网康-ITM的【每用户控制】

标题：上网时长策略1.实现功能A、限制研发部张三上班时间P2P下载和通讯聊天软件每天使用4小时，超过4小时就不能再使用了2.配置要点配置需要控制的用户配置需要控制的时间配置策略内容3.配置过程3.1.查看并设置用户的组织结构点开【用户管理】-【用户管理】，鼠标单击【ROOT】,然后【新建组】，添加【新建普通组】【组名称】填写“研发部”，【所属组】选择对应的组目录，本案例默认在根目录下即【ROOT】组下，选择后点击【保存】，组目录创建完毕完成添加后，我们会在组织管理的目录里面看见刚才创建的目录【研发部】；其他部门，可以按照类似的方法创建；接下来，在研发部门这个目录下面创建用户，单击【研发部门】-【新建用户】以张三为例，填写完毕，如果还有其他的用户，那么可以继续添加注：用户名称、所属组是必填项，其他可以任意填写3.2.设置时间段在【全局配置】-【对象设置】-【时间对象】中，点【+添加】，设置相应时间段；点击确定，时间段创建完毕，如果需要设置其他时间段，方法一样3.3.创建应用时长策略选取【流量管理】-【每用户控制】，点击【添加策略】，选择【时长策略】，点击时间、用户、应用和控制动作，然后对这些条件进行编辑，选择要控制的条件和内容；创建完成后，在当前的策略列表里面会显示该条策略，点击立即生效后，策略生效4.验证策略是否生效4.1.查看已经使用的时长在【系统监控】-【应用限额】，点击【选择操作】-【设置过滤条件】，在用户设置处，选择用户，如下（按照用户或者IP查询都可以，选择任何一个）点击确定，开始过滤，可以看到策略开始生效的时间，以及还有多长时间可以使用4.2.时长到期，是否匹配时长策略为了能看到效果，将每日限额变成10分钟时长及生效时间，调整时长内容，起止时间不会变化，引擎或者策略变动会重置开始计时的时间，我们可以在【系统监控】-【应用限额】查看实际使用时长；当出现【解禁】字样，表示该用户时长已经到期了，这个时候用户就无法使用选择的应用了，管理员可以点【解禁】重新计时；在【查询统计】-【应用活动】中查看张三以及对应的应用使用情况，被阻塞而且阻塞策略就是时长策略而未在时长策略内容中的应用可以照常使用。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

网康智能流量管理系统（NS-ITM）——优化您的每一寸带宽❖需求背景互联网应用繁荣的时代，一方面企事业单位各种关键应用（如：ERP、CRM、OA系统、视频会议系统等）对带宽和延迟提出了更高的规定；另一方面P2P下载、网络电视、即时通讯及在线购物等与工作无关的应用日益泛滥。

企事业单位有限的网络资源正被P2P下载、网络电视等应用所吞噬，关键应用的服务质量得不到保障。

网速越来越慢、网络业务中断越来越频繁，不仅极大浪费了宝贵的带宽资源，也严重影响了本单位关键应用的正常运营。

❖产品介绍网康智能流量管理系统（NetentSec Intelligent Traffic Manager, NS-ITM）是网康科技推出的基于应用层的、专业的流量管理产品，既合用于城域网、校园网、大中型公司等流量大、应用复杂的网络环境，也合用于需优化互联网接入、保障关键应用、控制网络接入成本的中小型公司的网络环境。

NS-ITM通过监控网络流量、分析流量行为、设立流量管理策略，基于时间、VLAN、用户、应用、数据流向等条件实现全面的智能流量管理。

❖产品功能1.流量洞察✓流量监控⏹实时展示设备及链路的每5分钟、每小时、天天、每周及每月的流量走势图⏹实时展示本日或预定期间内各应用/用户流量及用户并发连接数的Top N排名⏹实时展示本日设备、指定链路和通道的流量走势、各级通道/应用/用户的Top N流量排名⏹实时展示当前在线用户的IP五元组具体信息、上传/下载流量及并发连接数✓流量查询⏹可查询指定日期、时间、通道、应用及用户的每分钟上传及下载流量2.流量限制✓应用封堵⏹对用户的指定应用进行封堵⏹对用户去往某（些）服务器的指定应用进行封堵✓流量限速⏹基于时间、VLAN、用户、应用，把上传/下载速率限定在指定范围内✓流量限额⏹通过一条策略即可实现在预定期间周期为每个用户的应用设定相同的流量限额值⏹在预定期间周期对从源用户（组）去往目的用户（组）的应用总体流量设定限额值✓连接控制⏹通过一条策略即可实现对每个用户设立相同的并发连接数和新建连接速度⏹对从源用户（组）去往目的用户（组）的应用进行总体并发连接数和新建连接速度控制3.流量保障✓带宽保证⏹设定带宽保证值，保证关键应用在任何时刻最少所能获得的带宽资源✓带宽预留⏹架设“带宽专线”，使关键应用在任何时刻都独享该专线的所有带宽资源✓带宽平均⏹根据用户数量的动态变化，实现基于内网/外网用户的带宽平均分派，保证用户间动态、公平地共享所有带宽资源✓通道分级⏹每条物理链路均支持三重嵌套（主/子/微通道）的通道结构⏹通道间可互相借用空闲带宽资源，优先级高的通道优先借用空闲的带宽资源4.负载均衡✓链路备份⏹当有多条出口链路时，一旦主链路出现故障，其流量将自动切换至备用链路⏹实时显示主备链路间的切换时间及切换的流量✓流量分担⏹当有多条出口链路时，一旦一条链路的上传或下载流量达成警戒阈值，其相应流量将切换至另一条链路⏹实时显示链路间实现分担的流量走势✓南北互通⏹当有归属不同运营商的多条出口链路时，将会根据目的IP地址所属的运营商来选择相应的运营商出口链路⏹实时显示基于目的IP归属选路的流量走势5.应用引流⏹支持将指定链路的所有或部分应用流量从本设备发出，经其它设备（如NS-ICG）进行流量过滤后再流入本设备，实现流量清洗的目的⏹支持将链路的上传/下载/总流量进行镜像，方便其它设备进行相应的流量分析6.应用优化⏹对从源用户去往目的地的某应用（如HTTP、HTTPS等）进行延时测量（如往返时间、[平均]服务器延时、[平均]网络延时、[平均]总延时）⏹对通过本设备所有或指定应用进行数据压缩，并显示压缩前/后流量、压缩比及压缩比为Top N 的应用排名7.流量分析✓流量记录⏹对指定日期、时间的各应用、用户或通道的上传/下载/总流量及用户数量进行记录⏹支持递进式查收和多维关联分析✓流量报告⏹输出指定日期、时间、通道、应用、用户的流量走势图及应用流量叠加走势图❖产品优势✓辨认精确⏹丰富的应用协议库，支持超过500种本土活跃应用及协议，全面覆盖P2P、IM、VoIP、网络游戏、办公自动化等流行应用及协议⏹全面支持IPV6，可以按应用协议类别对IPV6应用流量进行精确辨认和全面管理⏹专业的应用协议分析团队，实时跟踪和分析新的网络应用及协议，保证应用协议库的完备性与时效性✓管理精细⏹基于时间、VLAN、源/目的用户、应用、上传/下载等条件设立包含带宽、限额、连接数、负载均衡等的策略组合⏹通过主/子/微三重嵌套的通道管理机制和分级借用机制，实现层次化的流量管理⏹通过灵活的每用户流量管理、通道整体流量管理策略或组合策略，实现流量的二次整形，实现智能流量管理的目的✓性能卓越⏹依托“多核并行优化”和“基于ring的负载均衡”专利技术，将网络业务流高效分派到各解决核心，保证业务流在各解决核心间真正实现动态负载均衡，极大提高系统的运算效率和数据包转发效率⏹采用独有的“无效连接动态清洗”专利技术，对无效连接进行高效动态清理，有效解决各种无效连接占用大量系统资源的问题⏹采用专门的“多维非线性策略引擎”技术，通过优化算法来加速流控规则的查找和匹配，支持在超过2万条规则数的条件下，系统性能无恶化✓部署灵活⏹支持透明串接入网与旁路监听并存的网络部署方式；支持多路旁路监听⏹最大支持对4条普通桥接链路（或4条旁路监听链路）的应用进行聚合管理⏹支持源端口的总流量镜像至某一指定目的端口；支持源端口的上传和下载流量分别镜像至不同的目的端口✓稳定可靠⏹硬件设备支持断电物理直通，避免电源失效导致的网络中断⏹独有的一键式旁路切换技术，积极调整系统负载，帮助快速定位问题⏹灵活的软件死锁与高负载自动跳转技术，根据预设阈值自动分流高负载流量⏹系统软件热备，当主系统发生异常后，备份系统可正常接管⏹支持并行冗余和串行冗余，保证网络的高可用性❖产品规格❖产品支持协议列表❖产品组网网康智能流量管理系统可以支持多种灵活多样的部署模式，涉及透明桥接方式接入，旁路监听部署，并且支持单链路和多链路的物理连接方式。

网康上网行为管理方案1. 引言随着互联网的普及，越来越多的企业和机构面临着对员工和用户上网行为进行管理的需求。

上网行为管理旨在保护网络安全，防范信息泄露并提高工作效率。

本文将介绍一套基于网康设备的上网行为管理方案，该方案将帮助企业和机构实现对上网行为的监控和控制。

2. 网康设备概述网康设备是一款专业的网络安全设备，它提供了丰富的功能和灵活的配置选项，可以满足各种规模和需求的网络环境。

网康设备支持通过集中管理中心对网络设备进行统一的配置和管理，同时具备强大的上网行为管理功能。

3. 上网行为管理方案设计为了有效管理上网行为，我们设计了以下几个关键步骤：3.1. 设定策略在网康设备上设置上网行为管理策略，包括允许或禁止特定的网站访问，限制特定应用程序的使用，以及设定时间段和流量限制等。

策略可以根据不同用户、不同部门或不同网络区域进行个性化配置。

3.2. 监控行为网康设备可以实时监控员工和用户的上网行为，包括访问的网站、下载的文件、使用的应用程序等。

监控数据将通过日志进行记录，并可以通过集中管理中心进行查看和分析。

3.3. 报警机制通过设定合适的报警规则，当发现异常的上网行为时，网康设备将自动触发报警。

例如，当某个用户下载大量敏感信息或访问被禁止的网站时，系统会及时通知管理员并采取相应的措施。

3.4. 违规处理当发现员工或用户存在违规行为时，管理员可以根据实际情况采取相应的处理措施。

例如，警告员工、限制其访问权限或进行相应的处罚措施，以确保员工和用户遵守上网行为管理规则。

4. 实施步骤为了成功实施上网行为管理方案，我们建议按照以下步骤进行：4.1. 确定需求企业或机构应首先明确自己的上网行为管理需求，并根据实际情况制定相应的策略。

4.2. 设计方案根据需求，设计适合的上网行为管理方案。

包括设定策略、监控规则、报警机制和违规处理措施等。

4.3. 部署网康设备根据设计方案，部署网康设备，并进行相关的配置和测试。

网康配置免管控用户由于企业某些部门或人员工作职务特殊性，不能审计他们的邮件收发内容、聊天内容、网页访问信息、或者不能对他们的应用协议的使用或带宽上限进行限制等，因此提供了免管控用户的功能。

该功能包括两个子功能，即免控制用户和免审计用户。

下面是详细介绍：第1步：通过导入或手动等方式，在组织管理中建立用户。

详细方法请参考本章其他章节。

第2步：通过【策略管理】→【黑白名单】→【免管控用户】进入如下图所示页面：图1 免管控用户∙免控制用户：免控制用户不受应用控制策略、时长限额策略、用户带宽上限策略、流量控制策略的控制。

o 选择时间：设置策略有效时间。

默认所有时间均有效。

点击“选择时间”在弹出的“选择时间对象”窗口中选择“工作时间”。

如果没有满足的时间对象，可以点击该窗口右上角的“+”按钮，或者到【策略管理】→【对象设置】→【时间对象】中创建适合的时间对象。

操作方法请参考“时间对象”章节。

o 设定用户：设置免控制账号。

提示：免控制用户受“默认带宽通道”的控制。

∙免审计用户：免审计用户不受所有审计策略的审计，包括：外发邮件审计、接收邮件审计、QQ 审计、飞信审计、MSN审计、YAHOO通审计、FTP 审计、TELNET审计、HTTPS审计、发帖审计，以及网页控制策略（网页浏览策略、网页搜索策略、HTTP文件审计策略）。

o 设定用户：设置免审计账号。

提示：免审计用户不可以选择策略生效的时间，默认对所有时间生效。

第3步（可选）：如果配置免控制用户，则可以点击“选择时间”，设置免控制用户的生效时间。

即在所设置的时间段内免控制用户不受控制策略的控制。

在所设置的时间段外时，免控制用户和普通用户一样都受控制策略的控制。

第4步：点击“设定用户”，弹出如下图所示窗口：图 2选择用户第5步：选择用户后点击“确定”按钮，关闭如上窗口。

第6步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：1. 免管控用户是根据用户的“登录名”来识别用户的，请确保免管控用户的登录名和所采用的认证管理方式的登录名一致。

网康智能流量管理系统（NS-ITM）——产品概述网康智能流量管理系统（NetentSecIntelligentT rafficManager,NS-ITM）是网康科技推出的基于应用层的、专业的流量管理产品，NS-ITM基于时间、VLAN、用户、应用、数据流向等条件，通过监控网络流量、分析流量行为、设置流量管理策略，实现全面的智能流量管理。

需求背景随着信息技术和网络技术日新月异的发展，特别是国际互联网的出现、发展及逐渐普及，各行各业的信息化实现了跨跃式发展，信息技术应用的深度和广度上也达到前所未有的地步，各种依托于网络的新兴应用层出不穷，在极大丰富了人们的互联网生活的同时，网络带来了诸多问题，给企业、单位的网络管理者带来了新的挑战。

一方面企事业单位各种关键应用（如：ERP、CRM、OA系统、视频会议系统等）对带宽和延迟提出了更高的要求；另一方面P2P下载、网络电视、即时通讯及在线购物等与工作无关的应用日益泛滥。

企事业单位有限的网络资源正被P2P下载、网络电视等应用所吞噬，关键应用的服务质量得不到保障。

网速越来越慢、网络业务中断越来越频繁，不仅极大浪费了宝贵的带宽资源，也严重影响了本单位关键应用的正常运行。

功能特性应用流量分析分析网络中的流量成分是流量控制的基础步骤，网康ITM提供了丰富的流量分析功能，不仅能分析网络中流量的大小，更能清晰的展示网络中流量是由哪些应用构成的，每种应用所占用的带宽资源是多大。

通过实时监控功能，能够实时展示设备及链路的流量走势情况、带宽占用情况等内容，同时，还能够通过不同维度对目前一段时间内的流量进行实时分析，如并发连接数走势、新建连接数走势、应用占用带宽排名、用户带宽排名等。

通过查询统计功能，能够对历史流量进行综合统计分析，根据不同的分析条件，对指定时间、指定用户的各类应用流量进行统计，从而展现整个网络一段时间内的网络流量情况，特别的，网康ITM支持递进式查询和多维关联分析，带来更详尽的分析效果。

策略分类：网康行为管理的策略主要分两大类：针对网页访问的策略（如使用浏览器上网）、针对软件访问的策略（如QQ、PPLive）。

目前已做的策略如下：1.网页访问——迁移原代理服务器的策略，限制用户通过浏览器访问特定的网址；2.网页访问——未在代理服务器配置中的IP及网址默认全部阻止；3.软件访问——禁止用户使用P2P影音（如PPLive）、在线音乐（如虾米）以及网络游戏（如QQ游戏）。

做策略的基本方法：基本思路是：XX用户或用户组，若满足或不满足XX条件，则允许或阻塞相应的请求。

针对网页访问的策略：选择“上网管理”——“网页访问详情”；新建一条策略或者点击进入一条策略进行编辑；在上图界面中勾选需要执行策略的用户或用户组；勾选“网址”，在右侧选择逻辑条件（包含或不包含）以及关键字；点击关键字可以进行对应的关键字编辑（也可在“全局配置”——“对象设置”——“关键字对象”中进行编辑）；关键字对象中，每个关键字可以通过换行隔开；以上完成了逻辑条件的设置，下面设置执行的动作；勾选“设置控制动作”后，在右侧点击可在“允许该请求”和“阻塞该请求”中切换；确定后点击右上角“立即生效”完成。

针对软件访问的策略：选择“上网管理”——“应用控制详情”；新建一条策略或者点击进入一条策略进行编辑；在上图界面中勾选需要执行策略的用户或用户组；在网康的应用分类库中勾选需要进行控制的应用；以上完成了逻辑条件的设置，下面设置执行的动作；勾选“设置控制动作”后，在右侧点击可在“允许该请求”和“阻塞该请求”中切换；确定后点击右上角“立即生效”完成。

策略效果分析和微调：所有策略生效后，可根据实际使用情况进行小幅调整。

在“用户管理”——“组织结构”菜单中可以查看、编辑用户。

如可以新建用户组、在用户组中新建用户或者移动组内用户到其他组。

在“查询统计”——“网址访问”菜单中可以查看用户访问网页的情况，如允许或阻塞、匹配了哪一条策略。

如有用户反馈某些网址无法打开，可点击“选择操作”——“设置过滤条件”弹出设置窗口。

网康上网行为管理介绍网康上网行为管理网康NI3310上网行为管理一、需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，在极大丰富了人们的互联网生活的同时，网络带来的工作效率低、带宽资源紧张、机密信息泄露等问题，也给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

网康互联网控制网关（Netentsec Internet Control Gateway，NS-ICG）是网康科技融合自身在互联网行为与内容分析领域的多年技术积累，推出的一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的灵活身份认证、合规准入、网页过滤、应用控制、带宽管理、外发审查，内容审计，行为分析等功能。

二、产品功能网页过滤内置全球最大中文URL数据库，对用户访问的网页进行精确分类，并根据管理需求对不良网站进行过滤封堵；支持基于网站类别、URL关键字、文件类型等多种条件的灵活管理，并能够对访问网页内容进行阻断、记录以及网页快照保存等管理操作。

应用控制采用DPI+DFI综合应用识别技术，对各种互联网应用协议进行精确识别；对违规、有害应用进行记录、封堵；可以针对特定用户与特定应用进行使用时间限制，如：普通员工每天只能炒股半小时；带宽管理对带宽资源占用高的各种P2P、在线视频应用进行限速控制；为关键业务应用保障足够可用带宽；精确识别各种加密P2P应用流量，确保带宽管理精准可靠。

内容审计与过滤支持对POP3、SMTP协议收发邮件进行完整内容审计，也支持对163、Gmail 等在线邮箱内容的全面审计；可审计邮件附件内容，对修改文件名后的邮件附件、打包压缩后的附件内容也能够进行精确识别；对QQ、MSN、飞信等主流即时聊天工具的聊天行为、内容进行完整记录；支持各类BBS论坛、新闻评论、贴吧的发帖内容进行监控审计，审计内容包括正文及附件；对搜索引擎的搜索行为进行记录，可区分网页搜索、图片搜索、视频搜索等搜索类型，并可过滤有害关键字；检测到敏感信息时，可自动向管理员发送邮件报警。

《网康科技_网康科技:网络应用层管理专家》摘要：坚持致力于网络应用层管理技术的产品研发的网康科技，已成长为上网行为管理市场占有率领先的企业，网康智能流量管理系统（NS-ITM），是一款专业的、支持万兆网络的高性能硬件平台的应用层流量控制产品，能够在各类网络环境中保障应用质量，提升带宽价值，覆盖政府、金融、运营商、能源、教育、交通、制造、医疗，大型集团企业等众多行业，它们采用网康科技的产品技术进行精细化的网络应用层管理，网康产品已成为用户值得信赖的放心之选坚持致力于网络应用层管理技术的产品研发的网康科技，已成长为上网行为管理市场占有率领先的企业。

近年来，网康科技在各行业市场的成绩显著，帮助厦门大学破解了万兆网络的管理难题，帮助宇通客车解决了防泄密问题，帮助财政部门解决了流量控制问题、保障关键业务应用，帮助四川广电合理利用带宽资源、提升网络应用的服务质量，帮助美特斯邦威解决了员工上网计费的难题…… 区别于传统网络技术，网康科技的产品并不仅基于IP和端口对网络传输数据进行管理的思路。

网康科技率先提出了基于人员标签、应用标签和内容标签对网络传输数据进行深度管理的技术理念，并在此领域积累了50余项专有技术和软件著作权。

网康科技拥有全球超大的中文网页分类数据库和中国超大的网络应用协议数据库，结合专有的XAI （扩展应用识别）、RACE（实时应用内容识别）技术，使得IT管理者可以准确识别网络中传输数据的人员构成、应用构成和内容构成，从而准确进行应用级和内容级的安全防护、合规管理以及性能优化。

专注于应用层技术的持续创新网康科技专注于网络应用层技术的持续创新。

2004年在国内率先推出上网行为管理产品ICG， 2009年推出智能流量管理产品ITM，2010年推出安全代理服务器产品NPS、移动业务分析系统，2011年又推出应用安全网关ASG。

持续的产品创新，使得网康近3年来的复合增长率超过了200%。

网康上网行为管理（NS-ICG），是其在中国率先推出的专业硬件上网行为管理产品，在中国上网行为管理的市场占有率领先。