【网康进阶之ICG】-07-网页浏览策略用户自定义方式
【网康进阶之ICG】-07-上网时长策略
标题:上网时长策略1.实现功能A、限制研发部张三上班时间P2P下载和通讯聊天软件每天使用4小时,超过4小时就不能再使用了2.配置要点配置需要控制的用户配置需要控制的时间配置策略内容3.配置过程3.1.查看并设置用户的组织结构点开【用户管理】-【用户管理】,鼠标单击【ROOT】,然后【新建组】,添加【新建普通组】【组名称】填写“研发部”,【所属组】选择对应的组目录,本案例默认在根目录下即【ROOT】组下,选择后点击【保存】,组目录创建完毕完成添加后,我们会在组织管理的目录里面看见刚才创建的目录【研发部】;其他部门,可以按照类似的方法创建;接下来,在研发部门这个目录下面创建用户,单击【研发部门】-【新建用户】以张三为例,填写完毕,如果还有其他的用户,那么可以继续添加注:用户名称、所属组是必填项,其他可以任意填写3.2.设置时间段在【全局配置】-【对象设置】-【时间对象】中,点【+添加】,设置相应时间段;点击确定,时间段创建完毕,如果需要设置其他时间段,方法一样3.3.创建应用时长策略选取【流量管理】-【每用户控制】,点击【添加策略】,选择【时长策略】,点击时间、用户、应用和控制动作,然后对这些条件进行编辑,选择要控制的条件和内容;创建完成后,在当前的策略列表里面会显示该条策略,点击立即生效后,策略生效4.验证策略是否生效4.1.查看已经使用的时长在【系统监控】-【应用限额】,点击【选择操作】-【设置过滤条件】,在用户设置处,选择用户,如下(按照用户或者IP查询都可以,选择任何一个)点击确定,开始过滤,可以看到策略开始生效的时间,以及还有多长时间可以使用4.2.时长到期,是否匹配时长策略为了能看到效果,将每日限额变成10分钟时长及生效时间,调整时长内容,起止时间不会变化,引擎或者策略变动会重置开始计时的时间,我们可以在【系统监控】-【应用限额】查看实际使用时长;当出现【解禁】字样,表示该用户时长已经到期了,这个时候用户就无法使用选择的应用了,管理员可以点【解禁】重新计时;在【查询统计】-【应用活动】中查看张三以及对应的应用使用情况,被阻塞而且阻塞策略就是时长策略而未在时长策略内容中的应用可以照常使用。
网康ICG操作手册
⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体(即谁在访问),是NS-ICG互联⽹访问管理的⽬标对象。
出⾝份认证信息外,⼀个完整的⽤户定义还包含其组织信息和访问策略。
每⼀个互联⽹访问都对应唯⼀的⽤户(或⽤户组),这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。
⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计(监控、查询、报表等)的关键。
⽤户管理模块提供全⾯的⽤户管理功能,主要有如下⼏个功能模块:⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。
组织管理---------------⼿动构建企业组织架构和⽤户信息。
认证管理---------------配置⽤户上⽹的识别和认证管理⽅式,可针对不同⽤户采⽤不同的识别认证⽅式,⽀持本地⼈证和多多种第三⽅认证;⽀持⽤户绑定设置。
⽤户导⼊⽤户导⼊主要⽀持三种⽅式:IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。
IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊,LDAP导⼊时导⼊LDAP服务器上的⽤户,⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。
IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。
其⼀,可以通过已存在的⽤户信息数据源,导⼊到NS-ICG系统中,如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户;其⼆,可以通过管理界⾯⼿⼯管理。
第1步:通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯:第2步:点击“扫描”或者“浏览”本地⽂件后点击“导⼊”,进⼊“导⼊⽤户列表”画⾯,如下图:⽤户名:⼿动输⼊⽤户名;导⼊选项:导⼊IP与MAC:保存⽤户名、IP地址和MAC地址导⼊MAC:保存⽤户名、MAC地址导⼊IP:保存⽤户名、IP地址填充⽤户名:如果选择该项,ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充;选择导⼊位置:根据选择,导⼊到组织管理的指定位置(注:需提前配置好组织架构)第 3 步:管理员根据需要选择导⼊的数据和填充画⾯各项信息后,点击右上⾓的“导⼊”按钮,进⾏导⼊。
网康互联网控制网关NS-ICG
网康互联网控制网关 NS-ICG面对日益普及的互联网,人们的工作、学习、生活也越来越依赖于互联网,然而由于滥用互联网的行为所带来的各种风险却没有被重视起来:1.工作效率低下:办公室越来越像网吧,贴在墙上的管理条例形同虚设2.网速越来越慢:带宽一扩再扩,永远满足不了业务的需求3.安全隐患不断:防火墙、防病毒系统挡不住层出不穷的病毒、木马等安全隐患4.机密信息外泄:内部机密信息通过Email、BBS、MSN等在不经意的流失5.违反国家规定:网络安全建设不符合国家对互联网的使用管理规定网康上网行为管理产品NS-ICG 产品功能介绍Web访问过滤互联网上的信息资源非常丰富,却良莠不齐。
通过网康互联网控制网关,您可以根据业务需要制定精细化Web访问策略,将非业务信息挡在门外。
可控制管理50多个网址分类,共计1400万条URL适合中国用户的上网习惯符合中国社会伦理与法律法规实时更新,自动分类,人工校验网络聊天管理随着IM软件应用的日益广泛,与工作无关的聊天和聊天中泄密等问题给企业管理带来了严峻的挑战。
通过网康互联网控制网关,您可以根据业务需要制定精细化的网络聊天监控管理策略,在不同时间对不同部门、不同人员施行差异管理方式。
可控制管理多种流行IM软件,包括:QQ、MSN、Yahoo通、AIM(ICQ)、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺、飞信等支持对MSN、Y ahoo通聊天内容的监控支持对IM软件子协议的独立控制,如聊天、文件传输、音视频、游戏、远程桌面等支持对使用权和使用时间的监控管理P2P下载控制P2P下载为人们快速共享文件提供了极大的便利,但其强占带宽资源的特性却常常影响正常的业务数据传输。
通过网康互联网控制网关,您可以定制精细的P2P控制管理策略、阻塞或者限制P2P上传/下载的带宽,确保企业核心业务的带宽得以保障。
可控制管理多种主流的P2P软件,包括:BT、eMule/eDonkey、迅雷(以及web方式)、PP 点点通、Kugoo、KaZaA(Fast Track)、Gnutella、V agaa、百度下吧、WinMX、Winny、Share、msze、未知P2P应用(UDP)等识别控制加密P2P数据流支持对使用权、带宽和使用时间的控制管理网络娱乐控制网络娱乐已经成为中国一大经济产业,然而不分时间不分场合的娱乐,对工作和学习的影响显而易见。
网康ICG快速配置手册_GAOQS
网康ICG快速上线配置手册一、web登录开机后用网线连接网康的E0或E1接口,默认Ip:192.168.1.23登录地址https://192.168.1.23 默认帐号密码:ns25000(密码与帐号相同)注:若接口与ip信息不清楚,则用console管理方式进后台查看。
后台帐号:icgadmin 密码:netentsec 进入后用icg_status命令查看。
二、License申请与导入申请测试License必备条件:网康ICG的序列号,测试时间范围。
(若申请正式的,还需获取硬件信息)注:系统管理→系统配置→授权与更新→产品授权信息→获取硬件信息。
收到测试(或正式)License后:系统管理→系统配置→授权与更新→产品授权信息,导入。
……→升级授权信息,导入(需联网)。
三、配置基本网络信息系统管理→网络配置→模式选择→网桥模式(最常用),配置ip信息、默认网关、DNS与路由。
如下图:^_^------四、配置策略1、应用控制策略(对各种应用程序如qq、迅雷、pplive等封堵)策略管理→控制策略设置→添加→应用控制策略。
如下:^_^---配置好后,必须在界面右上角点击“立即生效”,该策略才能生效。
如下:2、流量控制策略(限速)此处与上面的应用控制策略不同,必须先建一个带宽对象(即限制的速度范围)。
策略管理→对象设置→带宽通道对象→添加,建个迅雷限速通道。
如下:^_^设置好带宽通道对象后,进:控制策略设置→添加→流量控制策略。
在弹出的页面中填写相应信息,在应用列表中找到迅雷并点击,在弹出页面指定带宽通道。
如下:---3、网站浏览控制策略(封堵某个或一类网站)---此处与流控策略一样,必须先建一个网址分类对象(或网址匹配对象或关键字对象),对象设置→网站分类对象→添加,如下:Array然后在:策略管理→审计策略设置→http应用审计策略→网页浏览策略,如下:^_^---完成上部步骤,网康基本上可以正式上线了,无非根据用户的需求再建一些相应的策略。
网康上网行为管理解决方案
xxxx公司上网行为管理系统设计方案XXXXX2009年8月目录1.1 互联网一把双刃剑 (6)1.2 对员工上网行为进行规范管理势在必行 (8)1.3 网康ICG 帮您用好双刃剑 (10)2功能介绍 (11)2.1 网页过滤 (11)2.1.1 最领先的中文URL 分类数据库 (11)2.1.2 灵活的Web 策略设置 (12)2.1.3 Web 访问违禁提示 (14)2.2 应用控制 (14)2.2.1 基于特征识别的覆盖全面的应用协议数据库 (15)2.2.2 灵活精细的管控策略 (16)2.3 带宽管理 (16)2.3.1 识别控制P2P 软件和加密P2P 数据 (17)2.3.2 针对用户/应用设置带宽 (17)2.3.3 基于时间段流量控制 (18)2.4 内容审计和过滤 (18)2.4.1 邮件收发审计和过滤 (19)G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor。
(19)2.4.2 IM 审计和过滤 (19)2.4.3 HTTP 文件传输审计和过滤 (20)2.4.4 FTP 文件传输审计和过滤 (20)2.4.5 TELNET 内容审计 (20)2.4.6 论坛发帖审计 (20)2.4.7 搜索引擎关键字审计和过滤 (20)2.4.8 基于时间和用户对象审计外发信息 (21)2.5 实时监控 (21)2.6 查询统计与报表分析 (23)2.6.1 详细的日志查询 (23)2.6.2 发送电子邮件丰富的统计报告 (24)2.6.2.1 递进式(Dill-down)统计分析 (25)2.6.2.2 预置报告模版 (25)2.6.2.3 直观的报告展现与结果保存 (29)2.6.2.4 分级系统报警日志 (29)2.6.2.5 简明系统操作日志 (29)2.7 日志管理 (30)2.7.1 完整的日志记录与导出备份 (30)2.7.2 日志中心 (30)2.9 用户管理 (31)2.9.1 丰富的用户认证方式 (31)2.9.2 支持用户的权限组管理 (33)2.9.3 支持AD 域权限组导入 (33)2.9.4 屏蔽活跃用户IP 地址 (33)2.9.5 支持用户对象的快速搜索选择 (34)2.9.6 支持IP/MAC 绑定 (34)2.9.7 LDAP 认证用户可修改认证密码 (34)2.9.8 支持强制下线 (34)2.9.9 支持BASIC 的每连接认证 (34)ICG 支持B ASIC 用户识别的每连接认证。
网康ICG产品功能简介
设备功能列表1.网页过滤:目前网康ICG的URL数据库包括51个类别,超过1400万条的URL,基本覆盖中国大陆区域的网站,是全球最大的中文URL数据库。
并且每天都有近300万条的更新。
对网站的URL识别率不低于90%,识别准确率不低于90%。
具体的网页过滤功能包括:1)支持基于预分类的URL类别进行过滤控制。
2)支持用户自定义网站类别过滤。
3)支持URL类别的二级子类控制。
4)支持对以IP方式访问网站进行过滤控制。
5)支持基于网站分类过滤HTTPS加密的网站。
6)支持基于URL关键字进行过滤控制。
7)支持基于文件类型进行过滤控制。
8)支持基于网页文件大小进行过滤控制。
9)对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义。
10)支持网站黑、白名单设置。
11)能够识别并控制国内主流的SNS类网站,支持细分行为的封堵,包括开心网、校内网的登录、游戏行为。
2.应用控制网康ICG拥有国内最全面的网络应用协议数据库,支持480多种协议。
并且每周都有协议库的更新。
包括对标准应用协议、即时聊天IM类、P2P类、网络电视类、炒股类、游戏类、流媒体、隐患服务类等进行应用控制。
另外还支持对针对用户各项应用的每日上网时长的限额管理。
3.带宽管理,具体包括:1)支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率。
2)支持带宽通道优先级的定义,保障核心业务拥有带宽保障。
3)支持空闲带宽借用,实现带宽资源统计复用。
4)可设置基于人/部门的带宽管理策略。
5)可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响。
6)可设置人/部门某一种或多种应用的组合带宽策略。
7)可设置部门成员的平均带宽策略,避免个体成员独占部门带宽。
8)可根据时间段设置带宽管理策略。
4.内容审计和过滤,具体包括:1)邮件审计和过滤。
2)即时通讯审计3)论坛发帖审计。
4)网络应用审计。
5)HTTP文件传输审计。
网康科技-产品介绍
25
管控乊应用控制(2)
拥有精细的树状协议库
主协议覆盖了中国的常用互联网应用,高带宽应用 拥有凸显人性化,凸显细节的子协议分类,提高用 户的管理灵活度 单一协议单一显示效果,宠户体验超级简单 特点:1、 识别应用特征码,无论迅雷下载方式是P2P,FTP、还是 HTTP,都可以直接封堵; 2、对于IM,我们可以直观的控制聊天,文件,视频,语音。 3、……
悉
39
提纲
上网行为管理产品的核心概念 网康上网行为管理产品(ICG)的主要功能 网康上网行为管理产品(ICG)的特点
40
部署篇(1)
宠户的网络结极各有异同 宠户的管理需求各有千秋 网康可以随需应变的满足宠户的各种部署需要 单路串接,双路串接,单路镜像旁路,双路镜像旁路,代理,网关,数据
工程师队伍
一级支持
二级支持
现场技术支持 本地工程师 区域技术支持中心 总部技术支持中心 R&D
• 60名余名专业的网康服务工程师队伍 • 每个月2次全体工程师的集中培训 • 专职工程师处理重点客户问题
7×24 Support Service
三级支持
实验室
远程协助系统 基于web页面的 远程协助系统,
智能分枂技术
网康策略支持中心
智能顾问技术
51
劢态更新服务
网页分类库,应用分类库自主更新机制
52
ICG产品线 – 从SOHO到电信级
300M-1000M 5000-2万人
6
学习 ╳? 生活 IP ACL 屏蔽列表1 屏蔽列表2 屏蔽列表3 。。。。。 屏蔽列表?
互联网之痛-应用合规问题
ACL 1 deny 网络游戏IP/端口 ACL 2 deny 炒股软件IP/端口 ACL 3 deny 在线视频IP/ ACL 4 deny p2p ip/端口 。。。。。 。 。新的acl 。 新的acl ACL 1001 deny ? ACL 1002 deny ? ACL 1003 deny ? ACL 1004 deny ?
网康互联网控制网关NI7000-70介绍
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:1、精细应用识别,管控您的网络●DPI+DFI+XAI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警●对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件,并可细化识别行情查询与在线交易,加以区分控制2、专业网页分类,健康您的网络●国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境●高达2000万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏●本地智能识别分类引擎,采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入,规范您的网络●20余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患●对计算机终端环境进行管理,帮助管理者实施计算机准入规范●如:必须安装杀毒软件方可上网;禁止安装、运行与工作无关的应用程序等4、带宽合理分配,优化您的网络●精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽●为关键业务提供带宽资源保障,保留足够可用带宽,保障服务质量5、实时监控审计,洞悉您的网络●查看上线用户的网络使用时间与流量信息,及时发现异常用户并加以处理●全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控,及时过滤有害信息网康互联网控制网关NS-ICG 7000-70 适用于:80000人规模,4Gbps出口带宽的网络环境参数规格:NS-ICG7000-70产品规格参数见下表:。
网康互联网控制网关InternetControlGatewayNSICG是
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:1、精细应用识别,管控您的网络●DPI+DFI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警●对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类,健康您的网络●国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏3、终端用户准入,规范您的网络●30余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患●支持ICG提供web推送认证,可配合短信验证使用4、带宽合理分配,优化您的网络●精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽,为关键业务提供带宽资源保障5、实时监控审计,洞悉您的网络●查看上线用户的网络使用时间与流量信息,及时发现异常用户●全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制,监管您的网络●可对用户的私接设备数量、设备类型进行实时监控,●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
【网康进阶之ICG】-02-封堵限制类或者某几个网页
标题:封堵限制类或者某几个网页1.实现目的A、封堵色情、暴力等限制某类网页B、封堵指定的几个网页,但是该类网页大部分允许,比如限制亚马逊这个网上交易类网站,其他网上交易类不限制C、策略生效的部门为【研发部门】设定工作时间为【周一到周五,早8:00-11:30 13:30-18:00】2.配臵过程2.1.查看并设臵用户的组织结构点开【用户管理】-【组织管理】,鼠标单击【ROOT】,然后【+操作】,添加【新组】,组名填写‘研发部门’,然后确定其他部门,可以按照类似的方法创建,如下在研发部门这个目录下面创建用户,单击【研发部门】-【+操作】-【新用户】以张三为例,填写完毕,如果还有其他的用户,那么可以继续添加注:用户名是必填项,登录名、ip、mac可以任意填写一项,2.2.设臵时间段在【策略管理】-【对象设臵】-【时间对象】中,点【+添加】,设臵相应时间段,点确定时间段创建完毕,如果需要设臵其他时间段,方法一样2.3.创建网页浏览策略点开【网页策略】-【审计策略设臵】中,单击【HTTP应用审计策略】下拉框中【网页浏览策略】,点击用户,选中【研发部门】(不选用户和时间,默认是所有时间生效)将上面的用户和时间选择为对应的用户和时间,分别单击策略内容中的所有用户和所有时间,进行选择如下注:时间上可以选择多个时间,选择动作和用户一样,选择完成以后,点击【策略条件】中的网站分类,在策略内容中,单击【指定网站分类】,出现【网站分类对象】,点击右上角的‘+’号(或者之前先在策略管理—对象设臵中进行设臵),对指定的分类前面打勾,点确定创建完毕,在创建好的分类前,打勾如果我们要想封堵所有的网上交易类网页,那么也可以按照上面的操作,勾选【网上交易】,本例子只想封堵某几个网页,不想封堵所有的,那么继续按照下面的操作创建阻塞某类网页创建完毕:开始创建阻塞某几个网页的策略,单击策略条件中的【网址】,点击【关键字对象】,然后点击右上角的【+】添加亚马逊的网址关键字创建以后,勾选相应的关键字对象,如果有多个关键字对象,可以分开来写,全部勾选策略创建完成以后,点击右上角的立即生效,如下整体策略创建完毕3.验证策略是否查看策略创建的情况,在【查询统计】-【查询】-【网站访问】中,【选择操作】-【设置过滤条件】,在用户设置处,选择用户,如下(按照用户或者IP查询都可以,选择任何一个)点击确定,开始过滤,色情类的被封堵了,网上交易类的含有amazon的网上交易被封堵了。
网康科技产品-常见问题FAQ
1、ICG支持的几种部署模式串接和镜像旁路部署。
串接支持网关和网桥部署。
网关支持多出口,网桥支持单桥或者双桥;支持镜像旁路部署。
2、代理服务器支持集中部署模式?、代理服务器支持网桥、网关和旁路部署。
3、能否封堵IM聊天软件答:可以实现。
对于QQ类的聊天软件,可以对QQ的子项进行封堵;针对具体的应用进程也可以实现封堵。
比如只允许QQ聊天,而不允许QQ游戏或传送文件等。
4、可以对每个用户的连接数做限制吗?答:可以实现。
在策略管理—防护设置当中可以对新建连接数做限制。
5、邮件附件内容可以做关键字过滤吗?答:可以实现。
网康互联网控制网关设备可以对邮件正文,标题,内容,附件文件名、附件内容等做关键字过滤,同时还可以实现邮件的预审。
6、强制下线和暂时屏蔽的区别?答:强制下线的功能对于IP身份识别,只是短暂效应,用户随后就可以上网;而对于使用认证的网络环境,则需要强制下线的用户经过重新认证上网,而暂时屏蔽要到当日24点后才会自动解除,或者手动从暂时屏蔽列表中删除。
7、某用户策略失效,应用流量、网站访问均看不到是为什么?答:(1)查看策略管理---策略网段;如果用户IP未在策略网段内,默认是不匹配策略的;如果策略网络默认为空,则对所有经过ICG的流量进行审计和管理。
(2)策略管理-黑白名单-免监控IP 查看系统IP是否在免监控IP地址中;如果在免监控IP地址中,删除问题可以解决。
(3)引擎是否停止-系统管理-系统配置-系统参数-http引擎,如果引擎停止,也会出现上面现象,启动http引擎。
8、网络电视无法阻塞,pplive,UUSEE依旧可以看?答:由于播放软件较新无法封堵,可以通过升级应用协议库来解决。
建议勾选自动更新,以获得最新的协议库,网康应用协议库每周进行动态更新。
9、通过网康ICG,内网VPN(PPTP)就拨不出去,跳过网康就没问题。
答:在策略管理中,加入一条应用控制策略—勾选‘安全’下面的—PPTP选项,允许即可,单击确认,立即生效,故障可以解决。
网康NS-ICG的基本操作
网康NS-ICG的基本操作NS-ICG的基本操作一、登录NS-ICG网康互联网控制网关产品的工作环境部署好后,就可以登录产品的管理平台。
由于NS-ICG设备的出厂时默认IP地址是“192.168.1.23”,因此请将任意一台PC的IP设置为1段地址,例如192.168.1.10。
在该PC的浏览器地址栏中输入“https: //192.168.1.23”并回车(请注意,该地址是以https开头,而非htt p),打开NS-ICG的登录界面,如下图所示:图1 登录界面NS-ICG系统管理员的用户名和密码默认都是ns25000。
输入正确的用户名和密码后,点击“登录”按钮,进入 NS-ICG系统的控制页面。
提示:1.登录成功后请及时修改管理员的密码。
2.如果累积五次输入用户名和密码错误,该IP的用户15分钟内将不允许登录NS-ICG。
二、认识NS-IC的工作窗口本节将介绍NS-ICG互联网控制网关的页面构成。
如下图所示:图 2互联网控制网关界面主模块...............................................................互联网控制网关的主模块选择按钮。
子模块...............................................................互联网控制网关主模块的子模块选择按钮。
详细画面............................................................ 各子模块的详细显示画面。
子模块项目一览:系统监控............................................................ 系统状态............................................................ 网络活动............................................................ 上线用户............................................................ 活跃用户............................................................ 流量监控............................................................ 应用监控............................................................ 网站访问............................................................ 搜索引擎............................................................ 邮件收发............................................................ 在线聊天............................................................ 论坛发帖............................................................ FTP审计............................................................ TELNET审计............................................................ HTTPS审计............................................................ 文件审计策略管理............................................................ 策略网段............................................................ 黑白名单............................................................ 对象设置............................................................ 策略设置............................................................ 用户带宽上限............................................................ 防护设置............................................................ 提示页面............................................................ 策略报告用户管理............................................................ 用户导入............................................................ 组织管理............................................................ 用户查询............................................................ 认证管理查询统计............................................................ 查询............................................................ 统计............................................................ 报告系统管理............................................................ 系统状态............................................................ 权限配置............................................................ 网络配置............................................................ 日志管理............................................................ 日志中心提示:根据登录人员的权限,能够显示的章节会有所不同。
网康ICG产品配置培训讲义(PPT 63页)
系统管理讲解
• 系统管理--权限配置 1、添加用户 用户名:登陆时的用户名 密码:登陆时使用的密码 用户姓名:用户描述信息 用户组:administrator、user 注:只有超级管理员才能增减用户设置,超级管理员用户是不
能被删除的。
用户权限
• 4.3只有一种管理员角色 • 5.0设置三种用户角色:超级管理员、管理员、审计员
不限制:此时通过管理接口、外接口和内接口等都可访问NS-ICG。 只允许管理接口访问本机:此时只允许从管理接口访问NS-ICG。
注意: 配置管理接口的IP地址时,请不要分配与网桥、网关同一网段的IP。
系统管理讲解
• 系统管理--日志管理
操作日志:此功能为网康技术支持人员所用,主要用于跟踪系统运行状态、查看策略变更 情况、查看系统的操作行为等。 用户防护日志:进入用户防护报警页面,点击上部的日期,能够看到该日所有匹配用户防 护规则的事件,表中详细列出了发生异常的时间、用户IP、匹配规则和超出阀值数量。 系统监控日志:点击上部的日期,能够看到该日所有超过系统监控规则阀值的匹配事件, 表中详细列出了发生异常的时间和匹配规则。 Web记录日志:每天的Web记录数超过该机型设定的Web记录条数上限值将产生报警;间 隔时间段内访问Web的请求速率过快将产生报警。 Arp报警日志:点击上部的日期,能够看到当日可能进行ARP攻击的IP地址列表。列表按 照时间倒序列出,记录了每个IP地址在报警间隔时间内MAC地址的变换次数,点击其他日 期,则可以看到该日期的ARP报警列表。 系统服务日志:系统会进行网络情况、引擎情况、系统负载等服务的检测,并返回报警信 息: 超出阀值日志:选中用户防护规则页面的“记录超出阀值的数据包信息”选项,并且匹配 了用户防护规则,超出阀值的数据包信息会在本功能中以日志的方式呈现出来,方便及时 找到原因。 网络状态监控:如果开启了策略中的防护功能,系统将持续记录网络状态的四个参数,分 别是IP个数、连接个数、包速率和上传速率。 用户防护指标:在开启防护报警后,勾选“获取用户防护指标”选项,点击确定,并点击 页面右上方的“立刻生效”链接,此时系统开始记录相关的指标信息。
【网康进阶之ICG】-07设备部署-网桥模式(双网桥)
标题:设备部署-网桥模式(双网桥)1.用户场景网桥模式,透明部署在路由器和核心交换机中间,为设备配置与路由器内网口和相连交换机接口相同网段的地址,保证设备能够正常管控内网用户,并且内网用户可以管理网康设备。
2. 配置步骤基础配置网桥配置路由配置DNS配置2.1.基础配置系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23/24如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP地址配置为192.168.1.2/255.255.255.0(与桥口的默认IP地址同网段),然后尝试去ping 对端地址192.168.1.23,,如果可以ping通,那么就可以继续在浏览器中输入https://192.168.1.23,使用该地址登陆界面默认的登陆名和密码为ns25000、ns250002.2.网桥配置选择【系统管理】-【网络配置】-【基础配置】,点击【网桥模式】,输入桥IP地址和IP掩码,选择外网口和内网口,配置网关;点击【确定】,在当前列表里显示配置好的链路信息,点击【添加桥接链路】,输入另一链路的桥IP地址和IP掩码,选择外网口和内网口;点击【确定】,在当前列表里显示配置好的链路信息,网络配置完成;注:桥模式只能添加一个缺省网关地址,将网关地址配置成其中任意一条链路的路由器内网口地址即可,缺省网关配置只是影响设备自身上网,对内网用户上网没有影响;2.3.路由配置选择【系统管理】-【网络配置】-【路由配置】,点击【静态路由】,输入目的地址、IP 掩码,下一跳地址并选择接口点击【确定】,在当前列表中显示添加好的路由信息,点击立即生效,配置生效,10.0.2.0/24网段添加方法相同;注:添加静态路由目的只是保证设备可以向内网用户推送web认证界面等,并不是影响内网用户上网的路由,也不是影响设备自身上网的路由。
2.4.DNS配置选择【系统管理】-【网络配置】,点击【DNS配置】,输入DNS服务器IP,点击【确定】;配置完成后,点击立即生效,配置生效;3.接入网络3.1.检查网络连通性检查设备自身是否可以上网;选择【系统管理】-【系统配置】,点击【网络工具】;测试结果,表示设备可以访问网络;检查PC是否可以访问设备;在PC上ping设备的桥地址192.168.110.229,保证可以ping通;在浏览器中输入https://192.168.110.229,确认可以登陆管理界面;4.其他概念注意事项==========================================================================4.1.注意A、多桥模式,HTTP引擎必须为旁路模式;B、多网桥模式,只支持多入多出,即内外网口数量相同;C、多网桥模式,无法启用trunk;D、多条线路的IP地址不能再同一网段。
NS-ICG介绍
共4页
上网行为管理 NS-ICG 产品介绍
定 用户可以设
URL
自定义 关键字
网页分类
用户可以设定网页智能学习分类,利用网页样本训练设备智能识别网页
URL 根据人 地 间 URL /URL H H 网 页 放 过滤
员、 点、时 、网站 访问的 行和阻断
分类
关键字 对 TTP、 TTPS 网站进行
根据 标题 正 网 页 内 容
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、 情况 风险告警
查询 个 收络 查询 括: 日志
对整 网 的访问日志进行 擎、邮件 发等
,包
用户、应用流量、网站访问、搜索引
统 报表 支持统 报 活动 长 订阅 计
计 告(用户 、用户行为、带宽资源、上网时 )的 和管理
产产品品价价值值 上网行为可视:
直观掌握各种上网行为,便于快速制定上网行为 管理策略。
P2P 流量占到了整体流量的 50%以上
迅雷下载和 P2P 电影是员工的主要行为
需要限制 P2P 的速率
网站访问第一、第二名都是购物网站 存在较多以 IP 方式访问的财经及国外站点
需要在上班时间控制购物网站的访问
邮件发送敏感关键字信息,存在泄密风险 搜索引擎在搜索大量的敏感关键字,存在法 律风险
用户认证 网康本地认证 微软 AD、RADIUS、LDAP、邮件联动认证
终端准入 检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况 确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不依赖 口 IP、端 。可识别 P2P、在线视频、炒股、游戏、即时通讯等 600 多种 协议 主流应用 。 用户可根据 IP、端口自定义应用协议
网康ICG产品常用命令操作指引
技术文档
3.为网桥或者管理口配置 IP 地址
执行命令:icg_network_cfg 功能描述:修改 NS-ICG 的工作模式、IP、默认网关与输入输出接口等。由于我们的设备种类 繁多,且网口有光口和电口之分,默认状态下 eth0 口为出口,eth1 口为入口,当这两个口在 当前网络环境下不可用时,就需要我们更改出入口的设置,用此命令就可以实现。此功能还可 以在命令行下设置管理口地址。 设置过程演示: [NS-ICG]->icg_network_cfg Current Configurations: Network mode: Bridge IP Configuration: bri0: 192.168.1.23/255.255.255.0 Default Gateway: 192.168.1.1 bri0 | External Interface: eth0 Internal Interface: eth1 Do you want to change Mgr_port configurations?(y|n)y Ip Address: Mgr-Port ip Netmask: Mgr-Port network mask Network Device: Mgr-Port network interface ICG Access Mode: allow all ports or Mgr-port Only to access ICG Enable Mgr-Port: enable or disable Access function Please input IpAddress/Netmask/NetworkDevice/ICGAccessMode(all|only)/EnableMgr-Port(yes|n o) (eg:192.168.1.23/255.255.255.0/eth2/all/yes) Input:1.1.1.1/255.0.0.0/eth4/all/yes <注:输入管理口地址、掩码及所在物理接口,普通设备管理口一般为 eth4,四光四电设备管 理口为 eth8> Do you want to change network configurations?(y|n)y Please choose network mode [B]ridge/[G]ateway: b <b 为网桥模式,g 为网关模式> New network mode is: Bridge Please input Stp mode[on|off]: off <生成树功能一般设置为关闭 off 状态> Stp mode: off Available NICS: eth0 eth1 eth2 eth3 Warning: eth4 is used by manage_port. You can disable it first if there are no enough NICS. Please input the total number of bridges:1 Please input Bri0 ip/netmask/ethout/ethin (eg:192.168.1.23/255.255.255.0/eth0/eth1) Input: 10.67.50.94/255.255.255.0/eth0/eth1 < 设 置 网 桥 地 址 , 一 般 情 况 下 接 口 使 用
安恒网站卫士网页防篡改系统操作手册
安恒网站卫士网页防篡改系统操作手册目录1产品简介······················································································································ 1-1 2登录防篡改管理系统······································································································· 2-12.2 注销 ························································································································2-22.3 主题 ························································································································2-32.3.1 黑色风格主题····································································································2-32.3.2 Metro风格 ·······································································································2-32.4 关于 ························································································································2-4 3监控频道······················································································································ 3-43.1 组查询······················································································································3-53.2 监控端查询················································································································3-5 4监控端管理··················································································································· 4-64.1 组管理······················································································································4-64.1.2 添加················································································································4-64.1.3 查询················································································································4-64.1.4 删除················································································································4-74.1.5 查看编辑··········································································································4-74.2 监控端管理················································································································4-84.2.2 立即激活··········································································································4-84.2.3 取消激活··········································································································4-94.2.4 查询················································································································4-94.2.5 删除·············································································································· 4-114.2.6 批量分组········································································································ 4-114.2.7 绑定模板········································································································ 4-114.2.8 解除模板········································································································ 4-124.2.9 查看编辑········································································································ 4-134.2.10 监控端配置 ··································································································· 4-134.2.11 发布端配置 ··································································································· 4-224.3 模板配置管理··········································································································· 4-254.3.1 添加·············································································································· 4-254.3.2 查询·············································································································· 4-264.3.3 删除·············································································································· 4-274.3.4 编辑查看········································································································ 4-27i / 78安恒网站卫士网页防篡改系统操作手册4.3.5 绑定模板········································································································ 4-274.3.6 模板配置········································································································ 4-28 5发布端管理··················································································································5-355.1 发布端管理·············································································································· 5-355.1.1 查询·············································································································· 5-355.1.2 删除·············································································································· 5-365.1.3 编辑查看········································································································ 5-365.1.4 发布端配置····································································································· 5-375.2 发布日志················································································································· 6-385.2.1 查询·············································································································· 6-385.2.2 删除·············································································································· 6-395.2.3 快速查询········································································································ 6-39 6日志···························································································································6-386.1 篡改日志················································································································· 6-386.1.1 查询·············································································································· 6-406.1.2 删除·············································································································· 6-406.1.3 快速查询········································································································ 6-416.1.4 导出·············································································································· 6-416.2 攻击日志················································································································· 6-416.2.1 查询·············································································································· 6-426.2.2 删除·············································································································· 6-426.2.3 快速查询········································································································ 6-426.2.4 导出·············································································································· 6-436.3 事件日志················································································································· 6-436.3.1 查询·············································································································· 6-436.3.2 删除·············································································································· 6-446.3.3 快速查询········································································································ 6-446.3.4 导出·············································································································· 6-44 7报表···························································································································7-457.1 报表 ······················································································································ 7-457.1.1 篡改日志报表·································································································· 7-457.1.2 攻击日志报表·································································································· 7-49 8系统管理·····················································································································8-538.1 服务器状态·············································································································· 8-538.2 用户信息················································································································· 8-548.2.1 修改admin帐号 ······························································································ 8-54ii / 78。
网康上网行为管理产品操作说明
策略分类:网康行为管理的策略主要分两大类:针对网页访问的策略(如使用浏览器上网)、针对软件访问的策略(如QQ、PPLive)。
目前已做的策略如下:1.网页访问——迁移原代理服务器的策略,限制用户通过浏览器访问特定的网址;2.网页访问——未在代理服务器配置中的IP及网址默认全部阻止;3.软件访问——禁止用户使用P2P影音(如PPLive)、在线音乐(如虾米)以及网络游戏(如QQ游戏)。
做策略的基本方法:基本思路是:XX用户或用户组,若满足或不满足XX条件,则允许或阻塞相应的请求。
针对网页访问的策略:选择“上网管理”——“网页访问详情”;新建一条策略或者点击进入一条策略进行编辑;在上图界面中勾选需要执行策略的用户或用户组;勾选“网址”,在右侧选择逻辑条件(包含或不包含)以及关键字;点击关键字可以进行对应的关键字编辑(也可在“全局配置”——“对象设置”——“关键字对象”中进行编辑);关键字对象中,每个关键字可以通过换行隔开;以上完成了逻辑条件的设置,下面设置执行的动作;勾选“设置控制动作”后,在右侧点击可在“允许该请求”和“阻塞该请求”中切换;确定后点击右上角“立即生效”完成。
针对软件访问的策略:选择“上网管理”——“应用控制详情”;新建一条策略或者点击进入一条策略进行编辑;在上图界面中勾选需要执行策略的用户或用户组;在网康的应用分类库中勾选需要进行控制的应用;以上完成了逻辑条件的设置,下面设置执行的动作;勾选“设置控制动作”后,在右侧点击可在“允许该请求”和“阻塞该请求”中切换;确定后点击右上角“立即生效”完成。
策略效果分析和微调:所有策略生效后,可根据实际使用情况进行小幅调整。
在“用户管理”——“组织结构”菜单中可以查看、编辑用户。
如可以新建用户组、在用户组中新建用户或者移动组内用户到其他组。
在“查询统计”——“网址访问”菜单中可以查看用户访问网页的情况,如允许或阻塞、匹配了哪一条策略。
如有用户反馈某些网址无法打开,可点击“选择操作”——“设置过滤条件”弹出设置窗口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
标题:网页浏览策略-用户自定义方式
1.实现功能
A、禁止研发部张三上班时间访问URL中包含taobao关键字的网址,当触发条件后
通过邮件报警告知管理员;
2.配置要点
配置需要控制的用户
配置控制的时间
设置关键字对象
配置报警对象
配置策略
2.1.配置需要控制的用户
点开【用户管理】-【用户管理】,鼠标单击【ROOT】,然后【新建组】,添加【新建普通组】
【组名称】填写“研发部”,【所属组】选择对应的组目录,本案例默认在根目录下即【ROOT】组下,选择后点击【保存】,组目录创建完毕
完成添加后,我们会在组织管理的目录里面看见刚才创建的目录【研发部】;其他部门,可以按照类似的方法创建;
接下来,在研发部门这个目录下面创建用户,单击【研发部门】-【新建用户】
以张三为例,填写完毕,如果还有其他的用户,那么可以继续添加
注:用户名称、所属组是必填项,其他可以任意填写
2.2.配置控制的时间
在【全局配置】-【对象设置】-【时间对象】中,点【+添加】,设置相应时间段
点击确定,时间段创建完毕,如果需要设置其他时间段,方法一样
2.3.配置关键字对象
选取【全局配置】-【对象设置】-【关键字对象】,点【+添加】
设置关键字对象的名称,输入URL关键字,点击确定后,设置完成。
设置完成后,在关键字对象里面显示定义好的对象
2.4.配置报警对象
选取【系统管理】-【系统配置】,在【系统设置】里选择【邮件服务器】
这样,邮件服务器就设置完成了;
接下来需要设置报警的对象;在【全局配置】-【对象设置】-【报警对象】中,点【+添加】
设置报警内容,设定报警级别,勾选邮件报警的方式,填写管理员的邮箱
报警级别可以通过【系统监控】-【报警平台】反馈具体的信息,用户可以根据自身的网络环境定义报警级别,通过报警平台反馈目前网络状况;声音报警内置三种报警声音,对应不同的报警级别;点击确定按钮后,报警对象就设置完毕
2.5.创建网页浏览策略
选取【上网管理】-【策略总览】,点击【添加策略】,选择【HTTP审计策略】-【网页浏览策略】,点击用户、时间、网址和控制动作,如果阻塞策略,可以通过报警的方式通知管理员,然后对这些条件进行编辑,选择要控制的条件和内容;
创建完成后,在当前的策略列表里面会显示该条策略,点击立即生效后,策略生效
3.验证策略是否生效
3.1.验证策略是否生效
在【查询统计】-【网址访问】,点击【选择操作】-【设置过滤条件】,选择用户,如下
点击【开始查询】,开始过滤,在查询列表中查看张三以及对应的网页浏览情况,被策略阻塞的网址直接在列表中体现出来,可以看见用户访问的网址和阻塞的策略名称,而未在阻塞策略内容中的网址可以照常浏览;
4.其他概念注意事项
========================================================================== 4.1.已共享与未共享
超级管理员创建了策略,管理员只有查看的权限,只有将其变为【已共享】,才能点击【编辑用户】进行用户的编写,策略的其他内容无法修改
4.2.优先级的概念
如果某个用户的IP在多条网页浏览策略当中,所有的网页浏览策略按照从上到下的原则优先匹配,即优先级【0-10】,数字0的优先级最高,然后依次类推,匹配成功后不在往下继续匹配;
默认的策略是允许所有,策略名称为【网址访问全记录】
另一种情况是在策略动作中勾选【继续匹配其他HTTP策略】,那么用户IP在匹配当前策略后还会继续向下匹配,直到匹配成功而且未勾选【继续匹配其他HTTP策略】为止;
①
②③④⑤⑥⑦⑧⑨。