网康互联网认准入认证

网康ICG操作手册

⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体（即谁在访问），是NS-ICG互联⽹访问管理的⽬标对象。

出⾝份认证信息外，⼀个完整的⽤户定义还包含其组织信息和访问策略。

每⼀个互联⽹访问都对应唯⼀的⽤户（或⽤户组），这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。

⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计（监控、查询、报表等）的关键。

⽤户管理模块提供全⾯的⽤户管理功能，主要有如下⼏个功能模块：⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。

组织管理---------------⼿动构建企业组织架构和⽤户信息。

认证管理---------------配置⽤户上⽹的识别和认证管理⽅式，可针对不同⽤户采⽤不同的识别认证⽅式，⽀持本地⼈证和多多种第三⽅认证；⽀持⽤户绑定设置。

⽤户导⼊⽤户导⼊主要⽀持三种⽅式：IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。

IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊，LDAP导⼊时导⼊LDAP服务器上的⽤户，⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。

IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。

其⼀，可以通过已存在的⽤户信息数据源，导⼊到NS-ICG系统中，如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户；其⼆，可以通过管理界⾯⼿⼯管理。

第1步：通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯：第2步：点击“扫描”或者“浏览”本地⽂件后点击“导⼊”，进⼊“导⼊⽤户列表”画⾯，如下图：⽤户名：⼿动输⼊⽤户名；导⼊选项：导⼊IP与MAC：保存⽤户名、IP地址和MAC地址导⼊MAC：保存⽤户名、MAC地址导⼊IP：保存⽤户名、IP地址填充⽤户名：如果选择该项，ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充；选择导⼊位置：根据选择，导⼊到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导⼊的数据和填充画⾯各项信息后，点击右上⾓的“导⼊”按钮，进⾏导⼊。

国家信息安全产品认证获证名单

有限公司杭州迪普科技
有限公司成都三零盛安信息系统有限
公司成都三零盛安信息系统有限
公司成都三零盛安信息系统有限
公司北京山石网科信息技术有限
公司北京安氏领信科技发展有限
公司北京安氏领信科技发展有限
公司
发证时间 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28
（万兆）
网神 SecIDS3600 入侵检测系统 V4.0 （千兆）
第三级
网神 SecGate3600 防火墙 V3.6.6.（0 千第二级
兆）
SecFox 安全管理系统（安全审计产品）基本级
V1.0
网神 SecSIS3600 安全隔离与信息交换系统(V2.0)
第二级
捷普防火墙 F4000/V4.0（百兆）
公司
发证时间 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28
证书状态
有效有效有效有效有效有效有效有效有效有效有效有效
第二级
H3C SecPath?千兆防火墙 V3
第二级
迪普?DPtech?百兆防火墙 V1
第二级
迪普?DPtech?千兆防火墙 V1
第二级
鹰眼安全审计系统 NSAS/V5
基本级
鹰眼主页防篡改系统 PPS/V6.0

ForeScout网络准入解决方案

图 2 gartner 评测
第4页
共 22 页
上海璞纬信息技术有限公司
2.2 CounterACT 产品说明
CounterACT 解决了企业网络管制上复杂的问题：各式不同的资产设备，漏洞修补（微软补丁，病毒码更新„）、未授权的应用程序和恶意代码等。运用自动检测(X-Ray TM )和立即阻断（扩散式的蠕虫病毒）的技术，在不改变使用者习惯的前提下，CounterACT 只允许授权的使用者使用安全的设备连接企业的网络环境。
真正地 clientless NAC
CounterACT并不需要安装客户端代理（agent）即能完成各式设备连线的检验，包括：网关，打印机，路由器，无线AP, VoIP电话和PDAs等，只要一连上网络，CounterACT立即可判別设备的类別，检查其是否含有入侵威胁，并将其导入至适当的网段位置。
第2页
共 22 页
上海璞纬信息技术有限公司
第1章概述
在当今信息迅速发展的今天，一般的大中型网络中一般都做好了常见的安全措施，均会部署防火墙，VPN，IPS，上网行为管理等网络安全设备，其中防火墙可以检测数据包并试图阻止有问题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN 则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的，而且面对黑客攻击以及瞬间发起的蠕虫攻击基本没有什么反抗能力。同样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。最重要的是，当一个比较完善的内部网络趋于平稳时，外来的接入不可避免的带来了各种风险，如没有授权的访问，恶意的接触相关服务器，将携带病毒或蠕虫的机器直接运行在数据中心等，此刻，一种更具主动性的网络安全模型必须引入—NAC 网络准入控制，借助它，客户可以只允许合法的，值得信任的终端设备（例如 PC，服务器，Smart Phone, PDA,网络打印机等）接入网络，而不允许其他网络设备接入，在初始阶段，当端点设备进入网络时，NAC 能够帮助管理员进行自动发现，识辨，并实施一定的访问权限，且所有的网络终端设备都必须通过安全检查（补丁管理，病毒库更新检查，需要的应用程序等），然后将按照定制的策略实行相应的准入控制策略：允许，拒绝，隔离或者限制，修复等，才能接入到网络当中来，如此，一旦出现什么攻击、病毒、蠕虫，你也可以在设备接入前将其扼杀在摇篮里，进一步加强企业的网络系统的安全。因此我们推荐 ForeScout 的网络准入控制产品 CounterACT，该产品使用 ForeScout 专利技术，简单快捷的将解决方案应用到各个企业中来。

迪讯 DDI (DNS,DHCP,IP地址管理) 产品与上网行为管理联动

迪讯信息
CNS与上网行为管理互动解决方案
实现IP从实名准入、动态分配管理、审计，到行为管理一个完整闭环的处理
SUNNY XU
企业安全准入与准出控制
内网安全准入与准出，顾名思义，就是在客户端进入网络的环节进行访问控制的，叫网络准入控制；在客户端外出网络的环节（一般指的是访问互联网）进行访问控制的，叫网络准出控制。
5
与深信服上网行为管理联动效果
1) CNS-APP 系统通过与第三方认证系统联动，当终端用户进行 web portal认证时输入个人账号，密码进行注册。 2) 当终端设备注册成功后， CNS-APP 系统将根据 DHCP 分配的情况，给已授权MAC地址发送IP分配确认消息时，将给深信服系统发送 “用户账号， IP ，MAC”的消息。
D N S 及 IP 地址安全管理
基础网络安全
DHCP/DNS/IP地址管理
集中的自动化IP地址分配与回收保障IP地址分配的稳定可靠保证DNS域名解析的稳定性避免IP地址冲突/欺骗的现象 DHCP/DNS网络服务的冗余备份 IPv4/IPv6地址体系平滑迁移
传统型 DDI
实名IP接入安全
CNS
•DHCP准入 •Portal实名注册 •MAC地址授权
发送用户abc上线消息发送用户abc下线消息
上网行为
•准出认证 •上网行为审计
7
管理员后台设备实名注册
首次请求IP地址
客户端
•用户有线 /无线设备
设备MAC未授权，分配隔离区IP地址管理员后台实名注册设备MAC地址注册成功后，重新请求IP地址设备MAC地址已实名授权，分配正常区IP地址
6
设备实名自服务注册Portal

nac应用准入原理

"NAC" 是Network Access Control（网络访问控制）的缩写，是一种用于确保只有经过授权和合规的设备和用户能够访问企业网络资源的安全技术。

NAC 应用准入原理涉及到在网络上实施一系列措施，以保证网络的安全性和合规性。

以下是NAC 应用准入原理的基本概念和步骤：
身份认证：用户或设备在访问网络前需要进行身份认证，确保他们有权访问企业网络资源。

这可以通过用户名密码、证书、双因素认证等方式实现。

设备健康检查：在设备连接到网络后，NAC 系统会进行设备健康检查，以确保设备的操作系统、防火墙、杀毒软件等安全措施是最新且有效的。

如果设备未能通过健康检查，可能会被引导到一个受限制的网络区域，以进行修复。

合规性检查：针对特定行业的合规性要求，NAC 可能会检查设备是否满足相关规定，如安全政策、数据保护法规等。

不满足合规性要求的设备可能会被阻止访问敏感数据或资源。

授权访问：一旦设备通过身份认证、健康检查和合规性检查，NAC 系统会为其分配适当的网络访问权限。

这可能包括访问特定资源、应用程序、子网等。

网络隔离：对于未通过健康检查或合规性检查的设备，NAC 系统可能会将其隔离到一个受限制的网络区域，以防止其影响整个网络的安全性。

监控和日志记录：NAC 系统会持续监控网络上连接的设备，记录其活动并生成日志。

这有助于及时发现异常行为和安全事件。

NAC 应用准入原理的目标是确保只有合法、合规和安全的设备和用户能够访问网络，以减少潜在的安全威胁和数据泄露风险。

它在企业和组织中广泛应用，特别是在需要高度敏感信息保护的行业，如金融、医疗保健等。

网康互联网控制网关NS-ICG产品介绍

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。

网康互联网控制网关InternetControlGatewayNSICG是

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

1.0网康互联网控制网关功能介绍(1小时)

5.应用控制功能 5.应用控制功能
将严重占用带宽的应用阻塞不失为一项有效的管理措施
6.统计报表功能 6.统计报表功能
• 实时行为监控 • 实时流量监控 • 分类应用记录
– 查询 – 统计 – 报表订阅
• New features available • Drill-down style • Pre-defined templates
Extranet
内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机内部主机
最全面的国际化信息系统安全方面的认证。
• 产品名称：网康互联网控制网关。 • 产品特点：专业的自主知识产权自主知识产权的上网行自主知识产权为控管产品，符合中国国情是网康的设计理念 • 网康的信条：质量是赢得客户信任的关键，服务是维系客户的纽带。
说道安全........ 说道安全........
Customers
1.行为主体识别功能 1.行为主体识别功能
通过丰富的认证方式，授权主体一定行为策略，达到对组织通过丰富的认证方式，授权主体一定行为策略，内各行为主体或者主体组的细致管理 IP身份识别 IP身份识别 MAC身份识别 MAC身份识别 NTLM认证 NTLM认证 AD/ED认证 AD/ED认证 WEB认证 WEB认证 Basic认证 Basic认证

网康互联网控制网关方案

网康互联网控制网关解决方案北京网康科技有限公司2011年7月目录1、互联网行为管理理念 (4)1.1互联网管理的发展 (4)1.2互联网管理的几个方向 (4)1.3互联网管理的内容 (6)1.4互联网管理解决什么问题 (7)1.5网康科技上网行为管理理念–洞悉，管控，驾驭 (7)2、互联网管理方案设计 (8)2.1目前用户普遍存在的问题 (8)2.2系统设计必须考虑的功能因素 (8)2.3系统设计必须考虑的技术因素 (9)2.4单位用户通用行为内容构成 (10)2.5修复隐患点各功能模块概述 (11)3、总体设计方案 (13)3.1建设目标 (13)3.2审计功能实现 (13)3.3实施非明文文件传输隐患规避 (19)3.4查询模式建议和监控 (23)4、网康NS-ICG介绍 (30)4.1设备系统的安全性 (30)4.2可靠性原则保障和易用性 (31)1、互联网行为管理理念互联网作为一个拥有完全社会特征的虚拟环境，其管理与单位的管理密不可分，然而互联网的管理复杂度远超过一般的单位管理。

互联网管理包括：风险管理、合规管理、行为管理和链路管理。

1.1互联网管理的发展从互联网使用的历程来看，首先是接入，让互联网可用；其次是高效率，出口链路的流量管理；然后是访问控制，让大家安全合理的使用互联网；最后上升到员工行为分析和管理。

归纳起来，一是关注上网权限（什么样的人允许使用互联网），二是关注上网速度（保证起码的办公需要），三是关注上网内容（泛指各种互联网应用及其信息），四是员工行为分析和管理。

实际上，使用权限、访问速度、上网内容、行为分析密不可分，都是互联网管理的重要组成部分。

完整的互联网访问管理遵循“记录—分析—决策—实施策略—再记录、分析”这样一个螺旋式上升的，逐步完善的过程。

1.2互联网管理的几个方向●权限管理对互联网的使用是不是开放的，需要什么样身份的人才可以接入网络。

●链路管理链路管理是互联网管理的基础，主要是如何保障互联网出口链路的畅通、高速。

网康互联网控制网关NS-ICG产品介绍

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。

网康互联网控制网关NI5000-50系列介绍

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI+XAI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件，并可细化识别行情查询与在线交易，加以区分控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达2000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏●本地智能识别分类引擎，采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入，规范您的网络●20余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●对计算机终端环境进行管理，帮助管理者实施计算机准入规范●如：必须安装杀毒软件方可上网；禁止安装、运行与工作无关的应用程序等4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽●为关键业务提供带宽资源保障，保留足够可用带宽，保障服务质量5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户并加以处理●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控，及时过滤有害信息网康互联网控制网关NS-ICG 5000-50/50F系列适用于：5000人规模，800M出口带宽的网络环境参数规格：NS-ICG 5000-50/50F系列产品规格参数见下表：。

网康高级配置

网康高级配置指南高级配置高级配置用于配置用户通过认证上网时的各种共通属性。

例如：认证账号在访问网络一段时间后让其自动下线、账号是否可以多地点登录等等。

点击【认证配置】页面的右上角的“高级配置”进入如下图所示页面：图 1 高级配置（一）、全局高级配置：设置通过认证上网时的共通配置。

详细如下：自动下线设置：1.轮询间隔：系统检查用户是否处在活跃状态的间隔时间。

例如每5分钟检查一次。

2.不活跃时间：设置用户不活跃的时间段，在此期间，系统会按照轮询间隔一直检查，如果在所设置的不活跃期间内发现用户一直都没有流量，则使其自动下线。

该用户只有重新通过认证才可以继续使用网络。

例如如果选择半小时，则系统在半小时的轮询期间内发现该用户一直都没有流量，则认为该用户为不活跃用户，就使其自动下线。

如果选择不过期，则系统在轮询的时候不管用户是否有流量都认为该用户是活跃用户，不会让其自动下线。

提示：客户端认证中的AD认证、互联网准入认证和客户端本地认证都不受自动下线的限制。

3.帐号多地点登录：设置是否允许帐号同时在多个PC机上登录。

如果不允许，还可以设置是先登录者有效，或是后登录者有效。

1.当选择先登录者有效时，可以对同一帐号的后登录者登录时加以提醒，提示信息在“帐号重复登录的提示信息”输入框中填写。

2.当选择后登录者有效时，若两个用户先后使用同一帐号登录，先登录的用户会自动下线。

提示信息在“帐号重复登录的提示信息”输入框中填写。

3.在不允许一个帐号同时在多PC机上登录时，还可以为其添加例外帐号。

提示：除了IP识别、MAC识别和互联网准入认证外，都支持帐号多地点登录功能。

4.未通过认证行为：当用户未通过认证时，NS-ICG所采取的控制行为。

有三种：5.封堵网络应用，重定向http页面：封堵所有应用，网页浏览时返回至认证或客户端下载页面。

6.不封堵网络应用，只重定向http页面：封堵网页浏览，网页浏览时返回至认证或客户端下载页面。

网康科技-产品介绍

3
产品荣誉
2008年，中国企业信息化500强“最佳上网行为管理产品”奖 2008年，中国企业信息化500强“最佳上网行为管理产品”奖 2007年，网管员世界“编辑选择奖” 2007年，网管员世界“编辑选择奖” 2007年，中小企业“优先IT产品” 2007年，中小企业“优先IT产品” 2006年，教育行业内容安全“首选产品奖” 2006年，教育行业内容安全“首选产品奖” 2006年，内容安全产品“最值得信赖品牌奖” 2006年，内容安全产品“最值得信赖品牌奖” 2006年，中国信息安全内容产品用户“推荐奖” 2006年，中国信息安全内容产品用户“推荐奖” 2005年，企业信息化应用“优秀解决方案奖” 2005年，企业信息化应用“优秀解决方案奖”
11
学习 ╳? 生活 IP ACL 屏蔽列表1 屏蔽列表1 屏蔽列表2 屏蔽列表2 屏蔽列表3 屏蔽列表3 。。。。。屏蔽列表？屏蔽列表？
互联网之痛－互联网之痛－应用合规问题
ACL 1 deny 网络游戏端口网络游戏IP/端口 ACL 2 deny 炒股软件端口炒股软件IP/端口 ACL 3 deny 在线视频在线视频IP/ ACL 4 deny p2p ip/端口端口。。。。。。新的acl 。新的。新的acl 新的 ACL 1001 deny ? ACL 1002 deny ? ACL 1003 deny ? ACL 1004 deny ? 一个应用可能需要几十个ACL才能控制才能控制信息部门
• 北京：联合实验室 •模拟用户实际环境复
现问题，快速响应和解决问题
6
各省网康办事处本地化服务团队本地快速备件库
完善的备件中心
用户
北京备件库
上海备件库

网络准入方案

网络准入方案1. 简介网络准入方案是指针对一个网络系统或网络服务的安全策略和规则，以确保只有授权的用户或设备可以访问该网络或服务。

网络准入方案通常是网络安全的第一道防线，用于阻止未经授权的用户、恶意软件和攻击者进入网络系统，从而保障网络系统和数据的安全。

本文档旨在介绍一个完整的网络准入方案，并提供了一些实践经验和最佳实践，以供参考。

2. 设计目标网络准入方案的设计目标主要包括以下几个方面：•保证网络系统和数据的安全性；•简化网络管理员的管理任务；•提高用户的体验并保证其合法的网络访问；•减少恶意软件和攻击者对网络系统的影响。

3. 准入认证方式网络准入认证是网络准入方案的核心组成部分，通过认证用户身份和权限，确认其是否具有访问网络的资格。

以下是几种常见的准入认证方式：3.1 用户名密码认证用户名密码认证是一种简单且常见的准入认证方式。

用户通过输入正确的用户名和密码，以证明其合法的身份，并获得网络访问的权限。

然而，这种方式存在密码泄露和暴力破解的风险，因此，建议配合其他认证方式使用。

3.2 双因素认证双因素认证是一种更加安全的准入认证方式。

用户需要提供两种或多种因素的认证，通常包括密码、指纹、短信验证码等。

通过使用不同的认证因素，可以大大提高网络系统的安全性。

3.3 客户端证书认证客户端证书认证是一种基于证书的准入认证方式。

用户需要安装相应的数字证书到其设备中，并在认证时使用该证书来验证身份。

客户端证书认证提供了高度安全性和可信度，但需要较高的成本和管理复杂度。

4. 访问控制策略访问控制策略是网络准入方案的另一个重要组成部分，用于根据用户、设备和应用程序的身份、位置和安全状态来限制网络访问。

根据具体情况，可以采用以下几种访问控制策略：4.1 角色基础访问控制（RBAC）角色基础访问控制是一种常用的访问控制策略，基于用户角色对网络资源的访问进行控制。

管理员可以为不同的用户分配不同的角色，并根据角色的权限设置访问控制规则。

网康认证登陆界面

网康认证登陆界面指南登录界面开启认证管理后，网内用户需要通过认证才可以上网。

NS-ICG提供的认证方式中“WEB认证”是在用户访问网络时，在浏览器中显示登录界面，用户只有输入正确的登录名和密码后才允许上网。

NS-ICG提供用户自定义该认证管理登录界面的功能，这样每个使用ICG的公司或单位可以根据自己的需要来设计认证登录窗口。

详细如下：第1步：通过【用户管理】→【认证管理】→【登录界面】进入如下图所示页面：图 1 认证窗口自定义o更新LOGO：选择图片取代上述图片中的“用户认证系统”的内容。

o更新背景图片：选择图片作为认证的背景图片。

o隐藏修改密码部分：选择后将只显示用户名和密码部分，隐藏了修改密码的部分。

o启用登录界面提示信息：该项用来为登录界面增加提示信息，勾选该项后即可在下面几项填写相应的内容。

o预览：预览设置后的效果。

o加载默认：认证窗口恢复初始的设置。

为了用户能够更好的使用Web认证，NS-ICG提供了用户自主登录、登出的功能。

当开启用户认证后，需要认证的用户访问外部网页时将弹出用户认证界面。

如下图：图2 用户登录认证界面如果在配置中选择了“隐藏修改密码部分”，则登录界面如下图：图3 用户登录认证界面-隐藏了修改密码部分如果启用了“登录界面提示信息”，则登录界面如下图（界面中的信息由管理员设置）：图4 用户登录认证界面-启用界面提示信息在用户通过认证后，进入Web认证提示页面，如下图：图5 用户登录提示界面o第一段：显示用户名并提示用户已经成功登录。

o第二段：提示用户可以点击该链接访问正要进行访问的页面。

o第三段：提示用户如果需要退出认证，可以点击该链接地址进行登出。

在代理模式下，可以在【系统管理】→【系统配置】→【代理配置】中通过修改“认证下线地址”来使用户从代理服务器下线。

o第四段：提示用户可以将登出地址保存到浏览器收藏夹中或者保存到文件中，方便使用。

o第五段：显示用户此次登录详细信息。

网康上网行为管理解决方案

xxxx公司上网行为管理系统设计方案XXXXX2009年8月目录1.1 互联网一把双刃剑 (6)1.2 对员工上网行为进行规范管理势在必行 (8)1.3 网康ICG 帮您用好双刃剑 (10)2功能介绍 (11)2.1 网页过滤 (11)2.1.1 最领先的中文URL 分类数据库 (11)2.1.2 灵活的Web 策略设置 (12)2.1.3 Web 访问违禁提示 (14)2.2 应用控制 (14)2.2.1 基于特征识别的覆盖全面的应用协议数据库 (15)2.2.2 灵活精细的管控策略 (16)2.3 带宽管理 (16)2.3.1 识别控制P2P 软件和加密P2P 数据 (17)2.3.2 针对用户/应用设置带宽 (17)2.3.3 基于时间段流量控制 (18)2.4 内容审计和过滤 (18)2.4.1 邮件收发审计和过滤 (19)G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor。

(19)2.4.2 IM 审计和过滤 (19)2.4.3 HTTP 文件传输审计和过滤 (20)2.4.4 FTP 文件传输审计和过滤 (20)2.4.5 TELNET 内容审计 (20)2.4.6 论坛发帖审计 (20)2.4.7 搜索引擎关键字审计和过滤 (20)2.4.8 基于时间和用户对象审计外发信息 (21)2.5 实时监控 (21)2.6 查询统计与报表分析 (23)2.6.1 详细的日志查询 (23)2.6.2 发送电子邮件丰富的统计报告 (24)2.6.2.1 递进式（Dill-down）统计分析 (25)2.6.2.2 预置报告模版 (25)2.6.2.3 直观的报告展现与结果保存 (29)2.6.2.4 分级系统报警日志 (29)2.6.2.5 简明系统操作日志 (29)2.7 日志管理 (30)2.7.1 完整的日志记录与导出备份 (30)2.7.2 日志中心 (30)2.9 用户管理 (31)2.9.1 丰富的用户认证方式 (31)2.9.2 支持用户的权限组管理 (33)2.9.3 支持AD 域权限组导入 (33)2.9.4 屏蔽活跃用户IP 地址 (33)2.9.5 支持用户对象的快速搜索选择 (34)2.9.6 支持IP/MAC 绑定 (34)2.9.7 LDAP 认证用户可修改认证密码 (34)2.9.8 支持强制下线 (34)2.9.9 支持BASIC 的每连接认证 (34)ICG 支持B ASIC 用户识别的每连接认证。