WFilter上网行为管理系统文档和指南 - 用户贡献 [zh-cn]

Maccd

2026-04-01T08:25:28Z

WFilter：

{{DISPLAYTITLE:MAC地址收集器}}
== MAC地址收集器 ==

该模块通过snmp协议来搜集客户机的实际mac地址，从而使WFilter可以检测到实际的mac地址并且进行上网管控和记录。支持如下功能：
* 根据mac地址进行上网行为管理
* 多网段环境下实现IP-MAC绑定功能。
* 在“实时流量图”中显示实际的mac地址。
* 在“上网记录”中显示实际的mac地址。

== 具体配置 ==
== SNMP命令配置 ==
“MAC地址收集器”通过snmpwalk来进行snmp查询，一般情况下，只需要配置一条查询核心三层交换机的snmpwalk命令即可。也支持多条snmpwalk的查询命令，比如局域网内有多个AP（支持snmp），为了检测每个AP下的具体mac地址，就可以配置多条snmp查询命令。
* SNMP查询名令：向可网管设备发送的snmpwalk查询命令。一般来说，snmpwalk命令都发往支持路由功能的设备，比如：核心三层交换机、支持snmp协议的AP等。
* 返回格式：正则表达式，用于匹配一条查询结果。
=== SNMP V2c版本命令 ===
假设三层交换机的IP地址是192.168.1.2，snmp版本是v2c，团体名是public，那么查询命令为：

<code>
snmpwalk -v 2c -c public 192.168.1.2 ipNetToPhysicalPhysAddress

</code>

ipNetToPhysicalPhysAddress同时查询ipv4和ipv6的地址，如果只需要ipv4还可以用ipNetToMediaPhysAddress。实际的返回格式是：

<code>
IP-MIB::ipNetToPhysicalPhysAddress.9.192.168.1.1 = STRING: 0:6:f6:bf:8b:cc

IP-MIB::ipNetToPhysicalPhysAddress.9.192.168.1.11 = STRING: ae:15:53:a0:9b:7f

...
</code>

为了匹配每一条返回结果，我们可以把“返回格式”定义为：

<code>
IP-MIB::ipNetToPhysicalPhysAddress\.\d+.*
</code>

“MAC地址收集器”会在结果中使用“返回格式”的正则表达式匹配出每一条返回记录，并且取出其中的mac地址和ip地址信息。

[[文件:Faq_maccd00.jpg|800px]]

=== SNMP V3版本命令 ===
假设三层交换机的IP地址是192.168.1.2，版本是snmp v3，查询命令为：

<code>
snmpwalk -v3 -a MD5 -A AuthPassword -X CryptoPassword -l authNoPriv -u privUser 192.168.1.2
</code>

各项参数需要和snmp服务端的参数一致。

[[文件:Faq_maccd02.png|800px]]

=== 测试 ===
点击测试，可以显示SNMP配置中命令列表的运行结果。

[[文件:Faq_maccd01.jpg|800px]]

== 常见问题 ==
=== 中兴交换机 ===
中兴交换机的snmp配置和mac地址收集器配置和其他交换机有些不一样的地方。如图：

[[文件:Faq_zte_maccd01.png|900px]]

假设三层交换机的IP地址是172.16.1.1，查询命令为：
<code>
snmpwalk -v 2c -Cc -c public 172.16.1.1 ipNetToPhysicalPhysAddress
</code>

[[文件:Faq_zte_maccd02.png|900px]]

中兴交换机的snmp-server配置，需要给community授权。命令：
<code>
snmp-server community public view AllView ro
</code>
=== 锐捷S5700系列 ===
锐捷S5700系列的配置命令如下：

<code>
snmp-server enable version v2c

snmp-server location location123

snmp-server contact contact123

snmp-server chassis-id 1234567890

snmp-server community Public123 ro

enable service snmp-agent
</code>

=== 华为S5700系列 ===
华为S5700系列的配置命令如下：

<code>
snmp-agent community read public123

snmp-agent sys-info version all

snmp-agent sys-info contact mycontact

snmp-agent sys-info location mylocation

snmp-agent protocol source-interface vlanif 10 //配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤。

</code>

WFilter的MAC地址收集器命令配置如下：

<code>
snmpwalk -v 2c -c public123 192.168.1.2 ipNetToPhysicalPhysAddress
</code>

=== cisco交换机 ===
<code>
en //进入特权模式

config //进入terminal配置模式

snmp-server community public RO //定义只读的团体名称

exit

wr //保存配置
</code>

[[文件:Faq_cisco_maccd01.png|600px]]

=== tplink交换机 ===
tplink的snmp查询返回会有“snmp OID not increasing”的问题。如图：

[[文件:Faq_tplink_maccd01.png|600px]]

需要添加-Cc参数来避免，如图：

[[文件:Faq_tplink_maccd02.png|600px]]

=== 特殊字符 ===

如果snmp的团体名中有特殊字符，需要用双引号包括，注意：单引号、双引号是不能支持的。比如：

<code>
snmpwalk -v 2c -c "public@" 192.168.1.13 ipNetToPhysicalPhysAddress
</code>

CompareFeatures

2026-01-28T13:31:15Z

WFilter：

{{DISPLAYTITLE:WFilter NGF不同部署的功能比较}}

{| class="wikitable" style="width: 75%"
|
|'''网关模式'''
|'''网桥模式'''
|'''旁路模式'''
|-
|'''系统配置'''
|有
|有
|有
|-
|'''网络设置'''
|有
|无“VLAN设置”
|无“DNS设置”、“路由规则”、“VLAN设置”
|-
|'''防火墙设置'''
|有
|无“端口映射”、“DMZ”、“UPNP”、“静态NAT”
|全无
|-
|'''查询统计'''
|有
|有
|有
|-
|'''行为管理'''
|有
|有
|无“IP-MAC绑定”、“SSL监控”
|-
|'''带宽优化'''
|有
|无“多线均衡”
|全无
|-
|'''用户认证'''
|有
|有
|有
|-
|'''VPN'''
|有
|无“VPN客户端”
|无“VPN客户端”
|-
|'''安全防护'''
|有
|无“DDOS防护”
|无“DDOS防护”
|-
|'''其他'''
|有
|无“DDNS”、“双机热备”
|无“DDNS”、“双机热备”、“端口镜像”、“透明代理”
|-
|'''备注'''
|
|
|旁路模式只能管控TCP通讯，请参考[http://icf.imfirewall.com/Block_udp 旁路模式禁止UDP]
|-

CompareFeatures

2026-01-28T13:31:03Z

WFilter：

{{DISPLAYTITLE:WFilter NGF不同部署的功能比较}}

{| class="wikitable" style="width: 75%"
|
|'''网关模式'''
|'''网桥模式'''
|'''旁路模式'''
|-
|'''系统配置'''
|有
|有
|有
|-
|'''网络设置'''
|有
|无“VLAN设置”
|无“DNS设置”、“路由规则”、“VLAN设置”
|-
|'''防火墙设置'''
|有
|无“端口映射”、“DMZ”、“UPNP”、“静态NAT”
|全无
|-
|'''查询统计'''
|有
|有
|有
|-
|'''行为管理'''
|有
|有
|无“IP-MAC绑定”和“SSL监控”
|-
|'''带宽优化'''
|有
|无“多线均衡”
|全无
|-
|'''用户认证'''
|有
|有
|有
|-
|'''VPN'''
|有
|无“VPN客户端”
|无“VPN客户端”
|-
|'''安全防护'''
|有
|无“DDOS防护”
|无“DDOS防护”
|-
|'''其他'''
|有
|无“DDNS”、“双机热备”
|无“DDNS”、“双机热备”、“端口镜像”、“透明代理”
|-
|'''备注'''
|
|
|旁路模式只能管控TCP通讯，请参考[http://icf.imfirewall.com/Block_udp 旁路模式禁止UDP]
|-

文件:Sdwanbox openvpn.png

2025-10-05T04:44:59Z

WFilter：

Sdwanbox

2025-10-05T04:44:46Z

WFilter：

{{DISPLAYTITLE:笨驴SD-WAN盒子}}

== 硬件介绍 ==
如图所示，SD-WAN盒子这款硬件有如下配置：
* 一个以太网网口，默认自动获取IP。
* 自带wifi（SID: wfilter-sdwan，无线网段是192.168.120.0/24）

[[文件:sdwanbox_hardware.png|450px]]

== 部署方式 ==
“SD-WAN盒子”可以用于多地智能组网和远程办公拨入。如下图：

* 不需要申请固定公网IP，外网用户可以通过SD-WAN拨入公司内网。

[[文件:sdwanbox_deployment1.png|450px]]

* 只要在每个分公司都安装一台“SD-WAN盒子”，就可以多地组建虚拟局域网。

[[文件:sdwanbox_deployment2.png|450px]]

== 首次安装 ==
安装步骤如下：
* 第一步：插网线接入网络，设备会自动获取IP并尝试连接SDWAN网络。
* 第二步：在“笨驴信息”的公众号中，新增一个SD-WAN网络。
[[文件:sdwanbox_qrcode.jpg|250px]]

[[文件:sdwanbox_firstime04.png|450px]]
* 第三步：在“设备”中添加该设备的序列号，并且配置一个IP地址。
[[文件:sdwanbox_firstime02.png|450px]]
* 等1分钟左右，设备会自动连入该SD-WAN网络。
[[文件:sdwanbox_firstime03.png|450px]]

至此，“SDWAN盒子”已经成功加入你定义的SD-WAN网络。你用其他的终端设备（如：电脑、手机等）直接通过互联网就可以加入该网络，并且访问到“SDWAN盒子”。要访问内网，还需要进一步配置内网穿透。

== 内网穿透的两种方式 ==
内网穿透支持两种方式：
* 反向代理方式：通过SD-WAN盒子提供的反向代理服务访问内网，每个端口绑定一个要访问的内网服务，无需修改路由器的配置。
* 路由表方式：配置路由器的静态路由规则，把SD-WAN网络的数据都转发到SD-WAN盒子。该方式的优点是可以直接访问内网IP。

综合来说：反向代理方式配置简单，但是只能访问指定的服务。路由表方式配置复杂一些，却可以直接访问内网。请根据实际情况选择适合您的内网穿透方式。

=== 反向代理方式 ===
在“SD-WAN盒子”的反向代理模块中，可以配置需要代理访问的服务，一个端口对应一个内网服务。如下图：

[[文件:sdwanbox_rproxy01.png|450px]]

可以配置多个反向代理，如图：

[[文件:sdwanbox_rproxy02.png|450px]]

'''请注意：80,22是保留端口，请使用其他端口重定向至内网主机的80和22端口。'''

如上图所示，假设“SD-WAN盒子”的SD-WAN IP是10.188.191.1，那么通过<code>http://10.188.191.1:8080</code>即可访问。

=== 路由表方式 ===
路由表方式需要做三项配置：
* SD-WAN盒子要固定IP。
* SD-WAN网络配置中配置路由表，到内网的下一跳转发到“SD-WAN盒子”。
* 路由器上添加静态路由，到SD-WAN网段的下一跳转发到“SD-WAN盒子”。

'''正确设置路由表后，外网终端即可直接通过内网IP访问内网主机，无需配置反向代理。'''

[[文件:sdwanbox_route01.png|450px]]

[[文件:sdwanbox_route02.png|450px]]

[[文件:sdwanbox_route03.png|750px]]

== OpenVPN ==

“Sdwan盒子”的OpenVPN模块可以作为openvpn客户端，和openvpn服务端进行两地组网。配置项如下：
* 服务端地址：每行一个，支持IP和域名，可以填多个，会自动进行链路备份。
* 协议、端口：和服务端一致
* 用户名密码：服务端的WSG界面的“模块--用户认证--账号管理”中添加vpn权限的用户。
* NAT：不开启NAT时，客户端IP地址不变。开启NAT后，客户端的IP会转变成OpenVPN通讯网段的IP。

[[文件:sdwanbox_openvpn.png|450px]]

== 远程拨入 ==

外网远程拨入可以支持windows电脑、安卓手机、或者通过另外一台“sdwan盒子”来拨入。客户端下载地址请参考：http://wiki.imfirewall.com/SD-WAN#Windows.E5.AE.A2.E6.88.B7.E7.AB.AF

== 性能参数 ==

“SD-WAN盒子”可以支持50Mb的上下行带宽。

== 恢复出厂和重置密码 ==

如需重置，必须在开机后120秒内运行“sdwan重置”程序来重置密码或恢复出厂。请联系技术支持获取该程序。

[[文件:sdwanbox_restore.png|450px]]

== 客户端下载 ==
* [http://www.imfirewall.com/chs/trial/SD-WAN_20220110.exe 下载Windows客户端]
* [http://www.imfirewall.com/chs/trial/wfilter_sdwan.apk 下载安卓客户端]

== 常见问题 ==
=== SD-WAN盒子已经绑定了其他网络 ===
如果你的SD-WAN盒子已经绑定了其他网络，可以连接自带wifi，在界面的“sdwan网络”中删除掉之前的sdwan配置即可。sdwan盒子会轮询公众号平台获取最新的sdwan配置。

== 相关链接 ==

* [http://www.imfirewall.com/blog/post/562.html 笨驴SD-WAN盒子的首次安装。]
* [http://www.imfirewall.com/blog/post/563.html 旁路组网时如何配置静态路由规则？]
* [http://www.imfirewall.com/blog/post/557.html 如何用SD-WAN盒子实现异地组网？]
* [http://www.imfirewall.com/blog/post/556.html 如何用SD-WAN盒子实现远程办公拨入？]
* [http://www.imfirewall.com/blog/post/613.html 怎样用SD-WAN盒子来组网访问远端系统？]

[[Category:VPN]]

Sdwanbox

2025-09-25T06:40:03Z

WFilter：/* 相关链接 */

{{DISPLAYTITLE:笨驴SD-WAN盒子}}

== 硬件介绍 ==
如图所示，SD-WAN盒子这款硬件有如下配置：
* 一个以太网网口，默认自动获取IP。
* 自带wifi（SID: wfilter-sdwan，无线网段是192.168.120.0/24）

[[文件:sdwanbox_hardware.png|450px]]

== 部署方式 ==
“SD-WAN盒子”可以用于多地智能组网和远程办公拨入。如下图：

* 不需要申请固定公网IP，外网用户可以通过SD-WAN拨入公司内网。

[[文件:sdwanbox_deployment1.png|450px]]

* 只要在每个分公司都安装一台“SD-WAN盒子”，就可以多地组建虚拟局域网。

[[文件:sdwanbox_deployment2.png|450px]]

== 首次安装 ==
安装步骤如下：
* 第一步：插网线接入网络，设备会自动获取IP并尝试连接SDWAN网络。
* 第二步：在“笨驴信息”的公众号中，新增一个SD-WAN网络。
[[文件:sdwanbox_qrcode.jpg|250px]]

[[文件:sdwanbox_firstime04.png|450px]]
* 第三步：在“设备”中添加该设备的序列号，并且配置一个IP地址。
[[文件:sdwanbox_firstime02.png|450px]]
* 等1分钟左右，设备会自动连入该SD-WAN网络。
[[文件:sdwanbox_firstime03.png|450px]]

至此，“SDWAN盒子”已经成功加入你定义的SD-WAN网络。你用其他的终端设备（如：电脑、手机等）直接通过互联网就可以加入该网络，并且访问到“SDWAN盒子”。要访问内网，还需要进一步配置内网穿透。

== 内网穿透的两种方式 ==
内网穿透支持两种方式：
* 反向代理方式：通过SD-WAN盒子提供的反向代理服务访问内网，每个端口绑定一个要访问的内网服务，无需修改路由器的配置。
* 路由表方式：配置路由器的静态路由规则，把SD-WAN网络的数据都转发到SD-WAN盒子。该方式的优点是可以直接访问内网IP。

综合来说：反向代理方式配置简单，但是只能访问指定的服务。路由表方式配置复杂一些，却可以直接访问内网。请根据实际情况选择适合您的内网穿透方式。

=== 反向代理方式 ===
在“SD-WAN盒子”的反向代理模块中，可以配置需要代理访问的服务，一个端口对应一个内网服务。如下图：

[[文件:sdwanbox_rproxy01.png|450px]]

可以配置多个反向代理，如图：

[[文件:sdwanbox_rproxy02.png|450px]]

'''请注意：80,22是保留端口，请使用其他端口重定向至内网主机的80和22端口。'''

如上图所示，假设“SD-WAN盒子”的SD-WAN IP是10.188.191.1，那么通过<code>http://10.188.191.1:8080</code>即可访问。

=== 路由表方式 ===
路由表方式需要做三项配置：
* SD-WAN盒子要固定IP。
* SD-WAN网络配置中配置路由表，到内网的下一跳转发到“SD-WAN盒子”。
* 路由器上添加静态路由，到SD-WAN网段的下一跳转发到“SD-WAN盒子”。

'''正确设置路由表后，外网终端即可直接通过内网IP访问内网主机，无需配置反向代理。'''

[[文件:sdwanbox_route01.png|450px]]

[[文件:sdwanbox_route02.png|450px]]

[[文件:sdwanbox_route03.png|750px]]

== 远程拨入 ==

外网远程拨入可以支持windows电脑、安卓手机、或者通过另外一台“sdwan盒子”来拨入。客户端下载地址请参考：http://wiki.imfirewall.com/SD-WAN#Windows.E5.AE.A2.E6.88.B7.E7.AB.AF

== 性能参数 ==

“SD-WAN盒子”可以支持50Mb的上下行带宽。

== 恢复出厂和重置密码 ==

如需重置，必须在开机后120秒内运行“sdwan重置”程序来重置密码或恢复出厂。请联系技术支持获取该程序。

[[文件:sdwanbox_restore.png|450px]]

== 客户端下载 ==
* [http://www.imfirewall.com/chs/trial/SD-WAN_20220110.exe 下载Windows客户端]
* [http://www.imfirewall.com/chs/trial/wfilter_sdwan.apk 下载安卓客户端]

== 常见问题 ==
=== SD-WAN盒子已经绑定了其他网络 ===
如果你的SD-WAN盒子已经绑定了其他网络，可以连接自带wifi，在界面的“sdwan网络”中删除掉之前的sdwan配置即可。sdwan盒子会轮询公众号平台获取最新的sdwan配置。

== 相关链接 ==

* [http://www.imfirewall.com/blog/post/562.html 笨驴SD-WAN盒子的首次安装。]
* [http://www.imfirewall.com/blog/post/563.html 旁路组网时如何配置静态路由规则？]
* [http://www.imfirewall.com/blog/post/557.html 如何用SD-WAN盒子实现异地组网？]
* [http://www.imfirewall.com/blog/post/556.html 如何用SD-WAN盒子实现远程办公拨入？]
* [http://www.imfirewall.com/blog/post/613.html 怎样用SD-WAN盒子来组网访问远端系统？]

[[Category:VPN]]

Webauth

2025-09-10T05:30:18Z

WFilter：/* 概述 */

{{DISPLAYTITLE:Web认证}}
== 概述 ==
“Web认证”主要包括三大功能：
* 用户名认证：基于用户名口令进行认证，支持本地认证、Email认证、LDAP认证和Radius认证四种方式。
* 第三方认证：通过第三方接口进行认证，支持钉钉扫码认证、企业微信扫码认证、
* 访客认证：手机短信认证、二维码认证等方式，可用于公众网络实名上网。
结合其他模块，还可以实现：
* 显示拨入的IP和用户名（实时流量图）。
* 记录Web认证用户的上网行为（ [[wfquery|上网记录模块]]）。
* 配置Web认证用户的上网策略（[[Policy|行为管理模块]]）。
* Web认证的日志查询（ [[account|账号管理模块]]）

用户名认证和第三方认证都需要先在“本地账号”中创建可用账号。

== 用户名认证 ==
对IP段启用“用户名认证”后，客户机上网必须在浏览器中输入用户名口令进行认证（该页面可以通过点击“编辑Web认证页面”进行修改）。
[[文件:Faq_webauth002.jpg|800px]]

其他配置项：
* IP范围：启用Web认证的IP段。
* 认证方式。
** 本地认证：通过“账号管理”中配置的本地账号进行认证，该本地账号必须有“Web认证”的权限。
** Email认证：到指定的Email服务器进行认证，支持POP和IMAP两种邮件服务器。
** LDAP认证：到指定的LDAP服务器（如：域控制器）进行认证，需要配置LDAP服务器的IP地址、端口和域名。
** Radius认证：发送到第三方Radius服务器进行认证。
** 本地+邮箱混合认证：先进行本地认证、不存在该本地用户时进行邮箱认证。
** 本地+域混合认证：先进行本地认证、不存在该本地用户时进行域认证。
** 本地+Radius混合认证：先进行本地认证、不存在该本地用户时进行Raidus认证。
* 超时选项：超时会要求重新认证。
* 本地账号在有效期内无需重新认证。

[[文件:Faq_webauth001.png|900px]]

== 第三方认证 ==

=== 钉钉认证 ===
启用钉钉认证后，用户需要用钉钉扫描二维码才可以登录。需要在“钉钉开发者平台”中创建扫码登录应用，并且记录AppID和AppSecret等配置。

[[文件:Faq_webauth_dingtalk.png|900px]]

=== 企业微信认证 ===
启用企业微信认证后，用户需要用企业微信扫描二维码才可以登录。需要在“企业微信平台”中创建扫码登录应用，并且记录企业ID，应用ID（AgentID）和AppSecret等配置。

[[文件:Faq_webauth_bwechat.png|900px]]

== 访客认证 ==

=== 短信认证 ===
“短信认证”需要用户输入手机号，并通过短信验证码进行校验，从而记录手机号实现WiFi上网实名认证。短信认证需要调用Web API的短信平台接口来发送短信。配置项如下：
* 短信接口URL：发送短信的Web API的URL地址。
* 短信内容：通过POST方式发送到“短信接口URL”的内容，替换符号：%PHONE%（手机号），%CODE%（验证码）
* 验证码长度：验证码的长度
* 验证码间隔：发送后，需要等待间隔后才可以再次发送。
* 手机号黑白名单：对手机号进行黑白名单控制，点击“编辑”进行设置。

[[文件:Faq_webauth007.png|900px]]

=== 二维码认证 ===
二维码认证采用的流程是“访客出示二维码 + 审核人审核通过”的认证流程。访客上网需要经过审核人的人工审核才能放行。如下图：

[[文件:Faq_webauth_qrcode.png|900px]]

== 设置 ==

[[文件:Faq_webauth009.png|900px]]

* 重定向：自动把未授权的访问重定向到认证页面
** 仅HTTP，HTTP方式的访问会被重定向到认证页面，HTTPS方式会直接被阻止访问。
** HTTP和HTTPS，HTTP和HTTPS方式的访问都会被重定向到认证页面。HTTPS的认证端口是认证端口加一。另外，HTTPS方式的认证页面会有浏览器证书告警，安装[[SSLInspect|SSL监控]]中的ca证书后即可去掉该告警信息。
** 请注意：HTTPS重定向在“旁路模式”下不可用。
* 识别模式：
** 推荐用“根据MAC”的模式来基于mac地址识别客户机。
** 如果下面接三层交换机，需要启用[[Maccd|多网段MAC地址收集器]]来识别客户机的mac地址。
* MAC白名单：不需要认证的MAC地址列表，一个MAC地址一行。
* 例外网址，不需要认证就可以访问的网站或者IP。格式如下：
** IP地址，如：192.168.1.100
** IP段，如：192.168.1.0/24
** 域名，如：*.google.com，支持*号通配符。

== 常见问题 ==
=== 能否根据接口来设置不同的web验证方式？ ===
* 问：能否根据接口来设置不同的web验证方式？比如：1网口做pppoe，2网口做web认证。
* 答：不可以。只能根据IP段来设置，您可以给两个网口设置不同的网段来实现。

== 相关链接 ==
* [http://www.imfirewall.com/blog/post/540.html 如何用钉钉实现局域网上网实名认证？]
* [http://www.imfirewall.com/blog/post/534.html 如何用企业微信实现局域网上网实名认证？]
* [http://www.imfirewall.com/blog/post/484.html 如何用移动10086云MAS平台搭建短信实名认证？]
* [http://www.imfirewall.com/blog/post/434.html 如何用阿里云短信平台搭建WiFi上网实名认证？]
* [http://www.imfirewall.com/blog/post/433.html 公共场所无线WiFi实名认证方案]
* [http://www.imfirewall.com/blog/post/432.html 微信WiFi还能走多久？微信Wi-Fi功能最新测试结果分析。]
* [http://www.imfirewall.com/blog/post/257.html 公共网络如何设置Web认证上网？]
* [http://www.imfirewall.com/blog/post/403.html 短信认证网关的具体实现]
* [http://www.imfirewall.com/blog/post/387.html 短信认证方案，用手机短信进行上网认证如何实现？]
* [http://www.imfirewall.com/blog/post/425.html 如何用手机短信实现WiFi上网认证?]
* [http://www.imfirewall.com/blog/post/458.html Web认证如何对接第三方认证平台？]
* [http://www.imfirewall.com/blog/post/470.html 酒店无线WiFi实名认证方案]
* [http://www.imfirewall.com/blog/post/491.html 基于企业邮箱进行wifi实名认证的方案]
* [http://www.imfirewall.com/blog/post/511.html 如何对来宾上网进行二维码认证审核？]
* [http://www.imfirewall.com/blog/post/523.html 如何用微信小程序实现WiFi上网实名认证？]
* [https://www.bilibili.com/video/BV1vt4y1d7fo WSG短信认证的视频教程]

Maccd

2025-08-20T08:42:25Z

WFilter：

{{DISPLAYTITLE:MAC地址收集器}}
== MAC地址收集器 ==

该模块通过snmp协议来搜集客户机的实际mac地址，从而使WFilter可以检测到实际的mac地址并且进行上网管控和记录。支持如下功能：
* 根据mac地址进行上网行为管理
* 多网段环境下实现IP-MAC绑定功能。
* 在“实时流量图”中显示实际的mac地址。
* 在“上网记录”中显示实际的mac地址。

== 具体配置 ==
== SNMP命令配置 ==
“MAC地址收集器”通过snmpwalk来进行snmp查询，一般情况下，只需要配置一条查询核心三层交换机的snmpwalk命令即可。也支持多条snmpwalk的查询命令，比如局域网内有多个AP（支持snmp），为了检测每个AP下的具体mac地址，就可以配置多条snmp查询命令。
* SNMP查询名令：向可网管设备发送的snmpwalk查询命令。一般来说，snmpwalk命令都发往支持路由功能的设备，比如：核心三层交换机、支持snmp协议的AP等。
* 返回格式：正则表达式，用于匹配一条查询结果。
=== SNMP V2c版本命令 ===
假设三层交换机的IP地址是192.168.1.2，snmp版本是v2c，团体名是public，那么查询命令为：

<code>
snmpwalk -v 2c -c public 192.168.1.2 ipNetToMediaPhysAddress
</code>

实际的返回格式是：

<code>
IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.1 = STRING: 0:6:f6:bf:8b:cc

IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.11 = STRING: ae:15:53:a0:9b:7f

...
</code>

为了匹配每一条返回结果，我们可以把“返回格式”定义为：

<code>
IP-MIB::ipNetToMediaPhysAddress\.\d+.*
</code>

“MAC地址收集器”会在结果中使用“返回格式”的正则表达式匹配出每一条返回记录，并且取出其中的mac地址和ip地址信息。

[[文件:Faq_maccd00.jpg|800px]]

=== SNMP V3版本命令 ===
假设三层交换机的IP地址是192.168.1.2，版本是snmp v3，查询命令为：

<code>
snmpwalk -v3 -a MD5 -A AuthPassword -X CryptoPassword -l authNoPriv -u privUser 192.168.1.2
</code>

各项参数需要和snmp服务端的参数一致。

[[文件:Faq_maccd02.png|800px]]

=== 测试 ===
点击测试，可以显示SNMP配置中命令列表的运行结果。

[[文件:Faq_maccd01.jpg|800px]]

== 常见问题 ==
=== 中兴交换机 ===
中兴交换机的snmp配置和mac地址收集器配置和其他交换机有些不一样的地方。如图：

[[文件:Faq_zte_maccd01.png|900px]]

假设三层交换机的IP地址是172.16.1.1，查询命令为：
<code>
snmpwalk -v 2c -Cc -c public 172.16.1.1 ipNetToMediaPhysAddress
</code>

[[文件:Faq_zte_maccd02.png|900px]]

中兴交换机的snmp-server配置，需要给community授权。命令：
<code>
snmp-server community public view AllView ro
</code>
=== 锐捷S5700系列 ===
锐捷S5700系列的配置命令如下：

<code>
snmp-server enable version v2c

snmp-server location location123

snmp-server contact contact123

snmp-server chassis-id 1234567890

snmp-server community Public123 ro

enable service snmp-agent
</code>

=== 华为S5700系列 ===
华为S5700系列的配置命令如下：

<code>
snmp-agent community read public123

snmp-agent sys-info version all

snmp-agent sys-info contact mycontact

snmp-agent sys-info location mylocation

snmp-agent protocol source-interface vlanif 10 //配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤。

</code>

WFilter的MAC地址收集器命令配置如下：

<code>
snmpwalk -v 2c -c public123 192.168.1.2 ipNetToMediaPhysAddress
</code>

=== cisco交换机 ===
<code>
en //进入特权模式

config //进入terminal配置模式

snmp-server community public RO //定义只读的团体名称

exit

wr //保存配置
</code>

[[文件:Faq_cisco_maccd01.png|600px]]

=== tplink交换机 ===
tplink的snmp查询返回会有“snmp OID not increasing”的问题。如图：

[[文件:Faq_tplink_maccd01.png|600px]]

需要添加-Cc参数来避免，如图：

[[文件:Faq_tplink_maccd02.png|600px]]

=== 特殊字符 ===

如果snmp的团体名中有特殊字符，需要用双引号包括，注意：单引号、双引号是不能支持的。比如：

<code>
snmpwalk -v 2c -c "public@" 192.168.1.13 ipNetToMediaPhysAddress
</code>

Account

2025-08-20T02:42:19Z

WFilter：

{{DISPLAYTITLE:账号管理}}
== 账号管理模块 ==

“账号管理模块”用于添加、修改、删除WFilter NGF本地账号列表，查看账号的认证历史。列表中的账号可以用于：
* [[Pppoe|PPPoE认证]]
* [[Webauth|Web认证]]
* [[VPN|VPN拨入]]
* 基于账号配置上网行为管理策略
* 基于账号进行查询和统计
如图：

[[文件:Faq_account002.png|800px]]

== 创建本地账号 ==

配置本地账号的用户名、密码、有效期、用户组、同时在线、mac绑定、用户权限、PPPoE属性等参数。请注意：
* 支持的验证方式：
** PPPoE：允许PPPoE拨入，还需要在[[Pppoe|“PPPoE模块”]]中进行PPPoE的具体配置。
** VPN：允许通过VPN拨入，还需要在[[VPN]]中进行相关配置。
** Web：允许通过Web认证的“用户名认证”，具体配置请参考[[Webauth|Web认证]]。
** 静态IP：无需验证，该静态IP会自动登录该本地账号。
* 同时在线：该账号允许同时在线的用户数，默认不限制。
* MAC绑定：支持“静态绑定”和“动态绑定”两种方式。
** 静态绑定：只有绑定的MAC地址才可以拨入，可以绑定多个mac地址（用,分隔）
** 动态绑定1：自动绑定第一次拨入的MAC地址，如果第二次拨入的MAC地址不一致，则拒绝拨入。
** 动态绑定3：自动绑定前三个拨入设备的mac地址。
** 动态绑定5：自动绑定前五个拨入设备的mac地址。
** 自动绑定IP-MAC：自动把成功登录的IP和MAC地址加入到“IP-MAC绑定”（只对web认证生效）。
* 到期用户无法通过用户认证。
* PPP的属性只对VPN和PPPoE认证的用户生效。
** “限速”：对该用户进行限速。单位KB（K字节）。
** “固定IP”：该用户每次PPPoE/VPN拨号都分配该固定IP。
[[文件:Faq_account001.png|600px]]

== 其他账号 ==
通过认证的第三方账号，包括域认证（ldap）、邮箱认证（email）、Radius认证的账号列表。您可以点击“删除”来删除一些过期账号。
验证方式：
* webauth：通过web认证登录。
* pppoe：通过pppoe认证登录。
* vpn：通过vpn登录。

[[文件:Faq_account004.png|800px]]

== 登录日志 ==
点击“登录日志”，可以查看到账号的认证历史。

[[文件:Faq_account003.png|800px]]

== 配置 ==
=== 密码复杂度和密码使用期限 ===
点击“配置”可以设置密码复杂度和密码使用期限。
* 密码复杂度，支持如下四种密码复杂度要求：
** 无：对密码没有任何复杂度要求。
** 基础级：适用于低安全需求场景，最小长度6，不允许常用弱密码、不允许键盘字符序列、不允许3次以上的重复键、不能包含账户名信息。
** 中级：适用于中等安全需求场景，满足基础级的基础上，还需要最小长度8，还需要包含 3种及以上字符（大写、小写、字母、特殊字符）。
** 高强度：适用于高安全需求场景，满足基础级的基础上，还需要最小长度12，还需要包含全部4种字符（大写、小写、字母、特殊字符）。
* 密码使用期限：密码到期后，Web用户名登录后会提示修改密码。

[[文件:Faq_account005.png|800px]]

== 常见问题 ==

文件:Faq account005.png

2025-08-20T02:27:12Z

WFilter：

Account

2025-08-20T02:27:02Z

WFilter：/* 密码复杂度和密码使用期限 */

{{DISPLAYTITLE:账号管理}}
== 账号管理模块 ==

“账号管理模块”用于添加、修改、删除WFilter NGF本地账号列表，查看账号的认证历史。列表中的账号可以用于：
* [[Pppoe|PPPoE认证]]
* [[Webauth|Web认证]]
* [[VPN|VPN拨入]]
* 基于账号配置上网行为管理策略
* 基于账号进行查询和统计
如图：

[[文件:Faq_account002.png|800px]]

== 创建本地账号 ==

配置本地账号的用户名、密码、有效期、用户组、同时在线、mac绑定、用户权限、PPPoE属性等参数。请注意：
* 支持的验证方式：
** PPPoE：允许PPPoE拨入，还需要在[[Pppoe|“PPPoE模块”]]中进行PPPoE的具体配置。
** VPN：允许通过VPN拨入，还需要在[[VPN]]中进行相关配置。
** Web：允许通过Web认证的“用户名认证”，具体配置请参考[[Webauth|Web认证]]。
** 静态IP：无需验证，该静态IP会自动登录该本地账号。
* 同时在线：该账号允许同时在线的用户数，默认不限制。
* MAC绑定：支持“静态绑定”和“动态绑定”两种方式。
** 静态绑定：只有绑定的MAC地址才可以拨入，可以绑定多个mac地址（用,分隔）
** 动态绑定1：自动绑定第一次拨入的MAC地址，如果第二次拨入的MAC地址不一致，则拒绝拨入。
** 动态绑定3：自动绑定前三个拨入设备的mac地址。
** 动态绑定5：自动绑定前五个拨入设备的mac地址。
** 自动绑定IP-MAC：自动把成功登录的IP和MAC地址加入到“IP-MAC绑定”（只对web认证生效）。
* 到期用户无法通过用户认证。
* PPP的属性只对VPN和PPPoE认证的用户生效。
** “限速”：对该用户进行限速。单位KB（K字节）。
** “固定IP”：该用户每次PPPoE/VPN拨号都分配该固定IP。
[[文件:Faq_account001.png|600px]]

== 其他账号 ==
通过认证的第三方账号，包括域认证（ldap）、邮箱认证（email）、Radius认证的账号列表。您可以点击“删除”来删除一些过期账号。
验证方式：
* webauth：通过web认证登录。
* pppoe：通过pppoe认证登录。
* vpn：通过vpn登录。

[[文件:Faq_account004.png|800px]]

== 登录日志 ==
点击“登录日志”，可以查看到账号的认证历史。

[[文件:Faq_account003.png|800px]]

== 配置 ==
=== 密码复杂度和密码使用期限 ===
* 密码复杂度，支持如下四种密码复杂度要求：
** 无：对密码没有任何复杂度要求。
** 基础级：适用于低安全需求场景，最小长度6，不允许常用弱密码、不允许键盘字符序列、不允许3次以上的重复键、不能包含账户名信息。
** 中级：适用于中等安全需求场景，满足基础级的基础上，还需要最小长度8，还需要包含 3种及以上字符（大写、小写、字母、特殊字符）。
** 高强度：适用于高安全需求场景，满足基础级的基础上，还需要最小长度12，还需要包含全部4种字符（大写、小写、字母、特殊字符）。
* 密码使用期限：密码到期后，Web用户名登录后会提示修改密码。

[[文件:Faq_account005.png|800px]]

== 常见问题 ==

Account

2025-08-20T02:26:51Z

WFilter：

{{DISPLAYTITLE:账号管理}}
== 账号管理模块 ==

“账号管理模块”用于添加、修改、删除WFilter NGF本地账号列表，查看账号的认证历史。列表中的账号可以用于：
* [[Pppoe|PPPoE认证]]
* [[Webauth|Web认证]]
* [[VPN|VPN拨入]]
* 基于账号配置上网行为管理策略
* 基于账号进行查询和统计
如图：

[[文件:Faq_account002.png|800px]]

== 创建本地账号 ==

配置本地账号的用户名、密码、有效期、用户组、同时在线、mac绑定、用户权限、PPPoE属性等参数。请注意：
* 支持的验证方式：
** PPPoE：允许PPPoE拨入，还需要在[[Pppoe|“PPPoE模块”]]中进行PPPoE的具体配置。
** VPN：允许通过VPN拨入，还需要在[[VPN]]中进行相关配置。
** Web：允许通过Web认证的“用户名认证”，具体配置请参考[[Webauth|Web认证]]。
** 静态IP：无需验证，该静态IP会自动登录该本地账号。
* 同时在线：该账号允许同时在线的用户数，默认不限制。
* MAC绑定：支持“静态绑定”和“动态绑定”两种方式。
** 静态绑定：只有绑定的MAC地址才可以拨入，可以绑定多个mac地址（用,分隔）
** 动态绑定1：自动绑定第一次拨入的MAC地址，如果第二次拨入的MAC地址不一致，则拒绝拨入。
** 动态绑定3：自动绑定前三个拨入设备的mac地址。
** 动态绑定5：自动绑定前五个拨入设备的mac地址。
** 自动绑定IP-MAC：自动把成功登录的IP和MAC地址加入到“IP-MAC绑定”（只对web认证生效）。
* 到期用户无法通过用户认证。
* PPP的属性只对VPN和PPPoE认证的用户生效。
** “限速”：对该用户进行限速。单位KB（K字节）。
** “固定IP”：该用户每次PPPoE/VPN拨号都分配该固定IP。
[[文件:Faq_account001.png|600px]]

== 其他账号 ==
通过认证的第三方账号，包括域认证（ldap）、邮箱认证（email）、Radius认证的账号列表。您可以点击“删除”来删除一些过期账号。
验证方式：
* webauth：通过web认证登录。
* pppoe：通过pppoe认证登录。
* vpn：通过vpn登录。

[[文件:Faq_account004.png|800px]]

== 登录日志 ==
点击“登录日志”，可以查看到账号的认证历史。

[[文件:Faq_account003.png|800px]]

== 配置 ==
=== 密码复杂度和密码使用期限 ===
* 密码复杂度，支持如下四种密码复杂度要求：
** 无：对密码没有任何复杂度要求。
** 基础级：适用于低安全需求场景，最小长度6，不允许常用弱密码、不允许键盘字符序列、不允许3次以上的重复键、不能包含账户名信息。
** 中级：适用于中等安全需求场景，满足基础级的基础上，还需要最小长度8，还需要包含 3种及以上字符（大写、小写、字母、特殊字符）。
** 高强度：适用于高安全需求场景，满足基础级的基础上，还需要最小长度12，还需要包含全部4种字符（大写、小写、字母、特殊字符）。
* 密码使用期限：密码到期后，Web用户名登录后会提示修改密码。

[[文件:Faq_account004.png|800px]]

== 常见问题 ==

Maccd

2025-07-14T14:52:57Z

WFilter：/* SNMP V2c版本命令 */

{{DISPLAYTITLE:MAC地址收集器}}
== MAC地址收集器 ==

该模块通过snmp协议来搜集客户机的实际mac地址，从而使WFilter可以检测到实际的mac地址并且进行上网管控和记录。支持如下功能：
* 根据mac地址进行上网行为管理
* 多网段环境下实现IP-MAC绑定功能。
* 在“实时流量图”中显示实际的mac地址。
* 在“上网记录”中显示实际的mac地址。

== 具体配置 ==
== SNMP命令配置 ==
“MAC地址收集器”通过snmpwalk来进行snmp查询，一般情况下，只需要配置一条查询核心三层交换机的snmpwalk命令即可。也支持多条snmpwalk的查询命令，比如局域网内有多个AP（支持snmp），为了检测每个AP下的具体mac地址，就可以配置多条snmp查询命令。
* SNMP查询名令：向可网管设备发送的snmpwalk查询命令。一般来说，snmpwalk命令都发往支持路由功能的设备，比如：核心三层交换机、支持snmp协议的AP等。
* 返回格式：正则表达式，用于匹配一条查询结果。
=== SNMP V2c版本命令 ===
假设三层交换机的IP地址是192.168.1.2，snmp版本是v2c，团体名是public，那么查询命令为：

<code>
snmpwalk -v 2c -c public 192.168.1.2 ipNetToMediaPhysAddress
</code>

实际的返回格式是：

<code>
IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.1 = STRING: 0:6:f6:bf:8b:cc

IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.11 = STRING: ae:15:53:a0:9b:7f

...
</code>

为了匹配每一条返回结果，我们可以把“返回格式”定义为：

<code>
IP-MIB::ipNetToMediaPhysAddress\.\d+.*
</code>

“MAC地址收集器”会在结果中使用“返回格式”的正则表达式匹配出每一条返回记录，并且取出其中的mac地址和ip地址信息。

[[文件:Faq_maccd00.jpg|800px]]

=== SNMP V3版本命令 ===
假设三层交换机的IP地址是192.168.1.2，版本是snmp v3，查询命令为：

<code>
snmpwalk -v3 -a MD5 -A AuthPassword -X CryptoPassword -l authNoPriv -u privUser 192.168.1.2
</code>

各项参数需要和snmp服务端的参数一致。

[[文件:Faq_maccd02.png|800px]]

=== 测试 ===
点击测试，可以显示SNMP配置中命令列表的运行结果。

[[文件:Faq_maccd01.jpg|800px]]

== 常见问题 ==
=== 中兴交换机 ===
中兴交换机的snmp配置和mac地址收集器配置和其他交换机有些不一样的地方。如图：

[[文件:Faq_zte_maccd01.png|900px]]

假设三层交换机的IP地址是172.16.1.1，查询命令为：
<code>
snmpwalk -v 2c -Cc -c public 172.16.1.1 ipNetToMediaPhysAddress
</code>

[[文件:Faq_zte_maccd02.png|900px]]

中兴交换机的snmp-server配置，需要给community授权。命令：
<code>
snmp-server community public view AllView ro
</code>
=== 锐捷S5700系列 ===
锐捷S5700系列的配置命令如下：

<code>
snmp-server enable version v2c

snmp-server location location123

snmp-server contact contact123

snmp-server chassis-id 1234567890

snmp-server community Public123 ro

enable service snmp-agent
</code>

=== 华为S5700系列 ===
华为S5700系列的配置命令如下：

<code>
snmp-agent community read public123

snmp-agent sys-info version all

snmp-agent sys-info contact mycontact

snmp-agent sys-info location mylocation

snmp-agent protocol source-interface vlanif 10 //配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤。

</code>

WFilter的MAC地址收集器命令配置如下：

<code>
snmpwalk -v 2c -c public123 192.168.1.2 ipNetToMediaPhysAddress
</code>

=== cisco交换机 ===
<code>
en //进入特权模式

config //进入terminal配置模式

snmp-server community public RO //定义只读的团体名称

exit

wr //保存配置
</code>

[[文件:Faq_cisco_maccd01.png|600px]]

=== tplink交换机 ===
tplink的snmp查询返回会有“snmp OID not increasing”的问题。如图：

[[文件:Faq_tplink_maccd01.png|600px]]

需要添加-Cc参数来避免，如图：

[[文件:Faq_tplink_maccd02.png|600px]]

WSGCloud

2025-07-04T08:10:46Z

WFilter：

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_dashboard1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。

'''请注意：通过云平台访问Web界面需要通过我们的网站imfirewall.com来转发，速度不如直接访问。如果您的设备在国外，建议用英文版的云平台[http://cloud.wfilterngf.com/management WFilter Cloud Service]。'''

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模板”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

'''请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先在本地测试通过后，再同步到其他终端。'''

= 限制登录IP =

如果你在配置-系统-远程访问中限制了登录的IP地址，需要把云平台的IP地址（10.191.0.1）也加到允许的IP列表中去。

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]
* [http://cloud.wfilterngf.com/management WFilter Cloud Service（云平台英文版）]
* [http://www.imfirewall.com/blog/post/604.html 怎样通过WSG云管理平台来进行远程管理？]

[[Category:方案]]

WSGCloud

2025-07-04T08:01:20Z

WFilter：

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_dashboard1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。

'''请注意：云平台是通过我们的网站imfirewall.com来转发访问，速度不如直接访问。如果您的设备在国外，建议用英文版的云平台[http://cloud.wfilterngf.com/management WFilter Cloud Service]。'''

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模板”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

'''请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先在本地测试通过后，再同步到其他终端。'''

= 限制登录IP =

如果你在配置-系统-远程访问中限制了登录的IP地址，需要把云平台的IP地址（10.191.0.1）也加到允许的IP列表中去。

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]
* [http://cloud.wfilterngf.com/management WFilter Cloud Service（云平台英文版）]
* [http://www.imfirewall.com/blog/post/604.html 怎样通过WSG云管理平台来进行远程管理？]

[[Category:方案]]

WSGCloud

2025-07-04T07:56:52Z

WFilter：/* 相关链接 */

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_dashboard1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。具体配置如下：

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模板”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

'''请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先在本地测试通过后，再同步到其他终端。'''

= 限制登录IP =

如果你在配置-系统-远程访问中限制了登录的IP地址，需要把云平台的IP地址（10.191.0.1）也加到允许的IP列表中去。

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]
* [http://cloud.wfilterngf.com/management WFilter Cloud Service（云平台英文版）]
* [http://www.imfirewall.com/blog/post/604.html 怎样通过WSG云管理平台来进行远程管理？]

[[Category:方案]]

文件:Ipv6 webreport.png

2025-06-25T06:17:01Z

WFilter：

文件:Ipv6 history.png

2025-06-25T06:16:46Z

WFilter：

文件:Ipv6 report.png

2025-06-25T06:09:52Z

WFilter：

IPV6

2025-06-25T06:09:39Z

WFilter：

{{DISPLAYTITLE:IPv6支持}}

= 概述 =

WFilter对IPv6的支持分为如下三个阶段：
* 阶段1：网络设置、静态路由、防火墙规则支持IPv6。【已完成】
* 阶段2：行为管理、带宽优化、用户认证支持IPv6。【已完成】
* 阶段3：上网记录、统计报表支持IPv6。【已完成】

= 相关配置 =

IPv6默认是未开启状态，如果需要IPv6支持，需要在两个地方开启。
* 防火墙策略-高级设置-IPv6管控
* 上网记录的“高级设置”
* 统计报表的“报表设置”

如下图：

[[文件:ipv6_firewall.png|900px]]

[[文件:ipv6_record.png|900px]]

[[文件:ipv6_report.png|900px]]

开启后，在实时流量图中即可看到在线的IPv6终端列表，如下图：

[[文件:ipv6_online.png|900px]]

上网记录查询和统计报表也可以查看到IPv6的数据和统计，如下图：

[[文件:ipv6_history.png|900px]]

[[文件:ipv6_webreport.png|900px]]

= 相关链接 =
* [http://www.imfirewall.com/blog/post/566.html WSG拨号上网如何配置IPv6地址？]
* [http://www.imfirewall.com/blog/post/567.html WSG如何配置静态IPv6地址？]

[[Category:Network]]

文件:Ipv6 firewall.png

2025-06-24T03:03:49Z

WFilter：WFilter上传文件:Ipv6 firewall.png的新版本

IPV6

2025-06-24T03:03:36Z

WFilter：/* 相关配置 */

{{DISPLAYTITLE:IPv6支持}}

= 概述 =

WFilter对IPv6的支持分为如下三个阶段：
* 阶段1：网络设置、静态路由、防火墙规则支持IPv6。【已完成】
* 阶段2：行为管理、带宽优化、用户认证支持IPv6。【已完成】
* 阶段3：上网记录、统计报表支持IPv6。【部分完成】

= 相关配置 =

IPv6默认是未开启状态，如果需要IPv6支持，需要在两个地方开启。
* 防火墙策略-高级设置-IPv6管控
* 上网记录的“高级设置”

如下图：

[[文件:ipv6_firewall.png|900px]]

[[文件:ipv6_record.png|900px]]

开启后，在实时流量图中即可看到在线的IPv6终端列表，如下图：

[[文件:ipv6_online.png|900px]]

= 相关链接 =
* [http://www.imfirewall.com/blog/post/566.html WSG拨号上网如何配置IPv6地址？]
* [http://www.imfirewall.com/blog/post/567.html WSG如何配置静态IPv6地址？]

[[Category:Network]]

Policy

2025-06-23T06:52:30Z

WFilter：

{{DISPLAYTITLE:行为管理}}
* [[文件:Ipbound1.png]] [[ipbound|IP-MAC绑定]]
* [[文件:Appcontrol1.png]] [[appcontrol|应用过滤]]
* [[文件:Webfilter1.png]] [[webfilter|网页过滤]]
* [[文件:mailfilter1.png]] [[mailfilter|邮件过滤]]
* [[文件:exception1.png]] [[exception|例外设置]]
* [[文件:sslinspect1.png]] [[SSLInspect|SSL监控]]
* [[文件:natdetector1.png]] [[NATDetector|共享检测]]
* [[文件:Webpush1.png]] [[webpush|网页推送]]

Description

2025-06-23T06:51:26Z

WFilter：

{{DISPLAYTITLE:WFilter上网行为管理系统的功能列表}}

= WFilter NGF功能列表 =

{| class="wikitable" style="width: 75%"
!colspan="2"|部署方式
|-
|style="width: 160px;"|网关模式
|网关部署，提供NAT、DHCP、路由转发等功能
|-
|网桥模式
|串接在网络中做透明网桥部署
|-
|旁路模式
|通过交换机的镜像端口来实现管控
|-
!colspan="2"|网络设置
|-
|接口配置
|LAN口、WAN口自定义，支持静态IP、动态IP、PPPoE等方式上网，提供DHCP服务
|-
|DNS设置
|提供DNS服务、DNS缓存和DNS转发，静态域名解析
|-
|路由规则
|静态路由表配置
|-
|VLAN设置
|支持按端口划分VLAN，支持802.1QVLAN，可以和交换机的trunk口连接
|-
!colspan="2"|防火墙配置
|-
|防火墙规则
|基于时间段、IP地址、端口、域名、国家地区等定义防火墙规则
|-
|端口映射、DMZ
|端口映射规则，DMZ主机
|-
|静态NAT
|给客户机提供“一对一NAT”服务
|-
!colspan="2"|系统管理
|-
|管理界面
|支持http和https加密方式进行管理
|-
|账号安全
|
1. 记录管理员登录和操作日志、登录尝试过多时锁定账号 
2. 支持多管理员，且可以配置管理员菜单权限 
3. 限制允许登录本系统的IP地址
|-
!colspan="2"|实时监控
|-
|实时流量
|
1. 实时流量图，每个客户机的实时流量 
2. 显示客户机的IP、MAC地址、组、账号、系统类型、厂商、带宽等信息 
3. 显示客户机的实时链接，包括IP、端口、域名等信息 
4. 可以断开客户机连接、可以设置临时惩罚策略 
|-
|系统状态
|显示系统的CPU、内存、硬盘占用情况，接口状态和带宽使用
|-
!colspan="2"|上网记录和统计
|-
|上网记录
|
1. Web记录：记录网页访问、论坛发帖，https监控。 
2. 邮件记录：记录客户端收发邮件内容和附件，记录web邮件的发送内容。SSL邮件监控。 
3. 文件传输：记录Web下载和上传、FTP上传下载等。 
4. 聊天账号：记录电脑、手机上登录的QQ号码。 
5. FTP/Telnet命令：记录FTP/Telnet发送的命令，登录用户名密码等信息。 
6. IP-MAC历史：记录IP地址、mac地址的使用记录。 
7. 连接明细：记录每个TCP连接。
|-
|统计报表
|提供Web统计、流量统计等一系列统计报表。支持报表自定义，支持报表自动发送到邮箱。
|-
|告警配置
|
1. 定义告警条件，被触发时发送告警信息给管理员 
2. 关键词告警、流量告警、新增设备告警 
3. 触发告警时设置临时策略
|-
|事件查看器
|记录操作日志、修改日志、系统事件、告警事件等信息
|-
!colspan="2"|上网行为管理
|-
|IP-MAC绑定
|配置IP-MAC绑定条目和规则，静态IP分配。支持批量导入。
|-
|组配置
|
1. 基于IP地址、IP段、MAC地址定义用户组 
2. 虚拟组，可以和其他模块应用动态策略，实现如惩罚组等功能
|-
|应用过滤
|
1. 分组、分时段配置允许或者禁止的网络应用协议 
2. 支持12大类，上千种网络应用协议 
3. 智能过滤，屏蔽一切上传行为
|-
|-
|网页过滤
|
1. 分组、分时段配置网页过滤规则（支持http和https） 
2. 网站黑白名单 
3. 网页分类过滤，定义各个网站分类的访问规则，支持千万级网址库、共7大类62小类。 
4. 文件下载过滤，禁止各类文件的http下载，支持共10大类数百种文件格式（仅http） 
5. 禁止网页附件上传、禁止超过大小的文件下载等（仅http）
|-
|邮件过滤
|对客户端邮件的邮箱账号进行黑白名单控制
|-
|例外设置
|设置例外（不被禁止）的IP、域名、网络应用等
|-
|SSL监控
|对HTTPS网站、SSL邮件进行记录、拦截和监控。
|-
|共享检测
|检测并惩罚局域网中的互联网共享行为
|-
|网页推送
|对符合条件的客户段推送Web页面
|-
!colspan="2"|带宽优化
|-
|带宽优化
|
1. 分组、分时段设置带宽优先级 
2. 基于网络应用、分类设置带宽优先级
|-
|IP限速
|
1. 分组、分时段设置保障带宽、最大带宽 
2. 限制分组中每个IP的最大带宽 
3. 限制客户机的最大连接数
|-
|多线均衡
|
1. 运营商分流 
2. 多线路负载均衡 
3. 自定义多线均衡策略、自定义分流策略。 
|-
!colspan="2"|用户认证
|-
|账号管理
|
1. 本地账号管理，配置账号用户名密码、用户组、权限、MAC绑定等 
2. 查询账号登录日志、第三方验证账号日志（可记录IP、MAC、手机号等）
|-
|域账号
|
1. 和微软的AD域集成，同步域账号。 
2. 启用后，可以基于域账号、OU设置上网策略和查询统计
|-
|Web认证
|
访问外网时，会触发Web认证。提供如下认证方式： 
1. 用户名密码认证。通过本地账号、域账号(LDAP)、邮箱、Radius进行认证。 
2. 短信认证、钉钉扫码认证、企业微信扫码认证、二维码认证认证。
|-
|PPPoE认证
|提供PPPoE拨号服务，支持本地账号、域账号、邮箱、Radius认证
|-
|运营管理
|集成了带宽分配、流量限制、用户管理的运营管理一系列工具
|-
!colspan="2"|VPN
|-
|PPTP
|提供PPTP拨入
|-
|IPSec隧道
|提供IPSec site-to-site VPN组网功能
|-
|OpenVPN服务端
|提供OpenVPN服务，支持VPN拨入和site-to-site VPN组网功能
|-
|OpenVPN客户端
|和对端的OpenVPN服务端组建site-to-site VPN
|-
|WebVPN
|允许授权用户访问内网的Web服务
|-
|SD-WAN
|软件定义广域网，可以实现多地智能组网，远程办公拨入
|-
|VPN客户端
|拨入到对端的PPTP/L2TP VPN
|-
!colspan="2"|安全防护
|-
|DDOS防护
|阻止外网的DDOS攻击
|-
|入侵防御
|检测并阻止来自内、外网的恶意攻击行为
|-
|木马检测
|检测内网感染病毒木马的可疑终端
|-
|主动防御
|通过AI技术识别和抵御网络扫描和网络攻击
|-
|漏洞扫描
|扫描局域网内终端的漏洞信息，生成全面详细的漏洞扫描报告
|-
!colspan="2"|其他
|-
|MAC地址收集器
|从三层交换机获取客户机MAC地址，配合其他模块实现跨网段IP-mac绑定、MAC地址记录
|-
|命令行
|命令行工具
|-
|技术支持
|提交技术支持请求，开启远程技术支持
|-
|策略测试
|测试客户机适用的上网行为管理策略和限速策略
|-
|扩展插件
|网络健康度检测、私接路由和随身Wifi检测、网络扫描、代理服务器扫描、DHCP扫描等各种扩展插件
|-
|端口镜像
|端口镜像功能
|-
|DDNS
|动态域名服务
|-
|双机热备
|VRRP双机热备切换
|-
|透明代理
|把上网流量重定向到指定的代理服务器
|-

|}

= 云服务和额外费用 =

以下模块需要用到额外的云服务，可能会产生额外的费用：
* 短信认证（需要对接第三方短信平台）
* SD-WAN服务（需要云服务，免费10个终端）
* 漏洞扫描（需要云服务）

= 相关文档 =
* [[Settings|WFilter NGF各模块文档]]
* [[CompareFeatures|WFilter NGF不同部署的功能比较]]

Maccd

2025-04-11T03:56:49Z

WFilter：/* 华为S5700系列 */

{{DISPLAYTITLE:MAC地址收集器}}
== MAC地址收集器 ==

该模块通过snmp协议来搜集客户机的实际mac地址，从而使WFilter可以检测到实际的mac地址并且进行上网管控和记录。支持如下功能：
* 根据mac地址进行上网行为管理
* 多网段环境下实现IP-MAC绑定功能。
* 在“实时流量图”中显示实际的mac地址。
* 在“上网记录”中显示实际的mac地址。

== 具体配置 ==
== SNMP命令配置 ==
“MAC地址收集器”通过snmpwalk来进行snmp查询，一般情况下，只需要配置一条查询核心三层交换机的snmpwalk命令即可。也支持多条snmpwalk的查询命令，比如局域网内有多个AP（支持snmp），为了检测每个AP下的具体mac地址，就可以配置多条snmp查询命令。
* SNMP查询名令：向可网管设备发送的snmpwalk查询命令。一般来说，snmpwalk命令都发往支持路由功能的设备，比如：核心三层交换机、支持snmp协议的AP等。
* 返回格式：正则表达式，用于匹配一条查询结果。
=== SNMP V2c版本命令 ===
假设三层交换机的IP地址是192.168.1.2，snmp版本是v2c，那么查询命令为：

<code>
snmpwalk -v 2c -c public 192.168.1.2 ipNetToMediaPhysAddress
</code>

实际的返回格式是：

<code>
IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.1 = STRING: 0:6:f6:bf:8b:cc

IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.11 = STRING: ae:15:53:a0:9b:7f

...
</code>

为了匹配每一条返回结果，我们可以把“返回格式”定义为：

<code>
IP-MIB::ipNetToMediaPhysAddress\.\d+.*
</code>

“MAC地址收集器”会在结果中使用“返回格式”的正则表达式匹配出每一条返回记录，并且取出其中的mac地址和ip地址信息。

[[文件:Faq_maccd00.jpg|800px]]

=== SNMP V3版本命令 ===
假设三层交换机的IP地址是192.168.1.2，版本是snmp v3，查询命令为：

<code>
snmpwalk -v3 -a MD5 -A AuthPassword -X CryptoPassword -l authNoPriv -u privUser 192.168.1.2
</code>

各项参数需要和snmp服务端的参数一致。

[[文件:Faq_maccd02.png|800px]]

=== 测试 ===
点击测试，可以显示SNMP配置中命令列表的运行结果。

[[文件:Faq_maccd01.jpg|800px]]

== 常见问题 ==
=== 中兴交换机 ===
中兴交换机的snmp配置和mac地址收集器配置和其他交换机有些不一样的地方。如图：

[[文件:Faq_zte_maccd01.png|900px]]

假设三层交换机的IP地址是172.16.1.1，查询命令为：
<code>
snmpwalk -v 2c -Cc -c public 172.16.1.1 ipNetToMediaPhysAddress
</code>

[[文件:Faq_zte_maccd02.png|900px]]

中兴交换机的snmp-server配置，需要给community授权。命令：
<code>
snmp-server community public view AllView ro
</code>
=== 锐捷S5700系列 ===
锐捷S5700系列的配置命令如下：

<code>
snmp-server enable version v2c

snmp-server location location123

snmp-server contact contact123

snmp-server chassis-id 1234567890

snmp-server community Public123 ro

enable service snmp-agent
</code>

=== 华为S5700系列 ===
华为S5700系列的配置命令如下：

<code>
snmp-agent community read public123

snmp-agent sys-info version all

snmp-agent sys-info contact mycontact

snmp-agent sys-info location mylocation

snmp-agent protocol source-interface vlanif 10 //配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤。

</code>

WFilter的MAC地址收集器命令配置如下：

<code>
snmpwalk -v 2c -c public123 192.168.1.2 ipNetToMediaPhysAddress
</code>

=== cisco交换机 ===
<code>
en //进入特权模式

config //进入terminal配置模式

snmp-server community public RO //定义只读的团体名称

exit

wr //保存配置
</code>

[[文件:Faq_cisco_maccd01.png|600px]]

=== tplink交换机 ===
tplink的snmp查询返回会有“snmp OID not increasing”的问题。如图：

[[文件:Faq_tplink_maccd01.png|600px]]

需要添加-Cc参数来避免，如图：

[[文件:Faq_tplink_maccd02.png|600px]]

Maccd

2025-04-11T03:56:37Z

WFilter：/* 华为S5700系列 */

{{DISPLAYTITLE:MAC地址收集器}}
== MAC地址收集器 ==

该模块通过snmp协议来搜集客户机的实际mac地址，从而使WFilter可以检测到实际的mac地址并且进行上网管控和记录。支持如下功能：
* 根据mac地址进行上网行为管理
* 多网段环境下实现IP-MAC绑定功能。
* 在“实时流量图”中显示实际的mac地址。
* 在“上网记录”中显示实际的mac地址。

== 具体配置 ==
== SNMP命令配置 ==
“MAC地址收集器”通过snmpwalk来进行snmp查询，一般情况下，只需要配置一条查询核心三层交换机的snmpwalk命令即可。也支持多条snmpwalk的查询命令，比如局域网内有多个AP（支持snmp），为了检测每个AP下的具体mac地址，就可以配置多条snmp查询命令。
* SNMP查询名令：向可网管设备发送的snmpwalk查询命令。一般来说，snmpwalk命令都发往支持路由功能的设备，比如：核心三层交换机、支持snmp协议的AP等。
* 返回格式：正则表达式，用于匹配一条查询结果。
=== SNMP V2c版本命令 ===
假设三层交换机的IP地址是192.168.1.2，snmp版本是v2c，那么查询命令为：

<code>
snmpwalk -v 2c -c public 192.168.1.2 ipNetToMediaPhysAddress
</code>

实际的返回格式是：

<code>
IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.1 = STRING: 0:6:f6:bf:8b:cc

IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.11 = STRING: ae:15:53:a0:9b:7f

...
</code>

为了匹配每一条返回结果，我们可以把“返回格式”定义为：

<code>
IP-MIB::ipNetToMediaPhysAddress\.\d+.*
</code>

“MAC地址收集器”会在结果中使用“返回格式”的正则表达式匹配出每一条返回记录，并且取出其中的mac地址和ip地址信息。

[[文件:Faq_maccd00.jpg|800px]]

=== SNMP V3版本命令 ===
假设三层交换机的IP地址是192.168.1.2，版本是snmp v3，查询命令为：

<code>
snmpwalk -v3 -a MD5 -A AuthPassword -X CryptoPassword -l authNoPriv -u privUser 192.168.1.2
</code>

各项参数需要和snmp服务端的参数一致。

[[文件:Faq_maccd02.png|800px]]

=== 测试 ===
点击测试，可以显示SNMP配置中命令列表的运行结果。

[[文件:Faq_maccd01.jpg|800px]]

== 常见问题 ==
=== 中兴交换机 ===
中兴交换机的snmp配置和mac地址收集器配置和其他交换机有些不一样的地方。如图：

[[文件:Faq_zte_maccd01.png|900px]]

假设三层交换机的IP地址是172.16.1.1，查询命令为：
<code>
snmpwalk -v 2c -Cc -c public 172.16.1.1 ipNetToMediaPhysAddress
</code>

[[文件:Faq_zte_maccd02.png|900px]]

中兴交换机的snmp-server配置，需要给community授权。命令：
<code>
snmp-server community public view AllView ro
</code>
=== 锐捷S5700系列 ===
锐捷S5700系列的配置命令如下：

<code>
snmp-server enable version v2c

snmp-server location location123

snmp-server contact contact123

snmp-server chassis-id 1234567890

snmp-server community Public123 ro

enable service snmp-agent
</code>

=== 华为S5700系列 ===
华为S5700系列的配置命令如下：

<code>
snmp-agent community read public123

snmp-agent sys-info version all

snmp-agent sys-info contact mycontact

snmp-agent sys-info location mylocation

snmp-agent protocol source-interface vlanif 10 //配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤，否则交换机将无法与网管正常连接。

</code>

WFilter的MAC地址收集器命令配置如下：

<code>
snmpwalk -v 2c -c public123 192.168.1.2 ipNetToMediaPhysAddress
</code>

=== cisco交换机 ===
<code>
en //进入特权模式

config //进入terminal配置模式

snmp-server community public RO //定义只读的团体名称

exit

wr //保存配置
</code>

[[文件:Faq_cisco_maccd01.png|600px]]

=== tplink交换机 ===
tplink的snmp查询返回会有“snmp OID not increasing”的问题。如图：

[[文件:Faq_tplink_maccd01.png|600px]]

需要添加-Cc参数来避免，如图：

[[文件:Faq_tplink_maccd02.png|600px]]

Maccd

2025-04-11T03:56:21Z

WFilter：/* 华为S5700系列 */

{{DISPLAYTITLE:MAC地址收集器}}
== MAC地址收集器 ==

该模块通过snmp协议来搜集客户机的实际mac地址，从而使WFilter可以检测到实际的mac地址并且进行上网管控和记录。支持如下功能：
* 根据mac地址进行上网行为管理
* 多网段环境下实现IP-MAC绑定功能。
* 在“实时流量图”中显示实际的mac地址。
* 在“上网记录”中显示实际的mac地址。

== 具体配置 ==
== SNMP命令配置 ==
“MAC地址收集器”通过snmpwalk来进行snmp查询，一般情况下，只需要配置一条查询核心三层交换机的snmpwalk命令即可。也支持多条snmpwalk的查询命令，比如局域网内有多个AP（支持snmp），为了检测每个AP下的具体mac地址，就可以配置多条snmp查询命令。
* SNMP查询名令：向可网管设备发送的snmpwalk查询命令。一般来说，snmpwalk命令都发往支持路由功能的设备，比如：核心三层交换机、支持snmp协议的AP等。
* 返回格式：正则表达式，用于匹配一条查询结果。
=== SNMP V2c版本命令 ===
假设三层交换机的IP地址是192.168.1.2，snmp版本是v2c，那么查询命令为：

<code>
snmpwalk -v 2c -c public 192.168.1.2 ipNetToMediaPhysAddress
</code>

实际的返回格式是：

<code>
IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.1 = STRING: 0:6:f6:bf:8b:cc

IP-MIB::ipNetToMediaPhysAddress.9.192.168.1.11 = STRING: ae:15:53:a0:9b:7f

...
</code>

为了匹配每一条返回结果，我们可以把“返回格式”定义为：

<code>
IP-MIB::ipNetToMediaPhysAddress\.\d+.*
</code>

“MAC地址收集器”会在结果中使用“返回格式”的正则表达式匹配出每一条返回记录，并且取出其中的mac地址和ip地址信息。

[[文件:Faq_maccd00.jpg|800px]]

=== SNMP V3版本命令 ===
假设三层交换机的IP地址是192.168.1.2，版本是snmp v3，查询命令为：

<code>
snmpwalk -v3 -a MD5 -A AuthPassword -X CryptoPassword -l authNoPriv -u privUser 192.168.1.2
</code>

各项参数需要和snmp服务端的参数一致。

[[文件:Faq_maccd02.png|800px]]

=== 测试 ===
点击测试，可以显示SNMP配置中命令列表的运行结果。

[[文件:Faq_maccd01.jpg|800px]]

== 常见问题 ==
=== 中兴交换机 ===
中兴交换机的snmp配置和mac地址收集器配置和其他交换机有些不一样的地方。如图：

[[文件:Faq_zte_maccd01.png|900px]]

假设三层交换机的IP地址是172.16.1.1，查询命令为：
<code>
snmpwalk -v 2c -Cc -c public 172.16.1.1 ipNetToMediaPhysAddress
</code>

[[文件:Faq_zte_maccd02.png|900px]]

中兴交换机的snmp-server配置，需要给community授权。命令：
<code>
snmp-server community public view AllView ro
</code>
=== 锐捷S5700系列 ===
锐捷S5700系列的配置命令如下：

<code>
snmp-server enable version v2c

snmp-server location location123

snmp-server contact contact123

snmp-server chassis-id 1234567890

snmp-server community Public123 ro

enable service snmp-agent
</code>

=== 华为S5700系列 ===
华为S5700系列的配置命令如下：

<code>
snmp-agent community read public123

snmp-agent sys-info version all

snmp-agent sys-info contact mycontact

snmp-agent sys-info location mylocation

//配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤，否则交换机将无法与网管正常连接。
snmp-agent protocol source-interface vlanif 10
</code>

WFilter的MAC地址收集器命令配置如下：

<code>
snmpwalk -v 2c -c public123 192.168.1.2 ipNetToMediaPhysAddress
</code>

=== cisco交换机 ===
<code>
en //进入特权模式

config //进入terminal配置模式

snmp-server community public RO //定义只读的团体名称

exit

wr //保存配置
</code>

[[文件:Faq_cisco_maccd01.png|600px]]

=== tplink交换机 ===
tplink的snmp查询返回会有“snmp OID not increasing”的问题。如图：

[[文件:Faq_tplink_maccd01.png|600px]]

需要添加-Cc参数来避免，如图：

[[文件:Faq_tplink_maccd02.png|600px]]

WSGCloud

2025-03-18T03:49:04Z

WFilter：

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_dashboard1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。具体配置如下：

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模板”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

'''请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先在本地测试通过后，再同步到其他终端。'''

= 限制登录IP =

如果你在配置-系统-远程访问中限制了登录的IP地址，需要把云平台的IP地址（10.191.0.1）也加到允许的IP列表中去。

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]
* [http://www.imfirewall.com/blog/post/604.html 怎样通过WSG云管理平台来进行远程管理？]

[[Category:方案]]

WSGCloud

2025-03-15T14:14:48Z

WFilter：

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_dashboard1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。具体配置如下：

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模板”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

'''请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先在本地测试通过后，再同步到其他终端。'''

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]
* [http://www.imfirewall.com/blog/post/604.html 怎样通过WSG云管理平台来进行远程管理？]

[[Category:方案]]

WSGCloud

2025-03-15T13:58:45Z

WFilter：/* 云平台添加WSG设备 */

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_dashboard1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。具体配置如下：

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模板”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

'''请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先在本地测试通过后，再同步到其他终端。'''

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]

[[Category:方案]]

API

2025-03-13T03:31:58Z

WFilter：

{{DISPLAYTITLE:WFilter NGF的API接口}}

= 概述 =

WFilter NGF的API，主要提供如下功能：
* 系统状态的监控
* 带宽、客户端状态的监控
* 行为管理

具体接口列表如下：

= 系统状态 =
== 获取网络接口列表 ==
* 命令：get_network_interfaces
* 参数：无
* 返回格式：JSON
* 返回内容格式
== 获取网络接口状态 ==
* 命令：get_network_status
* 参数：无
* 返回格式：JSON
* 返回内容格式

= 带宽、客户端状态 =
== 获取一段时间内的总带宽 ==
* 命令：list_bandwidth
* 参数：时长（秒）
* 返回格式：JSON
* 返回内容格式
== 获取在线IP列表 ==
* 命令：list_online_users
* 参数：记录条数（最大1000），搜索条件。
* 返回格式：JSON
* 返回内容格式
== 获取IP的所有在线连接 ==
* 命令：list_online_connections
* 参数：IP
* 返回格式：JSON
* 返回内容格式

= 参数获取 =
== 获取用户组列表 ==
* 命令：list_group
* 参数：无
* 返回格式：JSON
* 返回内容格式
== 获取本地账号列表 ==
* 命令：list_account
* 参数：无
* 返回格式：JSON
* 返回内容格式

= 客户端行为管理 =
== 断开连接（踢用户下线），解封 ==
* 命令：kill_connection
* 参数：
** port ：该连接的本地端口，0 -- 所有端口
** type ： "ALL"--所有协议，"RESET"--重置，"REMOVE"--全部放行，其他--协议名称
** minutes ： N分钟（时长）
** message ：推送的消息（urlencode）
* 返回：TRUE or FALSE
== 把IP加入到虚拟组 ==
* 命令：add_virtual_group
* 参数：
** groupid：组ID
** ip：客户机IP地址或者用户名。（用户名格式：“CN=用户名,OU=group ID,DC=wflocal”，需要urlencode。如：CN=test,DC=wflocal）
** minutes：加入的时长（分钟）
* 返回：TRUE or FALSE

== 列出虚拟组中的用户和IP ==
* 命令：list_virtual_group
* 参数：groupid
* 返回：IP、用户列表

== 从虚拟组中移出 ==
* 命令：rm_virtual_group
* 参数：IP或者用户名
* 返回：TRUE or FALSE

== 关联用户名到IP ==
* 命令：add_user
* 参数：
** ip: 要关联用户名的IP地址
** user: 用户名(如：CN=test,DC=wflocal)
** from: 来自于（比如：webauth, pppoe）
** expire: 多少时间后过期（秒）
* 返回：TRUE or FALSE

== 取消用户名关联 ==
* 命令：rm_user
* 参数：ip或者用户名(如：CN=test,DC=wflocal)
* 返回：TRUE or FALSE

= 配置的添加、修改和删除 =
== 获取配置文件 ==
* 命令：config_load
* 参数cfgname：配置文件名
* 返回：json格式的配置文件

== 添加配置 ==
* 命令：config_add
* 参数：
** cfgname：配置文件名
** type：配置类型
** name：配置段名称
** values：JSON格式的配置段内容

== 修改配置 ==
* 命令：config_set
* 参数：
** cfgname：配置文件名
** section：配置段名称
** values：JSON格式的配置段内容

== 删除配置 ==
* 命令：config_del
* 参数：
** cfgname：配置文件名
** section：要删除的配置段名称

== 应用新配置 ==
* 命令：config_apply
* 参数：无

== 配置文件列表和格式 ==
* 请参考：[[ConfigFiles|配置文件列表和格式]]

= 查询数据库 =
* 命令：query_db
* 参数：
** 数据库名字，如：report.db
** 查询SQL（urlencode），如：select count(*) from webreport
* 数据库结构请参考：[[Database|WFilter NGF的数据库结构]]

= SDK下载 =
== php ==
点击下载：[[Media:WFilterNGF_SDK_php.zip|php版本的SDK下载]]（最新更新日期：2022-08-05）

= 相关链接 =
* [http://www.imfirewall.com/blog/post/334.html WFilter NGF的API调用举例]
* [http://www.imfirewall.com/blog/post/477.html 如何通过API获取WFilter NGF的统计报表？]
* [http://www.imfirewall.com/blog/post/527.html 如何利用API来读取WFilter NGF的后台数据库？]

ConfigFiles

2025-03-05T08:44:38Z

WFilter：/* 用户认证配置文件 */

{{DISPLAYTITLE:配置文件列表和格式}}

= 概述 =
本文档描述WSG内置的配置文件列表及一部分格式。
== 配置文件格式 ==

WSG的配置文件格式采用的是Unified Configuration Interface，请参考：[https://openwrt.org/docs/guide-user/base-system/uci Unified Configuration Interface]

= 配置文件列表 =
== 网络、防火墙配置文件 ==
{| class="wikitable" style="width: 400px"
!colspan="2"|网络、防火墙
|-
|style="width: 160px;"|network
|网络设置、路由规则
|-
|firewall
|防火墙设置、端口映射
|-
|}
== 行为管理配置文件 ==
{| class="wikitable" style="width: 400px"
!colspan="2"|行为管理
|-
|style="width: 160px;"|wfilter-groups
|组配置
|-
|wfilter-times
|时间段配置
|-
|dhcp
|DHCP和IP-MAC绑定
|-
|wfilter-appcontrol
|应用过滤
|-
|wfilter-webfilter
|网页过滤
|-
|wfilter-exception
|例外放行
|-
|wfilter-imfilter
|聊天过滤
|-
|wfilter-mailfilter
|邮件过滤
|-
|wfilter-sslinspect
|SSL监控
|-
|wfilter-natdetector
|共享检测
|-
|wfilter-webpush
|网页推送
|-

|}

== 带宽优化配置文件 ==
{| class="wikitable" style="width: 400px"
!colspan="2"|带宽优化
|-
|style="width: 160px;"|wfilter-bwcontrol
|带宽优化
|-
|wfilter-ipcontrol
|IP限速
|-
|wfilter-mwan
|多线均衡
|-
|}
== 用户认证配置文件 ==
{| class="wikitable" style="width: 400px"
!colspan="2"|用户认证
|-
|style="width: 160px;"|wfilter-account
|账号管理
|-
|wfilter-adconf
|域账号
|-
|wfilter-webauth
|Web认证
|-
|wfilter-pppoe
|PPPoE认证
|-
|wfilter-isp
|运营管理
|-
|}

== VPN配置文件 ==
{| class="wikitable" style="width: 400px"
!colspan="2"|VPN
|-
|style="width: 160px;"|wfilter-pptpd
|PPTP服务端
|-
|wfilter-ipsec
|IPSec隧道
|-
|openvpn
|OpenVPN配置
|-
|wfilter-webvpn
|WebVPN配置
|-
|wfilter-sdwan
|SDWAN配置
|-
|}
== 安全防护配置文件 ==
{| class="wikitable" style="width: 400px"
!colspan="2"|安全防护
|-
|style="width: 160px;"|antiddos
|DDoS防护
|-
|wfilter-snort
|入侵防御、木马检测
|-
|wfilter-aisecurity
|主动防御
|-
|}

= 用命令行查看配置文件 =

在“模块”->“其他”->“命令行”里面，用uci命令可以查看、修改、删除配置。

* uci show查看文件

[[文件:config_uci.png|800px]]

* uci set修改配置文件内容，uci commit保存修改

[[文件:config_uci_set.png|800px]]

= 用API修改配置文件 =
可以利用config_load、config_add、config_set、config_del API来修改配置文件，利用config_apply来应用新配置。以下是一些举例：
* [[API_appcontrol|应用过滤]]

WebVPN

2025-01-07T04:10:43Z

WFilter：/* 第三方登录成功后还是回到首页 */

{{DISPLAYTITLE:WebVPN}}
== WebVPN服务 ==

WebVPN提供基于Web的内网应用访问控制，允许授权用户访问内网网络资源，实现类似VPN（虚拟专用网）的功能。客户机只需要在浏览器上进行用户名密码认证，才可以访问内网网络资源，无需安装客户端。

== WebVPN配置 ==

配置项说明：
* WebVPN服务：WebVPN服务的总开关。
* 调试日志：是否开启调试日志，开启后可以点击“查看日志”查看具体的日志信息，一般用于错误调试。
* 根域名：WebVPN必须通过域名的方式来进行访问，根域名就是访问该系统的根域名。如：imfirewall.com（不需要包括"www."）。根域名可以支持动态域名。'''请注意：域名需要向域名提供商申请，并且配置正确的DNS解析。'''
* 访问方式：配置HTTP或者HTTPS方式来访问。
* 端口：WebVPN服务的端口号。请注意80和443端口已经被Web界面所占用，如果您想复用已经被占用的端口，可以通过“端口映射”的方法来解决。

[[文件:webvpn001.png|800px]]

* 编辑登录页面
访问本系统时的登录页面，如图：

[[文件:webvpn002.png|600px]]

用户认证：

* 超时重新登录：用户登录的session会在关闭浏览器后结束，重新访问时需要重新进行认证。如果用户一直不关闭浏览器，一样会受到“超时重新登录”选项的超时控制。
* 用户名认证：登录WebVPN时，需要提供正确的用户名密码；支持“本地验证”、“邮箱验证”、“域验证”、“Radius验证”以及混合认证等。
** 本地认证账号：必须在“账号管理”中配置的账号，且该账号必须有“VPN”的权限才可以登录VPN。
* 第三方认证：通过钉钉扫码或者企业微信扫码认证登录。

[[文件:webvpn001_2.png|800px]]

== 证书配置 ==
如果您采用HTTPS的访问方式，可以通过“证书配置”功能来上传SSL证书。针对您域名签发的有效SSL证书，可以避免浏览器出现证书警告。

[[文件:webvpnca.png|600px]]

== WebVPN内容配置 ==
配置可以通过WebVPN系统访问的内网Web服务。'''请注意：WebVPN系统只能用于访问内部的Web服务（http和https都可以支持）'''

[[文件:webvpn004.png|800px]]

* 内容配置项
** 名称：该内部Web服务的名称。
** 连接类型：
*** Web方式--连接到Web服务器，Web方式通过域名来区分访问的内容，不需要定义其他端口，而且可以支持内容替换。
*** TCP方式--直接转发到对应的服务器端口。

=== Web方式 ===
Web方式：连接到Web服务器，Web方式通过域名来区分访问的内容，不需要定义其他端口，而且可以支持内容替换。
* 二级域名：对应该内部Web服务的二级域名。
* 内容替换：替换网页中的相关内容。比如网页代码中的内网地址，可以替换成webvpn的域名，使webvpn网站可以正常访问。
* 目的URL：内部Web服务的URL（http和https都可以支持）。如：
<code>
http://192.168.10.100

https://192.168.10.200:8443
</code>

[[文件:webvpn005.png|800px]]

=== TCP方式 ===
TCP方式：直接转发到对应的服务器端口，只支持TCP方式。
* 监听端口：提供该服务的外部端口。
* 目的地址：转发至的目的主机地址，格式：“主机:端口”，如：“192.168.1.1:22，www.imfirewall.com:443”
* TCP方式的访问，需要先在浏览器里面登录webvpn，然后才可以连接对应的服务。

[[文件:webvpn006.png|800px]]

== 编辑首页 ==
登录成功后的首页，用户一般在该页面选择要访问的内部系统，如图：

[[文件:webvpn003.png|600px]]

= 常见问题 =
== 第三方登录成功后还是回到首页 ==
一般是因为浏览器的安全策略原因，chrome内核的浏览器要求采用https方式才可以设置cookie。建议采用如下方案之一：
* 采用https的访问方式
* 改用其他非chrome内核的浏览器，比如火狐、IE等。

= 相关链接 =

* [http://www.imfirewall.com/blog/post/499.html 如何利用WebVPN来保护内网信息安全？]
* [http://www.imfirewall.com/blog/post/555.html 如何利用WebVPN访问网内的TCP服务？]

[[Category:VPN]]

WebVPN

2025-01-07T04:10:12Z

WFilter：

首页

2024-12-11T06:04:06Z

WFilter：

{{DISPLAYTITLE:WFilter NGF上网行为管理系统}}
__NOTOC__

'''WFilter NGF上网行为管理系统'''是基于linux的上网行为管理系统。 
本wiki站点是[http://www.imfirewall.com/WFilterROS.htm WFilter上网行为管理系统]的官方技术文档，您可以浏览下述分类来获取相应的帮助信息。如果您不能找到解决方案，请[http://www.imfirewall.com/contact.htm 联系我们]。 
如需查找WFilter上网行为管理软件（超级嗅探狗）的技术文档，请参阅：[http://icf.imfirewall.com WFilter ICF技术文档]。 

= 使用WFilter上网行为管理系统=
* [[NewUser|安装和首次使用]]
* [[Description|功能列表]]
* [[Settings|模块具体文档]]

= 解决方案 =
* [[Bandwidth_Solutions|带宽优化方案]]
* [[Account_Solutions|账号监控方案]]
* [[Maccd_Solutions|MAC地址监控方案]]
* [[Group_Solutions|集中管控方案]]
* [[Wireless_Solutions|无线设备管理方案]]
* [[ISP_Solutions|运营管理方案]]
* [[IPV6|IPv6支持]]

= 其他 =
* [[About_WFilterROS|关于WFilter系统]]
* [[Errorcode|错误信息对照表]]

= 官网链接 =
* [http://www.wfiltericf.com WFilter Internet Content Filter]
* [http://www.wfilterngf.com WFilter Next Generation Firewalll]
* [http://www.imfirewall.com/protocols/getlist.php WFilter支持协议]

Description

2024-12-11T05:56:08Z

WFilter：/* 云服务和额外费用 */

{{DISPLAYTITLE:WFilter上网行为管理系统的功能列表}}

= WFilter NGF功能列表 =

{| class="wikitable" style="width: 75%"
!colspan="2"|部署方式
|-
|style="width: 160px;"|网关模式
|网关部署，提供NAT、DHCP、路由转发等功能
|-
|网桥模式
|串接在网络中做透明网桥部署
|-
|旁路模式
|通过交换机的镜像端口来实现管控
|-
!colspan="2"|网络设置
|-
|接口配置
|LAN口、WAN口自定义，支持静态IP、动态IP、PPPoE等方式上网，提供DHCP服务
|-
|DNS设置
|提供DNS服务、DNS缓存和DNS转发，静态域名解析
|-
|路由规则
|静态路由表配置
|-
|VLAN设置
|支持按端口划分VLAN，支持802.1QVLAN，可以和交换机的trunk口连接
|-
!colspan="2"|防火墙配置
|-
|防火墙规则
|基于时间段、IP地址、端口、域名、国家地区等定义防火墙规则
|-
|端口映射、DMZ
|端口映射规则，DMZ主机
|-
|静态NAT
|给客户机提供“一对一NAT”服务
|-
!colspan="2"|系统管理
|-
|管理界面
|支持http和https加密方式进行管理
|-
|账号安全
|
1. 记录管理员登录和操作日志、登录尝试过多时锁定账号 
2. 支持多管理员，且可以配置管理员菜单权限 
3. 限制允许登录本系统的IP地址
|-
!colspan="2"|实时监控
|-
|实时流量
|
1. 实时流量图，每个客户机的实时流量 
2. 显示客户机的IP、MAC地址、组、账号、系统类型、厂商、带宽等信息 
3. 显示客户机的实时链接，包括IP、端口、域名等信息 
4. 可以断开客户机连接、可以设置临时惩罚策略 
|-
|系统状态
|显示系统的CPU、内存、硬盘占用情况，接口状态和带宽使用
|-
!colspan="2"|上网记录和统计
|-
|上网记录
|
1. Web记录：记录网页访问、论坛发帖，https监控。 
2. 邮件记录：记录客户端收发邮件内容和附件，记录web邮件的发送内容。SSL邮件监控。 
3. 文件传输：记录Web下载和上传、FTP上传下载等。 
4. 聊天账号：记录电脑、手机上登录的QQ号码。 
5. FTP/Telnet命令：记录FTP/Telnet发送的命令，登录用户名密码等信息。 
6. IP-MAC历史：记录IP地址、mac地址的使用记录。 
7. 连接明细：记录每个TCP连接。
|-
|统计报表
|提供Web统计、流量统计等一系列统计报表。支持报表自定义，支持报表自动发送到邮箱。
|-
|告警配置
|
1. 定义告警条件，被触发时发送告警信息给管理员 
2. 关键词告警、流量告警、新增设备告警 
3. 触发告警时设置临时策略
|-
|事件查看器
|记录操作日志、修改日志、系统事件、告警事件等信息
|-
!colspan="2"|上网行为管理
|-
|IP-MAC绑定
|配置IP-MAC绑定条目和规则，静态IP分配。支持批量导入。
|-
|组配置
|
1. 基于IP地址、IP段、MAC地址定义用户组 
2. 虚拟组，可以和其他模块应用动态策略，实现如惩罚组等功能
|-
|应用过滤
|
1. 分组、分时段配置允许或者禁止的网络应用协议 
2. 支持12大类，上千种网络应用协议 
3. 智能过滤，屏蔽一切上传行为
|-
|-
|网页过滤
|
1. 分组、分时段配置网页过滤规则（支持http和https） 
2. 网站黑白名单 
3. 网页分类过滤，定义各个网站分类的访问规则，支持千万级网址库、共7大类62小类。 
4. 文件下载过滤，禁止各类文件的http下载，支持共10大类数百种文件格式（仅http） 
5. 禁止网页附件上传、禁止超过大小的文件下载等（仅http）
|-
|聊天过滤
|显示在线的QQ号，设置QQ号黑白名单
|-
|邮件过滤
|对客户端邮件的邮箱账号进行黑白名单控制
|-
|例外设置
|设置例外（不被禁止）的IP、域名、网络应用等
|-
|SSL监控
|对HTTPS网站、SSL邮件进行记录、拦截和监控。
|-
|共享检测
|检测并惩罚局域网中的互联网共享行为
|-
|网页推送
|对符合条件的客户段推送Web页面
|-
!colspan="2"|带宽优化
|-
|带宽优化
|
1. 分组、分时段设置带宽优先级 
2. 基于网络应用、分类设置带宽优先级
|-
|IP限速
|
1. 分组、分时段设置保障带宽、最大带宽 
2. 限制分组中每个IP的最大带宽 
3. 限制客户机的最大连接数
|-
|多线均衡
|
1. 运营商分流 
2. 多线路负载均衡 
3. 自定义多线均衡策略、自定义分流策略。 
|-
!colspan="2"|用户认证
|-
|账号管理
|
1. 本地账号管理，配置账号用户名密码、用户组、权限、MAC绑定等 
2. 查询账号登录日志、第三方验证账号日志（可记录IP、MAC、手机号等）
|-
|域账号
|
1. 和微软的AD域集成，同步域账号。 
2. 启用后，可以基于域账号、OU设置上网策略和查询统计
|-
|Web认证
|
访问外网时，会触发Web认证。提供如下认证方式： 
1. 用户名密码认证。通过本地账号、域账号(LDAP)、邮箱、Radius进行认证。 
2. 短信认证、钉钉扫码认证、企业微信扫码认证、二维码认证认证。
|-
|PPPoE认证
|提供PPPoE拨号服务，支持本地账号、域账号、邮箱、Radius认证
|-
|运营管理
|集成了带宽分配、流量限制、用户管理的运营管理一系列工具
|-
!colspan="2"|VPN
|-
|PPTP
|提供PPTP拨入
|-
|IPSec隧道
|提供IPSec site-to-site VPN组网功能
|-
|OpenVPN服务端
|提供OpenVPN服务，支持VPN拨入和site-to-site VPN组网功能
|-
|OpenVPN客户端
|和对端的OpenVPN服务端组建site-to-site VPN
|-
|WebVPN
|允许授权用户访问内网的Web服务
|-
|SD-WAN
|软件定义广域网，可以实现多地智能组网，远程办公拨入
|-
|VPN客户端
|拨入到对端的PPTP/L2TP VPN
|-
!colspan="2"|安全防护
|-
|DDOS防护
|阻止外网的DDOS攻击
|-
|入侵防御
|检测并阻止来自内、外网的恶意攻击行为
|-
|木马检测
|检测内网感染病毒木马的可疑终端
|-
|主动防御
|通过AI技术识别和抵御网络扫描和网络攻击
|-
|漏洞扫描
|扫描局域网内终端的漏洞信息，生成全面详细的漏洞扫描报告
|-
!colspan="2"|其他
|-
|MAC地址收集器
|从三层交换机获取客户机MAC地址，配合其他模块实现跨网段IP-mac绑定、MAC地址记录
|-
|命令行
|命令行工具
|-
|技术支持
|提交技术支持请求，开启远程技术支持
|-
|策略测试
|测试客户机适用的上网行为管理策略和限速策略
|-
|扩展插件
|网络健康度检测、私接路由和随身Wifi检测、网络扫描、代理服务器扫描、DHCP扫描等各种扩展插件
|-
|端口镜像
|端口镜像功能
|-
|DDNS
|动态域名服务
|-
|双机热备
|VRRP双机热备切换
|-
|透明代理
|把上网流量重定向到指定的代理服务器
|-

|}

= 云服务和额外费用 =

以下模块需要用到额外的云服务，可能会产生额外的费用：
* 短信认证（需要对接第三方短信平台）
* SD-WAN服务（需要云服务，免费10个终端）
* 漏洞扫描（需要云服务）

= 相关文档 =
* [[Settings|WFilter NGF各模块文档]]
* [[CompareFeatures|WFilter NGF不同部署的功能比较]]

Description

2024-12-11T05:55:06Z

WFilter：/* 云服务和额外费用 */

{{DISPLAYTITLE:WFilter上网行为管理系统的功能列表}}

= WFilter NGF功能列表 =

{| class="wikitable" style="width: 75%"
!colspan="2"|部署方式
|-
|style="width: 160px;"|网关模式
|网关部署，提供NAT、DHCP、路由转发等功能
|-
|网桥模式
|串接在网络中做透明网桥部署
|-
|旁路模式
|通过交换机的镜像端口来实现管控
|-
!colspan="2"|网络设置
|-
|接口配置
|LAN口、WAN口自定义，支持静态IP、动态IP、PPPoE等方式上网，提供DHCP服务
|-
|DNS设置
|提供DNS服务、DNS缓存和DNS转发，静态域名解析
|-
|路由规则
|静态路由表配置
|-
|VLAN设置
|支持按端口划分VLAN，支持802.1QVLAN，可以和交换机的trunk口连接
|-
!colspan="2"|防火墙配置
|-
|防火墙规则
|基于时间段、IP地址、端口、域名、国家地区等定义防火墙规则
|-
|端口映射、DMZ
|端口映射规则，DMZ主机
|-
|静态NAT
|给客户机提供“一对一NAT”服务
|-
!colspan="2"|系统管理
|-
|管理界面
|支持http和https加密方式进行管理
|-
|账号安全
|
1. 记录管理员登录和操作日志、登录尝试过多时锁定账号 
2. 支持多管理员，且可以配置管理员菜单权限 
3. 限制允许登录本系统的IP地址
|-
!colspan="2"|实时监控
|-
|实时流量
|
1. 实时流量图，每个客户机的实时流量 
2. 显示客户机的IP、MAC地址、组、账号、系统类型、厂商、带宽等信息 
3. 显示客户机的实时链接，包括IP、端口、域名等信息 
4. 可以断开客户机连接、可以设置临时惩罚策略 
|-
|系统状态
|显示系统的CPU、内存、硬盘占用情况，接口状态和带宽使用
|-
!colspan="2"|上网记录和统计
|-
|上网记录
|
1. Web记录：记录网页访问、论坛发帖，https监控。 
2. 邮件记录：记录客户端收发邮件内容和附件，记录web邮件的发送内容。SSL邮件监控。 
3. 文件传输：记录Web下载和上传、FTP上传下载等。 
4. 聊天账号：记录电脑、手机上登录的QQ号码。 
5. FTP/Telnet命令：记录FTP/Telnet发送的命令，登录用户名密码等信息。 
6. IP-MAC历史：记录IP地址、mac地址的使用记录。 
7. 连接明细：记录每个TCP连接。
|-
|统计报表
|提供Web统计、流量统计等一系列统计报表。支持报表自定义，支持报表自动发送到邮箱。
|-
|告警配置
|
1. 定义告警条件，被触发时发送告警信息给管理员 
2. 关键词告警、流量告警、新增设备告警 
3. 触发告警时设置临时策略
|-
|事件查看器
|记录操作日志、修改日志、系统事件、告警事件等信息
|-
!colspan="2"|上网行为管理
|-
|IP-MAC绑定
|配置IP-MAC绑定条目和规则，静态IP分配。支持批量导入。
|-
|组配置
|
1. 基于IP地址、IP段、MAC地址定义用户组 
2. 虚拟组，可以和其他模块应用动态策略，实现如惩罚组等功能
|-
|应用过滤
|
1. 分组、分时段配置允许或者禁止的网络应用协议 
2. 支持12大类，上千种网络应用协议 
3. 智能过滤，屏蔽一切上传行为
|-
|-
|网页过滤
|
1. 分组、分时段配置网页过滤规则（支持http和https） 
2. 网站黑白名单 
3. 网页分类过滤，定义各个网站分类的访问规则，支持千万级网址库、共7大类62小类。 
4. 文件下载过滤，禁止各类文件的http下载，支持共10大类数百种文件格式（仅http） 
5. 禁止网页附件上传、禁止超过大小的文件下载等（仅http）
|-
|聊天过滤
|显示在线的QQ号，设置QQ号黑白名单
|-
|邮件过滤
|对客户端邮件的邮箱账号进行黑白名单控制
|-
|例外设置
|设置例外（不被禁止）的IP、域名、网络应用等
|-
|SSL监控
|对HTTPS网站、SSL邮件进行记录、拦截和监控。
|-
|共享检测
|检测并惩罚局域网中的互联网共享行为
|-
|网页推送
|对符合条件的客户段推送Web页面
|-
!colspan="2"|带宽优化
|-
|带宽优化
|
1. 分组、分时段设置带宽优先级 
2. 基于网络应用、分类设置带宽优先级
|-
|IP限速
|
1. 分组、分时段设置保障带宽、最大带宽 
2. 限制分组中每个IP的最大带宽 
3. 限制客户机的最大连接数
|-
|多线均衡
|
1. 运营商分流 
2. 多线路负载均衡 
3. 自定义多线均衡策略、自定义分流策略。 
|-
!colspan="2"|用户认证
|-
|账号管理
|
1. 本地账号管理，配置账号用户名密码、用户组、权限、MAC绑定等 
2. 查询账号登录日志、第三方验证账号日志（可记录IP、MAC、手机号等）
|-
|域账号
|
1. 和微软的AD域集成，同步域账号。 
2. 启用后，可以基于域账号、OU设置上网策略和查询统计
|-
|Web认证
|
访问外网时，会触发Web认证。提供如下认证方式： 
1. 用户名密码认证。通过本地账号、域账号(LDAP)、邮箱、Radius进行认证。 
2. 短信认证、钉钉扫码认证、企业微信扫码认证、二维码认证认证。
|-
|PPPoE认证
|提供PPPoE拨号服务，支持本地账号、域账号、邮箱、Radius认证
|-
|运营管理
|集成了带宽分配、流量限制、用户管理的运营管理一系列工具
|-
!colspan="2"|VPN
|-
|PPTP
|提供PPTP拨入
|-
|IPSec隧道
|提供IPSec site-to-site VPN组网功能
|-
|OpenVPN服务端
|提供OpenVPN服务，支持VPN拨入和site-to-site VPN组网功能
|-
|OpenVPN客户端
|和对端的OpenVPN服务端组建site-to-site VPN
|-
|WebVPN
|允许授权用户访问内网的Web服务
|-
|SD-WAN
|软件定义广域网，可以实现多地智能组网，远程办公拨入
|-
|VPN客户端
|拨入到对端的PPTP/L2TP VPN
|-
!colspan="2"|安全防护
|-
|DDOS防护
|阻止外网的DDOS攻击
|-
|入侵防御
|检测并阻止来自内、外网的恶意攻击行为
|-
|木马检测
|检测内网感染病毒木马的可疑终端
|-
|主动防御
|通过AI技术识别和抵御网络扫描和网络攻击
|-
|漏洞扫描
|扫描局域网内终端的漏洞信息，生成全面详细的漏洞扫描报告
|-
!colspan="2"|其他
|-
|MAC地址收集器
|从三层交换机获取客户机MAC地址，配合其他模块实现跨网段IP-mac绑定、MAC地址记录
|-
|命令行
|命令行工具
|-
|技术支持
|提交技术支持请求，开启远程技术支持
|-
|策略测试
|测试客户机适用的上网行为管理策略和限速策略
|-
|扩展插件
|网络健康度检测、私接路由和随身Wifi检测、网络扫描、代理服务器扫描、DHCP扫描等各种扩展插件
|-
|端口镜像
|端口镜像功能
|-
|DDNS
|动态域名服务
|-
|双机热备
|VRRP双机热备切换
|-
|透明代理
|把上网流量重定向到指定的代理服务器
|-

|}

= 云服务和额外费用 =

以下模块需要用到额外的云服务，并且产生额外的费用：
* 短信认证（需要对接第三方短信平台）
* SD-WAN服务（需要云服务，免费10个终端）
* 漏洞扫描（需要云服务）

= 相关文档 =
* [[Settings|WFilter NGF各模块文档]]
* [[CompareFeatures|WFilter NGF不同部署的功能比较]]

文件:Cloud dashboard1.png

2024-11-25T04:50:41Z

WFilter：

WSGCloud

2024-11-25T04:50:32Z

WFilter：

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_dashboard1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。具体配置如下：

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模块”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

'''请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先在本地测试通过后，再同步到其他终端。'''

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]

[[Category:方案]]

WSGCloud

2024-11-21T07:40:49Z

WFilter：

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_clients1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。具体配置如下：

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模块”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

'''请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先在本地测试通过后，再同步到其他终端。'''

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]

[[Category:方案]]

WSGCloud

2024-11-21T07:40:10Z

WFilter：

{{DISPLAYTITLE:WSG云平台}}

= 云平台概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备地址、系统版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_clients1.png|800px]]

云平台包括如下模块：设备列表（终端设备的管理）、配置管理（创建、同步配置）、操作员管理（管理云平台的操作员）。具体配置如下：

= 注册用户、操作员管理 =

点击“注册”就可以注册新用户，用户名必须是Email地址，该Email地址可以用于重置密码。

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

在“操作员管理”中，可以添加多个操作员，操作员可以管理该账号下的终端和配置。

[[文件:cloud_user1.png|800px]]

= 设备的添加和管理 =
== WSG设备端 ==
在WSG终端设备上，需要开启SDWAN服务，并且加入云平台右上角显示的网络ID。

[[文件:cloud_clients3.png|800px]]

== 云平台添加WSG设备 ==

在云平台的“设备列表”中点击“添加新设备”，输入设备的SDWAN ID、用户名密码等信息后，就可以管理该设备了。云平台通过API获取终端设备的状态、配置等信息。所以需要提供正确的用户名和密码。如果选择“设为模块”，那么您还可以在“配置管理”中从模板创建配置。

[[文件:cloud_clients2.png|600px]]

点击“放大镜”图标可以打开终端的管理界面，请注意：同一时间只能打开一个终端的管理界面。

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =

在“配置管理”中点击“创建配置模板”，可以从模板设备中创建配置。如下图：

[[文件:cloud_settings1.png|800px]]

点击“部署”图标，可以把该配置同步到其他终端上去。如下图：

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

请注意：修改终端的网络设置、防火墙设置，有可能导致终端断网。一定要谨慎修改。建议先测试通过后，再同步到其他终端。

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]

[[Category:方案]]

文件:Cloud settings3.png

2024-11-21T07:23:36Z

WFilter：

WSGCloud

2024-11-21T07:12:41Z

WFilter：

{{DISPLAYTITLE:WSG云平台}}

= 概述 =

WSG云平台提供一个集中管理多台WSG设备的平台。可以实现如下功能：
* 查看设备版本、IP地址、告警信息
* 同步配置
* 远程访问管理界面

[[文件:cloud_clients1.png|800px]]

= 注册用户、操作员管理 =

[[文件:cloud_register.png|600px]]

[[文件:cloud_register2.png|400px]]

[[文件:cloud_user1.png|600px]]

= 设备的添加和管理 =
* WSG设备端

[[文件:cloud_clients3.png|800px]]

* 云平台添加WSG设备
[[文件:cloud_clients2.png|600px]]

[[文件:cloud_clients1.png|800px]]

= 配置的同步 =
[[文件:cloud_settings1.png|800px]]

[[文件:cloud_settings3.png|800px]]

[[文件:cloud_settings2.png|800px]]

= 相关链接 =

* [http://cloud.imfirewall.com/management WSG云平台]

[[Category:方案]]

文件:Cloud settings2.png

2024-11-21T07:09:25Z

WFilter：

文件:Cloud settings1.png

2024-11-21T07:09:11Z

WFilter：

文件:Cloud clients2.png

2024-11-21T07:08:53Z

WFilter：

文件:Cloud clients3.png

2024-11-21T07:08:40Z

WFilter：

文件:Cloud user1.png

2024-11-21T07:08:21Z

WFilter：

文件:Cloud register2.png

2024-11-21T07:08:06Z

WFilter：

文件:Cloud register.png

2024-11-21T07:07:54Z

WFilter：