查看“UserGuide”的源代码

{{DISPLAYTITLE:WFilter NGF用户指南}}

在[[QuickGuide|WFilter上网行为管理系统管理员手册]]，我们介绍了如何对本系统进行管理和安全设置。那么在本文（用户指南）中，我们将主要介绍如何来管理用户分组、行为管理策略、流控等相关配置。

= 打开Web界面 =
WFilter的绝大部分配置都通过Web界面来进行配置，一般推荐在局域网内部来打开Web界面，配置终端通过交换机和WFilter服务器的内网口连接。如下图：

  [[文件:inside_setup.png]]

如果要从外网（互联网）打开Web界面，建议先拨入VPN（PPTP或者OpenVPN），拨入VPN后直接通过内网地址来访问。网络结构图如下：

  [[文件:external_setup.png]]

我们推荐用火狐或者Chrome来打开Web界面，如果使用IE内核的浏览器，需要使用IE9之后的版本。

= 用户认证和分组 =
对接入终端的身份认证，既可以确保终端的合法性，也是上网策略配置的一个基础。用户身份的认证一般采用如下原则：
* 首先考虑[[ipbound|IP-MAC绑定]]：规划IP地址范围，登记客户机的MAC地址，并录入到系统中进行IP-mac绑定。
* 对于一些客户端流动的环境，无法登记MAC地址时，可以使用“Web认证”的解决方案。
== IP-MAC绑定 ==
如下图：在“[[ipbound|IP-MAC绑定]]”中录入绑定的客户机，并且禁止未绑定的客户端。被绑定的客户机，在自动获取IP时，会固定分配绑定的IP地址。

[[文件:ros_userguide_01.png|900px]]

[[文件:ros_userguide_02.png|800px]]

== Web认证 ==
如果客户机流动性比较强，不适合进行IP-mac绑定，那么“[[webauth|Web认证]]”的“用户名认证”是一个很有效的终端认证方案，支持多种验证方式。如图：

[[文件:ros_userguide_03.png|900px]]

== AD域集成 ==
如果局域网已经部署了AD域，那么启用[[adconf|AD域集成]]后，域用户无需进行认证，可以透明获取到登录的域账号。还可以根据域账号记录上网内容，并且配置上网策略。

[[文件:ros_userguide_03_2.png|900px]]

== 用户分组 ==
您还需要对用户进行分组，便于后续策略的配置。分组的方式比较多样化，建议您根据您的管理需要来进行分组，可以参考如下方式：
* 按行政部门进行分组。比如：市场部门、财务部门等。
* 按上网权限进行分组。比如：禁止外网、只允许工作网站等。

分组的定义中，可以输入IP地址、IP范围、MAC地址，如下图：

[[文件:ros_userguide_04.png|900px]]

= 上网行为管理策略 =

定义好认证方式，并且合理分组后，您就可以配置上网行为管理的策略权限。上网策略的配置主要集中在三个模块：
* [[appcontrol|应用过滤]]，基于应用协议来配置上网权限，一般用于对非Web类的访问进行控制。
* [[webfilter|网页过滤]]，对Web访问，如网页浏览、Web文件下载、网站分类等进行访问控制。
* 例外设置，配置一些例外，被例外的访问不会被其他策略禁止掉。

每一个策略都需要选择“应用对象”和“生效时间”，应用对象支持“设备”（自定义IP范围、用户组）和“账号”两种方式。如图：

[[文件:ros_userguide_05.png|800px]]

== 应用过滤 ==
利用[[appcontrol|应用过滤]]可以基于应用过滤来设置上网权限，如下图所示：
* “禁止所有”可以禁止所有应用。
* 您也可以点击“应用列表”来手动选择要禁止的应用。
* 选择不同的“自动禁止”条件，可以按各应用的属性来进行禁止。

[[文件:ros_userguide_06.png|900px]]

[[文件:ros_userguide_07.png|900px]]

== 网页过滤 ==
[[webfilter|网页过滤]]，对Web访问，如网页浏览、Web文件下载、网站分类等进行访问控制。
* 如果只是要禁止或者只允许个别网站，可以启用“网站黑名单”或者“网站白名单”功能。
* 系统内置了千万级的网址库，支持60多种网页分类。使用“网页分类”过滤功能，可以按网页的所属分类禁止过滤。
* “文件下载”可以对文件下载的类型进行过滤（只对http网站生效）。

[[文件:ros_userguide_08.png|900px]]

[[文件:ros_userguide_09.png|900px]]

[[文件:ros_userguide_10.png|900px]]

== 例外设置 ==

工作需要的网站或者IP地址等，可以直接加入到“例外设置”里面，从而不会被其他策略禁止掉。如图：

[[文件:ros_userguide_11.png|900px]]

= 上网记录和审计 =
上网记录和内容审计，主要包括[[wfquery|上网记录]]和[[wfreport|统计报表]]这两个模块。
在[[wfquery|上网记录]]模块中，您可以配置记录策略，并且查询记录的日志内容，包括：
* 网页浏览记录
* 网页粘贴记录
* HTTPS网站监控
* 邮件发送记录
* 邮件接收记录
* SSL邮件监控
* 文件上传下载记录
* 聊天账号记录
* FTP/Telnet命令记录
* IP-MAC记录

[[文件:Wfrecorder_query1.png|900px]]

[[文件:Wfrecorder_settings_other.png|650px]]

在[[wfreport|统计报表]]模块中，我们预置了一系列的常用报表，您也可以根据自己的需要进行自定义。

= 流控策略和多线均衡 =
[[Bandwidth|带宽优化]]中主要包括三个模块：[[bwcontrol|带宽优化]]，[[ipcontrol|IP限速]]，[[mwan|多线均衡]]。
* [[bwcontrol|带宽优化]]：用于配置数据包的优先级。
* [[ipcontrol|IP限速]]：进行带宽分配和限速。
* [[mwan|多线均衡]]：多条外线时，可以用此模块来配置多线的负载均衡策略，以及分流策略。

多线均衡默认会自动进行“运营商分流”和“负载均衡”，默认的负载权重根据WAN口的带宽来分配。有一点要注意的地方：网银等对安全要求比较高的站点会对客户机IP进行校验，所以一般不建议进行负载均衡。如图：

[[文件:ros_userguide_12.png|900px]]


[[文件:ros_userguide_13.png|900px]]

[[文件:ros_userguide_14.png|900px]]

= VPN =
WFilter的VPN主要包括两类，请根据您自己的需要进行选择：
* client-to-site VPN，给外网客户机提供拨入到内网的服务。包括：
** [[pptpvpn|PPTP VPN]]，配置方便，windows电脑和手机都可以直接支持。
** [[Openvpn|OpenVPN]]，SSL VPN的一种，提供更高的安全性和穿透性，需要客户端软件才可以拨入。
* site-to-site VPN，用于在多个局域网之间创建VPN。包括：
** [[ipsecvpn|IPSec隧道]]，提供加密的安全通道，需要知道密钥才可以拨入。
** [[Openvpn|OpenVPN]]，SSL VPN的一种，提供更多的功能选项，支持证书认证和密码认证两种方式。

= 其他 =
在其他模块里面，还有很多有用的功能，比如：
* [[maccd|MAC地址收集器]]，从三层交换机跨网段获取mac地址。
* [[WFilter Plugins|扩展插件]]，网络健康度检测、局域网扫描、DHCP扫描等各种实用插件。
* [[Ddns|DDNS设置]]，动态域名配置。
* [[Vrrpd|双机热备]]
* [[Portmirror|端口镜像]]
* [[WProxy|透明代理]]

[[Category:安装]]