笨驴信息(IMFirewall)博客

怎么查找局域网内哪些终端访问了外网指定IP地址？

Mon, 09 Feb 2026 14:27:44 +0800

上级部门发现局域网访问了外网恶意IP地址，这时候就需要网管技术人员来定位具体的内网终端设备。如果你有上网行为管理防火墙设备，那你就可以很轻松的定位到具体终端，否则的话就很难解决这个问题。本文中，我将介绍如何在WSG上网行为管理中来查找相关日志。

1. 检查入侵防御和木马检测的日志

入侵防御和木马检测已经具备了异常网络行为的检测功能，所以第一步可以先查找一下这两个日志，直接在”搜索条件“中输入远程IP就可以进行搜索。如下图：

2. 检查上网记录的日志

如果是Web方式的访问，就会记录在”网页浏览“的历史记录中。可以直接在“查询统计->上网记录”中进行查询。

如果你开启了连接明细的记录功能，还可以在“连接明细”中进行查找。

3. 自定义入侵防御规则

你还可以自定义入侵防御规则，自定义的规则可以检测到指定IP的访问，一旦触发规则就会记录事件并且进行禁网等操作。如下图：

如上图，自定义规则里面输入：

alert tcp $HOME_NET any -> 120.55.165.132 any (msg:"120.55.165.132 connection attempt"; sid:1000003; rev:1;)

这句话的意思就是从本地局域网（HOME_NET）的任意本地端口（any）到IP地址120.55.165.132的任意端口（any）的tcp方式访问，都会触发规则并且记录"120.55.165.132 connection attempt"。

综上所述，通过上述的各种方式，可以查询相关日志，还可以自定义规则来进行检测和告警。就可以很轻松的定位到内网的可疑终端。

怎么屏蔽外网恶意IP地址？

Mon, 09 Feb 2026 13:41:42 +0800

WSG上网行为管理自带的网页过滤策略，可以基于我们的网址库屏蔽恶意站点。但是“网页过滤”只针对网页浏览（http、https）的访问方式，如果要禁止非Web方式的访问，比如tcp/udp/icmp（ping）等，需要用防火墙规则来进行限制。具体步骤如下：

1. 新增防火墙规则

区域选择“内网”，方向选择“转发”，内网-转发就是控制内网终端访问外网的行为。“目的”选择“自定义”，协议选择“所有”（所有包括所有的TCP，UDP和ICMP），动作选择“阻止”。如下图：

2. 编辑自定义IP

点击“编辑”，选择“自定义IP”，这里可以输入IP地址、网段或者域名。IP和网段的策略是立即生效的，基于域名的策略需要学习的过程，需要等待2-3分钟才可以生效。如下图：

经过上述步骤，就可以禁止网络层到这些外网IP的访问。建议增加一个“禁止恶意IP”的策略，发现了新的IP都可以直接添加在这条策略里面。

企业异地组网选择什么方案性价比最高？

Mon, 17 Nov 2025 13:58:42 +0800

企业异地组网的方案很多，从性价比的方面来考虑，有如下三种选择：

点对点物理专线，价格昂贵稳定性最高。
固定公网IP，通过互联网组网。需要总部有公网IP，稳定性较高，性价比较高。
动态公网IP，通过SDWAN组网。不需要公网IP，稳定性最低，性价比最高。

1. 通过专线固定公网IP来组网

大部分企事业单位都会选择第二种方案，总部有专线固定公网IP，分支通过互联网来连入组网。总部和分支通过互联网进行点对点连接，稳定性高速度快。这方面的技术可以选择ipsec, sslvpn(openvpn)等。PPTP/L2TP一般就不推荐用了。如下图：

2. 通过SD-WAN来组网

如果没有专线公网IP地址，现在也可以通过SD-WAN来组网，SD-WAN组网需要通过第三方平台来进行调度，实际上也是点对点连接。只是多了一层风险，比如第三方平台不可用就会导致SD-WAN不可用。但是SD-WAN组网不需要固定公网IP，可以通IPv4隧道或者IPv6来自动选路，性价比是最高的，普通的宽带就可以实现组网的目的。如下图：

以上就是适合企业异地组网的性价比方案比较。

IPSec的ike v1和ike v2验证方式有什么差别？

Mon, 13 Oct 2025 15:03:33 +0800

今天发现了一个有趣的问题，有个WSG的客户用ipsec组网，服务端和客户端组网时有两个网段需要互通，但是只能有一个网段可以组网成功。检查后发现原来用来ike v1的野蛮模式。IPsec的ike v1和ike v2有很多的差别，如下：

IKEv1和IKEv2的主要差异对比

特性	IKEv1	IKEv2
交换过程	6条消息（主模式）或3条消息（野蛮模式）	4条消息
身份保护	主模式提供，野蛮模式不提供	始终提供身份保护
验证灵活性	相对固定	支持混合验证（如服务端证书+客户端EAP）
重验证	需要重新建立整个IKE_SA	支持会话恢复和重验证
DoS保护	较弱	更好的Cookie机制

而且，IKEv1对多网段的支持是不如IKEv2的，相对IKEv1，IKEv2有着：

更好的多子网支持 - 原生支持多个子网协商
更强的安全性 - 更现代的加密算法
更好的稳定性 - 自动重连、移动性支持
简化配置 - 更清晰的配置语法

把两端的验证方式都改成IKEV2后，问题得到了解决。

怎样用SD-WAN盒子来组网访问远端系统？

Thu, 25 Sep 2025 14:07:31 +0800

1. 接线方式

如下图所示，SD-WAN盒子这款硬件有如下配置：

一个以太网网口，默认自动获取IP。
自带wifi（SID: wfilter-sdwan，无线网段是192.168.120.0/24）

以太网网口会自动获取IP，用网线把sdwan盒子接在路由器或者交换机上即可。用手机连接sdwan盒子自带的wfilter-sdwan网络。如图：

2. 用手机访问管理界面

用手机浏览器扫码，或者用浏览器访问http://192.168.120.1

3. 用电脑浏览器访问管理界面

电脑浏览器可以通过设备的IP地址来访问管理界面

4. 配置远程访问

配置SD-WAN网络，在SD-WAN中可以加入云平台或者自定义的SD-WAN网络，就可以和你现有的设备互通了。在SD-WAN平台中给设备固定一个IP地址，你就可以从外网访问到SD-WAN盒子的管理界面。

还可以开启OpenVPN来连接到VPN服务，OpenVPN需要先导入CA证书，输入正确的服务端地址（可以填写多个，支持IP地址和域名），输入正确的用户名密码。

如果同时配置了SD-WAN网络和OpenVPN，意味着您可以同时通过SD-WAN和OpenVPN来访问到设备，两者可以互为备份。

5. 配置路由规则或者反向代理

如果只是需要访问内部的Web系统，可以通过配置反向代理来实现，反向代理不需要在路由器上配置路由规则，简单易用。如图：

如果你需要两地互访（内网IP互通），需要在路由器上配置路由规则。请参考：http://wiki.imfirewall.com/Sdwanbox

怎样用防火墙规则使内网服务器只允许与外网的一个ip互通？

Fri, 29 Aug 2025 10:53:00 +0800

用WSG的防火墙规则，可以设置网络层的访问规则。防火墙规则和行为管理规则是不一样的，防火墙规则工作在网络层，直接把IP或者端口屏蔽掉；而行为管理策略工作在应用层，阻止的是应用层访问，并不禁止ICMP（ping）。

本例中，我将用防火墙规则来演示怎样实现内网服务器只允许与外网的一个ip互通。

1. 添加禁止所有外网的防火墙规则

区域选择“内网”，方向“转发”，指定源IP为要限制的内网IP地址，阻止该IP访问所有外网。

2. 添加允许访问指定IP的防火墙规则

还是在“内网-转发“，目的IP指定为允许访问的IP地址，动作设置为”允许“

3. 调整策略顺序

点击排序的图标，调整策略顺序，把允许访问的策略拖动到禁止访问的策略上方。别忘了“应用新配置”，这样就实现限制访问指定IP的效果。

如何找到和WSG网关IP地址冲突的设备MAC地址？

Tue, 17 Jun 2025 10:47:23 +0800

一旦有设备和网关的IP地址冲突，就会出现下列现象：

外网不稳定、时断时续
网关的界面打不开，或者有时候打不开

这个现象涉及的设备比较多，有可能是网关、交换机、网线等问题。本文中，我介绍一下如何判断是由于IP地址冲突导致的。

1. 先查看一下网关的MAC地址

配置-网络-接口设置的内网口中，可以查看到设备内网口的MAC地址。记录下这个mac地址值。如下图：

2. 查看电脑端的ARP表

在电脑的cmd窗口里面，输入arp -a命令，就可以查看电脑的arp表。如下图：

判断的原则是：

ARP表中网关IP地址对应的MAC地址和WSG界面上查看到的MAC地址一致，那说明没有ip地址冲突。
ARP表中的MAC地址和界面上的MAC地址不一致，说明存在IP地址冲突，且ARP表中的MAC地址就是冲突设备。
ARP表会变化的，要在出问题的时候去查看。

内网的IP地址冲突会带来严重问题，发现冲突后应当尽快查实并做相应的修改。

阿里云的AccessKey怎么创建和管理？

Thu, 05 Jun 2025 10:56:21 +0800

阿里云改版后，AccessKey的管理已经移到账号的“权限和安全”中，如下图：

点击“AccessKey”，会弹出对话框，需要勾选“我确认已知晓云账号AccessKey安全风险”。然后点击“继续使用云账号AccessKey”。相对于“RAM用户AccessKey”，云账号AccessKey的使用和配置都简单一些，所以本文中，我们继续使用云账号AccessKey，如果你有更高的权限管控需求，也可以使用RAM用户AccessKey。

点击“创建AccessKey”。

保存好界面上显示的AccessKey ID和AccessKey Secret即可。

配置到WSG的短信认证中阿里云的“AccessKeyID”和“AccessKeySecret”字段中即可使用。默认的阿里云“网络访问策略”是直接可以访问的，但是如果你的阿里云网络访问策略处于开启状态，可能会导致连接不了，还需要配置网络访问策略来放行。

如何禁止国外IP访问公司局域网？怎样屏蔽境外IP地址？

Sat, 10 May 2025 14:43:49 +0800

很多黑客攻击、DDoS攻击都来源于国外，所以对于大部分局域网来说，屏蔽国外IP就可以减少百分之九十的网络安全风险。在本文中，我将介绍如何用WSG上网行为管理来屏蔽境外IP地址。

防火墙规则的配置

要实现禁止国外IP的访问，我们需要配置两条防火墙规则，一条是允许国内IP地址，一条是屏蔽所有IP。请注意：防火墙规则的匹配是按顺序进行的，这样的效果就是国内IP匹配第一条规则被放行，其他IP都匹配第二条规则被禁止。如图：

有一点要注意的就是防火墙的区域方向，要过滤外网的访问，那么区域就要选择“外网”，到内网端口映射服务器的访问走的是“转发”方向。所以防火墙规则要这样来设置，以第一条为例，如下图：

源IP选择”自定义“，然后点击”编辑“，可以输入自定义的IP范围和域名，也可以选择国家地区。在本例中，我们选择的是指定国家地区（China），这样的效果就是只有来源中国的访问才会被允许。如下图：

另外一条规则是屏蔽所有，如图：

通过上述的两条规则配合使用，就可以实现只允许国内IP，并且禁止所有外网IP，屏蔽境外IP访问公司局域网的功能，从而杜绝来自国外的网络攻击，提升公司局域网网络安全指数。

WSG上网行为管理如何恢复出厂设置？

Wed, 23 Apr 2025 14:07:30 +0800

WSG上网行为管理设备恢复出厂设置有两种方式：

通过Web界面进行重置
通过控制台进行重置

1. Web界面重置

用admin登录Web管理界面后，可以在“系统-配置-导入导出”中选择“恢复出厂设置”。如下图：

“保留日志和统计数据”，这个选项只重置所有的配置，不删除数据。
“清空所有数据”，这个选项既重置配置，又清空数据。

点击“恢复出厂”，就会重置并且重启设备。

2. 通过控制台进行重置

如果你没法进入Web界面，还可以选择通过控制台进行重置恢复出厂设置的操作。你需要一个VGA显示器和一个USB键盘。如下图：

接上显示器和键盘后，按Enter回车，就可以看到控制台菜单。如下图：

恢复出厂设置的菜单序号是5，输入5并且按Enter回车。