經常有用戶問起如何用”WSG上網行為管理網關“(WFilter NGF)來進行組網,本文我將進行一定的探討。
首先要明確的是,WSG網關是一個”下一代防火墻“、”上網行為管理設備“,也是一個網關路由器,另外WSG還可以工作在網橋模式。所以,WSG一般采用如下方案來組網:
WSG在網絡中處于接入的位置,后面直接接交換機。WSG已經有了防火墻功能,所以不需要額外的防火墻。
WSG接在現有的防火墻后,用網關或者網橋模式,用做上網行為管理和流控。
由于網橋的模式比較簡單,不涉及到網絡結構的改動。在本文中,我們只探討WSG作為網關的組網模式,以一個典型的企業局域網環境為例(分為:辦公、服務器、Wifi),詳述如下:
1. 組網方案
1.1. WSG + 三層核心交換機
如上圖所示,通過三層交換機來劃分VLAN,WSG作為路由接入設備,提供防火墻和上網行為管理功能。這個網絡結構,只需要在WSG上配置到不同VLAN網段的路由即可,詳細配置命令請參考:多VLAN三層交換機如何連接WFilter上網行為管理系統
1.2. WSG + 二層VLAN交換機
如上圖所示,本例中,WSG作為路由接入設備,提供防火墻和上網行為管理功能。用支持VLAN的二層交換機來作為核心交換機,由于二層VLAN交換機無法配置ACL,需要在WSG網關上配置VLAN模塊,從而把WSG網關作為一個“單臂路由”來使用。具體配置請參考:WFilter NGF的VLAN設置
1.3. WSG + 普通二層交換機
如果您沒有三層交換機,也沒有支持劃分VLAN的二層交換機。沒問題,用WSG一樣可以實現多網段:在“接口設置”中添加多個“內網網段”,每個內網網段接到不同的交換機即可。等于在WSG網關是實現了VLAN的功能,還可以用WSG的“防火墻”功能來設置不同網段互訪的權限。
2. 服務器的發布
服務器的發布一般有兩種方案:
3. 服務器安全問題
如果是通過“端口映射”來發布服務,由于只公開了指定端口,安全性是比較高的,一般不會存在安全隱患。(注:黑客利用公開的漏洞,可以在服務器上開啟其他的端口進行入侵。而端口映射由于只映射了一個端口,所以黑客即使利用漏洞開啟了后門,也會被防火墻擋住無法進入。)
服務器的安全問題,需要注意如下要點:
a. 如果是“端口映射”或者“DMZ”來發布服務,建議多排除掉一些端口,只留下必須的服務端口。
b. 在服務器自身上開啟防火墻,只例外服務必須的端口。(又加了一重保障)
c. 服務器段單獨一個VLAN,并且配置VLAN的訪問規則,只允許內網到服務器的訪問,屏蔽服務器到內網的訪問。這樣設置后,即使服務器被入侵,也可以保證企業內網的安全。
d. 盡量不要開啟3389這樣的遠程管理端口,否則很容易被暴力破解。即使要開啟,也不要用默認端口。
