网康科技ICG功能介绍
网康ICG操作手册
⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体(即谁在访问),是NS-ICG互联⽹访问管理的⽬标对象。
出⾝份认证信息外,⼀个完整的⽤户定义还包含其组织信息和访问策略。
每⼀个互联⽹访问都对应唯⼀的⽤户(或⽤户组),这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。
⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计(监控、查询、报表等)的关键。
⽤户管理模块提供全⾯的⽤户管理功能,主要有如下⼏个功能模块:⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。
组织管理---------------⼿动构建企业组织架构和⽤户信息。
认证管理---------------配置⽤户上⽹的识别和认证管理⽅式,可针对不同⽤户采⽤不同的识别认证⽅式,⽀持本地⼈证和多多种第三⽅认证;⽀持⽤户绑定设置。
⽤户导⼊⽤户导⼊主要⽀持三种⽅式:IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。
IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊,LDAP导⼊时导⼊LDAP服务器上的⽤户,⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。
IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。
其⼀,可以通过已存在的⽤户信息数据源,导⼊到NS-ICG系统中,如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户;其⼆,可以通过管理界⾯⼿⼯管理。
第1步:通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯:第2步:点击“扫描”或者“浏览”本地⽂件后点击“导⼊”,进⼊“导⼊⽤户列表”画⾯,如下图:⽤户名:⼿动输⼊⽤户名;导⼊选项:导⼊IP与MAC:保存⽤户名、IP地址和MAC地址导⼊MAC:保存⽤户名、MAC地址导⼊IP:保存⽤户名、IP地址填充⽤户名:如果选择该项,ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充;选择导⼊位置:根据选择,导⼊到组织管理的指定位置(注:需提前配置好组织架构)第 3 步:管理员根据需要选择导⼊的数据和填充画⾯各项信息后,点击右上⾓的“导⼊”按钮,进⾏导⼊。
网康互联网控制网关NS-ICG
网康互联网控制网关 NS-ICG面对日益普及的互联网,人们的工作、学习、生活也越来越依赖于互联网,然而由于滥用互联网的行为所带来的各种风险却没有被重视起来:1.工作效率低下:办公室越来越像网吧,贴在墙上的管理条例形同虚设2.网速越来越慢:带宽一扩再扩,永远满足不了业务的需求3.安全隐患不断:防火墙、防病毒系统挡不住层出不穷的病毒、木马等安全隐患4.机密信息外泄:内部机密信息通过Email、BBS、MSN等在不经意的流失5.违反国家规定:网络安全建设不符合国家对互联网的使用管理规定网康上网行为管理产品NS-ICG 产品功能介绍Web访问过滤互联网上的信息资源非常丰富,却良莠不齐。
通过网康互联网控制网关,您可以根据业务需要制定精细化Web访问策略,将非业务信息挡在门外。
可控制管理50多个网址分类,共计1400万条URL适合中国用户的上网习惯符合中国社会伦理与法律法规实时更新,自动分类,人工校验网络聊天管理随着IM软件应用的日益广泛,与工作无关的聊天和聊天中泄密等问题给企业管理带来了严峻的挑战。
通过网康互联网控制网关,您可以根据业务需要制定精细化的网络聊天监控管理策略,在不同时间对不同部门、不同人员施行差异管理方式。
可控制管理多种流行IM软件,包括:QQ、MSN、Yahoo通、AIM(ICQ)、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺、飞信等支持对MSN、Y ahoo通聊天内容的监控支持对IM软件子协议的独立控制,如聊天、文件传输、音视频、游戏、远程桌面等支持对使用权和使用时间的监控管理P2P下载控制P2P下载为人们快速共享文件提供了极大的便利,但其强占带宽资源的特性却常常影响正常的业务数据传输。
通过网康互联网控制网关,您可以定制精细的P2P控制管理策略、阻塞或者限制P2P上传/下载的带宽,确保企业核心业务的带宽得以保障。
可控制管理多种主流的P2P软件,包括:BT、eMule/eDonkey、迅雷(以及web方式)、PP 点点通、Kugoo、KaZaA(Fast Track)、Gnutella、V agaa、百度下吧、WinMX、Winny、Share、msze、未知P2P应用(UDP)等识别控制加密P2P数据流支持对使用权、带宽和使用时间的控制管理网络娱乐控制网络娱乐已经成为中国一大经济产业,然而不分时间不分场合的娱乐,对工作和学习的影响显而易见。
【网康进阶之ICG】-07-透明用户识别-AD识别
标题:透明用户识别-AD识别1.实现功能A、对研发部(地址段为192.168.110.1-192.168.110.254)使用AD识别,能够匹配AD域控的账号信息;2.配置要点导入域控用户配置IP对象设置认证配置配置认证策略2.1.配置需要控制的用户配置第三方数据源LDAP导入是将AD域当中的信息,导入到ICG当中,【用户管理】-【用户导入】-【第三方数据导入】,【第三方数据源设置】点第三方数据源设置以后,入口写的越详细,导入的用户组越少,只写DC的话,那么导入的是所有的用户。
例如本例,案例中域控的名称为如果要导入下面的一个OU,即SERVICE;入口的填写方法如下OU=service,DC=wk_support,DC=com 注意OU和DC大写管理员的填写方法:administrator@wk_ administrator为这个域控的超管点击【新建】进入第三方数据源编辑器添加完成后,点击下方的【连接测试】,如果填写都正确且符合要求,直接会跳出测试成功的对话框;注意入口和管理员的填写方法,保证密码正确输入,否则可能测试失败;点击【保存】,第三方数据源建立完毕配置手动导入任务手动导入是系统默认存在的导入项,其适用于用户的一次性导入,导入之后不再和服务器关联。
配置完成后,点击【重载数据导入配置】,选择【重载并同步】,即可完成对应OU的用户导入;首先,点击系统默认的策略【手动导入】弹出手动导入的配置菜单点击保存后,自动同步;如果【同步状态没变化】,请选择【重载数据导入配置】,选择【重载并同步】,即可完成对应OU的用户导入;如果域控的用户很多,请使用镜像组导入,因为镜像组导入的速度很快,其他两种导入速度相对较慢;2.2.配置IP对象在【全局配置】-【对象设置】-【IP对象】中,点【+添加】,设置相应IP地址段点击保存,IP地址段创建完毕,如果需要设置其他地址段,方法一样2.3.设置认证配置选取【用户管理】-【认证管理】-【认证配置】,选择【透明识别配置】;点击AD识别的【未配置】填入域控的账号、密码和域控的IP,点击【AD连通性测试】,如果填写的信息都正确则会弹出测试成功的对话框,点击确定后保持设置;在透明识别配置菜单里面显示AD识别状态为【已配置】,并且保证【状态】是开启的2.4.配置认证策略选取【用户管理】,选择【认证管理】,点击【认证策略】,点击【添加】;创建完成后,在当前的策略列表里面会显示该条策略,点击立即生效后,策略生效3.验证策略是否生效3.1.查看上线用户点击【系统监控】,选取【用户监控】,选择【上线用户】;可以看见匹配的域控账号。
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
网络安全ICG设备
网络安全ICG设备网络安全ICG设备是一种专门用于保障网络安全的设备,ICG 是Internet Control Gateway的缩写。
随着网络的快速发展和普及,各种网络威胁也不断涌现,因此保障网络安全变得尤为重要。
网络安全ICG设备的出现解决了许多网络安全难题,为企业和个人提供了有效的保护措施。
网络安全ICG设备主要有以下几个方面的功能。
首先,ICG设备可以对网络流量进行实时监控和管理。
它能够对所有通过网络的数据进行深度分析,并及时发现和阻止潜在的安全威胁。
ICG设备可以对网络流量进行实时检测,发现并拦截病毒、木马、恶意软件等危险物。
在发现异常流量时,还可以发出警报并及时采取应对措施,保障网络的安全运行。
其次,ICG设备还可以对网络进行访问控制和流量分配。
它能够根据安全策略对网络访问进行细粒度的控制,只允许合法用户访问网络资源,并对用户进行身份认证。
同时,ICG设备还可以将网络流量按照特定的规则进行划分和分配,保障网络资源的公平分配和高效利用。
此外,ICG设备还可以提供远程接入和VPN服务。
通过ICG设备,用户可以远程接入企业内部网络,实时获取和处理数据。
ICG设备支持虚拟专用网络(VPN),通过加密等技术保障用户在公共网络上的通信安全。
企业内部的员工可以通过VPN远程接入企业内部网络,进行工作和业务处理,同时保证通讯的安全性。
网络安全ICG设备的出现为网络安全提供了有效的保护措施,但是也面临着一些挑战。
首先,网络攻击技术的不断更新和演变,要求ICG设备不断升级和改进,提供更加强大的防护能力。
其次,ICG设备的使用和管理对于企业和个人而言需要一定的技术水平,需要专业人员的配置和维护。
最后,ICG设备还需要和其他网络设备进行配合,形成一个完整的网络安全体系。
总之,网络安全ICG设备是一种重要的网络安全保护措施,它能够对网络流量进行实时监控和管理,进行访问控制和流量分配,提供远程接入和VPN服务等功能,保障网络的安全运行。
网络安全ICG设备
网络安全ICG设备网络安全ICG设备的重要性:网络安全已成为现代社会不可忽视的重要议题之一。
随着互联网的快速发展和普及,网络安全问题也日益突出。
为了保护网络和信息系统免受各种安全威胁的侵害,越来越多的组织和企业开始关注和投资网络安全ICG设备。
ICG,全名为Intelligent Content Gateway,是一种集成了多种网络安全功能的设备。
它能够实施精细的网络策略,监控和阻断恶意软件、网络病毒、垃圾邮件和其他网络攻击。
相比传统的网络安全设备,ICG设备具备更高的灵活性和智能化。
它能够分析网络流量,并根据事先设定的策略来管理和保护网络。
ICG设备通常具备以下功能:1. 防火墙功能:可以监控和控制网络通信,并过滤恶意流量。
2. 入侵检测和防御系统:能够检测和预防网络入侵行为,包括端口扫描、黑客攻击等。
3. 网络访问控制:可以控制员工的网络访问权限,限制访问特定网站或特定类型的网络内容。
4. 内容过滤和反垃圾邮件:可通过应用层的检测和过滤,阻止恶意软件传播和垃圾邮件的发送。
5. 虚拟专用网络:提供远程访问和安全连接,允许远程用户安全地连接到组织的内部网络。
6. 安全审计和日志记录:记录和分析网络安全事件,帮助管理员及时检测和应对安全威胁。
使用ICG设备的好处不仅在于保护安全,还在于提高网络性能和效率。
它可以减少网络拥塞和延迟,提高网络带宽的有效使用。
然而,ICG设备的部署和配置需要专业知识和技能。
组织和企业在使用ICG设备时,应考虑到其对网络性能的影响,并合理规划和配置网络资源。
总之,网络安全ICG设备在当今信息时代至关重要。
它可以提供全面的安全保护,帮助组织和企业应对日益复杂的网络安全威胁。
使用和配置ICG设备需要专业知识和技能,但它的好处远远超过成本。
通过合理的投资和利用ICG设备,组织和企业可以确保网络的安全和稳定运行。
09-ICG的【反向连接与reset】
P11
Reset命令使用 命令使用
P12
Reset命令使用 命令使用
Reset命令功能描述: Reset命令会重置ICG设备,所以请谨慎使用此命令。 请谨慎使用此命令。 请谨慎使用此命令
1. 执行此命令后,用户所配置的系统配置、策略配置等都将被清除; 2. IP地址将恢复为出厂时默认的https://192.168.1.23,可能会引起网络中断。 3. 网口将恢复为出厂时的eth0口,和eth1口。
P5
反向连接功能 反向连接功能
P6
反向连接功能 反向连接功能
远程协助服务号: 远程协助服务号: 协助服务号
这个号同一时刻只能由一个icg设备使用,所以必须保证不同的icg 设备在反向连接时配置不同的号。理论上可以使用的端口范围为 1024-65535。
使用HTTP代理连接: 代理连接: 使用 代理连接
P3
培训提纲
1 3 2 3
背景描述
反向连接功能 Reset命令使用
P4
反向连接功能介绍 反向连接功能介绍
反向连接功能: 反向连接功能: 由内网ICG设备主动和我们指定的一个公网地址的服务器建立连接, 然后我们通过这条连接来控制ICG,达到远程访问的目的。只要ICG设备 可以连到Internet,就可以通过这种方式连接。 对应ICG界面:【系统管理】→【系统配置】→【远程协助】。 界面: 系统管理】 【系统配置】 【远程协助】 对应 界面 可以进行远程连接的方式: 可以进行远程连接的方式: 远程连接的方式 1、该ICG配置了公网IP地址,直接连接即可; 2、ICG部署在用户的内网环境中,在路由器或防火墙上做端口映射; 3、通过QQ等软件远程连到客户网管的桌面,再登录ICG。 如果以上条件都不满足 都不满足,我们需要用ICG反向连接功能 都不满足
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
【网康进阶之ICG】-02-封堵限制类或者某几个网页
标题:封堵限制类或者某几个网页1.实现目的A、封堵色情、暴力等限制某类网页B、封堵指定的几个网页,但是该类网页大部分允许,比如限制亚马逊这个网上交易类网站,其他网上交易类不限制C、策略生效的部门为【研发部门】设定工作时间为【周一到周五,早8:00-11:30 13:30-18:00】2.配臵过程2.1.查看并设臵用户的组织结构点开【用户管理】-【组织管理】,鼠标单击【ROOT】,然后【+操作】,添加【新组】,组名填写‘研发部门’,然后确定其他部门,可以按照类似的方法创建,如下在研发部门这个目录下面创建用户,单击【研发部门】-【+操作】-【新用户】以张三为例,填写完毕,如果还有其他的用户,那么可以继续添加注:用户名是必填项,登录名、ip、mac可以任意填写一项,2.2.设臵时间段在【策略管理】-【对象设臵】-【时间对象】中,点【+添加】,设臵相应时间段,点确定时间段创建完毕,如果需要设臵其他时间段,方法一样2.3.创建网页浏览策略点开【网页策略】-【审计策略设臵】中,单击【HTTP应用审计策略】下拉框中【网页浏览策略】,点击用户,选中【研发部门】(不选用户和时间,默认是所有时间生效)将上面的用户和时间选择为对应的用户和时间,分别单击策略内容中的所有用户和所有时间,进行选择如下注:时间上可以选择多个时间,选择动作和用户一样,选择完成以后,点击【策略条件】中的网站分类,在策略内容中,单击【指定网站分类】,出现【网站分类对象】,点击右上角的‘+’号(或者之前先在策略管理—对象设臵中进行设臵),对指定的分类前面打勾,点确定创建完毕,在创建好的分类前,打勾如果我们要想封堵所有的网上交易类网页,那么也可以按照上面的操作,勾选【网上交易】,本例子只想封堵某几个网页,不想封堵所有的,那么继续按照下面的操作创建阻塞某类网页创建完毕:开始创建阻塞某几个网页的策略,单击策略条件中的【网址】,点击【关键字对象】,然后点击右上角的【+】添加亚马逊的网址关键字创建以后,勾选相应的关键字对象,如果有多个关键字对象,可以分开来写,全部勾选策略创建完成以后,点击右上角的立即生效,如下整体策略创建完毕3.验证策略是否查看策略创建的情况,在【查询统计】-【查询】-【网站访问】中,【选择操作】-【设置过滤条件】,在用户设置处,选择用户,如下(按照用户或者IP查询都可以,选择任何一个)点击确定,开始过滤,色情类的被封堵了,网上交易类的含有amazon的网上交易被封堵了。
网康互联网控制网关NI5000-50系列介绍
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:1、精细应用识别,管控您的网络●DPI+DFI+XAI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警●对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件,并可细化识别行情查询与在线交易,加以区分控制2、专业网页分类,健康您的网络●国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境●高达2000万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏●本地智能识别分类引擎,采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入,规范您的网络●20余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患●对计算机终端环境进行管理,帮助管理者实施计算机准入规范●如:必须安装杀毒软件方可上网;禁止安装、运行与工作无关的应用程序等4、带宽合理分配,优化您的网络●精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽●为关键业务提供带宽资源保障,保留足够可用带宽,保障服务质量5、实时监控审计,洞悉您的网络●查看上线用户的网络使用时间与流量信息,及时发现异常用户并加以处理●全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控,及时过滤有害信息网康互联网控制网关NS-ICG 5000-50/50F系列适用于:5000人规模,800M出口带宽的网络环境参数规格:NS-ICG 5000-50/50F系列产品规格参数见下表:。
网康NS-ICG的基本操作
网康NS-ICG的基本操作NS-ICG的基本操作一、登录NS-ICG网康互联网控制网关产品的工作环境部署好后,就可以登录产品的管理平台。
由于NS-ICG设备的出厂时默认IP地址是“192.168.1.23”,因此请将任意一台PC的IP设置为1段地址,例如192.168.1.10。
在该PC的浏览器地址栏中输入“https: //192.168.1.23”并回车(请注意,该地址是以https开头,而非htt p),打开NS-ICG的登录界面,如下图所示:图1 登录界面NS-ICG系统管理员的用户名和密码默认都是ns25000。
输入正确的用户名和密码后,点击“登录”按钮,进入 NS-ICG系统的控制页面。
提示:1.登录成功后请及时修改管理员的密码。
2.如果累积五次输入用户名和密码错误,该IP的用户15分钟内将不允许登录NS-ICG。
二、认识NS-IC的工作窗口本节将介绍NS-ICG互联网控制网关的页面构成。
如下图所示:图 2互联网控制网关界面主模块...............................................................互联网控制网关的主模块选择按钮。
子模块...............................................................互联网控制网关主模块的子模块选择按钮。
详细画面............................................................ 各子模块的详细显示画面。
子模块项目一览:系统监控............................................................ 系统状态............................................................ 网络活动............................................................ 上线用户............................................................ 活跃用户............................................................ 流量监控............................................................ 应用监控............................................................ 网站访问............................................................ 搜索引擎............................................................ 邮件收发............................................................ 在线聊天............................................................ 论坛发帖............................................................ FTP审计............................................................ TELNET审计............................................................ HTTPS审计............................................................ 文件审计策略管理............................................................ 策略网段............................................................ 黑白名单............................................................ 对象设置............................................................ 策略设置............................................................ 用户带宽上限............................................................ 防护设置............................................................ 提示页面............................................................ 策略报告用户管理............................................................ 用户导入............................................................ 组织管理............................................................ 用户查询............................................................ 认证管理查询统计............................................................ 查询............................................................ 统计............................................................ 报告系统管理............................................................ 系统状态............................................................ 权限配置............................................................ 网络配置............................................................ 日志管理............................................................ 日志中心提示:根据登录人员的权限,能够显示的章节会有所不同。
网康NI3000-30【网络接入】
2、ICG可以访问外网(用于ICG自身的版本升级,URL库升级和应用协议库升级)
单网桥模式或多网桥模式:ICG通过桥口访问外网 网关模式:ICG通过外网口访问外网 镜像模式:ICG通过管理口的默认路由访问外网
3、ICG可以访问内网用户(在某条策略屏蔽内网用户的网页访问时,用于向内网用 户发送提示页面信息的报文等)
绿色的灯表示网口 已经物理导通,灰 色的灯表示还没有 导通。
P13
多网桥模式
通过【系统管理】-【网络配置】-【网络配置】进入多网桥模式配置界面
点击“添加桥接线路”,可增加多条线路,每对网口可 作为一条线路,只要网口足够,可添加2条以上的线路 给桥口配置需要的IP地址和掩码
网桥接口可以自由选择,但通常桥1 就是E0和E1 。如果这两个口有一个 失效,可以选择其它接口。注意E0 和E1 是一个bypass对,E2和E3是 一个bypass对,以此类推,如果跨 对选择接口则设备故障时将无法实 现bypass
ICG
M G R W A N L A N W A N L A N W A N L A N W A N L A N
P8
镜像模式
•客户关注网络的连续性,不希望在网络中 串接其它设备 •客户只关心对信息的审计 •ICG以镜像模式旁路在网络中,不改变网 络拓扑
M G R W A N L A N W A N L A N
络环境有三层交换机时,分别需要从客户哪里获取什么信息?为什么?
4.实验:单网桥模式接入,请根据获取到的信息进行配置 5.实验:网关模式,请根据获取到的信息进行配置 6.实验:镜像模式,请根据获取到的信息进行配置
7.实验:当ICG设备已经部署在客户网络环境中,后续需要作的检查工作
8.实验:ICG设备以单网桥模式串接在路由器和三层交换机之间,ICG需要向内网 PC发送相应的提示信息,请配置回指路由。下一跳地址为:192.168.5.1 内网IP段为192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 9.分组讨论:镜像模式下ICG怎样区分内外流量? 10.分组讨论:网关模式下多链路出口的负载均衡是怎样实现的? 11.分组讨论:网关模式下,客户有专线和ADSL线路时,ICG设备的部署及配置
网康ICG介绍-推荐下载
网康科技互联网控制网关介绍功能介绍Web访问过滤互联网上的信息资源非常丰富,却良莠不齐。
通过网康互联网控制网关,您可以根据业务需要制定精细化Web访问策略,将非业务信息挡在门外。
可控制管理47个网址分类,包含二级分类,共计1300多万条URL适合中国用户的上网习惯,覆盖95%的中文网页符合中国社会伦理与法律法规实时更新,自动分类,人工校验网络聊天管理随着IM软件应用的日益广泛,与工作无关的聊天和聊天中泄密等问题给企业管理带来了严峻的挑战。
通过网康互联网控制网关,您可以根据业务需要制定精细化的网络聊天监控管理策略,在不同时间对不同部门、不同人员施行差异管理方式。
可控制管理多种流行IM软件,包括:QQ、MSN、Yahoo通、AIM(ICQ)、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺等支持对MSN、Yahoo通聊天内容的监控支持对IM软件子协议的独立控制,如聊天、文件传输、音视频、游戏、远程桌面等支持对使用权和使用时间的监控管理P2P下载控制P2P下载为人们快速共享文件提供了极大的便利,但其强占带宽资源的特性却常常影响正常的业务数据传输。
通过网康互联网控制网关,您可以定制精细的P2P控制管理策略、阻塞或者限制P2P上传/下载的带宽,确保企业核心业务的带宽得以保障。
可控制管理多种主流的P2P软件,包括:BT、eMule/eDonkey、迅雷、PP点点通、Kugoo、KaZaA、Gnutella、Vagaa、百度下吧、Share、Winny等识别控制加密P2P数据流支持对使用权、带宽和使用时间的控制管理网络娱乐控制网络娱乐已经成为中国一大经济产业,然而不分时间不分场合的娱乐,对工作和学习的影响显而易见。
通过网康互联网控制网关,您可以制定精细化的网络娱乐控制管理策略,引导员工在合适的时间做合适的事。
控制管理多种主流的网络娱乐,包括:流行网络游戏:联众游戏、魔兽世界、泡泡堂、跑跑卡丁车、中国游戏中心、梦幻西游、浩方游戏平台、QQ游戏大厅、MSN游戏、ICQ游戏、网易泡泡游戏、热血江湖、街头篮球、QQ音速、远航游戏平台、大话西游2、边锋游戏大厅、完美世界、征服、征途、游戏茶苑等流行网络电视:PPlive、QQ直播、PPStream、沸点、UUsee磊客、Mysee、BBsee、青娱乐、Sopcast、TVKoo、TVAnts、PPMate、51TV、5TTK、MOP、TTLive、新浪TV、搜狐TV、PPGou等流行流媒体:RTSP、MMS、QuickTime等带宽流量管理带宽对关键业务是否能顺畅运转至关重要,在不同的岗位、不同的工作中对带宽的需求也不尽相同。
网康ICG与深信服AC产品对比 - 201001
网康ICG与深信服AC产品对比
编号
1 产品定位
对比项目
1.1
产品定位
2 2.1
产品功能 网页过滤
URL库分类模式
URL库规模及准确率
URL库更新能力
客户未分类URL回传再分类
自定义URL组
IP类URL过滤
自定义违规提示页面
网站访问黑白名单 2.2 互联网内容审计
审计范围
网页浏览审计
支持 对于禁止访问的网站列入黑名单,对于无需过滤的网站列入白名单,如 防病毒软件的自动更新。 全面 1.网页审计 2.IM(QQ/MSN/YAHOO/飞信) 3.论坛发帖 4.邮件(POP3/SMTP/126、163、sina、TOM、Gmail、yahoo、sohu等十 余项主流webmail邮件) 5.文件传输(HTTP、IM、邮件、发帖、FTP) 6.搜索引擎关键字 7.流量审计 支持 1.记录访问网页的用户、时间、URL地址、访问内容的分类、允许/阻断 、匹配的控制策略等信息; 2.可审计用户访问HTTPS加密网站的行为。 3.可记录网页标题信息。 4.支持网页快照,可以记录网页内容信息。 支持 支持 1.可记录QQ聊天内容 2.可记录QQ聊天双方的账号、昵称 3.可记录QQ的语音视频行为 4.可记录QQ文件传输名称和类型 支持 1.可记录MSN聊天内容及双方昵称 2.可记录MSN的语音视频行为 3.可记录并还原MSN文件传输名称、类型和内容 4.可对MSN聊天内容进行关键字匹配,匹配预设关键字则发送邮件报警 支持 1.可记录飞信聊天内容及双方昵称 2.可记录飞信外发文件的名称及大小 3.可记录飞信群聊内容 支持 可记录用户在任何论坛上发帖的主题和正文内容 可定义无需审计的论坛地址 支持 1.可记录收发邮件的发信人地址、收信人地址、主题、正文、附件内容 2.能够基于用户名、时间、发送账户、接收帐号、主题关键字、正文关 键字、附件名称、附件类型、附件大小等条件灵活调节外发邮件的审计粒 度,具有很强的灵活性; 3.可以由针对性的仅审计需要关注的内容。如对邮件主题、正文、附件 名中包含如“机密”、“财务”等敏感关键字的外发邮件进行监控;对研发 部门发送的带有“.h”类型程序代码附件的外发邮件进行监管; 4.可对收发邮件的标题及内容关键字进行匹配,匹配预设关键字则发送 邮件报警 支持 1.能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的 敏感关键字。 2.可以基于搜索类别审计用户在搜先进的基于行为后果的URL预分类模式 通过基于网页全息分析的爬虫技术对网页进行分类,能够从网页的结构 、上下文、网页相似度等多角度对其进行全面解析与自动分类。在此基础 上,网康拥有超过20人的专业团队对上述分析结果进行人工审核,网页分类 的精确率超过95%。 提供全球最大的中文URL分类库,规模达1500万条,分类精准率接近100% 支持43个一级分类,以及8个二级子分类。对google搜索引擎任意关键 字的前100条搜索结果,ICG的网页分类识别率高达95%以上,且识别分类精 准率接近于100%。 URL每天更新量超过300万条 网康URL库更新快速,对于新生、变更、消亡的URL,通过网康自主研发 的内容分类引擎(crawler/spider),7x24小时在互联网上进行URL抓取,每 天更新超过300万条,并自动分类。 能够自定义URL更新时间,例如设定在每晚2点更新,不影响正常工作时 间的网络使用 支持 网康产品支持未分类URL自动回传、再分类下发功能,使得通过一段时 间的积累,客户管控的URL范围快速收敛,提高客户处URL分类的广度和精准 支持 能够对预置URL分类及自定义的URL分类自由整合,构建符合实际需要的 自定义URL分组,方便策略的定制和后期维护。 支持 目前国内外所有上网行为管理产品的网页过滤功能都基于网页域名进行 控制,而某些用户为了逃避管理,会直接使用违禁网页的IP地址进行访问。 据分析,目前大量的色情、违法网站均建议用户通过IP地址访问。ICG能够 帮助IT部门有效管控这类试图通过域名解析到的IP地址访问违禁网站的用户 行为,确保网页过滤的全面。 支持 IT部门能够自定义警示信息,对违反策略的网页访问行为进行提示,当 用户因访问违禁网站而被禁止时,能够清楚的知道自身产生了违规行为,系 统能提示所访问网站的类别,不会因为误认为此问题由断网引起,而对IT部 门频繁求助或进行投诉,该功能体现了网康产品的人性化。
【网康进阶之ICG】-07设备部署-网桥模式(双网桥)
标题:设备部署-网桥模式(双网桥)1.用户场景网桥模式,透明部署在路由器和核心交换机中间,为设备配置与路由器内网口和相连交换机接口相同网段的地址,保证设备能够正常管控内网用户,并且内网用户可以管理网康设备。
2. 配置步骤基础配置网桥配置路由配置DNS配置2.1.基础配置系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23/24如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP地址配置为192.168.1.2/255.255.255.0(与桥口的默认IP地址同网段),然后尝试去ping 对端地址192.168.1.23,,如果可以ping通,那么就可以继续在浏览器中输入https://192.168.1.23,使用该地址登陆界面默认的登陆名和密码为ns25000、ns250002.2.网桥配置选择【系统管理】-【网络配置】-【基础配置】,点击【网桥模式】,输入桥IP地址和IP掩码,选择外网口和内网口,配置网关;点击【确定】,在当前列表里显示配置好的链路信息,点击【添加桥接链路】,输入另一链路的桥IP地址和IP掩码,选择外网口和内网口;点击【确定】,在当前列表里显示配置好的链路信息,网络配置完成;注:桥模式只能添加一个缺省网关地址,将网关地址配置成其中任意一条链路的路由器内网口地址即可,缺省网关配置只是影响设备自身上网,对内网用户上网没有影响;2.3.路由配置选择【系统管理】-【网络配置】-【路由配置】,点击【静态路由】,输入目的地址、IP 掩码,下一跳地址并选择接口点击【确定】,在当前列表中显示添加好的路由信息,点击立即生效,配置生效,10.0.2.0/24网段添加方法相同;注:添加静态路由目的只是保证设备可以向内网用户推送web认证界面等,并不是影响内网用户上网的路由,也不是影响设备自身上网的路由。
2.4.DNS配置选择【系统管理】-【网络配置】,点击【DNS配置】,输入DNS服务器IP,点击【确定】;配置完成后,点击立即生效,配置生效;3.接入网络3.1.检查网络连通性检查设备自身是否可以上网;选择【系统管理】-【系统配置】,点击【网络工具】;测试结果,表示设备可以访问网络;检查PC是否可以访问设备;在PC上ping设备的桥地址192.168.110.229,保证可以ping通;在浏览器中输入https://192.168.110.229,确认可以登陆管理界面;4.其他概念注意事项==========================================================================4.1.注意A、多桥模式,HTTP引擎必须为旁路模式;B、多网桥模式,只支持多入多出,即内外网口数量相同;C、多网桥模式,无法启用trunk;D、多条线路的IP地址不能再同一网段。
NS-ICG介绍
共4页
上网行为管理 NS-ICG 产品介绍
定 用户可以设
URL
自定义 关键字
网页分类
用户可以设定网页智能学习分类,利用网页样本训练设备智能识别网页
URL 根据人 地 间 URL /URL H H 网 页 放 过滤
员、 点、时 、网站 访问的 行和阻断
分类
关键字 对 TTP、 TTPS 网站进行
根据 标题 正 网 页 内 容
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、 情况 风险告警
查询 个 收络 查询 括: 日志
对整 网 的访问日志进行 擎、邮件 发等
,包
用户、应用流量、网站访问、搜索引
统 报表 支持统 报 活动 长 订阅 计
计 告(用户 、用户行为、带宽资源、上网时 )的 和管理
产产品品价价值值 上网行为可视:
直观掌握各种上网行为,便于快速制定上网行为 管理策略。
P2P 流量占到了整体流量的 50%以上
迅雷下载和 P2P 电影是员工的主要行为
需要限制 P2P 的速率
网站访问第一、第二名都是购物网站 存在较多以 IP 方式访问的财经及国外站点
需要在上班时间控制购物网站的访问
邮件发送敏感关键字信息,存在泄密风险 搜索引擎在搜索大量的敏感关键字,存在法 律风险
用户认证 网康本地认证 微软 AD、RADIUS、LDAP、邮件联动认证
终端准入 检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况 确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不依赖 口 IP、端 。可识别 P2P、在线视频、炒股、游戏、即时通讯等 600 多种 协议 主流应用 。 用户可根据 IP、端口自定义应用协议
网康ICG产品常用命令操作指引
技术文档
3.为网桥或者管理口配置 IP 地址
执行命令:icg_network_cfg 功能描述:修改 NS-ICG 的工作模式、IP、默认网关与输入输出接口等。由于我们的设备种类 繁多,且网口有光口和电口之分,默认状态下 eth0 口为出口,eth1 口为入口,当这两个口在 当前网络环境下不可用时,就需要我们更改出入口的设置,用此命令就可以实现。此功能还可 以在命令行下设置管理口地址。 设置过程演示: [NS-ICG]->icg_network_cfg Current Configurations: Network mode: Bridge IP Configuration: bri0: 192.168.1.23/255.255.255.0 Default Gateway: 192.168.1.1 bri0 | External Interface: eth0 Internal Interface: eth1 Do you want to change Mgr_port configurations?(y|n)y Ip Address: Mgr-Port ip Netmask: Mgr-Port network mask Network Device: Mgr-Port network interface ICG Access Mode: allow all ports or Mgr-port Only to access ICG Enable Mgr-Port: enable or disable Access function Please input IpAddress/Netmask/NetworkDevice/ICGAccessMode(all|only)/EnableMgr-Port(yes|n o) (eg:192.168.1.23/255.255.255.0/eth2/all/yes) Input:1.1.1.1/255.0.0.0/eth4/all/yes <注:输入管理口地址、掩码及所在物理接口,普通设备管理口一般为 eth4,四光四电设备管 理口为 eth8> Do you want to change network configurations?(y|n)y Please choose network mode [B]ridge/[G]ateway: b <b 为网桥模式,g 为网关模式> New network mode is: Bridge Please input Stp mode[on|off]: off <生成树功能一般设置为关闭 off 状态> Stp mode: off Available NICS: eth0 eth1 eth2 eth3 Warning: eth4 is used by manage_port. You can disable it first if there are no enough NICS. Please input the total number of bridges:1 Please input Bri0 ip/netmask/ethout/ethin (eg:192.168.1.23/255.255.255.0/eth0/eth1) Input: 10.67.50.94/255.255.255.0/eth0/eth1 < 设 置 网 桥 地 址 , 一 般 情 况 下 接 口 使 用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
功能介绍
1、用户可以使用各种浏览器对设备进行访问控制,设备管理界面的访问不需要安装任何插
件;
2、URL库数量超过1400万条,覆盖国内网站;
3、在 URL库中,支持对URL类别的二级子类控制;
4、支持对以IP方式访问网站进行过滤控制;
5、对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义;
6、支持仅审计某邮箱地址发出或接收的邮件;
7、支持仅审计包含某类型附件的邮件收发内容;
8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;
9、可控制允许外发邮件附件的大小范围;
10、可自定义设置不需审计的发帖网址;
11、能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字;
12、可单独控制用户的某项互联网应用每日上网时长限额;
13、可查询被阻断的web访问纪录。
可根据预设的web过滤策略,实现对违禁访问网页
行为的查询;
14、支持对发帖网址和发帖正文关键字查找,记录内容包括:用户、时间、论坛地址、
正文和附件;
15、可查询被策略阻塞的应用记录,包含匹配的策略名称;
16、支持POP3邮件账号用户识别;
17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中,并可选择将该IP暂时
屏蔽还是永久屏蔽;
18、可提供在软件系统异常时硬件直通保护;
19、提供主动式一键直通切换,设备上提供直通按键,协助管理员迅速排查网络故障;
20、能够识别控制国内主流的P2P下载软件,如:迅雷,BT,电驴等,要求对于加密的
下载协议也能识别控制;
21、能够识别控制国内主流的网络电视应用,如:PPLive,土豆网,酷6,6间房等;
22、能够控制国内主要网络游戏,如:联众游戏,魔兽世界,梦幻西游等;
23、能够识别控制国内主要的股票软件,如:大智慧,同花顺,钱龙等;
24、支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保
障速率和突发速率;
25、支持带宽通道优先级的定义,保障核心业务拥有带宽保障;
26、支持空闲带宽借用,实现带宽资源统计复用;
27、可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响;
28、可设置部门成员的平均带宽策略,避免个体成员独占部门带宽;
29、可根据时间段设置带宽管理策略;
30、可查看某策略所适用的用户和部门;
31、对于应用控制策略和网页过滤策略,可记录用户匹配阻塞策略的行为信息,并可基
于策略名称和应用类型进行查询分析;
32、可手工添加用户,必须支持txt、csv格式文件导入全局用户列表,也可以只导入
某个部门的用户列表,导入的用户信息应包含用户的组织结构;
33、支持按IP段自动分组,新入网未定义用户可以按照IP网段自动在所属分组内建立
用户信息,自动适用该网段的策略;
34、应提供丰富的查询条件,查询用户的上网行为细节数据。
支持按用户、部门、IP、
策略名称、时间、应用进行查询,支持组合条件查询方式;支持自定义查询条件模板,按模板进行查询;
35、支持统计功能,支持按用户、部门、IP、时间、应用(网页、邮件、IM、发帖)等
条件进行流量统计与行为统计,提供TOP N统计方式,支持组合条件统计方式;统计数据支持下钻式(drill-down)深入分析功能,例如:统计一周内应用流量最大的用户排名后,可以点击数值详细查看具体的应用和各应用的流量。
便于从现象挖掘本质原因;
36、提供主动式一键直通切换,协助管理员迅速排查网络故障。