上級(jí)部門通知局域網(wǎng)內(nèi)存在僵尸木馬要求網(wǎng)絡(luò)進(jìn)行整改，作為網(wǎng)管人員需要怎樣去處置解決這個(gè)問(wèn)題呢？首先，上級(jí)部門只能檢測(cè)到局域網(wǎng)總出口的IP地址，并不能識(shí)別終端的IP地址。當(dāng)網(wǎng)內(nèi)的終端數(shù)量比較多時(shí)，每臺(tái)電腦做病毒查殺的工作量太大了，網(wǎng)管人員會(huì)很頭疼這個(gè)問(wèn)題。

比較合理的方案是在局域網(wǎng)內(nèi)部署一臺(tái)入侵檢測(cè)系統(tǒng)，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析檢測(cè)，從而發(fā)現(xiàn)問(wèn)題主機(jī)。在本文中，我將以“WSG上網(wǎng)行為管理”為例，來(lái)介紹如何進(jìn)行內(nèi)網(wǎng)的木馬檢測(cè)。

WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測(cè)”這兩個(gè)安全防護(hù)模塊，這兩個(gè)模塊的檢測(cè)原理都是入侵檢測(cè)snort。如下圖：

WSG上網(wǎng)行為管理的“IP-MAC綁定”功能非常強(qiáng)大，可以實(shí)現(xiàn)IP-MAC綁定、ARP綁定、分配靜態(tài)IP等功能。但是配置IP-MAC綁定需要預(yù)先收集mac地址并且分配IP，還是有一定的工作量的。在本文中，我將介紹基于用戶認(rèn)證的IP-MAC綁定功能，其實(shí)現(xiàn)原理是：“用戶一旦認(rèn)證成功就會(huì)自動(dòng)配置IP-MAC綁定”，這樣不但實(shí)現(xiàn)了用戶認(rèn)證，而且固定了IP和mac地址；可以說(shuō)是IP-MAC綁定的一個(gè)有效功能補(bǔ)充。具體的步驟如下：

當(dāng)你有多臺(tái)WSG時(shí)，你可能會(huì)想把上網(wǎng)日志和統(tǒng)計(jì)數(shù)據(jù)集中保存和管理。集中保存可以保存更長(zhǎng)日期的歷史數(shù)據(jù)，也更加便于管理。本文中，我將介紹如何搭建WSG數(shù)據(jù)中心管理系統(tǒng)來(lái)實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)管理。

1. WSG數(shù)據(jù)中心的搭建

WSG數(shù)據(jù)中心安裝在一臺(tái)windows電腦上，該系統(tǒng)的搭建需要安裝以下產(chǎn)品：

1. SQL Server數(shù)據(jù)庫(kù)，所有的日志數(shù)據(jù)都會(huì)被導(dǎo)入到SQL Server數(shù)據(jù)庫(kù)中。

2. FTP服務(wù)器，用于提供FTP上傳服務(wù)。

3. WFilterDC（WFilter數(shù)據(jù)中心管理系統(tǒng)），該系統(tǒng)可以導(dǎo)入數(shù)據(jù)并且提供查詢和統(tǒng)計(jì)等功能。