网康-智能流量管理
网康ICG操作手册
⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体(即谁在访问),是NS-ICG互联⽹访问管理的⽬标对象。
出⾝份认证信息外,⼀个完整的⽤户定义还包含其组织信息和访问策略。
每⼀个互联⽹访问都对应唯⼀的⽤户(或⽤户组),这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。
⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计(监控、查询、报表等)的关键。
⽤户管理模块提供全⾯的⽤户管理功能,主要有如下⼏个功能模块:⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。
组织管理---------------⼿动构建企业组织架构和⽤户信息。
认证管理---------------配置⽤户上⽹的识别和认证管理⽅式,可针对不同⽤户采⽤不同的识别认证⽅式,⽀持本地⼈证和多多种第三⽅认证;⽀持⽤户绑定设置。
⽤户导⼊⽤户导⼊主要⽀持三种⽅式:IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。
IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊,LDAP导⼊时导⼊LDAP服务器上的⽤户,⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。
IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。
其⼀,可以通过已存在的⽤户信息数据源,导⼊到NS-ICG系统中,如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户;其⼆,可以通过管理界⾯⼿⼯管理。
第1步:通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯:第2步:点击“扫描”或者“浏览”本地⽂件后点击“导⼊”,进⼊“导⼊⽤户列表”画⾯,如下图:⽤户名:⼿动输⼊⽤户名;导⼊选项:导⼊IP与MAC:保存⽤户名、IP地址和MAC地址导⼊MAC:保存⽤户名、MAC地址导⼊IP:保存⽤户名、IP地址填充⽤户名:如果选择该项,ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充;选择导⼊位置:根据选择,导⼊到组织管理的指定位置(注:需提前配置好组织架构)第 3 步:管理员根据需要选择导⼊的数据和填充画⾯各项信息后,点击右上⾓的“导⼊”按钮,进⾏导⼊。
网康上网行为管理产品操作说明
策略分类:网康行为管理的策略主要分两大类:针对网页访问的策略(如使用浏览器上网)、针对软件访问的策略(如QQ、PPLive)。
目前已做的策略如下:1.网页访问——迁移原代理服务器的策略,限制用户通过浏览器访问特定的网址;2.网页访问——未在代理服务器配置中的IP及网址默认全部阻止;3.软件访问——禁止用户使用P2P影音(如PPLive)、在线音乐(如虾米)以及网络游戏(如QQ游戏)。
做策略的基本方法:基本思路是:XX用户或用户组,若满足或不满足XX条件,则允许或阻塞相应的请求。
针对网页访问的策略:选择“上网管理”——“网页访问详情”;新建一条策略或者点击进入一条策略进行编辑;在上图界面中勾选需要执行策略的用户或用户组;勾选“网址”,在右侧选择逻辑条件(包含或不包含)以及关键字;点击关键字可以进行对应的关键字编辑(也可在“全局配置”——“对象设置”——“关键字对象”中进行编辑);关键字对象中,每个关键字可以通过换行隔开;以上完成了逻辑条件的设置,下面设置执行的动作;勾选“设置控制动作”后,在右侧点击可在“允许该请求”和“阻塞该请求”中切换;确定后点击右上角“立即生效”完成。
针对软件访问的策略:选择“上网管理”——“应用控制详情”;新建一条策略或者点击进入一条策略进行编辑;在上图界面中勾选需要执行策略的用户或用户组;在网康的应用分类库中勾选需要进行控制的应用;以上完成了逻辑条件的设置,下面设置执行的动作;勾选“设置控制动作”后,在右侧点击可在“允许该请求”和“阻塞该请求”中切换;确定后点击右上角“立即生效”完成。
策略效果分析和微调:所有策略生效后,可根据实际使用情况进行小幅调整。
在“用户管理”——“组织结构”菜单中可以查看、编辑用户。
如可以新建用户组、在用户组中新建用户或者移动组内用户到其他组。
在“查询统计”——“网址访问”菜单中可以查看用户访问网页的情况,如允许或阻塞、匹配了哪一条策略。
如有用户反馈某些网址无法打开,可点击“选择操作”——“设置过滤条件”弹出设置窗口。
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
网康ICG产品功能简介
设备功能列表1.网页过滤:目前网康ICG的URL数据库包括51个类别,超过1400万条的URL,基本覆盖中国大陆区域的网站,是全球最大的中文URL数据库。
并且每天都有近300万条的更新。
对网站的URL识别率不低于90%,识别准确率不低于90%。
具体的网页过滤功能包括:1)支持基于预分类的URL类别进行过滤控制。
2)支持用户自定义网站类别过滤。
3)支持URL类别的二级子类控制。
4)支持对以IP方式访问网站进行过滤控制。
5)支持基于网站分类过滤HTTPS加密的网站。
6)支持基于URL关键字进行过滤控制。
7)支持基于文件类型进行过滤控制。
8)支持基于网页文件大小进行过滤控制。
9)对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义。
10)支持网站黑、白名单设置。
11)能够识别并控制国内主流的SNS类网站,支持细分行为的封堵,包括开心网、校内网的登录、游戏行为。
2.应用控制网康ICG拥有国内最全面的网络应用协议数据库,支持480多种协议。
并且每周都有协议库的更新。
包括对标准应用协议、即时聊天IM类、P2P类、网络电视类、炒股类、游戏类、流媒体、隐患服务类等进行应用控制。
另外还支持对针对用户各项应用的每日上网时长的限额管理。
3.带宽管理,具体包括:1)支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率。
2)支持带宽通道优先级的定义,保障核心业务拥有带宽保障。
3)支持空闲带宽借用,实现带宽资源统计复用。
4)可设置基于人/部门的带宽管理策略。
5)可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响。
6)可设置人/部门某一种或多种应用的组合带宽策略。
7)可设置部门成员的平均带宽策略,避免个体成员独占部门带宽。
8)可根据时间段设置带宽管理策略。
4.内容审计和过滤,具体包括:1)邮件审计和过滤。
2)即时通讯审计3)论坛发帖审计。
4)网络应用审计。
5)HTTP文件传输审计。
网康科技ICG功能介绍
功能介绍1、用户可以使用各种浏览器对设备进行访问控制,设备管理界面的访问不需要安装任何插件;2、URL库数量超过1400万条,覆盖国内网站;3、在 URL库中,支持对URL类别的二级子类控制;4、支持对以IP方式访问网站进行过滤控制;5、对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义;6、支持仅审计某邮箱地址发出或接收的邮件;7、支持仅审计包含某类型附件的邮件收发内容;8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;9、可控制允许外发邮件附件的大小范围;10、可自定义设置不需审计的发帖网址;11、能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字;12、可单独控制用户的某项互联网应用每日上网时长限额;13、可查询被阻断的web访问纪录。
可根据预设的web过滤策略,实现对违禁访问网页行为的查询;14、支持对发帖网址和发帖正文关键字查找,记录内容包括:用户、时间、论坛地址、正文和附件;15、可查询被策略阻塞的应用记录,包含匹配的策略名称;16、支持POP3邮件账号用户识别;17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中,并可选择将该IP暂时屏蔽还是永久屏蔽;18、可提供在软件系统异常时硬件直通保护;19、提供主动式一键直通切换,设备上提供直通按键,协助管理员迅速排查网络故障;20、能够识别控制国内主流的P2P下载软件,如:迅雷,BT,电驴等,要求对于加密的下载协议也能识别控制;21、能够识别控制国内主流的网络电视应用,如:PPLive,土豆网,酷6,6间房等;22、能够控制国内主要网络游戏,如:联众游戏,魔兽世界,梦幻西游等;23、能够识别控制国内主要的股票软件,如:大智慧,同花顺,钱龙等;24、支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率;25、支持带宽通道优先级的定义,保障核心业务拥有带宽保障;26、支持空闲带宽借用,实现带宽资源统计复用;27、可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响;28、可设置部门成员的平均带宽策略,避免个体成员独占部门带宽;29、可根据时间段设置带宽管理策略;30、可查看某策略所适用的用户和部门;31、对于应用控制策略和网页过滤策略,可记录用户匹配阻塞策略的行为信息,并可基于策略名称和应用类型进行查询分析;32、可手工添加用户,必须支持txt、csv格式文件导入全局用户列表,也可以只导入某个部门的用户列表,导入的用户信息应包含用户的组织结构;33、支持按IP段自动分组,新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息,自动适用该网段的策略;34、应提供丰富的查询条件,查询用户的上网行为细节数据。
流控
流控定义“流控”是“流量控制”的简称。
流控技术分为两种:一种是传统的流控方式,通过路由器、交换机的QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制,属于四层流控;另一种是智能流控方式,通过专业的流控设备实现基于应用层的流控,属于七层流控。
传统流控路由交换设备可以通过修改路由转发表,实现一定程度的流量控制,但这种传统的IP包流量识别和QoS控制技术,仅对IP包头中的“五元组”信息进行分析,来确定当前流量的基本信息。
传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障,但其仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。
随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。
例如,P2P类应用会使用跳动端口技术及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完全失效。
智能流控企业保持竞争优势离不开互联网的高速发展,保证企业的网络畅通是所有管理人员现今都很关心的问题。
一方面,企业可通过提升出口带宽,即拓宽信息化的高速路来保障业务应用的质量;另一方面,企业通过强练内功,即制定合理的“交通规则”,使符合策略的数据包快速便捷地在企业网络环境中奔驰,达到推迟购买额外带宽资源的目的。
我们知道,带宽资源建设的发展速度永远跟不上各种网络应用的增长速度。
对企业出口带宽无尽的增长需求势必给企业带来额外的经济负担,所以对企业网络流量进行管理已是迫在眉睫的事情。
智能流量管理系统(简称ITM或NS-ITM)是基于应用层的、专业的流量管理产品,既适用于大中型企业、校园网、城域网等流量大、应用复杂的网络环境,也适用于需优化互联网接入、保证关键业务应用、控制网络接入成本的中小型企业的网络环境。
通过监控网络流量,分析流量行为,设置流量管理策略,实现基于时间、VLAN、用户、应用、数据流向等条件的智能流量管理。
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
网康上网行为管理方案
网康上网行为管理方案1. 引言随着互联网的普及,越来越多的企业和机构面临着对员工和用户上网行为进行管理的需求。
上网行为管理旨在保护网络安全,防范信息泄露并提高工作效率。
本文将介绍一套基于网康设备的上网行为管理方案,该方案将帮助企业和机构实现对上网行为的监控和控制。
2. 网康设备概述网康设备是一款专业的网络安全设备,它提供了丰富的功能和灵活的配置选项,可以满足各种规模和需求的网络环境。
网康设备支持通过集中管理中心对网络设备进行统一的配置和管理,同时具备强大的上网行为管理功能。
3. 上网行为管理方案设计为了有效管理上网行为,我们设计了以下几个关键步骤:3.1. 设定策略在网康设备上设置上网行为管理策略,包括允许或禁止特定的网站访问,限制特定应用程序的使用,以及设定时间段和流量限制等。
策略可以根据不同用户、不同部门或不同网络区域进行个性化配置。
3.2. 监控行为网康设备可以实时监控员工和用户的上网行为,包括访问的网站、下载的文件、使用的应用程序等。
监控数据将通过日志进行记录,并可以通过集中管理中心进行查看和分析。
3.3. 报警机制通过设定合适的报警规则,当发现异常的上网行为时,网康设备将自动触发报警。
例如,当某个用户下载大量敏感信息或访问被禁止的网站时,系统会及时通知管理员并采取相应的措施。
3.4. 违规处理当发现员工或用户存在违规行为时,管理员可以根据实际情况采取相应的处理措施。
例如,警告员工、限制其访问权限或进行相应的处罚措施,以确保员工和用户遵守上网行为管理规则。
4. 实施步骤为了成功实施上网行为管理方案,我们建议按照以下步骤进行:4.1. 确定需求企业或机构应首先明确自己的上网行为管理需求,并根据实际情况制定相应的策略。
4.2. 设计方案根据需求,设计适合的上网行为管理方案。
包括设定策略、监控规则、报警机制和违规处理措施等。
4.3. 部署网康设备根据设计方案,部署网康设备,并进行相关的配置和测试。
网康、深信服上网行为管理功能对比
外发内容过滤
邮件过滤
可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;
可以控制用户禁止发送主题或正文包含某关键字的邮件,且对主题和正文关键字可分别控制;
可禁止外发附件名称包含某关键字的邮件;
可控制允许外发邮件附件的大小范围;
能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字;
提供专门的检索工具,对用户的搜索历史进行查询;
按照搜索类别/用户进行统计;
能够审计用户通过搜索引擎输入的所有关键字;
文件传输审计
可以记录用户通过HTTP、FTP协议上传或下载文件的内容;
可以记录指定下载源地、指定类型、指定大小的文件内容;
管理员密码修改支持不支持超级管理员定义的策略普通管理员无权更改支持不支持配置改变无需重支持不支持策略批量生效支持不支持实时在线帮助支持不支持保留用户日志的版本升级支持不支持支持日志中心支持独立日志中心实现审计日志的海量存储与离线查询保障日志数据的完整性与安全性
网康、深信服的功能对比
本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考。
URL库每天更新300万条;客户可设置自动升级或手动更新;且支持客户未分类URL回传再分类;
支持URL库更新
URL过滤能力
支持基于预分类的URL类别进行过滤控制;支持用户自定义网站类别过滤;
支持URL类别的二级子类控制;
支持对以IP方式访问网站过滤控制;
支持基于网站分类过滤HTTPS加密的网站;
支持基于URL关键字进行过滤控制;
实时监控审计
设备运行监控
网康NS-ICG的基本操作
网康NS-ICG的基本操作NS-ICG的基本操作一、登录NS-ICG网康互联网控制网关产品的工作环境部署好后,就可以登录产品的管理平台。
由于NS-ICG设备的出厂时默认IP地址是“192.168.1.23”,因此请将任意一台PC的IP设置为1段地址,例如192.168.1.10。
在该PC的浏览器地址栏中输入“https: //192.168.1.23”并回车(请注意,该地址是以https开头,而非htt p),打开NS-ICG的登录界面,如下图所示:图1 登录界面NS-ICG系统管理员的用户名和密码默认都是ns25000。
输入正确的用户名和密码后,点击“登录”按钮,进入 NS-ICG系统的控制页面。
提示:1.登录成功后请及时修改管理员的密码。
2.如果累积五次输入用户名和密码错误,该IP的用户15分钟内将不允许登录NS-ICG。
二、认识NS-IC的工作窗口本节将介绍NS-ICG互联网控制网关的页面构成。
如下图所示:图 2互联网控制网关界面主模块...............................................................互联网控制网关的主模块选择按钮。
子模块...............................................................互联网控制网关主模块的子模块选择按钮。
详细画面............................................................ 各子模块的详细显示画面。
子模块项目一览:系统监控............................................................ 系统状态............................................................ 网络活动............................................................ 上线用户............................................................ 活跃用户............................................................ 流量监控............................................................ 应用监控............................................................ 网站访问............................................................ 搜索引擎............................................................ 邮件收发............................................................ 在线聊天............................................................ 论坛发帖............................................................ FTP审计............................................................ TELNET审计............................................................ HTTPS审计............................................................ 文件审计策略管理............................................................ 策略网段............................................................ 黑白名单............................................................ 对象设置............................................................ 策略设置............................................................ 用户带宽上限............................................................ 防护设置............................................................ 提示页面............................................................ 策略报告用户管理............................................................ 用户导入............................................................ 组织管理............................................................ 用户查询............................................................ 认证管理查询统计............................................................ 查询............................................................ 统计............................................................ 报告系统管理............................................................ 系统状态............................................................ 权限配置............................................................ 网络配置............................................................ 日志管理............................................................ 日志中心提示:根据登录人员的权限,能够显示的章节会有所不同。
中国华能集团公司上网行为管理集团部署方案
中国华能集团公司上网行为管理集团部署方案中国华能集团公司客户简介中国华能集团公司(以下简称华能集团)是经国务院批准成立的国有重要骨干企业,从1985年创立第一家公司至今,历经25年的发展历程,业务范围包括电源的开发、投资、建设、经营和管理,电力(热力)的生产和销售,金融、交通运输、新能源、环保相关产业及产品的开发、投资、建设、生产、销售,实业投资经营及管理。
华能集团下辖众多分支机构和分公司,考虑到内部网络行为可能引申出在信息安全等方面一系列问题,华能集团希望对内部的上网行为进行管理,从用户角度与应用角度规范并控制网络应用、审计上网行为,以达到防止机密外泄、消除安全隐患、提升工作效率、保障核心业务的目的。
在华能集团的信息化建设目标中,未来的集团网络将为内网与外网的双网架构,外网的核心资源就是互联网,因此互联网管理(含行为管理、风险管理、合规管理、链路管理)是外网管理的核心内容。
华能集团公司的应用需求由于华能集团为国家重点能源企业。
由此可知公司内部必然拥有大量的保密核心技术信息及商务信息。
内部信息的保密性,安全性以及完整性是信息安全建设的重要指标。
华能集团需要有效地规避互联网上网行为风险,减少各种可能的隐患。
系统功能性的需求如下:1. 消除非关键业务的风险,降低关键业务的风险;2. 保障人员工作效率,保障带宽可用性;3. 能够追溯查询历史日志,实现IT定位;4. 能分析并挖掘未知隐患点。
系统设计时必须考虑的技术因素如下:1. 上网行为管理系统应具备明显领先于业界的技术优势;2. 具备较高的自身可靠性以及原有网络的链路的可靠性;3. 在分支机构增加时系统应具有可扩展性;4. 适应未来的可定制化需求,能够提供快速,有效的定制化改进。
业务层面的需求包括:? 进行用户入网认证,规范用户上网权限,确定IT定位;? 进行分级分权管理,根据需求进行灵活的策略配置;? 过滤高风险网站,规避网页访问风险;? 阻止即时通讯、文件传输或Email等方式造成的敏感及机密信息外泄,保障信息安全;? 控制无关网络应用,保障核心业务带宽;? 利用上网行为日志进行用户行为分析。
上网行为管理系统
上网行为管理系统
登录地址https://192.168.156.2
用户名:ns25000
密码:ns25000
服务电话:4006782600(网康科技)
部署模式:透明网桥模式
主要功能:
网页过滤:拥有全球最大的中文网页过滤数据库(目前共有24个大类,150
余个小类,两千八百多万条URL数据。
超过2000万条URL、每天300万条的更新以及独有的子分类技术),独特的行为后果分类方式,精确过滤不良信息。
应用控制:拥有最全的应用协议控制数据库(超过600种流行应用协议分析特征库),深度内容检测(DCI)技术,精确识别各种应用的协议特征。
对于未知的P2P协议的下载软件、未知的股票等应用软件、甚至一些特殊应用(比如走80端口的web迅雷),我们都可以做到封堵或流量控制。
带宽管理:最精细的带宽流量管理,基于用户、应用、时间、数据流向等条件设置差异化的控制策略。
内容审计:最全面的信息收发审计,全面审计通过邮件、IM、BBS、HTTPS、Telnet、FTP等方式收发的所有信息内容。
已配置审计策略:
保密主要要求:审计用户上网信息、邮件接收审计、邮件外发策略;其它保密无要求,可根据单位内部要求配置其它策略。
注意:绑定ip-mac时三层交换机必须开启snmp协作(版本、团体名、交换机mac地址、交换机ip);。
网康科技-产品介绍
3
产品荣誉
2008年,中国企业信息化500强“最佳上网行为管理产品”奖 2008年,中国企业信息化500强“最佳上网行为管理产品”奖 2007年,网管员世界“编辑选择奖” 2007年,网管员世界“编辑选择奖” 2007年,中小企业“优先IT产品” 2007年,中小企业“优先IT产品” 2006年,教育行业内容安全“首选产品奖” 2006年,教育行业内容安全“首选产品奖” 2006年,内容安全产品“最值得信赖品牌奖” 2006年,内容安全产品“最值得信赖品牌奖” 2006年,中国信息安全内容产品用户“推荐奖” 2006年,中国信息安全内容产品用户“推荐奖” 2005年,企业信息化应用“优秀解决方案奖” 2005年,企业信息化应用“优秀解决方案奖”
11
学习 ╳? 生活 IP ACL 屏蔽列表1 屏蔽列表1 屏蔽列表2 屏蔽列表2 屏蔽列表3 屏蔽列表3 。。。。。 屏蔽列表? 屏蔽列表?
互联网之痛- 互联网之痛-应用合规问题
ACL 1 deny 网络游戏 端口 网络游戏IP/端口 ACL 2 deny 炒股软件 端口 炒股软件IP/端口 ACL 3 deny 在线视频 在线视频IP/ ACL 4 deny p2p ip/端口 端口 。。。。。 。 新的acl 。新的 。 新的acl 新的 ACL 1001 deny ? ACL 1002 deny ? ACL 1003 deny ? ACL 1004 deny ? 一个应用可能需要几十 个ACL才能控制 才能控制 信息部门
• 北京:联合实验室 •模拟用户实际环境复
现问题,快速响应和 解决问题
6
各省网康办事处 本地化服务团队 本地快速备件库
完善的备件中心
用户
北京备件库
上海备件库
深信服AC上网行为管理优势
深信服的上网行为管理:在流控来说,深信服相对比较强些,在技术层面更加具有优势,功能比较全面些,在P2P 的监控和流量控制,比较有优势网康的对比:1、网康的上网行为管理URL库是比较强的,但是对于流量管理和行为审计不如深信服。
深信服的设备,URL库不能说差,做的也不错,在流量管理和不良数据封堵更能体现它的价值。
深信服AC1200上网行为管理设备功能介绍与特性:识别作为管理的基础,是上网行为管理产品功能是否健全的有利保障。
SANGFOR AC上网行为管理具有强大的识别功能。
基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别,公用账号认证,同时支持LDAP认证、Radius认证、POP3认证、WEB 认证等等,其中WEB认证支持以windows认证框方式实现web认证也支持以HTTP POST方式实现web认证。
其次SANGFOR AC还能够对终端进行识别,包括用户操作系统的版本、补丁、系统进程、系统文件、注册表、自定义的脚本、识别规则与或的组合等等。
面对互联网应用的不断扩大,SANGFOR AC具备强大的应用识别功能,能帮助客户识别各种互联网应用,特别是目前SSL加密网页越来越多。
基于关键字、流特征、深度内容检测、关联识别等等技术的应用,能够识别SSL加密的网页、IM聊天软件、P2P、流媒体、炒股等等多种应用。
而经过SSL加密的论坛/BBS发帖、webmail外发邮件、SMTP/POP3,AC都能对其进行识别。
控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
北京网康科技公司及产品服务的介绍
太原
太原市亲贤北街腾龙雅苑小区1号 楼3单元2501室
呼和浩特 内蒙呼和浩特兴安南路
天津 河北 辽宁 辽宁
天津 石家庄 沈阳 大连
天津市南开区鞍山西道时代公寓 B1303
石家庄市裕华区翟营南大街458号 14楼5单元301室
沈阳市和平区五里河街51号昌鑫国 际大厦G座1612室
大连市西岗区奥林匹克广场9号东 C-518号
- 为什么我们的很多项目总是拖很长时间才能下来,我认为最主要的原因就在于资金方面, 主要是资金不到位,所以我们在盯项目的同时一定要考虑客户资金是否到位。
▪ 再找有钱没需求的客户!
- 每个市场的开拓都有它地方的差异性,也都有各自的特点。我所说的没需求只是表面上的 ,在实际的网络应用中没有问题的网络廖廖无己,只是我们没有跟客户讲清楚,或是我们 没有发现客户的需求在哪里,或是我们的商务工作没有做到位。总之我们要多次的,详细 的,多方位的了解客户的网络。
Page 13
产品荣誉 • 2019中小企业优选IT产品 • 2019年度中国企业信息化500强 • 2019中国信息安全内容安全产品用户推荐奖 • 2019年SP最佳增值奖 • 2019年度天极信息优秀解决方案
Page 14
网康的服务机构
Page 15
网康的服务机构
北京地区 北京
海淀区中关村东路66号,世纪科贸 大厦A座3层
Page 16
网康的服务能力
网康已经有效的完成了众多的集团客户快速交付
客户名称
分支数量
设备到货
合同签订后实施验收
民生银行 国美电器 中国船级社 中储集团 昆仑润滑油 长城润滑油 APP金光纸业
29 47 44 13 23 13 8+30
NS-ICG介绍
共4页
上网行为管理 NS-ICG 产品介绍
定 用户可以设
URL
自定义 关键字
网页分类
用户可以设定网页智能学习分类,利用网页样本训练设备智能识别网页
URL 根据人 地 间 URL /URL H H 网 页 放 过滤
员、 点、时 、网站 访问的 行和阻断
分类
关键字 对 TTP、 TTPS 网站进行
根据 标题 正 网 页 内 容
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、 情况 风险告警
查询 个 收络 查询 括: 日志
对整 网 的访问日志进行 擎、邮件 发等
,包
用户、应用流量、网站访问、搜索引
统 报表 支持统 报 活动 长 订阅 计
计 告(用户 、用户行为、带宽资源、上网时 )的 和管理
产产品品价价值值 上网行为可视:
直观掌握各种上网行为,便于快速制定上网行为 管理策略。
P2P 流量占到了整体流量的 50%以上
迅雷下载和 P2P 电影是员工的主要行为
需要限制 P2P 的速率
网站访问第一、第二名都是购物网站 存在较多以 IP 方式访问的财经及国外站点
需要在上班时间控制购物网站的访问
邮件发送敏感关键字信息,存在泄密风险 搜索引擎在搜索大量的敏感关键字,存在法 律风险
用户认证 网康本地认证 微软 AD、RADIUS、LDAP、邮件联动认证
终端准入 检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况 确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不依赖 口 IP、端 。可识别 P2P、在线视频、炒股、游戏、即时通讯等 600 多种 协议 主流应用 。 用户可根据 IP、端口自定义应用协议
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
量指标数据
流量有序化管理
通道管理
基于队列和 TCP 滑窗双重流量管理机制 基于时间、VLAN、内网用户、外网 Ip、应用、URL、上传/下载等多种流量管 理维度 -
提供丰富的带宽管理手段:支持 8 级带宽优先级,支持带宽限制、带 宽保证、带宽预留、带宽平均分配、通道内每用户带宽上限等多种管 理手段
通道监控
实时展示设备、指定链路和通道的流量走势 实时各级通道的 Top N 应用排名 实时各级通道的 Top N 用户排名 实时各级通道的 Top N 外网 IP 排名 实时各级通道的 Top N 内网服务排名
应用质量检测
实时展示指定应用的丢包、重传、时延等应用质量指标数据 实时展示指定应用(如 HTTP、HTTPS 等)的服务器延时和网络延时等应用质
至不同的目的端口
稳定可靠
硬件设备支持断电物理直通,避免电源失效导致的网络中断 独有的一键式旁路切换技术,主动调整系统负载,帮助快速定位问题 灵活的软件死锁与高负载自动跳转技术,根据预设阈值自动分流高负载流量 系统软件热备,当主系统发生异常后,备份系统可正常接管 支持并行冗余和串行冗余,保证网络的高可用性
率和数据包转发效率
采用独有的“无效连接动态清洗”专利技术,有效解决各种无效连接占用大量系统资源
的问题
采用专门的“多维非线性策略引擎”技术,支持在超过 2 万条规则数的条件下,系统性
能无恶化
部署灵活
支持透明串接入网与旁路监听并存的网络部署方式;支持多路旁路监听 最大支持对 4 条普通桥接链路(或 4 条旁路监听链路)的应用进行聚合管理 支持源端口的总流量镜像至某一指定目的端口; 支持源端口的上传和下载流量分别镜像
流量驾驭优化
流量分担
- 当有多条出口链路时, 一旦一条链路的上传或下载流量达到警戒阈值, 其相应流量 将切换至另一条链路 - 实时显示链路间实现分担的流量走势 -
南北互通
当有归属不同运营商的多条出口链路时,将会根据目的 IP 地址所属的运营商 来选择相应的运营商出口链路 -
应用引流
支持基于应用将部分流量从本设备发出,经其它设备(如 NS-ICG)进行流量
通过配置一条在工作时间将 P2P 下载控制在 100M 以内的策略,从下面的 设备流量监控图中可以看到, 在策略生效的和失效的时间点上,网络流量发生了 明显的改变,有效遏制了 P2P 对网络带宽的抢占。
管理效果显著 中北大学部署 NS-ITM 后,解决了以往交换机, 、路由器不能解决的网络经 常发生拥塞的情况, 互联网出口带宽和教育网出口带宽都得到合理、 高效地利用, 提升了应用的服务质量, 缓解了校园网络流量过大的压力,更节省了进一步扩充 出口带宽资源的费用,获得全校师生的一致好评。
产品功能介绍
可视化流量呈现
基本监控
实时展示设备及链路的每 5 分钟、每小时、每天、每周及每月的流量走势图 实时展示本日或预定时间内各应用/用户流量及用户并发连接数的 Top N 排名 实时展示当前在线用户的 IP 五元组详细信息、上传/下载流量及并发连接数 可查询指定日期、时间、通道、应用及用户的每分钟上传及下载流量 输出指定日期、时间、通道、应用、用户的流量走势图及应用流量叠加走势图 输出指定日期、时间的 Top N 应用/用户/通道流量排名图(表)
络拥塞已经是常态。 在上网高峰时期打开网易、新浪等门户网站的页面平均需要 等待 30 秒左右;学生经常反映访问校园内的图书馆、电子教案等学习资源很缓 慢。校园网的建设虽然极大丰富了师生的工作、学习、生活,但是也给校园网的 管理带来了新的挑战, 如何管好、 用好校园网成为校园网建设的下一步重点工作。 面对这种情况,中北大学信息中心的老师根据教学与学习的具体业务需求, 提出部署流量管理设备,以加强对校园网络流量的管理,实现封堵无关应用、保 障关键应用的带宽流量的新校园网建设目标, 达到充分利用带宽资源和提升网络 服务质量的目的,并列出了以下具体需求: 能够在工作时间将 P2P 占用带宽的比例控制在 30%之内; 能够在工作时间内将 50%以上的带宽用于 HTTP 的访问; 由于内网用户访问校内服务器资源的流量与访问外网的流量处 于同一线路上, 所以校方希望能够保障内网用户访问服务器的带宽资源; 网康 ITM 助力 校园网流量进入智能管理时代
过滤后再流入本设备,实现流量清洗的目的 支持将链路的上传/下载/总流量进行镜像,方便其它设备进行相应的流量分析
应用加速
对经过本设备所有或指定应用进行数据压缩, 并显示压缩前/后流量、 压缩比及 压缩比为 Top N 的应用排名
产品特性介绍
识别精确
丰富的应用协议库,支持超过 500 种本土活跃应用及协议,全面覆盖 P2P、IM、网络
在严格筛选之后,中北大学从供应商的产品技术实力、售后服务保障、产品 持续升级更新等多方面考量, 再经过一段时间的严格测试运行,最终选择了网康 科技智能流量管理系统 NS-ITM。NS-ITM 无论是性能还是功能都处于业界领 先水平,很好地满足了中北大学的校园网流量管理需求。
中北大学选择在校园网的核心交换机与防火墙之间以透明桥接的模式部署 网康智能流量管理系统 NS-ITM,对整网的流量做统一的管理。 部署网康科技智能流量管理系统 NS-ITM 之后,针对中北大学的实际需求, NS-ITM 设置多条策略全方面满足客户需求:保障 HTTP 等正常网络访问;控制 P2P 下载和在线视频;保障内网用户访问服务器资源的带宽。
-
提供丰富的其他流量管理手段:限额、并发连接数、新建连接数、报警 通过主/子/微三重嵌套的通道管理机制和分级借用机制,实现层次化的流量管 理
每用户管理
通过灵活的每用户流量管理、通道整体流量管理策略或组合策略,实现流量的 二次整形,实现智能流量管理的目标 基于时间、VLAN、用户、应用、URL、上传/下载等多种流量管理维度 提供丰富的流量管理手段:带宽、限额、连接数、报警
智能管理校园网流量
中北大学部署网康 NS-ITM 系统
近日,山西中北大学成功部署网康科技智能流量管理系统 NS-ITM,通过该 产品强大的流量限制、流量保障、应用引流、负载均衡、南北互通等功能对校园 网流量进行精细化管理,以实现建设高效、健康、绿色校园网的目标。 网络拥塞困扰校园网发展 中北大学是由工业和信息化部与山西省人民政府共建、以山西省人民政府管 理为主的一所多学科教学研究型大学,学校共有全日制在校生 35000 多人,其 中研究生 3000 余人。由于师生人数众多,校园网中的应用和流量非常复杂,网
限额、连接数、报警等的策略组合
支持队列+TCP 滑窗双重管理机制,针对不同场景选择最合适的管理机制 通过主/子/微三重嵌套的通道管理机制和分级借用机制,实现层次化的流量G 流量吞吐能力 依托“多核并行优化”和“基于 ring 的负载均衡”专利技术,极大提升系统的运算效
网康智能流量管理系统 NS-ITM 4.0
互联网应用繁荣的时代,一方面企事业单位各种关键应用(如:ERP、CRM、OA 系统、视频会议系 统等)对带宽和延迟提出了更高的要求;另一方面 P2P 下载、网络电视、即时通讯及在线购物等与工作无 关的应用日益泛滥。企事业单位有限的网络资源正被 P2P 下载、网络电视等应用所吞噬,关键应用的服务 质量得不到保障。网速越来越慢、网络业务中断越来越频繁,不仅极大浪费了宝贵的带宽资源,也严重影 响了本单位关键应用的正常运行。 网康智能流量管理系统(NetentSec Intelligent Traffic Manager, NS-ITM)是网康科技推出的 基于应用层的、专业的流量管理产品,既适用于城域网、校园网、大中型企业等流量大、应用复杂的网络 环境,也适用于需优化互联网接入、保障关键应用、控制网络接入成本的中小型企业的网络环境。NS-ITM 通过监控网络流量、分析流量行为、设置流量管理策略,基于时间、VLAN、用户、应用、数据流向等条件 实现全面的智能流量管理。
视频、网络游戏、音视频会议、办公&数据库、股票&期货等流行应用及协议
全面支持 IPV6,能够按应用协议类别对 IPV6 应用流量进行精确识别和全面管理 专业的应用协议分析团队,每 2 周更新网络应用及协议, 确保应用协议库的完备性与时
效性
管理精细
基于时间、VLAN、源/目的用户、应用、URL、上传/下载等多种维度设置包含带宽、