网康ICG产品部署之内旁模式

⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体（即谁在访问），是NS-ICG互联⽹访问管理的⽬标对象。

出⾝份认证信息外，⼀个完整的⽤户定义还包含其组织信息和访问策略。

每⼀个互联⽹访问都对应唯⼀的⽤户（或⽤户组），这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。

⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计（监控、查询、报表等）的关键。

⽤户管理模块提供全⾯的⽤户管理功能，主要有如下⼏个功能模块：⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。

组织管理---------------⼿动构建企业组织架构和⽤户信息。

认证管理---------------配置⽤户上⽹的识别和认证管理⽅式，可针对不同⽤户采⽤不同的识别认证⽅式，⽀持本地⼈证和多多种第三⽅认证；⽀持⽤户绑定设置。

⽤户导⼊⽤户导⼊主要⽀持三种⽅式：IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。

IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊，LDAP导⼊时导⼊LDAP服务器上的⽤户，⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。

IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。

其⼀，可以通过已存在的⽤户信息数据源，导⼊到NS-ICG系统中，如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户；其⼆，可以通过管理界⾯⼿⼯管理。

第1步：通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯：第2步：点击“扫描”或者“浏览”本地⽂件后点击“导⼊”，进⼊“导⼊⽤户列表”画⾯，如下图：⽤户名：⼿动输⼊⽤户名；导⼊选项：导⼊IP与MAC：保存⽤户名、IP地址和MAC地址导⼊MAC：保存⽤户名、MAC地址导⼊IP：保存⽤户名、IP地址填充⽤户名：如果选择该项，ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充；选择导⼊位置：根据选择，导⼊到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导⼊的数据和填充画⾯各项信息后，点击右上⾓的“导⼊”按钮，进⾏导⼊。

xxxx公司上网行为管理系统设计方案XXXXX2009年8月目录1.1 互联网一把双刃剑 (6)1.2 对员工上网行为进行规范管理势在必行 (8)1.3 网康ICG 帮您用好双刃剑 (10)2功能介绍 (11)2.1 网页过滤 (11)2.1.1 最领先的中文URL 分类数据库 (11)2.1.2 灵活的Web 策略设置 (12)2.1.3 Web 访问违禁提示 (14)2.2 应用控制 (14)2.2.1 基于特征识别的覆盖全面的应用协议数据库 (15)2.2.2 灵活精细的管控策略 (16)2.3 带宽管理 (16)2.3.1 识别控制P2P 软件和加密P2P 数据 (17)2.3.2 针对用户/应用设置带宽 (17)2.3.3 基于时间段流量控制 (18)2.4 内容审计和过滤 (18)2.4.1 邮件收发审计和过滤 (19)G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor。

(19)2.4.2 IM 审计和过滤 (19)2.4.3 HTTP 文件传输审计和过滤 (20)2.4.4 FTP 文件传输审计和过滤 (20)2.4.5 TELNET 内容审计 (20)2.4.6 论坛发帖审计 (20)2.4.7 搜索引擎关键字审计和过滤 (20)2.4.8 基于时间和用户对象审计外发信息 (21)2.5 实时监控 (21)2.6 查询统计与报表分析 (23)2.6.1 详细的日志查询 (23)2.6.2 发送电子邮件丰富的统计报告 (24)2.6.2.1 递进式（Dill-down）统计分析 (25)2.6.2.2 预置报告模版 (25)2.6.2.3 直观的报告展现与结果保存 (29)2.6.2.4 分级系统报警日志 (29)2.6.2.5 简明系统操作日志 (29)2.7 日志管理 (30)2.7.1 完整的日志记录与导出备份 (30)2.7.2 日志中心 (30)2.9 用户管理 (31)2.9.1 丰富的用户认证方式 (31)2.9.2 支持用户的权限组管理 (33)2.9.3 支持AD 域权限组导入 (33)2.9.4 屏蔽活跃用户IP 地址 (33)2.9.5 支持用户对象的快速搜索选择 (34)2.9.6 支持IP/MAC 绑定 (34)2.9.7 LDAP 认证用户可修改认证密码 (34)2.9.8 支持强制下线 (34)2.9.9 支持BASIC 的每连接认证 (34)ICG 支持B ASIC 用户识别的每连接认证。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

网康互联网控制网关ICG安装配置一指禅1. 设备拆箱，上电运行，正常情况下开机3分钟后设备即可正常运转；2. ICG系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23。

如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP地址配置为192.168.1.xxx/24（与桥口的默认IP地址同网段）3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG（注意是https而不是http），点击“继续浏览此网站（不推荐），输入默认用户名：ns25000，默认密码：ns25000；4.登录之后的WEB管理界面如下图所示；5. 通过【系统管理】－【网络配置】－【网络配置】进入网络配置界面，默认使用网桥模式管理设备。

根据学校网络实际情况，修改设备的网桥口IP地址，IP掩码，缺省网关，DNS 服务器。

（例如将默认的192.168.1.23改为192.168.196.53）6. 修改网络配置的时候设备网卡会重启，网络中断约30秒左右，此时将计算机的IP地址配置为x.x.x.xxx/24（与桥口新配置的IP地址同网段，例如192.168.196.100），使用PC 浏览器重新登录设备，确认可以通过新IP地址访问WEB管理页面；7. 将设备安装上机架并固定，以透明网桥的模式，串接在互联网出口设备（防火墙/路由器）和核心交换机之间，WAN口（eth0）连接防火墙/路由器，LAN口（eth1）连接核心网交换机，如下图所示；8.确认设备串接后互联网访问恢复正常，若出现长时间断网情况，请及时进行回退，恢复原先网络连接，检查线路连接情况，判断故障原因，准备下次割接；9.确认设备正常串接且互联网访问恢复正常后，通过学校内网中任意一台计算机访问设备管理页面，通过图形化界面观察网络运行情况；10. 进入【系统管理】－【集中管理】页面，输入教育局集中管理平台的IP（10.20.1.141），如下图示例，以便于区教育局进行统一的设备管理和策略下发；11. 根据教育局等主管单位的相关规定，配置各项上网行为管理策略。

网康上网行为管理产品NS-ICG 5.6对于网络的滥用，封堵还是放任？这是摆在企业管理者面前的一道难题。

武断封堵，无疑是因噎废食。

网康上网行为管理产品，提供灵活地策略管理，根据企业的个性需求量身定制，帮助企业“上好网，用好网”，实现企业安全、文明、健康、高效的网络环境。

网康互联网控制网关（NetentSec Internet Control Gageway，简称NS ICG）是北京网康科技有限公司推出的一款专业的上网行为管理产品，是面向企业用户的软硬件一体化的控制管理网关。

它提供强大的网页过滤功能，屏蔽员工对非法网站的访问；提供基于时间、用户、应用的精细管理控制策略，控制员工在上班时间玩网络游戏、炒股、观看在线视频，以及无节制地网络聊天，从而保障工作效率；提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免企业机密信息泄露；此外，网康ICG还提供应用层的带宽管理功能，有效阻止、限制P2P等严重消耗带宽的应用，确保企业的核心业务带宽得以保障。

产品功能介绍网页过滤内置全球最大中文URL数据库，对用户访问的网页进行精确分类，并根据管理需求对不良网站进行过滤封堵；支持基于网站类别、URL关键字、文件类型等多种条件的灵活管理，并能够对访问网页内容进行阻断、记录以及网页快照保存等管理操作。

应用控制采用DPI+DFI综合应用识别技术，对各种互联网应用协议进行精确识别；对违规、有害应用进行记录、封堵；可以针对特定用户与特定应用进行使用时间限制，如：普通员工每天只能炒股半小时；带宽管理对带宽资源占用高的各种P2P、在线视频应用进行限速控制；为关键业务应用保障足够可用带宽；精确识别各种加密P2P应用流量，确保带宽管理精准可靠。

内容审计与过滤支持对POP3、SMTP协议收发邮件进行完整内容审计，也支持对163、Gmail等在线邮箱内容的全面审计；可审计邮件附件内容，对修改文件名后的邮件附件、打包压缩后的附件内容也能够进行精确识别；对QQ、MSN、飞信等主流即时聊天工具的聊天行为、内容进行完整记录；支持各类BBS论坛、新闻评论、贴吧的发帖内容进行监控审计，审计内容包括正文及附件；对搜索引擎的搜索行为进行记录，可区分网页搜索、图片搜索、视频搜索等搜索类型，并可过滤有害关键字；检测到敏感信息时，可自动向管理员发送邮件报警。

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。

1、ICG支持的几种部署模式串接和镜像旁路部署。

串接支持网关和网桥部署。

网关支持多出口，网桥支持单桥或者双桥；支持镜像旁路部署。

2、代理服务器支持集中部署模式？、代理服务器支持网桥、网关和旁路部署。

3、能否封堵IM聊天软件答：可以实现。

对于QQ类的聊天软件，可以对QQ的子项进行封堵；针对具体的应用进程也可以实现封堵。

比如只允许QQ聊天，而不允许QQ游戏或传送文件等。

4、可以对每个用户的连接数做限制吗？答：可以实现。

在策略管理—防护设置当中可以对新建连接数做限制。

5、邮件附件内容可以做关键字过滤吗？答：可以实现。

网康互联网控制网关设备可以对邮件正文，标题，内容，附件文件名、附件内容等做关键字过滤，同时还可以实现邮件的预审。

6、强制下线和暂时屏蔽的区别？答：强制下线的功能对于IP身份识别，只是短暂效应，用户随后就可以上网；而对于使用认证的网络环境，则需要强制下线的用户经过重新认证上网，而暂时屏蔽要到当日24点后才会自动解除，或者手动从暂时屏蔽列表中删除。

7、某用户策略失效，应用流量、网站访问均看不到是为什么？答：（1）查看策略管理---策略网段；如果用户IP未在策略网段内，默认是不匹配策略的；如果策略网络默认为空，则对所有经过ICG的流量进行审计和管理。

（2）策略管理-黑白名单-免监控IP 查看系统IP是否在免监控IP地址中；如果在免监控IP地址中，删除问题可以解决。

（3）引擎是否停止-系统管理-系统配置-系统参数-http引擎，如果引擎停止，也会出现上面现象，启动http引擎。

8、网络电视无法阻塞，pplive，UUSEE依旧可以看？答：由于播放软件较新无法封堵，可以通过升级应用协议库来解决。

建议勾选自动更新，以获得最新的协议库，网康应用协议库每周进行动态更新。

9、通过网康ICG，内网VPN（PPTP）就拨不出去，跳过网康就没问题。

答：在策略管理中，加入一条应用控制策略—勾选‘安全’下面的—PPTP选项，允许即可，单击确认，立即生效，故障可以解决。

NSICG CLI 参考手册北京网康科技有限公司1目录一、连接到CLI (3)1. Console访问CLI (3)2. SSH访问CLI (3)二、命令详解 (4)1. help (4)2. icg_status (5)3. icg_http_ctl (5)4. icg_if_cfg (6)5. icg_ip_cfg (6)6. icg_dns_cfg (7)7. icg_route (8)8. icg_arp (9)9. icg_monitor_ports (10)10. icg_sys_diagnose (10)11. icg_sys_tune (13)12. diagnose_network (14)13. icg _db_backup (15)14. softbypass (15)15. reset (17)16. update_pwd_reset (17)17. upgrade (18)18. passwd (18)19. nslookup (18)20. ping (19)21. curl (20)22. traceroute (20)23. reboot (20)24. Poweroff (21)25. Exit (21)23一、 连接到CLI1.Console 访问CLI用console 线将计算机和NSICG 设备相连，通过超级终端进入到CLI ，超级终端设置如下：2.SSH 访问CLINSICG 默认是开放22端口的，可采用SSH 软件登陆到NSICG 的CLI ：二、命令详解1. help此命令用于查看NSICG console口模式下可用的命令。

语法模式：Help例子：[NS-ICG]->help*******************************************************Netentsec Internet Control Gateway Console******************************************************** help --------------- list available commands ** icg_status --------- show icg status ** icg_http_ctl ------- turn http engine on/off ** icg_if_cfg --------- config in/out interface ** icg_ip_cfg --------- config ip address ** icg_dns_cfg -------- config dns address ** icg_route ---------- config static route ** icg_arp ------------ config static arp item ** icg_monitor_ports -- config engine monitor ports ** icg_sys_diagnose --- diagnose system and collect ** the infomation ** icg_sys_tune ------- tune system parameter ** diagnose_network --- diagnose web access problem ** icg_db_backup ------ backup and restore database ** softbypass --------- set icg softbypass parameter ** reset -------------- reset system to factory mode ** update_pwd_reset --- reset the password of liveu- ** pdate system ** upgrade ------------ icg system upgrade ** passwd ------------- modify current user password ** nslookup ----------- query the DNS for resource ** records ** ping --------------- ping ip address ** curl --------------- transfer a URL ** traceroute --------- print the route packets take ** to network host ** reboot ------------- reboot the system ** poweroff ----------- turn off the system *45* exit --------------- exit from the login ********************************************************2. icg_status这个命令用于查看icg 网关当前的运行状态，包括运行模式，内外网口信息，IP 配置信息和引擎工作状态。

标题：设备部署-网桥模式（双网桥）1.用户场景网桥模式,透明部署在路由器和核心交换机中间，为设备配置与路由器内网口和相连交换机接口相同网段的地址，保证设备能够正常管控内网用户，并且内网用户可以管理网康设备。

2. 配置步骤基础配置网桥配置路由配置DNS配置2.1.基础配置系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23/24如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP地址配置为192.168.1.2/255.255.255.0（与桥口的默认IP地址同网段），然后尝试去ping 对端地址192.168.1.23,，如果可以ping通，那么就可以继续在浏览器中输入https://192.168.1.23，使用该地址登陆界面默认的登陆名和密码为ns25000、ns250002.2.网桥配置选择【系统管理】-【网络配置】-【基础配置】，点击【网桥模式】，输入桥IP地址和IP掩码，选择外网口和内网口，配置网关；点击【确定】，在当前列表里显示配置好的链路信息，点击【添加桥接链路】，输入另一链路的桥IP地址和IP掩码，选择外网口和内网口；点击【确定】，在当前列表里显示配置好的链路信息，网络配置完成；注：桥模式只能添加一个缺省网关地址，将网关地址配置成其中任意一条链路的路由器内网口地址即可，缺省网关配置只是影响设备自身上网，对内网用户上网没有影响；2.3.路由配置选择【系统管理】-【网络配置】-【路由配置】，点击【静态路由】，输入目的地址、IP 掩码，下一跳地址并选择接口点击【确定】，在当前列表中显示添加好的路由信息，点击立即生效，配置生效，10.0.2.0/24网段添加方法相同；注：添加静态路由目的只是保证设备可以向内网用户推送web认证界面等，并不是影响内网用户上网的路由，也不是影响设备自身上网的路由。

2.4.DNS配置选择【系统管理】-【网络配置】，点击【DNS配置】，输入DNS服务器IP，点击【确定】；配置完成后，点击立即生效，配置生效；3.接入网络3.1.检查网络连通性检查设备自身是否可以上网；选择【系统管理】-【系统配置】，点击【网络工具】；测试结果，表示设备可以访问网络；检查PC是否可以访问设备；在PC上ping设备的桥地址192.168.110.229，保证可以ping通；在浏览器中输入https://192.168.110.229，确认可以登陆管理界面；4.其他概念注意事项==========================================================================4.1.注意A、多桥模式，HTTP引擎必须为旁路模式；B、多网桥模式，只支持多入多出，即内外网口数量相同；C、多网桥模式，无法启用trunk；D、多条线路的IP地址不能再同一网段。

网康ICG设备命令行配置网康ICG设备命令行配置对于图形化的WEB界面配置，都可以通过友善的界面、简单的操作，实现设备的基本配置工作，但对于特殊情况下，无法通过图形界面完成配置时，我们就有必要学习如何在命令行模式下完成必要的操作了。

首先，我们需要知道能进入设备的用户名及密码用户名：icgadmin，密码：netentsec。

网康设备有着自己独特的命令行模式，在登陆成功后，系统会自动地出现所有相关的命令及注释。

可以通过输入help，查看所有的命令。

网康的命令行没有可以使用TAB键补全的功能。

查看系统配置的命令为：icg_status，如下图：设备现在是作为桥接模式串入网络的，而且只为单网桥模式。

网康设备视接口数量，可以每两个接口为一组，完成多线路的上网行为管理。

注：网康设备可设备管理口及管理IP，但用做管理口的接口就无法用于其他的用途，而且管理IP应该于该网络不在同一网段，以免影响网络通信的正常。

在命令行模式下，如何配置基本网络信息。

icg_network_cfg，进入配置网桥模式下的配置命令：Do you want to change Mgr_port configurations?(y|n)n（是否配置管理口：否）Do you want to change network configurations?(y|n)y（是否更改设备的网络配置：是） Please choose network mode [B]ridge/[G]ateway: b（请选择网络模式：桥接模式） Please input Stp mode[on|off]: off（是否启用STP模式：否）Please input the total number of bridges:1（输入桥接模式下的网桥数量：1）Please input Bri0 ip/netmask/ethout/ethin(eg:192.168.1.23/255.255.255.0/eth0/eth1) Input:192.168.5.135/255.255.255.0/eth2/eth3（输入该网桥的管理IP，掩码，外口接口号，内口接口号） Please input default gateway IP: 192.168.5.254（输入默认网关）如下图所示：当前网络配置网关模式下的配置命令：Do you want to change Mgr_port configurations?(y|n)n（是否配置管理口：否）Do you want to change network configurations?(y|n)y（是否更改设备的网络配置：是） Please choose network mode [B]ridge/[G]ateway:g（请选择网络模式：桥接模式） Please input External ip/netmask/ethout(eg:192.168.1.23/255.255.255.0/eth0) （输入外网口IP地址，掩码，接口号）Please input Internal ip/netmask/ethin (eg:192.168.1.23/255.255.255.0/eth1) （输入内网口IP地址，掩码，接口号）Please input default gateway IP: 192.168.5.254（输入默认网关）如下图所示：当前网络配置感谢您的阅读，祝您生活愉快。