

現在大部分企業或多或少都會有一些業務要發布到互聯網上供外網訪問，比如：ERP系統、OA系統等。為了保證這些業務的正常運行，需要提供一個穩定的帶寬保障，如何解決內網辦公和外網訪問的帶寬共享，也是一個讓大部分網管頭疼的問題。

本文中，我將結合一個實際的網絡改造例子，來介紹如何保障互聯網業務的帶寬。

1. 網絡結構介紹

本例中，用戶之前用的是一個普通的多WAN口路由器，接了三根光纖（兩個固定IP），用兩個固定IP分別映射到內網的OA系統和ERP系統。在實際使用中，由于內網的流量比較高，外網用戶經常會反映連接不上ERP/OA系統。結合公司的上網行為管理系統，決定購買一臺“WSG-500E上網行為管理網關”，替代掉現有的路由器。網絡結構圖如下：

有些用戶為了提高網速，一味的申請更多的帶寬，其實是不足取的。要保證局域網的網速，帶寬雖然不可或缺，但是正確的組網方式和管理手段更加重要。在當前的網絡環境下，出口帶寬500K/人就完全可以滿足正常的上網需要，舉例來說，100人50M帶寬，50人20M帶寬。

本文中，我將介紹一個典型的多線路局域網改造方案。

對于一個小型的局域網環境（終端數少于50）來說，一個企業級上網行為管理路由器就可以實現基本的上網行為管理功能。當然，路由器的功能比較局限，對于上網內容記錄、上網統計、網址庫過濾等高級功能，你就需要部署一臺專業的上網行為管理來實現了。

本文中，我將介紹少于50客戶端的局域網，如何部署一臺專業的上網行為管理設備？

你需要一臺雙網卡的PC機或者x86架構的工控機，安裝上WFilter NGF上網行為管理系統。

很多局域網采用的是“防火墻/路由--三層交換機--二層交換機”的拓撲結構，而由于三層交換機的配置相對來說比較復雜，在這樣的局域網中部署上網行為管理，用戶往往會面臨如下的一些問題：

1. 找不到交換機的管理員用戶名和口令。
   

2. 沒有技術人員可以修改交換機的配置。

3. 沒有交換機廠商技術支持。

其實在有三層交換機的網絡環境中部署上網行為管理并不困難。在本文中，我將分別介紹“網橋部署”和“網關部署”的兩種方案。我們的方案，都盡量避免了對交換機的配置進行修改。

電腦修改IP，最直接的結果，會導致這個電腦不能上網，如果改成另外一臺電腦的IP，那么IP會沖突，兩個電腦都沒法上網。這樣的問題，不是大問題，但是卻很麻煩，如果是想在本機禁止，網上有一水的經驗和方法，就不一一介紹的。但是如果碰到員工自己的電腦，或者網管的爪子伸不到電腦上，那么如果在網絡層管理呢？

1. 如果您是域環境，做禁止修改IP也好做的。給每臺電腦設置固定IP地址，且不開放管理員權限（客戶機無法自行修改）。這個方案只能對電腦起作用，一般在域環境的局域網用的比較多。如圖中的組策略配置。

WFilter NGF的整個系統設計都遵循了API設計的原則，甚至可以說，現有的WFilterNGF的UI就是基于我們的API系統開發而成。本文，將結合一個簡單的例子，來演示下WFilter NGF的API調用。需求很簡單：“調用WFilter的API，對某個IP進行限速和Web過濾。”

首先，要進行WFilterNGF的相關配置。

由于限速和Web過濾是分開的模塊，那么我們的思路是建立一個“虛擬組”，對這個虛擬組配置限速和Web過濾策略，API調用只需要把這個IP加入到虛擬組即可。

這個世界有矛就有盾，既然有IP-MAC綁定的技術，總歸就有人會嘗試去突破這個綁定。一般來說，無非是通過”修改IP地址“和”修改MAC地址“兩種方式。

1. IP地址的修改很簡單，在“本地連接”里面，修改TCP/IP的屬性就可以，如圖：

隨著移動終端使用越來越廣泛，WIFI也是漫天遍野都是，但是企業局域網里面私接路由或者電腦上插了隨身WIFI，看視頻或者下載什么，對于局域網帶寬消耗很大，最直接的也非常影響了工作狀態。如果把IP綁定以后，能否杜絕這一現象呢？一半的一半，私接路由可以拒絕，但是隨身WIFI不行。

1. 先說私接路由，這里的私接路由，是局域網里面某個大神自己帶個小無線路由器，往角落里面交換機上一插，然后就可以無線上網了，那么這個時候如果想要阻止這位大神，需要采用那個NGF或者WSG網關的IP綁定策略，采取這樣的策略，隨便什么無線路由，或者電腦直接插都無法上網，這樣配置，那么局域網里面電腦擅自修改IP，也無法上網。這樣的IP管理的妥妥的。一人一P，人改P不改。

交換機上配置IP-mac綁定，主要需要考慮兩個因素：

1. 該交換機是否開啟DHCP服務？

2. 是采用端口綁定還是ARP綁定？

端口綁定或者ARP綁定，只是強制了IP-MAC的對應關系。但是，對于自動獲取IP地址的客戶機而言，還需要在DHCP服務器上分配固定IP才可以；否則客戶機重新獲取IP后，就會聯不了網。所以，一個完善的IP-MAC綁定方案，既要考慮DHCP的靜態地址分配，還要考慮IP-MAC的實際綁定實現。對于三層交換機而言，分為兩種情況：

對于企業的辦公局域網來說，IP-MAC綁定帶來的好處是顯而易見的。但是各企業在具體實施的過程中，應當根據各自局域網的特點，結合行政手段，有計劃、有目的的進行實施。

首先，獲取管理層的支持，頒布行政命令。

如果沒有相應的行政命令，員工會不斷的嘗試手動修改IP來繞開監管。從而導致不斷的IP地址沖突等網絡問題。所以在行政命令上，需要做到：

1. 禁止私自修改IP。

2. 禁止私接路由器、隨身wifi等設備。

以上行為一旦發現，配合一定的懲罰手段，可以減少技術手段的工作負擔。

對局域網設備進行IP-MAC綁定是網絡管理的一個重要手段，可以有效的防止IP盜用、IP濫用、IP地址沖突等異常情況。

IP-MAC綁定可以采用多種方法來實現，本文中，我將介紹一些常用的局域網IP-MAC綁定方案。

1. 域的組策略禁止修改IP

給每臺電腦設置固定IP地址，且不開放管理員權限（客戶機無法自行修改）。這個方案只能對電腦起作用，一般在域環境的局域網用的比較多。如圖中的組策略配置。

IP地址沖突是一個非常常見的網絡問題，電腦甲本來用的IPA的，不知道怎么回事，改成電腦乙的IPB了，那么做直接的結果就是電腦甲和乙都沒法上網，這種事故真的是平常事故，但是一出來，就不能上網了，如果沒有合適的檢測工具，IT或者網管為這樣事故頭疼愈烈的時候多呢。

1. 要有一個好的檢測工具，這樣網絡問題可以初步判斷出來。這個功能我們我們的WFilter的所有產品以及WSG的所有產品都有的。檢測到IP和MAC地址沖突了，具體情況看的妥妥的。

很多公司出于安全考慮，需要對IP-MAC地址進行綁定。IP-MAC綁定可以采用多種方法來實現，本文中，我將介紹各款交換機是如何進行IP-MAC綁定的。請注意，本文中的IP-MAC綁定是基于端口做的綁定，要求客戶機必須固定IP地址才可以聯網。

思科2950

#進入配置模式

Switch#config terminal

#進入具體端口配置模式

Switch(config)#Interface fastethernet 0/1

#配置端口安全模式

#配置該端口要綁定的主機的MAC地址

Switch(config-if )#switchport port-security mac-address MAC(主機的MAC地址) ip-address 192.168.x.x

WFilter NGF上網行為管理系統專為企事業單位的局域網量身打造，今天我來介紹下為什么說WFilter NGF更適合做企業的局域網環境。

1. 上網行為管理、流控、防火墻、VPN、VLAN等N合一

很多廠商的上網行為管理、防火墻、VPN都是單獨的產品，企業實現這些功能必須要買多臺設備，不但導致高額的投入，而且設備的維護管理也比較麻煩。而WFilter NGF系統集成了“上網行為管理”、“防火墻”、“流控”、“VPN”以及劃分VLAN的功能。只需要一臺設備，即可滿足企業的多種需求，大大降低企業的運營成本，能夠防止外部攻擊及內部威脅，并將復雜化的網絡環境簡便化，方便后期的運營與維護。

WFilter ICF（超級嗅探狗）是一款為企事業單位的局域網量身打造的上網行為管理軟件，今天我來介紹下為什么說WFilter ICF更適合做企業的上網行為管理？

1. 更適合企業需求的網址庫和協議庫

上網行為管理的核心是”網址庫“和”協議庫“。沒有哪家的產品可以涵蓋所有的網站和協議，所以網址庫和協議庫的設計直接就體現了產品的適用對象。舉例來說：有的協議庫主要針對各種網游，那么這個產品的主要適用對象一定是網吧這樣的客戶，用于做游戲的加速。

而WFilter的網址庫和協議庫，都是和企業網絡管理息息相關的，比如用于提高工作效率的”游戲類“、”聊天類“等，用于節省帶寬的”流媒體類“、“下載類”等，用于信息安全的“文件傳輸類”、“郵件類”、“網盤和文件分享類”等。

WFilter NGF的IPSec VPN模塊，可以很方便的在企業總部和分支機構之間創建VPN局域網，利用現有的互聯網出口，虛擬出一條“專線”，將組織的分支機構和總部連接起來，組成一個大的局域網。網絡拓撲圖如下：

IPSec隧道建立成功后，總部以及各分支的內網之間就可以直接互相訪問。下面是具體的配置步驟：