WSG上網行為管理有著強大的報表系統，可以實現對于網站訪問、流量、工作效率、網絡訪問趨勢等一系列的統計功能。在本文中，我將以每日流量統計為例，配置一個自動發送的流量統計報表。

1. 新增流量統計報表

在“查詢統計”-“統計報表”的報表列表中，點擊“新增”。

WSG上網行為管理通過安裝在網絡出口處，可以對局域網內終端的上網行為進行審計記錄，從而保障企事業單位的信息安全，提供一年以上的上網審計記錄，使上網行為有據可查。那么，WSG上網行為管理可以審計哪些內容呢？本文將為您作詳細介紹。

1. WSG的部署位置

WSG上網行為審計系統一般部署在網絡出口處即可對全網進行審計記錄，既可作為網絡的主路由器，也可以做透明網橋串接在路由器和交換機之間。網絡拓撲圖如下：

通過用上網行為管理限制電腦的網絡訪問，管控終端可以訪問的外網站點，可以實現只允許終端使用指定的網絡軟件。請注意，網絡管控只能管控網絡軟件，并不能限制單機軟件。

本文中，我將以WSG上網行為管理為例，使終端電腦只能使用“虛幻引擎”這個軟件。

1. 首先，配置“應用過濾”禁止所有外網

為了保障網絡安全，提高員工工作效率，企業有必要部署上網行為管理。上網行為管理可對企業內部員工的上網行為進行全方位有效管理，保護Web訪問安全，降低互聯網使用風險，避免機密信息泄露，提升工作效率，限制下載和視頻P等嚴重消耗帶寬的應用，保障企業核心業務帶寬。

利用WSG的用戶認證和行為管理策略，可以對域用戶、非域用戶配置不同的上網策略。比如，你可以默認禁止所有的終端上網，當電腦加入域后，則可以根據賬號、OU等放行具體的訪問內容。本文中，我將介紹如何開啟域認證，并且屏蔽非域用戶上網。

現在的視頻資源非常多，抖音、愛奇藝、騰訊視頻、優酷......可以說是數不勝數。而對于公司局域網來說，手機刷視頻不但嚴重影響工作效率，而且是一個非常耗費網絡帶寬的一個行為。

本文中，我將以WSG上網行為管理為例，介紹如何在公司局域網內禁止手機刷抖音等視頻。

該視頻簡要介紹了WSG上網行為管理的各項功能。

在局域網內部署WSG上網行為管理后，可以對全網的上網行為進行分析、記錄和統計。除了內置的一系列報表外，你還可以利用WSG的自定義報表功能，來實現更強大的統計功能。在本文中，我將介紹如何用WSG的統計報表，來對員工找工作的行為進行分析告警，從而使公司領導了解員工的工作心態，減少公司損失。

1. 首先，創建一個自定義報表。

如下圖，選擇“網頁統計”-“網頁瀏覽次數統計”，勾選“保存該報表”，點擊保存后，再點擊“設置”。

很多企事業單位需要對電腦的外網訪問采用嚴格的控制策略，比如只允許工作網站、只允許使用163郵箱等。本文中，我將以WSG上網行為管理為例，來演示如何實現網站白名單功能。

具體的配置邏輯是：先在“應用過濾”中禁止所有的網絡應用，然后再把要放行的內容加到“例外設置”里面。因為“例外設置”的優先級是最高的，這樣就達到了管控的效果，被管控的終端只能訪問指定

很多情況下，局域網內部的一些終端，比如領導電腦、移動pos機、內網服務器等，需要不加限制的訪問外網（即不受到任何上網行為策略的管控）。在WFilter NGF（WSG上網行為管理）中，我們主要通過“例外設置”來實現。本例中，我將介紹如何用例外設置來實現終端白名單的功能。

不加管控的局域網下載，不但會占用大量的帶寬資源，而且下載不明類型的軟件程序等會給局域網來的病毒等危害。在本文中，我將結合WSG上網行為管理網關，來介紹如何屏蔽局域網的下載行為。

下載行為的管控，主要從以下幾個方面來入手：

1. 屏蔽各類下載站的訪問。

2. 屏蔽各類下載工具、P2P下載軟件等。

3. 禁止網盤等文件傳輸。

4. 屏蔽網頁上的文件下載。

釘釘的通訊過程比較復雜，需要用到釘釘相關的網站、阿里云平臺，還有一些私有的通訊協議。所以要達到“只允許釘釘并且屏蔽其他網絡行為“這個管控效果，一般的路由器是做不到的，需要專業的上網行為管理產品才可以。專業的上網行為管理產品可以準確識別出釘釘的流量并且加以管控。

釘釘的使用過程中必須連接外網，對于網絡權限設置比較嚴格的局域網來說，如何開放釘釘一直是一個難題。由于釘釘官方已經不再公布服務器的段，所以不能基于IP范圍來做管控。必須要有專業的上網行為管理產品，才可以準確識別出釘釘的流量并且加以管控。

本文，我就來介紹下在WSG上網行為管理網關中如何放行釘釘。釘釘的使用需要通過https訪問釘釘相關的網站，另外還有自己的通訊協議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘這兩個應用協議，并且允許釘釘的相關網站。具體的配置步驟如下：

在部署了上網行為管理的局域網內，總會有人想各種各樣的辦法來突破上網管控。常見的方法有：

1. IP地址盜用。
   

2. MAC地址克隆。

首先可以考慮不開放管理員權限，或者采用域控的方式禁止客戶機自行修改網絡設置等辦法。其次也可以通過上網行為管理的管控策略來阻止這些行為。本文中，我來介紹下如何用WSG上網行為管理網關來應對IP地址盜用和MAC地址克隆。

在三層交換機環境下，由于三層交換機屏蔽了終端的實際mac地址，上層的上網行為管理在不開啟“MAC地址收集器”的情況下，是檢測不到終端的實際mac地址的。這樣也就不能實現mac地址黑白名單的功能。網絡結構如下圖：

對于一些安全性要求比較高的局域網來說，有時候只允許客戶機訪問指定的網站，其他網絡行為一律禁止。這時候我們就需要用到“網站白名單”功能（只允許訪問下列網站）。具體的配置如下圖：

1. 在網頁過濾中開啟“只允許訪問下列網站”

“只允許訪問下列網站”功能開啟后，客戶機只能訪問允許的站點。其他網頁一律訪問不了。

選擇應用對象和生效時間

我們一般把WSG上網行為管理的使用分為三個步驟：安裝部署、基本配置、策略配置。

1. 安裝部署：把設備安裝到網絡中，使網絡能正常工作。
   

2. 基礎配置：DHCP和VLAN設置、防火墻策略、端口映射、分組設置等基本配置。

3. 策略配置：上網行為的審計策略、過濾策略、查詢和報表等功能和配置。

在本文中，我將介紹WSG網關的安裝部署的具體步驟。用戶拿到設備后，按此步驟即可完成安裝部署工作，并且開通遠程管理訪問。使技術人員可以進行遠程協助配置。

2018俄羅斯世界杯大幕拉開，世界杯期間球迷們將通過各種途徑觀看世界杯。互聯網作為世界杯的主要承載媒體，也使得我們的網絡感受到了前所未有的壓力。對于各類企事業單位來說，首要保障公司業務所需的帶寬資源，同時也要人性化的滿足世界杯的激情需要。

因此在世界杯期間，無論是門戶網站、運營商或是企事業單位，都需要解決帶寬分配和流量管理的問題。既讓客戶和員工可以觀看世界杯，同時又要讓企業的網絡帶寬不被搶占，關鍵應用的質量不受影響。

相對于固定IP而言，自動獲取IP（DHCP）更加方便，而且不會導致IP地址沖突。但是對于局域網網絡管理而言，IP地址不固定就無法實現有效的管控。作為專業的上網行為管理廠家，WFilter系列上網行為管理產品針對該情況可以提供兩種解決方案：

1. 先進行IP-mac地址綁定，然后基于IP地址管控。

2. 直接基于MAC地址進行管控。
   

以WFilter NGF（WSG網關）為例，具體配置介紹如下：

上網行為管理網關、防火墻、路由，不管是硬件還是軟件，其基本原理都是一樣的。硬件產品其實就是軟件包灌到硬件設備里面打包成一個整體設備。而上網行為管理、防火墻和路由的共同點，都是部署在局域網出口的，大部分都基于LINUX系統進行的定制開發。如果是軟件方式，安裝時需要用一臺專門的服務器。所以，產品性能的指標取決于兩方面：硬件配置和軟件系統。那么產品的選擇，主要在這兩方面進行優選。以下是一些簡單的介紹：

一、從軟件內核角度來說，路由系統、防火墻系統、上網行為管理網關系統，都是在LINUX上裁剪開發出來的。但是這些系統各自的功能側重點、和性能指標都是完全不一樣的。如下圖：

全世界的路由，防火墻，網關，VPN服務器，各種服務器的設備可以說都是一樣的構造：軟件系統灌到硬件設備當中去。同時差別又很大：一兩百就可以買到一個小路由，十萬二十萬才能購置一臺重量級服務器。為什么差別這么大？其實就兩樣：硬件配置和軟件系統。幾百的小路由是那種路由芯片，過萬的服務器最低intel X86的芯片。而用什么硬件設備，取決灌什么軟件系統了。

以最普遍的路由器來說，都是基于嵌入式系統裁剪出來的。一些經典的路由系統，比如Routeros，系統很輕巧，運算壓力也不大，簡單的芯片就可以承載。而防火墻系統、上網行為管理系統，還需要在LINUX的基礎上，做大量的開發。所以對硬件需求，一定要有個強勁的CPU，以及大容量的硬盤和內存才足夠。普遍都用工控機來實現。

就上網行為管理設備來說，首先WSG上網行為管理網關，系統基于LINUX獨立系統，支持海量協議庫和網址庫。這點就決定了硬件的配置級別一定不是路由芯片可以滿足的。

之前有用戶反映過一個挺困擾的問題：就是騰訊的QQ經常會自動下載QQ電腦管家和QQ瀏覽器，占用大量的帶寬資源，而且給PC機的管理帶來麻煩。如圖，你只要點擊“一鍵領取”，就會自動下載并安裝騰訊的相關軟件。

本文中，我將介紹如何用WFilter ICF來禁止這些軟件的自動下載安裝。

上網行為管理的部署方式主要有旁路、網關、網橋這三種部署方式。在之前的一篇博客“企業上網行為管理部署方案”中，我們已經簡單介紹了三種方案的優缺點。那么在本文中，我們再側重介紹下“網橋”和“網關”兩種模式的優缺點比較。

經常有用戶問到上網行為管理是軟件好還是硬件好，實際上硬件從本質上來說也是軟件，只不過是預裝好的系統。所以從功能上來說，硬件和軟件并沒有區別，差別主要在穩定性、兼容性和服務上。

本文將著重從穩定性、兼容性、服務上討論上網行為管理軟件和硬件的區別。