當你有多臺WSG時,你可能會想把上網日志和統計數據集中保存和管理。集中保存可以保存更長日期的歷史數據,也更加便于管理。本文中,我將介紹如何搭建WSG數據中心管理系統來實現數據的集中存儲管理。
WSG數據中心安裝在一臺windows電腦上,該系統的搭建需要安裝以下產品:
SQL Server數據庫,所有的日志數據都會被導入到SQL Server數據庫中。
FTP服務器,用于提供FTP上傳服務。
WFilterDC(WFilter數據中心管理系統),該系統可以導入數據并且提供查詢和統計等功能。
相對于二層交換機的網絡環境,在三層交換機環境下部署上網行為管理的步驟要復雜一些,差別主要在“靜態路由”和“MAC地址收集器”,還有上層防火墻的一些安全策略的影響。在本文中,我將結合一次實際的安裝經歷,介紹三層環境下用網橋模式部署WSG上網行為管理的一些常見問題。
本例中,網關是華為USG防火墻172.16.200.253,三層交換機是172.16.200.254,子網掩碼都是255.255.255.0。既然200段IP是足夠的,所以我就直接把管理口設置在網橋上面,把WSG的IP設置為172.16.200.252,網關地址和DNS是防火墻的IP地址172.16.200.253。
很多網絡環境目前都采用光纖的連接方式,比如主交換機到其他樓層交換機采用光口連接,再從樓層交換機的RJ45電口連接到其他網絡設備。這種網絡環境中,很多情況下都采用透明網橋的方式部署上網行為管理。本文中,我將介紹如何把上網行為管理的透明網橋串接到光口交換機和電口交換機中間。主要有如下兩種方式:
如下圖,以WSG-500E為例,該型號有6個千兆電口和2個千兆光口,可以把網橋創建在一個光口和一個電口上。光口接上層的匯聚交換機,電口接下面的二層交換機。
利用“擴展插件”中的“NGF配置同步插件”可以同步多臺WFilter NGF(WSG硬件)的相關配置,這個功能在管理維護多臺WSG設備時非常實用。在本文中,我將結合WSG上網行為管理網關來介紹“NGF配置同步插件”的使用步驟。
首先要有一臺WSG作為服務端,其他做為客戶端。服務端可以直接把配置推送給客戶端,也可以等客戶端主動來進行同步。
多臺WSG之間通過Web來同步配置,所以要確保服務端和客戶端之間的Web連接可達。(在服務端可以訪問客戶端的web,或者客戶端可以訪問服務端的web)
創建同步用戶。每臺WSG都應當建一個用戶名密碼一樣的操作員用于進行同步操作。
下載“NGF配置同步插件”,并且進行配置。
二級路由器默認都啟用了網絡地址轉換,會把客戶機的IP地址和mac地址都轉換成路由器的IP和mac。這樣從上層的行為管理來看,只能看到路由器的IP地址。要區分二級路由下面的終端,必須把二級路由器改成AP模式(也就是無線交換機模式)。
在WSG上網行為管理網關的初步設置詳細教程中,我們介紹了WSG上網行為管理網關的初步設置,該文檔中,我們采用了網關部署的方式。在實際使用中,網橋部署方式也極為常見;用網橋的方式來部署WSG上網行為管理,是完全透明部署,不需要修改現有的網絡參數,也不需要更改路由器和交換機的配置。網絡拓撲圖如下:
網橋部署有如下優點:
不需要修改現有的網絡設置。
無需斷網,即插即用。
功能一樣強大:上網行為記錄、行為管理、流控都可以實現。
硬件bypass(要看具體型號),即使網橋設備掉電,也可以保證不斷網。
首先需要給WSG設備分配一個靜態IP地址。該IP用于遠程訪問WSG設備,進行Web認證等遠程訪問操作。需要注意如下幾點:
來賓用戶、流動人員比較多的局域網,如果不對來賓上網進行管控,不但會占用企業帶寬資源,還會帶來安全隱患和政策風險。對于企業環境來說,一般推薦來賓和辦公網絡采用不同的無線SSID,分開進行管控。具體方案如下:
來賓和辦公網絡采用不同的無線SSID。
對來賓和辦公采用不同的限速和行為管理策略。
來賓和辦公網絡采用不同的VLAN,并且不允許來賓訪問公司內網。
不但要設置不同的無線密碼,而且需要進行IP-MAC綁定等策略,禁止來賓用戶接入到辦公網絡。
本文將介紹如何用WFilter NGF來實現短信認證網關,以及短信平臺的具體實現步驟。
WFilter NGF的短信發送通過調用Web API來實現,支持Web API接口的短信平臺很多(一些短信貓也可以支持Web API)。下文中,我們以阿里云的短信服務為例。首先需要創建AccessKey,如下圖:
很多局域網考慮到安全需要,會部署兩臺核心交換機做雙機熱備。在這樣的情況下,如果要旁路部署上網行為管理軟件,需要在兩臺核心上都配置端口鏡像,從而實現不間斷的監控管理。拓撲圖如下:
本文將介紹如何用WFilter來監控多個局域網(多個互聯網接入)。由于每個鏡像只監控到一個局域網,那么要在一臺監控主機上監控多個局域網時,需要使用多塊網卡,每塊網卡都接到一個鏡像端口。然后在WFilter的“系統配置”->“監控配置”中配置多個監控網卡來進行監控。
以同時監控兩個局域網為例,如下圖:
[IMG]upload/morelanMon01.jpg[/IMG]請注意:兩個局域網的網段不能設置成一樣,否則監控記錄會混淆。分別設置不同的網段,比如:192.168.1.x,192.168.2.x。
在“旁路”過濾模式(通過鏡像端口實現監控)下,WFilter(超級嗅探狗)通過在“通訊網卡”上發送RST包來阻斷TCP連接。所以如果通訊網卡不能通訊或者通訊不暢,就可以導致封堵功能不起作用。
一般情況,用同一塊網卡就可以同時實現監控和封堵,當下列情況出現時,需要用兩塊網卡。
1. 交換機的鏡像端口不允許通訊。有些交換機是不允許鏡像上網的,該鏡像口只能收包,不能發包。你可以在監控的電腦上ping其他的電腦來檢查這一項。改變交換機的設置(如果支持的話)或者增加一個獨立的通訊網卡就可以解決這個問題。比如Cisco交換機有一個參數“ingress”,它能允許鏡像端口進行通訊。
2. 監聽網卡過于繁忙。由于鏡像端口要接收其他電腦的上網數據包,網絡壓力大時網卡的負荷會很大。如果需要監控50臺及以上的電腦,我們建議您使用兩塊網卡。點擊“系統配置”—>“配置檢測”可以檢查監控網卡是否存在此問題(存在此問題時會提示“封堵效率過低”)。
網路分流器(Network Tap)可以透明串聯在網絡中實現網絡流量的監控。相比較鏡像交換機而言,network tap有以下優點:
網上有很多如何自己制作network tap的帖子,有興趣的同學可以自己嘗試下,請參見:
隨著虛擬化技術的日趨成熟,越來越多的用戶選擇使用VMWare ESXi來搭建自己的虛擬化平臺,本文著重介紹如何在VMWare ESXi中部署WFilter(超級嗅探狗)來實現監控。
在VMware ESXi環境下,WFilter(超級嗅探狗)可以支持兩種部署方式:旁路模式和串聯模式,有關這兩種模式的區別和優缺點,請參見:[URL=http://www.jsyt0518.cn/help/doc/WFilter_deployment_mode.htm]WFilter部署模式[/URL]
旁路模式監控時,只需要在一臺虛擬機中安裝WFilter,然后開啟虛擬交換機的混雜模式即可。但是由于旁路模式無法禁止UDP通訊,還需要在上層的路由器或者防火墻設備上禁止UDP端口才可以,請參見:[URL=http://www.jsyt0518.cn/help/doc/WFilter_blockudp.htm]如何在路由器上禁止UDP端口?[/URL]
本文主要介紹如何在ESXi環境中,用串聯模式來部署WFilter。串聯模式不需要在上層設備禁止UDP端口即可實現WFilter的所有功能。
用超級嗅探狗局域網管理軟件實現網絡監控,需要把安裝超級嗅探狗的電腦接到交換機的“鏡像端口”上面。本例將以Cisco2950交換機為例,介紹如何通過Cisco2950交換機來實現局域網網絡監控管理。此例也適用于Cisco的其他交換機,如Cisco 2960, Cisco 3750等。
下面本文將以Cisco2950為例,介紹如何配置鏡像端口,部署監控軟件。
更多內容請參考:
[URL=http://jsyt0518.cn/blog/post/102.html]網絡監控為什么需要端口鏡像交換機?[/URL]
[URL=http://jsyt0518.cn/blog/post/110.html]如何判斷端口鏡像是否成功?[/URL]
某公司電信光纖接入, CISCO2950作為中心交換機。網絡拓撲圖如下:
用超級嗅探狗局域網監控軟件實現網絡監控,需要把安裝超級嗅探狗的電腦接到交換機的“鏡像端口”上面。本例將以D-Link3226交換機為例,介紹如何通過D-Link3226交換機來實現局域網網絡監控管理。此例也同樣適用于D-Link的其他支持端口鏡像的交換機。
下面本文將著重介紹如何通過D-Link3226交換機實現網絡監控。
更多內容請參考:[URL=http://jsyt0518.cn/blog/post/102.html]網絡監控為什么需要端口鏡像交換機?
[URL=http://jsyt0518.cn/blog/post/110.html]如何判斷端口鏡像是否成功?[/URL]
現在很多公司都采用筆記本電腦辦公,但是出于工作效率方面的考慮,很多公司都希望進行網絡監控。這種既有有線網絡又有無線網絡的情況下,想要實現網絡監控就比較困難。下面將介紹怎樣在這樣的情況下實現監控。
[B]1. 通過串聯有線路由實現監控。[/B]
某網絡環境如下圖,ADSL接入到linksys寬帶路由器(BEFSR41),然后通過“cisco無線AP”(Cisco 1200)搭建一無線局域網環境。 局域網內既有通過無線上網的機器,又有有線上網的機器。
[IMG]upload/wireless network deployment.jpg[/IMG]在本例中,為了能同時對有線環境的機器和無線環境的機器進行監控。我們增加了一個TPLINK的鏡像交換機(TL-SL2210WEB)。并且需要對無線AP進行設置。 如上圖中框內部分。
TPlink鏡像交換機的設置如下圖: [IMG]upload/tplink_zh.jpg[/IMG]通過無線AP上網的機器,經過無線AP后,IP地址會被統一轉換,這樣我們就不能區分。所以,需要禁止無線AP的NAT功能。有兩種方式可以禁止:1)有的無線AP有自帶的禁止功能,可以直接禁止無線AP的NAT功能;2)如果沒有自帶的功能,可以手動將無線AP的廣域網口接線轉到LAN口上,使其NAT功能失效。
網絡實現監控,就需要端口鏡像的支持。但是,我們常常會發現鏡像端口已經配置好了,可還是不能實現監控。下面將介紹4種可能導致鏡像端口配置不成功的原因:
1. 配置的鏡像端口和實際連接的不一致。比如鏡像的是5號端口,但是實際連接的是6號端口,建議檢查一下接線。
2. 超級嗅探狗實現監控需要雙向(發送+接收)數據包,如果只鏡像了單向數據是無法實現監控的。
3. 安裝嗅探狗的電腦要直接接到鏡像端口。
4. 超級嗅探狗設置不正確。
5. 監控主機的殺毒軟件或者防火墻原因。有些殺毒軟件或者防火墻會自動丟棄掉非本機的數據包。建議關掉防火墻和殺毒軟件以排除其影響。已知的有影響的軟件有:NOD32,、瑞星。具體配置請查看:
某網絡環境如下圖,ADSL接入到linksys寬帶路由器(BEFSR41),然后通過“cisco無線AP”(Cisco 1200)搭建一無線局域網環境。局域網內既有通過無線上網的機器,又有有線上網的機器。 [IMG]upload/HomeNetwork.jpg[/IMG] 在本例中,為了能同時對有線環境的機器和無線環境的機器進行監控。我們增加了一個TPLINK的鏡像交換機(TL-SL2210WEB)。如上圖中框內部分。 tplink鏡像交換機的設置如下圖:
某公司電信光纖接入,采用ISA2004做為上網服務器,CISCO2950做為中心交換機。 網絡拓撲圖如下: 如上圖所示,針對這種網絡結構,有兩種解決方案: 方案一: 直接把超級嗅探狗安裝在代理服務器上來監控局域網。 方案二: 在其他電腦上安裝超級嗅探狗,通過交換機做端口鏡像來監控網絡。 [B]請注意:對于通過內部代理服務器上網的環境,要把代理服務器IP添加到超級嗅探狗的“監聽配置”的“本地服務器”中。[/B]
