网康现有产品ICG介绍
网康ICG操作手册
⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体(即谁在访问),是NS-ICG互联⽹访问管理的⽬标对象。
出⾝份认证信息外,⼀个完整的⽤户定义还包含其组织信息和访问策略。
每⼀个互联⽹访问都对应唯⼀的⽤户(或⽤户组),这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。
⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计(监控、查询、报表等)的关键。
⽤户管理模块提供全⾯的⽤户管理功能,主要有如下⼏个功能模块:⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。
组织管理---------------⼿动构建企业组织架构和⽤户信息。
认证管理---------------配置⽤户上⽹的识别和认证管理⽅式,可针对不同⽤户采⽤不同的识别认证⽅式,⽀持本地⼈证和多多种第三⽅认证;⽀持⽤户绑定设置。
⽤户导⼊⽤户导⼊主要⽀持三种⽅式:IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。
IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊,LDAP导⼊时导⼊LDAP服务器上的⽤户,⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。
IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。
其⼀,可以通过已存在的⽤户信息数据源,导⼊到NS-ICG系统中,如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户;其⼆,可以通过管理界⾯⼿⼯管理。
第1步:通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯:第2步:点击“扫描”或者“浏览”本地⽂件后点击“导⼊”,进⼊“导⼊⽤户列表”画⾯,如下图:⽤户名:⼿动输⼊⽤户名;导⼊选项:导⼊IP与MAC:保存⽤户名、IP地址和MAC地址导⼊MAC:保存⽤户名、MAC地址导⼊IP:保存⽤户名、IP地址填充⽤户名:如果选择该项,ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充;选择导⼊位置:根据选择,导⼊到组织管理的指定位置(注:需提前配置好组织架构)第 3 步:管理员根据需要选择导⼊的数据和填充画⾯各项信息后,点击右上⾓的“导⼊”按钮,进⾏导⼊。
网康互联网控制网关NS-ICG
网康互联网控制网关 NS-ICG面对日益普及的互联网,人们的工作、学习、生活也越来越依赖于互联网,然而由于滥用互联网的行为所带来的各种风险却没有被重视起来:1.工作效率低下:办公室越来越像网吧,贴在墙上的管理条例形同虚设2.网速越来越慢:带宽一扩再扩,永远满足不了业务的需求3.安全隐患不断:防火墙、防病毒系统挡不住层出不穷的病毒、木马等安全隐患4.机密信息外泄:内部机密信息通过Email、BBS、MSN等在不经意的流失5.违反国家规定:网络安全建设不符合国家对互联网的使用管理规定网康上网行为管理产品NS-ICG 产品功能介绍Web访问过滤互联网上的信息资源非常丰富,却良莠不齐。
通过网康互联网控制网关,您可以根据业务需要制定精细化Web访问策略,将非业务信息挡在门外。
可控制管理50多个网址分类,共计1400万条URL适合中国用户的上网习惯符合中国社会伦理与法律法规实时更新,自动分类,人工校验网络聊天管理随着IM软件应用的日益广泛,与工作无关的聊天和聊天中泄密等问题给企业管理带来了严峻的挑战。
通过网康互联网控制网关,您可以根据业务需要制定精细化的网络聊天监控管理策略,在不同时间对不同部门、不同人员施行差异管理方式。
可控制管理多种流行IM软件,包括:QQ、MSN、Yahoo通、AIM(ICQ)、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺、飞信等支持对MSN、Y ahoo通聊天内容的监控支持对IM软件子协议的独立控制,如聊天、文件传输、音视频、游戏、远程桌面等支持对使用权和使用时间的监控管理P2P下载控制P2P下载为人们快速共享文件提供了极大的便利,但其强占带宽资源的特性却常常影响正常的业务数据传输。
通过网康互联网控制网关,您可以定制精细的P2P控制管理策略、阻塞或者限制P2P上传/下载的带宽,确保企业核心业务的带宽得以保障。
可控制管理多种主流的P2P软件,包括:BT、eMule/eDonkey、迅雷(以及web方式)、PP 点点通、Kugoo、KaZaA(Fast Track)、Gnutella、V agaa、百度下吧、WinMX、Winny、Share、msze、未知P2P应用(UDP)等识别控制加密P2P数据流支持对使用权、带宽和使用时间的控制管理网络娱乐控制网络娱乐已经成为中国一大经济产业,然而不分时间不分场合的娱乐,对工作和学习的影响显而易见。
【网康进阶之ICG】-01-升级版本及恢复出厂设置
标题:升级版本及恢复出厂设置1.升级准备条件A、检查设备【升级授权】在有效期之内在【系统管理】-【系统配置】-【授权与更新】-【升级授权信息】中,保证剩余天数不为负数图1-升级授权有效B、ICG可以ping通升级服务器在【系统管理】-【系统配置】-【系统工具】-【网络工具】中,去ping一下升级地址是否可以通 对应的地址为211.100.26.38图2:ping的测试图3:ping的正确结果C、确认没有定制以及日志中心连接断开标准版本均没有定制,日志中心连接断开志的是逻辑上的断开,不是指的拔开网线,在【系统管理】-【日志中心】的界面,将启用日志中心前的勾去掉,保证为空,就是不启用了D、进行系统备份及手工截取网络配置部分在【系统管路】-【系统配置】-【备份与恢复】中,点击备份,选择【导出文件】,点确定这个时候会提示保存system.backup,只要文件不为0M,就应该是保存成功,注:网络配置部分不会进行备份,需要手工进行备份(截图或者笔记)2.升级ICG软件版本步骤一:正常登陆的时候,您使用的ip为https://192.168.1.234那么升级的时候,需要在这个IP后面输入https://192.168.1.234/liveupdate用户名和密码默认为ns25000/ns25000步骤二:点击登陆,出现当前的版本号和已经安装的补丁信息,步骤三:点击在线获取更新列表,会显示是否存在可以更新的补丁包;如果有显示,点击该补丁前的空格,然后确定步骤四:出现下载提示,显示新版本的一些新功能,点击的过程中,如果出现文件损坏等,可以不用关注,直接点确定。
(日志量越大,安装时间越长)升级过程中,请不要中断连接,直到出现下面的绿色对勾,点返回或者确定为止步骤五:如果已经是最新版本,则提示无可用更新注:如果出现下面的报警,可能是点了升级以后,IE界面关闭了。
没有到出现绿色的对勾,导致升级进程没办法安装,这个时候只能单击‘红色’对话框中的那几个字,需要重新升级。
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
网康ICG产品功能简介
设备功能列表1.网页过滤:目前网康ICG的URL数据库包括51个类别,超过1400万条的URL,基本覆盖中国大陆区域的网站,是全球最大的中文URL数据库。
并且每天都有近300万条的更新。
对网站的URL识别率不低于90%,识别准确率不低于90%。
具体的网页过滤功能包括:1)支持基于预分类的URL类别进行过滤控制。
2)支持用户自定义网站类别过滤。
3)支持URL类别的二级子类控制。
4)支持对以IP方式访问网站进行过滤控制。
5)支持基于网站分类过滤HTTPS加密的网站。
6)支持基于URL关键字进行过滤控制。
7)支持基于文件类型进行过滤控制。
8)支持基于网页文件大小进行过滤控制。
9)对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义。
10)支持网站黑、白名单设置。
11)能够识别并控制国内主流的SNS类网站,支持细分行为的封堵,包括开心网、校内网的登录、游戏行为。
2.应用控制网康ICG拥有国内最全面的网络应用协议数据库,支持480多种协议。
并且每周都有协议库的更新。
包括对标准应用协议、即时聊天IM类、P2P类、网络电视类、炒股类、游戏类、流媒体、隐患服务类等进行应用控制。
另外还支持对针对用户各项应用的每日上网时长的限额管理。
3.带宽管理,具体包括:1)支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率。
2)支持带宽通道优先级的定义,保障核心业务拥有带宽保障。
3)支持空闲带宽借用,实现带宽资源统计复用。
4)可设置基于人/部门的带宽管理策略。
5)可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响。
6)可设置人/部门某一种或多种应用的组合带宽策略。
7)可设置部门成员的平均带宽策略,避免个体成员独占部门带宽。
8)可根据时间段设置带宽管理策略。
4.内容审计和过滤,具体包括:1)邮件审计和过滤。
2)即时通讯审计3)论坛发帖审计。
4)网络应用审计。
5)HTTP文件传输审计。
网康科技ICG功能介绍
功能介绍1、用户可以使用各种浏览器对设备进行访问控制,设备管理界面的访问不需要安装任何插件;2、URL库数量超过1400万条,覆盖国内网站;3、在 URL库中,支持对URL类别的二级子类控制;4、支持对以IP方式访问网站进行过滤控制;5、对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义;6、支持仅审计某邮箱地址发出或接收的邮件;7、支持仅审计包含某类型附件的邮件收发内容;8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;9、可控制允许外发邮件附件的大小范围;10、可自定义设置不需审计的发帖网址;11、能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字;12、可单独控制用户的某项互联网应用每日上网时长限额;13、可查询被阻断的web访问纪录。
可根据预设的web过滤策略,实现对违禁访问网页行为的查询;14、支持对发帖网址和发帖正文关键字查找,记录内容包括:用户、时间、论坛地址、正文和附件;15、可查询被策略阻塞的应用记录,包含匹配的策略名称;16、支持POP3邮件账号用户识别;17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中,并可选择将该IP暂时屏蔽还是永久屏蔽;18、可提供在软件系统异常时硬件直通保护;19、提供主动式一键直通切换,设备上提供直通按键,协助管理员迅速排查网络故障;20、能够识别控制国内主流的P2P下载软件,如:迅雷,BT,电驴等,要求对于加密的下载协议也能识别控制;21、能够识别控制国内主流的网络电视应用,如:PPLive,土豆网,酷6,6间房等;22、能够控制国内主要网络游戏,如:联众游戏,魔兽世界,梦幻西游等;23、能够识别控制国内主要的股票软件,如:大智慧,同花顺,钱龙等;24、支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率;25、支持带宽通道优先级的定义,保障核心业务拥有带宽保障;26、支持空闲带宽借用,实现带宽资源统计复用;27、可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响;28、可设置部门成员的平均带宽策略,避免个体成员独占部门带宽;29、可根据时间段设置带宽管理策略;30、可查看某策略所适用的用户和部门;31、对于应用控制策略和网页过滤策略,可记录用户匹配阻塞策略的行为信息,并可基于策略名称和应用类型进行查询分析;32、可手工添加用户,必须支持txt、csv格式文件导入全局用户列表,也可以只导入某个部门的用户列表,导入的用户信息应包含用户的组织结构;33、支持按IP段自动分组,新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息,自动适用该网段的策略;34、应提供丰富的查询条件,查询用户的上网行为细节数据。
网康互联网控制网关InternetControlGatewayNSICG是
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:1、精细应用识别,管控您的网络●DPI+DFI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警●对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类,健康您的网络●国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏3、终端用户准入,规范您的网络●30余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患●支持ICG提供web推送认证,可配合短信验证使用4、带宽合理分配,优化您的网络●精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽,为关键业务提供带宽资源保障5、实时监控审计,洞悉您的网络●查看上线用户的网络使用时间与流量信息,及时发现异常用户●全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制,监管您的网络●可对用户的私接设备数量、设备类型进行实时监控,●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。
网康互联网控制网关NS-ICG产品参数表
NI7000-50
50000人 3G 6Gbps 300万 60000个/S 3072 4电千兆+4光SFP √ √ √ 2 √ √ √ (两组, E0/E1,E2/E3) × √ 500G 交流110~240V 600W √ 430*540*88 2U 17.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
ቤተ መጻሕፍቲ ባይዱ规格说明
选型参考
适用用户数 适用带宽
NI3000-10
100人 10M 100Mbps 10万 4000个/S 128 2电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
400人 30M 300Mbps 30万 7000个/S 256 4电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
NI3000-40
600人 50M 400Mbps 50万 8000个/S 256 4电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
NI7000-70
80000人 4G 7Gbps 400万 80000个/S 4096 4电千兆+4光SFP √ √ √ 2 √ √ √ (两组, E0/E1,E2/E3) × √ 500G 交流110~240V 600W √ 430*540*88 2U 17.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
ICG信息通信网关
ICG信息通信网关一、引言中小型企业和行业机构对信息化要求日益强烈,但这类机构普遍缺少专业精细化的信息系统一体化方案。
采购支出与维护成本高,信息系统彼此割裂,缺乏持续保障的升级与维护,严重影响了中小型机构生产与办公效率。
中国电信推出的信息通信网关(Information Communication Gateway,ICG)是专门为中小企业、行业区县机构和大型企业分支推出的综合信息通信服务产品。
二、产品介绍中国电信 ICG(Information Communication Gateway)定位于运营商为行业用户、商业用户提供高水准的基础信息服务,作为业界首个完善的信息通信网关产品系列,ICG主要有以下产品特色:高度集成: ICG在硬件层面将路由器、交换机、防火墙、VPN网关、IAD、无线AP、应用加速器等设备集成为一台设备,提供丰富的WAN、LAN、语音、专线、无线、EPON等物理接口,从而达到便捷运营、统一维护的目的。
一站购齐:ICG内置软件业务丰富,政商企用户可以从我们电信快捷购齐“线路+设备+业务+维护”的一站式服务。
ICG除了支持基础的路由、交换、NAT、DHCP、防火墙、访问策略控制、包过滤等功能外,更为大客户专门定制了防攻击、防病毒、应用限制、流量控制等高级业务,比现有的ADSL Modem或路由器、交换机设备更能满足客户多元化需求。
增值业务:通过扩展业务模块,ICG还能实现更多的应用层业务,为客户提供更精细的信息化服务。
这些可选的业务包括办公统一通信服务、病毒查杀与病毒库升级服务、应用优化与带宽加速服务、网络流量分析与业务监控服务等。
通过这些更加智能与贴近客户应用系统的服务,运营商更可以实现线路与设备的增值,促进通信业务转型。
灵活运营:ICG产品系列全,功能丰富,允许运营商采用多种模式进行运营。
三、产品特色功能(特定型号支持)ICG除本身具有强大的路由器功能外,还具有非常切合客户实际需求的特色功能,如图:下:ARP 攻击防御ICT 解决方案中提供的如下三个步骤解决ARP 攻击问题:防常见DOS 攻击为了防止外网攻击,通常会使用路由器+防火墙的组网。
【网康进阶之ICG】-02-封堵限制类或者某几个网页
标题:封堵限制类或者某几个网页1.实现目的A、封堵色情、暴力等限制某类网页B、封堵指定的几个网页,但是该类网页大部分允许,比如限制亚马逊这个网上交易类网站,其他网上交易类不限制C、策略生效的部门为【研发部门】设定工作时间为【周一到周五,早8:00-11:30 13:30-18:00】2.配臵过程2.1.查看并设臵用户的组织结构点开【用户管理】-【组织管理】,鼠标单击【ROOT】,然后【+操作】,添加【新组】,组名填写‘研发部门’,然后确定其他部门,可以按照类似的方法创建,如下在研发部门这个目录下面创建用户,单击【研发部门】-【+操作】-【新用户】以张三为例,填写完毕,如果还有其他的用户,那么可以继续添加注:用户名是必填项,登录名、ip、mac可以任意填写一项,2.2.设臵时间段在【策略管理】-【对象设臵】-【时间对象】中,点【+添加】,设臵相应时间段,点确定时间段创建完毕,如果需要设臵其他时间段,方法一样2.3.创建网页浏览策略点开【网页策略】-【审计策略设臵】中,单击【HTTP应用审计策略】下拉框中【网页浏览策略】,点击用户,选中【研发部门】(不选用户和时间,默认是所有时间生效)将上面的用户和时间选择为对应的用户和时间,分别单击策略内容中的所有用户和所有时间,进行选择如下注:时间上可以选择多个时间,选择动作和用户一样,选择完成以后,点击【策略条件】中的网站分类,在策略内容中,单击【指定网站分类】,出现【网站分类对象】,点击右上角的‘+’号(或者之前先在策略管理—对象设臵中进行设臵),对指定的分类前面打勾,点确定创建完毕,在创建好的分类前,打勾如果我们要想封堵所有的网上交易类网页,那么也可以按照上面的操作,勾选【网上交易】,本例子只想封堵某几个网页,不想封堵所有的,那么继续按照下面的操作创建阻塞某类网页创建完毕:开始创建阻塞某几个网页的策略,单击策略条件中的【网址】,点击【关键字对象】,然后点击右上角的【+】添加亚马逊的网址关键字创建以后,勾选相应的关键字对象,如果有多个关键字对象,可以分开来写,全部勾选策略创建完成以后,点击右上角的立即生效,如下整体策略创建完毕3.验证策略是否查看策略创建的情况,在【查询统计】-【查询】-【网站访问】中,【选择操作】-【设置过滤条件】,在用户设置处,选择用户,如下(按照用户或者IP查询都可以,选择任何一个)点击确定,开始过滤,色情类的被封堵了,网上交易类的含有amazon的网上交易被封堵了。
网康互联网控制网关NI5000-50系列介绍
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:1、精细应用识别,管控您的网络●DPI+DFI+XAI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警●对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件,并可细化识别行情查询与在线交易,加以区分控制2、专业网页分类,健康您的网络●国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境●高达2000万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏●本地智能识别分类引擎,采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入,规范您的网络●20余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患●对计算机终端环境进行管理,帮助管理者实施计算机准入规范●如:必须安装杀毒软件方可上网;禁止安装、运行与工作无关的应用程序等4、带宽合理分配,优化您的网络●精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽●为关键业务提供带宽资源保障,保留足够可用带宽,保障服务质量5、实时监控审计,洞悉您的网络●查看上线用户的网络使用时间与流量信息,及时发现异常用户并加以处理●全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控,及时过滤有害信息网康互联网控制网关NS-ICG 5000-50/50F系列适用于:5000人规模,800M出口带宽的网络环境参数规格:NS-ICG 5000-50/50F系列产品规格参数见下表:。
网康、深信服上网行为管理功能对比
网页过滤功能
URL库规模及准确率
提供全球最大的中文URL分类库,规模达1400万条,分类精准率接近100%
支持43个一级分类,以及8个二级子分类。对google搜索引擎任意关键字的前100条搜索结果,ICG的网页分类识别率高达95%以上。
可实时查看基于实时流量的TOP N用户排名,并可针对具体用户进行管理查询,获得该用户在使用哪些应用;
可实时监控基于流量的TOP N网络应用排名,并可针对具体应用进行关联查询,获得哪些用户在使用这些应用;
可监控当前网络流量以及过去24小时网络流量;
可实时查看基于实时流量的TOP N用户排名;
搜索引擎关键字
可基于MAC地址进行身份识别;
支持AD域用户识别;
支持POP3邮件账号用户识别;
用户认证
支持微软AD域的联动认证;
支持LADP服务器的联动认证;
支持Radius服务器的联动认证;
支持POP3认证;支持ESMTP认证;
支持客户端本地认证;支持互联网准入认证。
支持网关设备本地Web登录认证方式;
提供与第三方认证系统联动的接口;
能够记录FTP帐号、服务器名称、文件名称、文件路径,能够完整还原传输的文件;
可记录用户通过MSN、QQ传输的文件名,可欢迎MSN传输的原文;
不支持
Telnet审计
支持对用户通过telnet方式访问网络设备时执行的命令进行监控,完整记录telnet的时间、IP、端口、命令和结果等信息。
可审计用户访问HTTPS加密网站的行为;
可查询被阻断的web访问纪录。可根据预设的web过滤策略,实现对违禁访问网页行为的查询;
网康ICG产品性能参数表
•可 插 拔 的 插
槽 •支
持
4 电 千
兆 •支
持
4 光 千
兆 •支
持
2 光 万
兆
备注
1,橙色是板载配置,蓝色 是可配置插槽。
可插拔 支持四 千兆电 口或光
可 插 拔 的 插
槽 支 持
4 电 千
兆 支
持
4 光 千
兆 支 持
2 光 万
兆
扩展性
不支持扩展网口
支持网口扩展 扩展形式如图1 支持网口扩展 扩展形式如图2
产品型号
标准配置
NI2100-10 2电千兆
NI3100-20 Mgt+HA+2电千兆
NI3100-30 Mgt+HA+4电千兆
NI3100-40 Mgt+HA+4电千兆
NI3100-40F Mgt+HA+4电千兆+4光千兆
• 板载,不可插拔 • 一个管理口、一个HA口
ICG
图2
NI7100-10 NI7100-30
NI7100-50 NI7100-70 NI7100-90
• 板载,不可插拔 • 一个管理口、一个HA口
ICG各型号可扩展网卡说明
扩展方式 不支持 不支持 不支持 不支持 不支持 不支持 不支持 不支持 不支持 2个扩展槽,每个扩展槽支持4个千兆电口或光口 2个扩展槽,每个扩展槽支持4个千兆电口或光口 2个扩展槽,每个扩展槽支持4个千兆电口或光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用1个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口
ICG产品CLI命令讲解
• 15、rassis
–功能:又叫“反向连接”命令,使NS-ICG主动 和网康公司公网服务器发起连接。当设备出现 故障,而客服人员由于距离或时间等原因无法 及时赶到客户现场进行服务时,可以通过此命 令来帮助修复故障问题。 –对应ICG界面:无
–对应ICG界面:无
• 10、icg_arp
–功能:配置静态ARP表。 –对应ICG界面:无
• 在个别情况下,NS-ICG设备可能无法学习到网关的 MAC地址,此时就需要手工添加静态arp表项。 icg_arp命令只可删除由该命令所添加的arp表项, 不能删除通过其他方式(如直接用arp命令添加的静 态arp映射)所添加的arp表项。
– 每次的变动都将在退出当前softbypass命令后才生效。 – 当系统softbypass时,外网和NS-ICG都能ping通。
–Open/Close SoftBypass
• 功能:开启或关闭softbypass功能。如果当前是ON, 使用该参数后则OFF。反之亦然。
–Configure SoftBypass Interval
网康科技公司中级服务支持培训教程
第一章:CLI命令讲解来自2009.3 更新-截止版本5.1-毛飞
CLI及适型
• CLI:CLI是Command Line Interface的缩写, 即命令行界面。可在用户提示符下键入可执行指 令的界面。 • 本课件适用于网康科技提供的产品: – NS150/ NS151/ NS250/ NS550 – NS1500/ NS1501/ NS2500/ NS2501/ NS5500/ NS5501 – NS15000/ NS25000
网康NI3000-30【网络接入】
2、ICG可以访问外网(用于ICG自身的版本升级,URL库升级和应用协议库升级)
单网桥模式或多网桥模式:ICG通过桥口访问外网 网关模式:ICG通过外网口访问外网 镜像模式:ICG通过管理口的默认路由访问外网
3、ICG可以访问内网用户(在某条策略屏蔽内网用户的网页访问时,用于向内网用 户发送提示页面信息的报文等)
绿色的灯表示网口 已经物理导通,灰 色的灯表示还没有 导通。
P13
多网桥模式
通过【系统管理】-【网络配置】-【网络配置】进入多网桥模式配置界面
点击“添加桥接线路”,可增加多条线路,每对网口可 作为一条线路,只要网口足够,可添加2条以上的线路 给桥口配置需要的IP地址和掩码
网桥接口可以自由选择,但通常桥1 就是E0和E1 。如果这两个口有一个 失效,可以选择其它接口。注意E0 和E1 是一个bypass对,E2和E3是 一个bypass对,以此类推,如果跨 对选择接口则设备故障时将无法实 现bypass
ICG
M G R W A N L A N W A N L A N W A N L A N W A N L A N
P8
镜像模式
•客户关注网络的连续性,不希望在网络中 串接其它设备 •客户只关心对信息的审计 •ICG以镜像模式旁路在网络中,不改变网 络拓扑
M G R W A N L A N W A N L A N
络环境有三层交换机时,分别需要从客户哪里获取什么信息?为什么?
4.实验:单网桥模式接入,请根据获取到的信息进行配置 5.实验:网关模式,请根据获取到的信息进行配置 6.实验:镜像模式,请根据获取到的信息进行配置
7.实验:当ICG设备已经部署在客户网络环境中,后续需要作的检查工作
8.实验:ICG设备以单网桥模式串接在路由器和三层交换机之间,ICG需要向内网 PC发送相应的提示信息,请配置回指路由。下一跳地址为:192.168.5.1 内网IP段为192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 9.分组讨论:镜像模式下ICG怎样区分内外流量? 10.分组讨论:网关模式下多链路出口的负载均衡是怎样实现的? 11.分组讨论:网关模式下,客户有专线和ADSL线路时,ICG设备的部署及配置
网康ICG与深信服AC产品对比 - 201001
网康ICG与深信服AC产品对比
编号
1 产品定位
对比项目
1.1
产品定位
2 2.1
产品功能 网页过滤
URL库分类模式
URL库规模及准确率
URL库更新能力
客户未分类URL回传再分类
自定义URL组
IP类URL过滤
自定义违规提示页面
网站访问黑白名单 2.2 互联网内容审计
审计范围
网页浏览审计
支持 对于禁止访问的网站列入黑名单,对于无需过滤的网站列入白名单,如 防病毒软件的自动更新。 全面 1.网页审计 2.IM(QQ/MSN/YAHOO/飞信) 3.论坛发帖 4.邮件(POP3/SMTP/126、163、sina、TOM、Gmail、yahoo、sohu等十 余项主流webmail邮件) 5.文件传输(HTTP、IM、邮件、发帖、FTP) 6.搜索引擎关键字 7.流量审计 支持 1.记录访问网页的用户、时间、URL地址、访问内容的分类、允许/阻断 、匹配的控制策略等信息; 2.可审计用户访问HTTPS加密网站的行为。 3.可记录网页标题信息。 4.支持网页快照,可以记录网页内容信息。 支持 支持 1.可记录QQ聊天内容 2.可记录QQ聊天双方的账号、昵称 3.可记录QQ的语音视频行为 4.可记录QQ文件传输名称和类型 支持 1.可记录MSN聊天内容及双方昵称 2.可记录MSN的语音视频行为 3.可记录并还原MSN文件传输名称、类型和内容 4.可对MSN聊天内容进行关键字匹配,匹配预设关键字则发送邮件报警 支持 1.可记录飞信聊天内容及双方昵称 2.可记录飞信外发文件的名称及大小 3.可记录飞信群聊内容 支持 可记录用户在任何论坛上发帖的主题和正文内容 可定义无需审计的论坛地址 支持 1.可记录收发邮件的发信人地址、收信人地址、主题、正文、附件内容 2.能够基于用户名、时间、发送账户、接收帐号、主题关键字、正文关 键字、附件名称、附件类型、附件大小等条件灵活调节外发邮件的审计粒 度,具有很强的灵活性; 3.可以由针对性的仅审计需要关注的内容。如对邮件主题、正文、附件 名中包含如“机密”、“财务”等敏感关键字的外发邮件进行监控;对研发 部门发送的带有“.h”类型程序代码附件的外发邮件进行监管; 4.可对收发邮件的标题及内容关键字进行匹配,匹配预设关键字则发送 邮件报警 支持 1.能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的 敏感关键字。 2.可以基于搜索类别审计用户在搜先进的基于行为后果的URL预分类模式 通过基于网页全息分析的爬虫技术对网页进行分类,能够从网页的结构 、上下文、网页相似度等多角度对其进行全面解析与自动分类。在此基础 上,网康拥有超过20人的专业团队对上述分析结果进行人工审核,网页分类 的精确率超过95%。 提供全球最大的中文URL分类库,规模达1500万条,分类精准率接近100% 支持43个一级分类,以及8个二级子分类。对google搜索引擎任意关键 字的前100条搜索结果,ICG的网页分类识别率高达95%以上,且识别分类精 准率接近于100%。 URL每天更新量超过300万条 网康URL库更新快速,对于新生、变更、消亡的URL,通过网康自主研发 的内容分类引擎(crawler/spider),7x24小时在互联网上进行URL抓取,每 天更新超过300万条,并自动分类。 能够自定义URL更新时间,例如设定在每晚2点更新,不影响正常工作时 间的网络使用 支持 网康产品支持未分类URL自动回传、再分类下发功能,使得通过一段时 间的积累,客户管控的URL范围快速收敛,提高客户处URL分类的广度和精准 支持 能够对预置URL分类及自定义的URL分类自由整合,构建符合实际需要的 自定义URL分组,方便策略的定制和后期维护。 支持 目前国内外所有上网行为管理产品的网页过滤功能都基于网页域名进行 控制,而某些用户为了逃避管理,会直接使用违禁网页的IP地址进行访问。 据分析,目前大量的色情、违法网站均建议用户通过IP地址访问。ICG能够 帮助IT部门有效管控这类试图通过域名解析到的IP地址访问违禁网站的用户 行为,确保网页过滤的全面。 支持 IT部门能够自定义警示信息,对违反策略的网页访问行为进行提示,当 用户因访问违禁网站而被禁止时,能够清楚的知道自身产生了违规行为,系 统能提示所访问网站的类别,不会因为误认为此问题由断网引起,而对IT部 门频繁求助或进行投诉,该功能体现了网康产品的人性化。
【网康进阶之ICG】-07设备部署-网桥模式(双网桥)
标题:设备部署-网桥模式(双网桥)1.用户场景网桥模式,透明部署在路由器和核心交换机中间,为设备配置与路由器内网口和相连交换机接口相同网段的地址,保证设备能够正常管控内网用户,并且内网用户可以管理网康设备。
2. 配置步骤基础配置网桥配置路由配置DNS配置2.1.基础配置系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23/24如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP地址配置为192.168.1.2/255.255.255.0(与桥口的默认IP地址同网段),然后尝试去ping 对端地址192.168.1.23,,如果可以ping通,那么就可以继续在浏览器中输入https://192.168.1.23,使用该地址登陆界面默认的登陆名和密码为ns25000、ns250002.2.网桥配置选择【系统管理】-【网络配置】-【基础配置】,点击【网桥模式】,输入桥IP地址和IP掩码,选择外网口和内网口,配置网关;点击【确定】,在当前列表里显示配置好的链路信息,点击【添加桥接链路】,输入另一链路的桥IP地址和IP掩码,选择外网口和内网口;点击【确定】,在当前列表里显示配置好的链路信息,网络配置完成;注:桥模式只能添加一个缺省网关地址,将网关地址配置成其中任意一条链路的路由器内网口地址即可,缺省网关配置只是影响设备自身上网,对内网用户上网没有影响;2.3.路由配置选择【系统管理】-【网络配置】-【路由配置】,点击【静态路由】,输入目的地址、IP 掩码,下一跳地址并选择接口点击【确定】,在当前列表中显示添加好的路由信息,点击立即生效,配置生效,10.0.2.0/24网段添加方法相同;注:添加静态路由目的只是保证设备可以向内网用户推送web认证界面等,并不是影响内网用户上网的路由,也不是影响设备自身上网的路由。
2.4.DNS配置选择【系统管理】-【网络配置】,点击【DNS配置】,输入DNS服务器IP,点击【确定】;配置完成后,点击立即生效,配置生效;3.接入网络3.1.检查网络连通性检查设备自身是否可以上网;选择【系统管理】-【系统配置】,点击【网络工具】;测试结果,表示设备可以访问网络;检查PC是否可以访问设备;在PC上ping设备的桥地址192.168.110.229,保证可以ping通;在浏览器中输入https://192.168.110.229,确认可以登陆管理界面;4.其他概念注意事项==========================================================================4.1.注意A、多桥模式,HTTP引擎必须为旁路模式;B、多网桥模式,只支持多入多出,即内外网口数量相同;C、多网桥模式,无法启用trunk;D、多条线路的IP地址不能再同一网段。
NS-ICG介绍
共4页
上网行为管理 NS-ICG 产品介绍
定 用户可以设
URL
自定义 关键字
网页分类
用户可以设定网页智能学习分类,利用网页样本训练设备智能识别网页
URL 根据人 地 间 URL /URL H H 网 页 放 过滤
员、 点、时 、网站 访问的 行和阻断
分类
关键字 对 TTP、 TTPS 网站进行
根据 标题 正 网 页 内 容
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、 情况 风险告警
查询 个 收络 查询 括: 日志
对整 网 的访问日志进行 擎、邮件 发等
,包
用户、应用流量、网站访问、搜索引
统 报表 支持统 报 活动 长 订阅 计
计 告(用户 、用户行为、带宽资源、上网时 )的 和管理
产产品品价价值值 上网行为可视:
直观掌握各种上网行为,便于快速制定上网行为 管理策略。
P2P 流量占到了整体流量的 50%以上
迅雷下载和 P2P 电影是员工的主要行为
需要限制 P2P 的速率
网站访问第一、第二名都是购物网站 存在较多以 IP 方式访问的财经及国外站点
需要在上班时间控制购物网站的访问
邮件发送敏感关键字信息,存在泄密风险 搜索引擎在搜索大量的敏感关键字,存在法 律风险
用户认证 网康本地认证 微软 AD、RADIUS、LDAP、邮件联动认证
终端准入 检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况 确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不依赖 口 IP、端 。可识别 P2P、在线视频、炒股、游戏、即时通讯等 600 多种 协议 主流应用 。 用户可根据 IP、端口自定义应用协议
网康ICG产品常用命令操作指引
技术文档
3.为网桥或者管理口配置 IP 地址
执行命令:icg_network_cfg 功能描述:修改 NS-ICG 的工作模式、IP、默认网关与输入输出接口等。由于我们的设备种类 繁多,且网口有光口和电口之分,默认状态下 eth0 口为出口,eth1 口为入口,当这两个口在 当前网络环境下不可用时,就需要我们更改出入口的设置,用此命令就可以实现。此功能还可 以在命令行下设置管理口地址。 设置过程演示: [NS-ICG]->icg_network_cfg Current Configurations: Network mode: Bridge IP Configuration: bri0: 192.168.1.23/255.255.255.0 Default Gateway: 192.168.1.1 bri0 | External Interface: eth0 Internal Interface: eth1 Do you want to change Mgr_port configurations?(y|n)y Ip Address: Mgr-Port ip Netmask: Mgr-Port network mask Network Device: Mgr-Port network interface ICG Access Mode: allow all ports or Mgr-port Only to access ICG Enable Mgr-Port: enable or disable Access function Please input IpAddress/Netmask/NetworkDevice/ICGAccessMode(all|only)/EnableMgr-Port(yes|n o) (eg:192.168.1.23/255.255.255.0/eth2/all/yes) Input:1.1.1.1/255.0.0.0/eth4/all/yes <注:输入管理口地址、掩码及所在物理接口,普通设备管理口一般为 eth4,四光四电设备管 理口为 eth8> Do you want to change network configurations?(y|n)y Please choose network mode [B]ridge/[G]ateway: b <b 为网桥模式,g 为网关模式> New network mode is: Bridge Please input Stp mode[on|off]: off <生成树功能一般设置为关闭 off 状态> Stp mode: off Available NICS: eth0 eth1 eth2 eth3 Warning: eth4 is used by manage_port. You can disable it first if there are no enough NICS. Please input the total number of bridges:1 Please input Bri0 ip/netmask/ethout/ethin (eg:192.168.1.23/255.255.255.0/eth0/eth1) Input: 10.67.50.94/255.255.255.0/eth0/eth1 < 设 置 网 桥 地 址 , 一 般 情 况 下 接 口 使 用