經(jīng)常有用戶(hù)問(wèn)起如何用”WSG上網(wǎng)行為管理網(wǎng)關(guān)“（WFilter NGF）來(lái)進(jìn)行組網(wǎng)，本文我將進(jìn)行一定的探討。

首先要明確的是，WSG網(wǎng)關(guān)是一個(gè)”下一代防火墻“、”上網(wǎng)行為管理設(shè)備“，也是一個(gè)網(wǎng)關(guān)路由器，另外WSG還可以工作在網(wǎng)橋模式。所以，WSG一般采用如下方案來(lái)組網(wǎng)：

1. WSG在網(wǎng)絡(luò)中處于接入的位置，后面直接接交換機(jī)。WSG已經(jīng)有了防火墻功能，所以不需要額外的防火墻。
   

2. WSG接在現(xiàn)有的防火墻后，用網(wǎng)關(guān)或者網(wǎng)橋模式，用做上網(wǎng)行為管理和流控。

由于網(wǎng)橋的模式比較簡(jiǎn)單，不涉及到網(wǎng)絡(luò)結(jié)構(gòu)的改動(dòng)。在本文中，我們只探討WSG作為網(wǎng)關(guān)的組網(wǎng)模式，以一個(gè)典型的企業(yè)局域網(wǎng)環(huán)境為例（分為：辦公、服務(wù)器、Wifi），詳述如下：

1. 組網(wǎng)方案

1.1. WSG + 三層核心交換機(jī)

    如上圖所示，通過(guò)三層交換機(jī)來(lái)劃分VLAN，WSG作為路由接入設(shè)備，提供防火墻和上網(wǎng)行為管理功能。這個(gè)網(wǎng)絡(luò)結(jié)構(gòu)，只需要在WSG上配置到不同VLAN網(wǎng)段的路由即可，詳細(xì)配置命令請(qǐng)參考：多VLAN三層交換機(jī)如何連接WFilter上網(wǎng)行為管理系統(tǒng)

1.2. WSG + 二層VLAN交換機(jī)

    如上圖所示，本例中，WSG作為路由接入設(shè)備，提供防火墻和上網(wǎng)行為管理功能。用支持VLAN的二層交換機(jī)來(lái)作為核心交換機(jī)，由于二層VLAN交換機(jī)無(wú)法配置ACL，需要在WSG網(wǎng)關(guān)上配置VLAN模塊，從而把WSG網(wǎng)關(guān)作為一個(gè)“單臂路由”來(lái)使用。具體配置請(qǐng)參考：WFilter NGF的VLAN設(shè)置

1.3. WSG + 普通二層交換機(jī)

    如果您沒(méi)有三層交換機(jī)，也沒(méi)有支持劃分VLAN的二層交換機(jī)。沒(méi)問(wèn)題，用WSG一樣可以實(shí)現(xiàn)多網(wǎng)段：在“接口設(shè)置”中添加多個(gè)“內(nèi)網(wǎng)網(wǎng)段”，每個(gè)內(nèi)網(wǎng)網(wǎng)段接到不同的交換機(jī)即可。等于在WSG網(wǎng)關(guān)是實(shí)現(xiàn)了VLAN的功能，還可以用WSG的“防火墻”功能來(lái)設(shè)置不同網(wǎng)段互訪(fǎng)的權(quán)限。

2. 服務(wù)器的發(fā)布

服務(wù)器的發(fā)布一般有兩種方案：

• a. 端口映射。把服務(wù)器的相關(guān)端口映射到外網(wǎng)即可。如果公網(wǎng)IP是靜態(tài)IP，可以通過(guò)靜態(tài)IP訪(fǎng)問(wèn)。如果公網(wǎng)IP是動(dòng)態(tài)的，可以啟用“動(dòng)態(tài)域名”功能來(lái)通過(guò)域名訪(fǎng)問(wèn)。

• b. DMZ。請(qǐng)參考：DMZ和靜態(tài)NAT

3. 服務(wù)器安全問(wèn)題

如果是通過(guò)“端口映射”來(lái)發(fā)布服務(wù)，由于只公開(kāi)了指定端口，安全性是比較高的，一般不會(huì)存在安全隱患。（注：黑客利用公開(kāi)的漏洞，可以在服務(wù)器上開(kāi)啟其他的端口進(jìn)行入侵。而端口映射由于只映射了一個(gè)端口，所以黑客即使利用漏洞開(kāi)啟了后門(mén)，也會(huì)被防火墻擋住無(wú)法進(jìn)入。）

服務(wù)器的安全問(wèn)題，需要注意如下要點(diǎn)：

a. 如果是“端口映射”或者“DMZ”來(lái)發(fā)布服務(wù)，建議多排除掉一些端口，只留下必須的服務(wù)端口。

b. 在服務(wù)器自身上開(kāi)啟防火墻，只例外服務(wù)必須的端口。（又加了一重保障）

c. 服務(wù)器段單獨(dú)一個(gè)VLAN，并且配置VLAN的訪(fǎng)問(wèn)規(guī)則，只允許內(nèi)網(wǎng)到服務(wù)器的訪(fǎng)問(wèn)，屏蔽服務(wù)器到內(nèi)網(wǎng)的訪(fǎng)問(wèn)。這樣設(shè)置后，即使服務(wù)器被入侵，也可以保證企業(yè)內(nèi)網(wǎng)的安全。

d. 盡量不要開(kāi)啟3389這樣的遠(yuǎn)程管理端口，否則很容易被暴力破解。即使要開(kāi)啟，也不要用默認(rèn)端口。