网康NS-ICG功能列表 v7.0
国家信息安全产品认证获证名单
有限公司 成都三零盛安 信息系统有限
公司 成都三零盛安 信息系统有限
公司 成都三零盛安 信息系统有限
公司 北京山石网科 信息技术有限
公司 北京安氏领信 科技发展有限
公司 北京安氏领信 科技发展有限
公司
发证时间 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28
(万兆)
网神 SecIDS3600 入侵检测系统 V4.0 (千兆)
第三级
网神 SecGate3600 防火墙 V3.6.6.(0 千 第二级
兆)
SecFox 安全管理系统(安全审计产品) 基本级
V1.0
网神 SecSIS3600 安全隔离与信息交换 系统(V2.0)
第二级
捷普防火墙 F4000/V4.0(百兆)
公司
发证时间 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28
证书状 态
有效 有效 有效 有效 有效 有效 有效 有效 有效 有效 有效 有效
第二级
H3C SecPath?千兆防火墙 V3
第二级
迪普?DPtech?百兆防火墙 V1
第二级
迪普?DPtech?千兆防火墙 V1
第二级
鹰眼安全审计系统 NSAS/V5
基本级
鹰眼主页防篡改系统 PPS/V6.0
NGFW网康NGFW功能列表
连接监控
实时支持连接监控和查询
通道监控
支持线路、流量通道癿流速
上线用户
支持上线用户列表
风险系数
支持最近15分钟和静态时间范围癿网络风险系数劢态评估和展示
管理界面
支持SSL加密WEB方式管理设备; 支持命令行方式管理设备;
系统配置
系统时间,DNS,系统管理员账号设置
系统维护
配置备份恢复,恢复出厂设置,软件版本升级,应用协议库升级, IPS/AV/URL数据库升级,License,关机重启
URL过滤日志 URL过滤相关日志
流日志信息,为系统管理员队设备配置变更癿日志信息
日志关联
支持威胁日志、流量日志、URL过滤日志癿关联
设备信息
提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间 、网络接口等信息;
Top排名
实时提供高风险应用排名、应用流量排名、用户流量排名
支持主子微多级通道,方便用户按照组织结构或应用类别进行精细化分层 流可控指定某一个物理接口为虚拟线路,也可指定多个WAN口作为一个虚拟 线支路持基于应用类型划分不分配带宽
时间控制
支持基于时间段癿带宽划分不分配策略;
保障带宽和限制 支持通道可指定其保证带宽,保证带宽分为上下行均可设置,可按百分比
带宽
和数值进行配置;
别和管控
位置配置可以以IP网段或VLAN ID进行配置
用户状态查询 支持用户登录注销历叱查询
统计
日志 监控 系统管理
应用中心(基于 支 持 Top 应 用 、 Top 源 地 址 、 Top 目 癿 地 址 、 Top 威 胁 、 TopURL 、 应用安全角度全 TopCountry展示和关联钻取 局俯瞰统计排 名应)用风险系数 支持指定时间段内,整个网络应用风险评估显示。
网康互联网控制网关ICG安装配置指禅
网康互联网控制网关ICG安装配置一指禅1.设备拆箱,上电运行,正常情况下开机3分钟后设备即可正常运转;2.ICG系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23.如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP 地址配置为192.168.1.xxx/24(与桥口的默认IP地址同网段)3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG(注意是https而不是http),点击“继续浏览此网站(不推荐),输入默认用户名:ns25000,默认密码:ns25000;4.登录之后的WEB管理界面如下图所示;5.通过【系统管理】-【网络配置】-【网络配置】进入网络配置界面,默认使用网桥模式管理设备.根据学校网络实际情况,修改设备的网桥口IP地址,IP掩码,缺省网关,DNS服务器.(例如将默认的192.168.1.23改为192.168.196.53)6.修改网络配置的时候设备网卡会重启,网络中断约30秒左右,此时将计算机的IP地址配置为x.x.x.xxx/24(与桥口新配置的IP地址同网段,例如192.168.196.100),使用PC浏览器重新登录设备,确认可以通过新IP地址访问WEB管理页面;7. 将设备安装上机架并固定,以透明网桥的模式,串接在互联网出口设备(防火墙/路由器)和核心交换机之间,WAN口(eth0)连接防火墙/路由器,LAN口(eth1)连接核心网交换机,如下图所示;8.确认设备串接后互联网访问恢复正常,若出现长时间断网情况,请及时进行回退,恢复原先网络连接,检查线路连接情况,判断故障原因,准备下次割接;9.确认设备正常串接且互联网访问恢复正常后,通过学校内网中任意一台计算机访问设备管理页面,通过图形化界面观察网络运行情况;10.进入【系统管理】-【集中管理】页面,输入教育局集中管理平台的IP (10.20.1.141),如下图示例,以便于区教育局进行统一的设备管理和策略下发;11. 根据教育局等主管单位的相关规定,配置各项上网行为管理策略.。
4.网康产品命令行解说
NSICG CLI 参考手册北京网康科技有限公司1目录一、连接到CLI (3)1. Console访问CLI (3)2. SSH访问CLI (3)二、命令详解 (4)1. help (4)2. icg_status (5)3. icg_http_ctl (5)4. icg_if_cfg (6)5. icg_ip_cfg (6)6. icg_dns_cfg (7)7. icg_route (8)8. icg_arp (9)9. icg_monitor_ports (10)10. icg_sys_diagnose (10)11. icg_sys_tune (13)12. diagnose_network (14)13. icg _db_backup (15)14. softbypass (15)15. reset (17)16. update_pwd_reset (17)17. upgrade (18)18. passwd (18)19. nslookup (18)20. ping (19)21. curl (20)22. traceroute (20)23. reboot (20)24. Poweroff (21)25. Exit (21)23一、 连接到CLI1.Console 访问CLI用console 线将计算机和NSICG 设备相连,通过超级终端进入到CLI ,超级终端设置如下:2.SSH 访问CLINSICG 默认是开放22端口的,可采用SSH 软件登陆到NSICG 的CLI :二、命令详解1. help此命令用于查看NSICG console口模式下可用的命令。
语法模式:Help例子:[NS-ICG]->help*******************************************************Netentsec Internet Control Gateway Console******************************************************** help --------------- list available commands ** icg_status --------- show icg status ** icg_http_ctl ------- turn http engine on/off ** icg_if_cfg --------- config in/out interface ** icg_ip_cfg --------- config ip address ** icg_dns_cfg -------- config dns address ** icg_route ---------- config static route ** icg_arp ------------ config static arp item ** icg_monitor_ports -- config engine monitor ports ** icg_sys_diagnose --- diagnose system and collect ** the infomation ** icg_sys_tune ------- tune system parameter ** diagnose_network --- diagnose web access problem ** icg_db_backup ------ backup and restore database ** softbypass --------- set icg softbypass parameter ** reset -------------- reset system to factory mode ** update_pwd_reset --- reset the password of liveu- ** pdate system ** upgrade ------------ icg system upgrade ** passwd ------------- modify current user password ** nslookup ----------- query the DNS for resource ** records ** ping --------------- ping ip address ** curl --------------- transfer a URL ** traceroute --------- print the route packets take ** to network host ** reboot ------------- reboot the system ** poweroff ----------- turn off the system *45* exit --------------- exit from the login ********************************************************2. icg_status这个命令用于查看icg 网关当前的运行状态,包括运行模式,内外网口信息,IP 配置信息和引擎工作状态。
网康科技ICG功能介绍
功能介绍1、用户可以使用各种浏览器对设备进行访问控制,设备管理界面的访问不需要安装任何插件;2、URL库数量超过1400万条,覆盖国内网站;3、在 URL库中,支持对URL类别的二级子类控制;4、支持对以IP方式访问网站进行过滤控制;5、对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义;6、支持仅审计某邮箱地址发出或接收的邮件;7、支持仅审计包含某类型附件的邮件收发内容;8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;9、可控制允许外发邮件附件的大小范围;10、可自定义设置不需审计的发帖网址;11、能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字;12、可单独控制用户的某项互联网应用每日上网时长限额;13、可查询被阻断的web访问纪录。
可根据预设的web过滤策略,实现对违禁访问网页行为的查询;14、支持对发帖网址和发帖正文关键字查找,记录内容包括:用户、时间、论坛地址、正文和附件;15、可查询被策略阻塞的应用记录,包含匹配的策略名称;16、支持POP3邮件账号用户识别;17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中,并可选择将该IP暂时屏蔽还是永久屏蔽;18、可提供在软件系统异常时硬件直通保护;19、提供主动式一键直通切换,设备上提供直通按键,协助管理员迅速排查网络故障;20、能够识别控制国内主流的P2P下载软件,如:迅雷,BT,电驴等,要求对于加密的下载协议也能识别控制;21、能够识别控制国内主流的网络电视应用,如:PPLive,土豆网,酷6,6间房等;22、能够控制国内主要网络游戏,如:联众游戏,魔兽世界,梦幻西游等;23、能够识别控制国内主要的股票软件,如:大智慧,同花顺,钱龙等;24、支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率;25、支持带宽通道优先级的定义,保障核心业务拥有带宽保障;26、支持空闲带宽借用,实现带宽资源统计复用;27、可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响;28、可设置部门成员的平均带宽策略,避免个体成员独占部门带宽;29、可根据时间段设置带宽管理策略;30、可查看某策略所适用的用户和部门;31、对于应用控制策略和网页过滤策略,可记录用户匹配阻塞策略的行为信息,并可基于策略名称和应用类型进行查询分析;32、可手工添加用户,必须支持txt、csv格式文件导入全局用户列表,也可以只导入某个部门的用户列表,导入的用户信息应包含用户的组织结构;33、支持按IP段自动分组,新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息,自动适用该网段的策略;34、应提供丰富的查询条件,查询用户的上网行为细节数据。
网康互联网控制网关InternetControlGatewayNSICG是
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:1、精细应用识别,管控您的网络●DPI+DFI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警●对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类,健康您的网络●国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏3、终端用户准入,规范您的网络●30余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患●支持ICG提供web推送认证,可配合短信验证使用4、带宽合理分配,优化您的网络●精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽,为关键业务提供带宽资源保障5、实时监控审计,洞悉您的网络●查看上线用户的网络使用时间与流量信息,及时发现异常用户●全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制,监管您的网络●可对用户的私接设备数量、设备类型进行实时监控,●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。
网康NS-ICG的工作环境
网康NS-ICG的工作环境NS-ICG产品部署方式非常灵活,主要分三种模式:透明网桥模式、网关模式、镜像模式。
其中透明网桥模式又支持单网桥模式和双网桥模式。
NS-ICG产品在部署时能够透明接入,从而不修改网络拓扑结构、不修改用户网络配置、不需要在客户桌面计算机上安装任何软件且不需要在客户桌面计算机做任何配置。
不同的网络部署模式分别适用于不同的网络拓扑结构。
请根据实际情况,选择适合本企业的网络部署模式。
一、单网桥模式NS-ICG安装于企业内部网络与防火墙/路由器之间的任意位置。
网络拓扑实例如下图:图 1 单网桥模式下网络拓扑实例图在网桥模式下有两个重要配置:o NS-ICG的IP地址:用于访问NS-ICG。
可设为企业内网上的任意IP(出厂默认配置 192.168.1.2 3/255.255.255.0)。
o NS-ICG的默认网关:网桥模式下请将NS-ICG的默认网关指向企业所使用的网关(即防火墙/路由器内部IP),如192.168.1.254。
网络管理者可通过NS-ICG提供的Web管理界面来管理系统。
相应的管理界面的地址为“https: //NS-ICG的IP地址”,如https: //192.168.1.23。
提示:Web管理界面地址以https开始,而非以http开始。
二、双网桥模式双网桥模式,又称双入双出模式。
它是在单网桥的基础上增加了另一个桥路,将网口划分为两组,设置两个出口和两个入口,实现了两路且独立的单入单出。
双网桥模式实现了一台NS-ICG设备对公司内部两个独立网络同时控制的功能。
网络拓扑实例如下图:图2 双网桥模式下网络拓扑实例图在双入双出模式下有三个重要配置:o线路1的IP地址:用于访问NS-ICG。
可设为企业内网上的任意IP(出厂默认配置 192.168.1.23/ 255.255.255.0)。
o线路2的IP地址:用于访问NS-ICG。
可设为企业内网上的任意IP,必须与链路1的IP处于不同网段,例如:192.168.10.23.o NS-ICG的默认网关:设定为该企业所使用的网关(即防火墙/路由器内部IP),如 192.168.1.25 4。
网康互联网控制网关ICG v7.0
网康互联网控制网关ICG v7.0作者:暂无来源:《计算机世界》 2013年第3期优秀解决方案奖获奖理由ICG v7.0 通过移动终端管理、移动位置管理,解决员工身份、上网途径的定位问题,通过移动应用管理、移动内容审计,解决员工访问网络的合规性要求。
网康科技提出的企业移动办公行为管理解决方案,是业界首个迎合客户实际场景需求的企业网络内容管理解决方案,依托网康全新的互联网控制网关ICG v7.0 设备,帮助企业IT 管理人员从容应对移动办公带来的挑战。
ICG v7.0 集成了针对企业移动办公行为管理的方案支持。
在保持原有位于企业网出口的部署方式不变的同时,可以实现对企业移动办公设备以及上网活动的有效管理。
移动设备管理。
企业上网行为管理体系,首要就是明确上网行为主体的身份。
在移动办公背景下,员工接触网络的方式从桌面机拓展到笔记本、手机、PAD 等智能终端,因此员工身份确认由原先的IP、MAC、用户名也相应地拓展至包括终端类型甚至终端平台在内的信息,网康ICG v7.0 内置终端类型识别功能,并能基于终端类型实现不同的准入策略,在员工访问网络的源头上进行直接管理,简单有效。
移动位置管理。
移动办公除了接入网络的方式变化,用户访问网络的地点也变得不固定,与此同时,企业不同的办公区域,其网络访问的权限也不尽相同。
网康ICG v7.0 可基于企业办公网络划分的常用手段(IP 段、VLAN)对等建立位置属性,进而实现针对不同办公区域的员工上网行为进行动态管控,灵活机动。
移动应用管理。
移动网络的极速发展也得益于各个智能终端平台的APP 规模。
针对这一趋势,网康ICG v7.0 不断深入研究,其内置的应用识别特征库,包含数百种当前各个终端平台的热门业务,确保即使移动设备接入也同固网设备一样的管控力度。
移动内容审计。
网康ICG v7.0 一方面可给予移动应用管理进行有效管控,另一方面,也支持针对国内主流微博站点以及即时聊天工具的内容审计,保障公司机密信息无外泄隐患。
网康互联网控制网关NS-ICG产品参数表
NI7000-50
50000人 3G 6Gbps 300万 60000个/S 3072 4电千兆+4光SFP √ √ √ 2 √ √ √ (两组, E0/E1,E2/E3) × √ 500G 交流110~240V 600W √ 430*540*88 2U 17.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
ቤተ መጻሕፍቲ ባይዱ规格说明
选型参考
适用用户数 适用带宽
NI3000-10
100人 10M 100Mbps 10万 4000个/S 128 2电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
400人 30M 300Mbps 30万 7000个/S 256 4电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
NI3000-40
600人 50M 400Mbps 50万 8000个/S 256 4电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
NI7000-70
80000人 4G 7Gbps 400万 80000个/S 4096 4电千兆+4光SFP √ √ √ 2 √ √ √ (两组, E0/E1,E2/E3) × √ 500G 交流110~240V 600W √ 430*540*88 2U 17.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
网康认证登陆界面
网康认证登陆界面指南登录界面开启认证管理后,网内用户需要通过认证才可以上网。
NS-ICG提供的认证方式中“WEB认证”是在用户访问网络时,在浏览器中显示登录界面,用户只有输入正确的登录名和密码后才允许上网。
NS-ICG提供用户自定义该认证管理登录界面的功能,这样每个使用ICG的公司或单位可以根据自己的需要来设计认证登录窗口。
详细如下:第1步:通过【用户管理】→【认证管理】→【登录界面】进入如下图所示页面:图 1 认证窗口自定义o更新LOGO:选择图片取代上述图片中的“用户认证系统”的内容。
o更新背景图片:选择图片作为认证的背景图片。
o隐藏修改密码部分:选择后将只显示用户名和密码部分,隐藏了修改密码的部分。
o启用登录界面提示信息:该项用来为登录界面增加提示信息,勾选该项后即可在下面几项填写相应的内容。
o预览:预览设置后的效果。
o加载默认:认证窗口恢复初始的设置。
为了用户能够更好的使用Web认证,NS-ICG提供了用户自主登录、登出的功能。
当开启用户认证后,需要认证的用户访问外部网页时将弹出用户认证界面。
如下图:图2 用户登录认证界面如果在配置中选择了“隐藏修改密码部分”,则登录界面如下图:图3 用户登录认证界面-隐藏了修改密码部分如果启用了“登录界面提示信息”,则登录界面如下图(界面中的信息由管理员设置):图4 用户登录认证界面-启用界面提示信息在用户通过认证后,进入Web认证提示页面,如下图:图5 用户登录提示界面o第一段:显示用户名并提示用户已经成功登录。
o第二段:提示用户可以点击该链接访问正要进行访问的页面。
o第三段:提示用户如果需要退出认证,可以点击该链接地址进行登出。
在代理模式下,可以在【系统管理】→【系统配置】→【代理配置】中通过修改“认证下线地址”来使用户从代理服务器下线。
o第四段:提示用户可以将登出地址保存到浏览器收藏夹中或者保存到文件中,方便使用。
o第五段:显示用户此次登录详细信息。
网康ICG产品性能参数表
•可 插 拔 的 插
槽 •支
持
4 电 千
兆 •支
持
4 光 千
兆 •支
持
2 光 万
兆
备注
1,橙色是板载配置,蓝色 是可配置插槽。
可插拔 支持四 千兆电 口或光
可 插 拔 的 插
槽 支 持
4 电 千
兆 支
持
4 光 千
兆 支 持
2 光 万
兆
扩展性
不支持扩展网口
支持网口扩展 扩展形式如图1 支持网口扩展 扩展形式如图2
产品型号
标准配置
NI2100-10 2电千兆
NI3100-20 Mgt+HA+2电千兆
NI3100-30 Mgt+HA+4电千兆
NI3100-40 Mgt+HA+4电千兆
NI3100-40F Mgt+HA+4电千兆+4光千兆
• 板载,不可插拔 • 一个管理口、一个HA口
ICG
图2
NI7100-10 NI7100-30
NI7100-50 NI7100-70 NI7100-90
• 板载,不可插拔 • 一个管理口、一个HA口
ICG各型号可扩展网卡说明
扩展方式 不支持 不支持 不支持 不支持 不支持 不支持 不支持 不支持 不支持 2个扩展槽,每个扩展槽支持4个千兆电口或光口 2个扩展槽,每个扩展槽支持4个千兆电口或光口 2个扩展槽,每个扩展槽支持4个千兆电口或光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用1个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口
网康ICG产品配置培训讲义(PPT63张)
ICG界面的四大功能模块
• • • • • 系统管理 用户管理 策略管理 系统监控 查询统计
•系统管理主要功能:针对ICG产品进行自身的配置和系统信息,日志信息 的显示,以及数据备份和开关机。 •用户管理主要功能:针对ICG产品进行用户的导入,管理,绑定,并可进 行身份的验证。 •策略管理主要功能:针对ICG产品进行策略,对象的设置,并且提供黑白 名单等特殊策略。设置策略后可以使ICG进行相关工作。 •系统监控主要功能:针对ICG产品进行的工作进行实时监控,查询。 •查询统计主要功能:查询(历史纪录),统计(基于多种方案统计数据)。
• 注:我们就把系统管理类比与windows的控制面板的功能。
系统管理讲解
• 系统管理--权限配置 1、添加用户 用户名:登陆时的用户名 密码:登陆时使用的密码 用户姓名:用户描述信息 用户组:administrator、user 注:只有超级管理员才能增减用户设置,超级管理员用户是不 能被删除的。
系统管理-系统配置-基本设置-代理设置 • 代理设置
• 意义:配置HTTP代理,使得NS-ICG通过第三方代理访问互联网。 1.开启BASIC认证后,在用户管理界面的BASIC认证将自动开启。 2.开启ISA NTLM认证后,在用户管理界面的NTLM认证将自动开启。 3. 启用代理后,缓存配置不能起作用。 4. 启用代理后,Bypass功能不能起作用。
系统管理-系统配置-基本设置-系统参数
◆缓存配置:数据的缓存功能可以把一些在相对一段时间内不发生改变的页
面放在缓存中,当某个页面被存储后,后续在某个时段内访问该站点,系统 就不必要访问远程的服务器,而直接从缓存中获得数据。缓存有效地节省网 络带宽,使网络更有效地被利用。 开启缓存:直接从缓存中获取需要的数据。 关闭缓存:每次访问远程服务器获取需要的数据。 清除缓存:清除缓存中保存的数据。 ◆ DHCP配置: 开启DHCP服务:DHCP服务提供动态IP分配的功能。 关闭DHCP服务:不使用DHCP服务动态分配IP。 高级配置:在配置DHCP时,可以进行详细配置。 ◆ Bypass配置(只能通过管理口设置): 启用硬件Bypass:启用硬件Bypass,可以手动进行Bypass或触发自动Bypass 禁用硬件Bypass:不使用硬件Bypass功能 重启后Bypass:OFF:重新启动NS-ICG后,不启用硬件Bypass 重启后Bypass:ON:重新启动NS-ICG后,启用硬件Bypass
网康高级配置
网康高级配置指南高级配置高级配置用于配置用户通过认证上网时的各种共通属性。
例如:认证账号在访问网络一段时间后让其自动下线、账号是否可以多地点登录等等。
点击【认证配置】页面的右上角的“高级配置”进入如下图所示页面:图 1 高级配置(一)、全局高级配置:设置通过认证上网时的共通配置。
详细如下:自动下线设置:1.轮询间隔:系统检查用户是否处在活跃状态的间隔时间。
例如每5分钟检查一次。
2.不活跃时间:设置用户不活跃的时间段,在此期间,系统会按照轮询间隔一直检查,如果在所设置的不活跃期间内发现用户一直都没有流量,则使其自动下线。
该用户只有重新通过认证才可以继续使用网络。
例如如果选择半小时,则系统在半小时的轮询期间内发现该用户一直都没有流量,则认为该用户为不活跃用户,就使其自动下线。
如果选择不过期,则系统在轮询的时候不管用户是否有流量都认为该用户是活跃用户,不会让其自动下线。
提示:客户端认证中的AD认证、互联网准入认证和客户端本地认证都不受自动下线的限制。
3.帐号多地点登录:设置是否允许帐号同时在多个PC机上登录。
如果不允许,还可以设置是先登录者有效,或是后登录者有效。
1.当选择先登录者有效时,可以对同一帐号的后登录者登录时加以提醒,提示信息在“帐号重复登录的提示信息”输入框中填写。
2.当选择后登录者有效时,若两个用户先后使用同一帐号登录,先登录的用户会自动下线。
提示信息在“帐号重复登录的提示信息”输入框中填写。
3.在不允许一个帐号同时在多PC机上登录时,还可以为其添加例外帐号。
提示:除了IP识别、MAC识别和互联网准入认证外,都支持帐号多地点登录功能。
4.未通过认证行为:当用户未通过认证时,NS-ICG所采取的控制行为。
有三种:5.封堵网络应用,重定向http页面:封堵所有应用,网页浏览时返回至认证或客户端下载页面。
6.不封堵网络应用,只重定向http页面:封堵网页浏览,网页浏览时返回至认证或客户端下载页面。
网康ICG操作手册
用户管理用户是互联网访问的标识主体(即谁在访问),是NS-ICG互联网访问管理的目标对象。
出身份认证信息外,一个完整的用户定义还包含其组织信息和访问策略。
每一个互联网访问都对应唯一的用户(或用户组),这是NS-ICG实现基于用户和用户组的访问控制的基础。
而建立完整和准确的用户信息更是保证NS-ICG 进行有效互联网访问审计(监控、查询、报表等)的关键。
用户管理模块提供全面的用户管理功能,主要有如下几个功能模块:用户导入---------------可通过扫描当地局域网内的IP导入用户、导入LDAP用户或者自定义导入用户。
组织管理---------------手动构建企业组织架构和用户信息。
认证管理---------------配置用户上网的识别和认证管理方式,可针对不同用户采用不同的识别认证方式,支持本地人证和多多种第三方认证;支持用户绑定设置。
用户导入用户导入主要支持三种方式:IP导入、LDAP导入和网康自定义导入。
IP导入主要通过扫描设备IP来进行用户导入,LDAP导入时导入LDAP服务器上的用户,而网康自定义导入则是通过TXT或者CSV文件导入用户信息。
IP导入NS-ICG提供两种用户信息的建立方式。
其一,可以通过已存在的用户信息数据源,导入到NS-ICG系统中,如依据IP地址导入用户、从已建立的LDAP服务器中导入用户、根据网康自定义格式导入用户;其二,可以通过管理界面手工管理。
第1步:通过【用户管理】--【用户导入】--【IP导入】进入如下图所示页面:第2步:点击“扫描”或者“浏览”本地文件后点击“导入”,进入“导入用户列表”画面,如下图:用户名:手动输入用户名;导入选项:导入IP与MAC:保存用户名、IP地址和MAC地址导入MAC:保存用户名、MAC地址导入IP:保存用户名、IP地址填充用户名:如果选择该项, ICG 会将相应的 IP 地址作为用户名进行自动填充;选择导入位置:根据选择,导入到组织管理的指定位置(注:需提前配置好组织架构)第 3 步:管理员根据需要选择导入的数据和填充画面各项信息后,点击右上角的“导入”按钮,进行导入。
【网康进阶之ICG】-01-升级版本及恢复出厂设置
标题:升级版本及恢复出厂设置1.升级准备条件A、检查设备【升级授权】在有效期之内在【系统管理】-【系统配置】-【授权与更新】-【升级授权信息】中,保证剩余天数不为负数图1-升级授权有效B、ICG可以ping通升级服务器在【系统管理】-【系统配置】-【系统工具】-【网络工具】中,去ping一下升级地址是否可以通 对应的地址为211.100.26.38图2:ping的测试图3:ping的正确结果C、确认没有定制以及日志中心连接断开标准版本均没有定制,日志中心连接断开志的是逻辑上的断开,不是指的拔开网线,在【系统管理】-【日志中心】的界面,将启用日志中心前的勾去掉,保证为空,就是不启用了D、进行系统备份及手工截取网络配置部分在【系统管路】-【系统配置】-【备份与恢复】中,点击备份,选择【导出文件】,点确定这个时候会提示保存system.backup,只要文件不为0M,就应该是保存成功,注:网络配置部分不会进行备份,需要手工进行备份(截图或者笔记)2.升级ICG软件版本步骤一:正常登陆的时候,您使用的ip为https://192.168.1.234那么升级的时候,需要在这个IP后面输入https://192.168.1.234/liveupdate用户名和密码默认为ns25000/ns25000步骤二:点击登陆,出现当前的版本号和已经安装的补丁信息,步骤三:点击在线获取更新列表,会显示是否存在可以更新的补丁包;如果有显示,点击该补丁前的空格,然后确定步骤四:出现下载提示,显示新版本的一些新功能,点击的过程中,如果出现文件损坏等,可以不用关注,直接点确定。
(日志量越大,安装时间越长)升级过程中,请不要中断连接,直到出现下面的绿色对勾,点返回或者确定为止步骤五:如果已经是最新版本,则提示无可用更新注:如果出现下面的报警,可能是点了升级以后,IE界面关闭了。
没有到出现绿色的对勾,导致升级进程没办法安装,这个时候只能单击‘红色’对话框中的那几个字,需要重新升级。
【网康进阶之ICG】-07设备部署-网桥模式(双网桥)
标题:设备部署-网桥模式(双网桥)1.用户场景网桥模式,透明部署在路由器和核心交换机中间,为设备配置与路由器内网口和相连交换机接口相同网段的地址,保证设备能够正常管控内网用户,并且内网用户可以管理网康设备。
2. 配置步骤基础配置网桥配置路由配置DNS配置2.1.基础配置系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23/24如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP地址配置为192.168.1.2/255.255.255.0(与桥口的默认IP地址同网段),然后尝试去ping 对端地址192.168.1.23,,如果可以ping通,那么就可以继续在浏览器中输入https://192.168.1.23,使用该地址登陆界面默认的登陆名和密码为ns25000、ns250002.2.网桥配置选择【系统管理】-【网络配置】-【基础配置】,点击【网桥模式】,输入桥IP地址和IP掩码,选择外网口和内网口,配置网关;点击【确定】,在当前列表里显示配置好的链路信息,点击【添加桥接链路】,输入另一链路的桥IP地址和IP掩码,选择外网口和内网口;点击【确定】,在当前列表里显示配置好的链路信息,网络配置完成;注:桥模式只能添加一个缺省网关地址,将网关地址配置成其中任意一条链路的路由器内网口地址即可,缺省网关配置只是影响设备自身上网,对内网用户上网没有影响;2.3.路由配置选择【系统管理】-【网络配置】-【路由配置】,点击【静态路由】,输入目的地址、IP 掩码,下一跳地址并选择接口点击【确定】,在当前列表中显示添加好的路由信息,点击立即生效,配置生效,10.0.2.0/24网段添加方法相同;注:添加静态路由目的只是保证设备可以向内网用户推送web认证界面等,并不是影响内网用户上网的路由,也不是影响设备自身上网的路由。
2.4.DNS配置选择【系统管理】-【网络配置】,点击【DNS配置】,输入DNS服务器IP,点击【确定】;配置完成后,点击立即生效,配置生效;3.接入网络3.1.检查网络连通性检查设备自身是否可以上网;选择【系统管理】-【系统配置】,点击【网络工具】;测试结果,表示设备可以访问网络;检查PC是否可以访问设备;在PC上ping设备的桥地址192.168.110.229,保证可以ping通;在浏览器中输入https://192.168.110.229,确认可以登陆管理界面;4.其他概念注意事项==========================================================================4.1.注意A、多桥模式,HTTP引擎必须为旁路模式;B、多网桥模式,只支持多入多出,即内外网口数量相同;C、多网桥模式,无法启用trunk;D、多条线路的IP地址不能再同一网段。
NS-ICG介绍
共4页
上网行为管理 NS-ICG 产品介绍
定 用户可以设
URL
自定义 关键字
网页分类
用户可以设定网页智能学习分类,利用网页样本训练设备智能识别网页
URL 根据人 地 间 URL /URL H H 网 页 放 过滤
员、 点、时 、网站 访问的 行和阻断
分类
关键字 对 TTP、 TTPS 网站进行
根据 标题 正 网 页 内 容
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、 情况 风险告警
查询 个 收络 查询 括: 日志
对整 网 的访问日志进行 擎、邮件 发等
,包
用户、应用流量、网站访问、搜索引
统 报表 支持统 报 活动 长 订阅 计
计 告(用户 、用户行为、带宽资源、上网时 )的 和管理
产产品品价价值值 上网行为可视:
直观掌握各种上网行为,便于快速制定上网行为 管理策略。
P2P 流量占到了整体流量的 50%以上
迅雷下载和 P2P 电影是员工的主要行为
需要限制 P2P 的速率
网站访问第一、第二名都是购物网站 存在较多以 IP 方式访问的财经及国外站点
需要在上班时间控制购物网站的访问
邮件发送敏感关键字信息,存在泄密风险 搜索引擎在搜索大量的敏感关键字,存在法 律风险
用户认证 网康本地认证 微软 AD、RADIUS、LDAP、邮件联动认证
终端准入 检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况 确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不依赖 口 IP、端 。可识别 P2P、在线视频、炒股、游戏、即时通讯等 600 多种 协议 主流应用 。 用户可根据 IP、端口自定义应用协议
网康ICG产品常用命令操作指引
技术文档
3.为网桥或者管理口配置 IP 地址
执行命令:icg_network_cfg 功能描述:修改 NS-ICG 的工作模式、IP、默认网关与输入输出接口等。由于我们的设备种类 繁多,且网口有光口和电口之分,默认状态下 eth0 口为出口,eth1 口为入口,当这两个口在 当前网络环境下不可用时,就需要我们更改出入口的设置,用此命令就可以实现。此功能还可 以在命令行下设置管理口地址。 设置过程演示: [NS-ICG]->icg_network_cfg Current Configurations: Network mode: Bridge IP Configuration: bri0: 192.168.1.23/255.255.255.0 Default Gateway: 192.168.1.1 bri0 | External Interface: eth0 Internal Interface: eth1 Do you want to change Mgr_port configurations?(y|n)y Ip Address: Mgr-Port ip Netmask: Mgr-Port network mask Network Device: Mgr-Port network interface ICG Access Mode: allow all ports or Mgr-port Only to access ICG Enable Mgr-Port: enable or disable Access function Please input IpAddress/Netmask/NetworkDevice/ICGAccessMode(all|only)/EnableMgr-Port(yes|n o) (eg:192.168.1.23/255.255.255.0/eth2/all/yes) Input:1.1.1.1/255.0.0.0/eth4/all/yes <注:输入管理口地址、掩码及所在物理接口,普通设备管理口一般为 eth4,四光四电设备管 理口为 eth8> Do you want to change network configurations?(y|n)y Please choose network mode [B]ridge/[G]ateway: b <b 为网桥模式,g 为网关模式> New network mode is: Bridge Please input Stp mode[on|off]: off <生成树功能一般设置为关闭 off 状态> Stp mode: off Available NICS: eth0 eth1 eth2 eth3 Warning: eth4 is used by manage_port. You can disable it first if there are no enough NICS. Please input the total number of bridges:1 Please input Bri0 ip/netmask/ethout/ethin (eg:192.168.1.23/255.255.255.0/eth0/eth1) Input: 10.67.50.94/255.255.255.0/eth0/eth1 < 设 置 网 桥 地 址 , 一 般 情 况 下 接 口 使 用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网页URL过滤
根据人员、地点、时间、网站URL分类/URL关键字对HTTP、HTTPS网站进行访问的放行和阻断
网页内容过滤
根据网页标题、正文中的关键字进行网页过滤
根据网页下载文件类型、文件名称进行网页过滤
网页记录
记录员工访问HTTP/HTTPS网站的时间、地点、网站URL、网站分类
应用控制
根据人员、地点、时间、应用名称进行应用的放行、阻断
应用限额
设定应用可使用的时长,由用户自行安排使用,总计时长不能超过限额
设定应用可使用的流量,由用户自行安排使用,总计流量不能超过限额
网页过滤
网页识别
通过网康的网页分类识别技术可识别病毒、木马、傀儡主机、色情、赌博、游戏等2600多万个网站的网页
镜像模式、直路串联、网关替换:
记录搜索引擎搜索的内容,并可根据设定搞得关键字库进行搜索内容的阻断
邮件审计
POP3、SMTP邮件审计:可以记录发件人、收件人、标题、正文、附件;并可根据关键字库进行收件人、发件人、标题、正文、附件名称、附件内容的过滤
SMTP邮件外发预审:可以临时缓存外发邮件,等到管理员审核完毕无泄密行为后再发送到外网
记录员工访问HTTP网站的网页标题、网页正文、文件下载名称等信息
内容审计
关键字库设定
用户可自行设定关键字库,每个库可设置5000个关键字,便于今后进行内容关键字过滤
网页外发审计
HTTP/ HTTPS坛发帖审计,记录发帖的标题,正文,并可根据设定的关键字库进行发帖内容的阻断
记录论坛发帖上传的文件,并可根据文件名称关键字进行发帖的阻断
用户管理
用户识别
IP、MAC、计算机名称识别
微软AD、邮件、PPPOE、PORTAL用户透明识别
华为CAMS、城市热点、锐捷SAM用户透明识别
SQL Server、Oracle、MySQL第三方数据库透明识别
用户认证
网康本地web认证
微软AD、RADIUS、LDAP、邮件联动认证
可识别并根据终端类型区分用户认证方式
WEBMAIL审计:可对公共WEBMAIL或单位自身的WEBMAIL记录发件人、收件人、标题、正文、附件;并可根据关键字库进行收件人、发件人、标题、正文、附件名称、附件内容的过滤
IM审计
可以对QQ\飞信\MSN\SKYPE\YAHOO通等IM进行账号审计、聊天内容、文件审计
其他审计
可以对FTP上传、下载文件进行记录
特权用户
免审计、免监控、免认证
终端准入
检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况
确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不仅依赖IP、端口等传统网络信息,可识别P2P、在线视频、炒股、游戏、即时通讯等1400多种主流应用协议;
可识ቤተ መጻሕፍቲ ባይዱ超过600种主流移动应用协议;
可自定义IP、端口自定义应用协议;
可以对TELNET上传、下载内容进行记录
可以对NOTES客户端邮件活动进行记录
流量管理
虚拟通道
可将物理带宽分成多个虚拟通道,合理分配物理带宽资源
带宽控制
可以限制P2P、视频等大流量应用的最大带宽上限,减少带宽的浪费
带宽保障
可以设定OA、邮件、视频会议的基本带宽保障,保障关键应用必要的带宽资源
每用户流控
可以根据用户平均分配虚拟通道内的带宽资源(包括流量、时长、连接数),使每个用户公平使用企业网络
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、风险告警情况
日志查询
对整个网络的访问日志进行查询,包括:用户、应用流量、网站访问、搜索引擎、邮件收发等
统计报表
支持统计报告(用户活动、用户行为、带宽资源、上网时长)的订阅和管理