經(jīng)常有用戶問起如何用”WSG上網(wǎng)行為管理網(wǎng)關“（WFilter NGF）來進行組網(wǎng)，本文我將進行一定的探討。

首先要明確的是，WSG網(wǎng)關是一個”下一代防火墻“、”上網(wǎng)行為管理設備“，也是一個網(wǎng)關路由器，另外WSG還可以工作在網(wǎng)橋模式。所以，WSG一般采用如下方案來組網(wǎng)：

1. WSG在網(wǎng)絡中處于接入的位置，后面直接接交換機。WSG已經(jīng)有了防火墻功能，所以不需要額外的防火墻。
   

2. WSG接在現(xiàn)有的防火墻后，用網(wǎng)關或者網(wǎng)橋模式，用做上網(wǎng)行為管理和流控。

由于網(wǎng)橋的模式比較簡單，不涉及到網(wǎng)絡結構的改動。在本文中，我們只探討WSG作為網(wǎng)關的組網(wǎng)模式，以一個典型的企業(yè)局域網(wǎng)環(huán)境為例（分為：辦公、服務器、Wifi），詳述如下：

1. 組網(wǎng)方案

1.1. WSG + 三層核心交換機

    如上圖所示，通過三層交換機來劃分VLAN，WSG作為路由接入設備，提供防火墻和上網(wǎng)行為管理功能。這個網(wǎng)絡結構，只需要在WSG上配置到不同VLAN網(wǎng)段的路由即可，詳細配置命令請參考：多VLAN三層交換機如何連接WFilter上網(wǎng)行為管理系統(tǒng)

1.2. WSG + 二層VLAN交換機

    如上圖所示，本例中，WSG作為路由接入設備，提供防火墻和上網(wǎng)行為管理功能。用支持VLAN的二層交換機來作為核心交換機，由于二層VLAN交換機無法配置ACL，需要在WSG網(wǎng)關上配置VLAN模塊，從而把WSG網(wǎng)關作為一個“單臂路由”來使用。具體配置請參考：WFilter NGF的VLAN設置

1.3. WSG + 普通二層交換機

    如果您沒有三層交換機，也沒有支持劃分VLAN的二層交換機。沒問題，用WSG一樣可以實現(xiàn)多網(wǎng)段：在“接口設置”中添加多個“內(nèi)網(wǎng)網(wǎng)段”，每個內(nèi)網(wǎng)網(wǎng)段接到不同的交換機即可。等于在WSG網(wǎng)關是實現(xiàn)了VLAN的功能，還可以用WSG的“防火墻”功能來設置不同網(wǎng)段互訪的權限。

2. 服務器的發(fā)布

服務器的發(fā)布一般有兩種方案：

• a. 端口映射。把服務器的相關端口映射到外網(wǎng)即可。如果公網(wǎng)IP是靜態(tài)IP，可以通過靜態(tài)IP訪問。如果公網(wǎng)IP是動態(tài)的，可以啟用“動態(tài)域名”功能來通過域名訪問。

• b. DMZ。請參考：DMZ和靜態(tài)NAT

3. 服務器安全問題

如果是通過“端口映射”來發(fā)布服務，由于只公開了指定端口，安全性是比較高的，一般不會存在安全隱患。（注：黑客利用公開的漏洞，可以在服務器上開啟其他的端口進行入侵。而端口映射由于只映射了一個端口，所以黑客即使利用漏洞開啟了后門，也會被防火墻擋住無法進入。）

服務器的安全問題，需要注意如下要點：

a. 如果是“端口映射”或者“DMZ”來發(fā)布服務，建議多排除掉一些端口，只留下必須的服務端口。

b. 在服務器自身上開啟防火墻，只例外服務必須的端口。（又加了一重保障）

c. 服務器段單獨一個VLAN，并且配置VLAN的訪問規(guī)則，只允許內(nèi)網(wǎng)到服務器的訪問，屏蔽服務器到內(nèi)網(wǎng)的訪問。這樣設置后，即使服務器被入侵，也可以保證企業(yè)內(nèi)網(wǎng)的安全。

d. 盡量不要開啟3389這樣的遠程管理端口，否則很容易被暴力破解。即使要開啟，也不要用默認端口。