网康互联网控制网关NS-ICG产品介绍
网康ICG操作手册
⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体(即谁在访问),是NS-ICG互联⽹访问管理的⽬标对象。
出⾝份认证信息外,⼀个完整的⽤户定义还包含其组织信息和访问策略。
每⼀个互联⽹访问都对应唯⼀的⽤户(或⽤户组),这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。
⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计(监控、查询、报表等)的关键。
⽤户管理模块提供全⾯的⽤户管理功能,主要有如下⼏个功能模块:⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。
组织管理---------------⼿动构建企业组织架构和⽤户信息。
认证管理---------------配置⽤户上⽹的识别和认证管理⽅式,可针对不同⽤户采⽤不同的识别认证⽅式,⽀持本地⼈证和多多种第三⽅认证;⽀持⽤户绑定设置。
⽤户导⼊⽤户导⼊主要⽀持三种⽅式:IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。
IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊,LDAP导⼊时导⼊LDAP服务器上的⽤户,⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。
IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。
其⼀,可以通过已存在的⽤户信息数据源,导⼊到NS-ICG系统中,如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户;其⼆,可以通过管理界⾯⼿⼯管理。
第1步:通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯:第2步:点击“扫描”或者“浏览”本地⽂件后点击“导⼊”,进⼊“导⼊⽤户列表”画⾯,如下图:⽤户名:⼿动输⼊⽤户名;导⼊选项:导⼊IP与MAC:保存⽤户名、IP地址和MAC地址导⼊MAC:保存⽤户名、MAC地址导⼊IP:保存⽤户名、IP地址填充⽤户名:如果选择该项,ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充;选择导⼊位置:根据选择,导⼊到组织管理的指定位置(注:需提前配置好组织架构)第 3 步:管理员根据需要选择导⼊的数据和填充画⾯各项信息后,点击右上⾓的“导⼊”按钮,进⾏导⼊。
3、网吧ICG网关功能介绍(产品功能)
攻击防范-ICG 上如何实现防ARP攻击
ICG中的IPMAC绑定功能可以保证表项中的ARP表项不会被篡改 ,仅允许IP/MAC绑定的客户端访问外网 可以保证设备
的ARP表项不会溢出。
攻击防范-ICG 如何实现防ARP欺骗
ICG 特有 Top10 功能
流量统计很多路由器都有。ICG 网吧路由器可以根据端口和IP
地址进行流量统计,其特有Top10特性,可以根据任意一项
数据进行排列显示,实时掌握网络动态。
定位方式—维护
ICG 的维护功能提供“定位信息导出”和“设备自检”功能
定位信息导出:提供设备运行所有信息,便于问题定位 设 备 自 检:提供网络管理员当前设备的运行情况
上行速率限制(KB/s)
下行速率限制 (KB/s)
100KB/s
200 KB/s
100KB/s
200KB/s
100KB/s
200KB/s
200KB/s
400KB/s
200KB/s
400KB/s
NAT表项 限制数 300-500 300-500 300-500 300-500 300-500
对于低于100PC或大于200PC的网吧,则可适当提高和降低IP限速值, 具体可以参考上表比例调整
ICG
游戏对抗区
电影服务器 游戏服务器
计费服务器 监控服务器
VIP视频区 普通上网区 无线体验区
网吧PC数、线路带宽、网吧业务类型等都是确定设备型号的主要因素
ICG设备能力参考
设备能力
网吧PC数
包转发率64byte 转发性能64byte
网康NS-ICG功能列表 v7.0
网页URL过滤
根据人员、地点、时间、网站URL分类/URL关键字对HTTP、HTTPS网站进行访问的放行和阻断
网页内容过滤
根据网页标题、正文中的关键字进行网页过滤
根据网页下载文件类型、文件名称进行网页过滤
网页记录
记录员工访问HTTP/HTTPS网站的时间、地点、网站URL、网站分类
应用控制
根据人员、地点、时间、应用名称进行应用的放行、阻断
应用限额
设定应用可使用的时长,由用户自行安排使用,总计时长不能超过限额
设定应用可使用的流量,由用户自行安排使用,总计流量不能超过限额
网页过滤
网页识别
通过网康的网页分类识别技术可识别病毒、木马、傀儡主机、色情、赌博、游戏等2600多万个网站的网页
镜像模式、直路串联、网关替换:
记录搜索引擎搜索的内容,并可根据设定搞得关键字库进行搜索内容的阻断
邮件审计
POP3、SMTP邮件审计:可以记录发件人、收件人、标题、正文、附件;并可根据关键字库进行收件人、发件人、标题、正文、附件名称、附件内容的过滤
SMTP邮件外发预审:可以临时缓存外发邮件,等到管理员审核完毕无泄密行为后再发送到外网
记录员工访问HTTP网站的网页标题、网页正文、文件下载名称等信息
内容审计
关键字库设定
用户可自行设定关键字库,每个库可设置5000个关键字,便于今后进行内容关键字过滤
网页外发审计
HTTP/ HTTPS坛发帖审计,记录发帖的标题,正文,并可根据设定的关键字库进行发帖内容的阻断
记录论坛发帖上传的文件,并可根据文件名称关键字进行发帖的阻断
用户管理
用户识别
IP、MAC、计算机名称识别
4.网康产品命令行解说
NSICG CLI 参考手册北京网康科技有限公司1目录一、连接到CLI (3)1. Console访问CLI (3)2. SSH访问CLI (3)二、命令详解 (4)1. help (4)2. icg_status (5)3. icg_http_ctl (5)4. icg_if_cfg (6)5. icg_ip_cfg (6)6. icg_dns_cfg (7)7. icg_route (8)8. icg_arp (9)9. icg_monitor_ports (10)10. icg_sys_diagnose (10)11. icg_sys_tune (13)12. diagnose_network (14)13. icg _db_backup (15)14. softbypass (15)15. reset (17)16. update_pwd_reset (17)17. upgrade (18)18. passwd (18)19. nslookup (18)20. ping (19)21. curl (20)22. traceroute (20)23. reboot (20)24. Poweroff (21)25. Exit (21)23一、 连接到CLI1.Console 访问CLI用console 线将计算机和NSICG 设备相连,通过超级终端进入到CLI ,超级终端设置如下:2.SSH 访问CLINSICG 默认是开放22端口的,可采用SSH 软件登陆到NSICG 的CLI :二、命令详解1. help此命令用于查看NSICG console口模式下可用的命令。
语法模式:Help例子:[NS-ICG]->help*******************************************************Netentsec Internet Control Gateway Console******************************************************** help --------------- list available commands ** icg_status --------- show icg status ** icg_http_ctl ------- turn http engine on/off ** icg_if_cfg --------- config in/out interface ** icg_ip_cfg --------- config ip address ** icg_dns_cfg -------- config dns address ** icg_route ---------- config static route ** icg_arp ------------ config static arp item ** icg_monitor_ports -- config engine monitor ports ** icg_sys_diagnose --- diagnose system and collect ** the infomation ** icg_sys_tune ------- tune system parameter ** diagnose_network --- diagnose web access problem ** icg_db_backup ------ backup and restore database ** softbypass --------- set icg softbypass parameter ** reset -------------- reset system to factory mode ** update_pwd_reset --- reset the password of liveu- ** pdate system ** upgrade ------------ icg system upgrade ** passwd ------------- modify current user password ** nslookup ----------- query the DNS for resource ** records ** ping --------------- ping ip address ** curl --------------- transfer a URL ** traceroute --------- print the route packets take ** to network host ** reboot ------------- reboot the system ** poweroff ----------- turn off the system *45* exit --------------- exit from the login ********************************************************2. icg_status这个命令用于查看icg 网关当前的运行状态,包括运行模式,内外网口信息,IP 配置信息和引擎工作状态。
网康科技ICG功能介绍
功能介绍1、用户可以使用各种浏览器对设备进行访问控制,设备管理界面的访问不需要安装任何插件;2、URL库数量超过1400万条,覆盖国内网站;3、在 URL库中,支持对URL类别的二级子类控制;4、支持对以IP方式访问网站进行过滤控制;5、对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义;6、支持仅审计某邮箱地址发出或接收的邮件;7、支持仅审计包含某类型附件的邮件收发内容;8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;9、可控制允许外发邮件附件的大小范围;10、可自定义设置不需审计的发帖网址;11、能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字;12、可单独控制用户的某项互联网应用每日上网时长限额;13、可查询被阻断的web访问纪录。
可根据预设的web过滤策略,实现对违禁访问网页行为的查询;14、支持对发帖网址和发帖正文关键字查找,记录内容包括:用户、时间、论坛地址、正文和附件;15、可查询被策略阻塞的应用记录,包含匹配的策略名称;16、支持POP3邮件账号用户识别;17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中,并可选择将该IP暂时屏蔽还是永久屏蔽;18、可提供在软件系统异常时硬件直通保护;19、提供主动式一键直通切换,设备上提供直通按键,协助管理员迅速排查网络故障;20、能够识别控制国内主流的P2P下载软件,如:迅雷,BT,电驴等,要求对于加密的下载协议也能识别控制;21、能够识别控制国内主流的网络电视应用,如:PPLive,土豆网,酷6,6间房等;22、能够控制国内主要网络游戏,如:联众游戏,魔兽世界,梦幻西游等;23、能够识别控制国内主要的股票软件,如:大智慧,同花顺,钱龙等;24、支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率;25、支持带宽通道优先级的定义,保障核心业务拥有带宽保障;26、支持空闲带宽借用,实现带宽资源统计复用;27、可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响;28、可设置部门成员的平均带宽策略,避免个体成员独占部门带宽;29、可根据时间段设置带宽管理策略;30、可查看某策略所适用的用户和部门;31、对于应用控制策略和网页过滤策略,可记录用户匹配阻塞策略的行为信息,并可基于策略名称和应用类型进行查询分析;32、可手工添加用户,必须支持txt、csv格式文件导入全局用户列表,也可以只导入某个部门的用户列表,导入的用户信息应包含用户的组织结构;33、支持按IP段自动分组,新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息,自动适用该网段的策略;34、应提供丰富的查询条件,查询用户的上网行为细节数据。
网康互联网控制网关InternetControlGatewayNSICG是
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:1、精细应用识别,管控您的网络●DPI+DFI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警●对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类,健康您的网络●国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏3、终端用户准入,规范您的网络●30余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患●支持ICG提供web推送认证,可配合短信验证使用4、带宽合理分配,优化您的网络●精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽,为关键业务提供带宽资源保障5、实时监控审计,洞悉您的网络●查看上线用户的网络使用时间与流量信息,及时发现异常用户●全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制,监管您的网络●可对用户的私接设备数量、设备类型进行实时监控,●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。
网康互联网控制网关ICG安装配置一指禅
网康互联网控制网关ICG安装配置一指禅1. 设备拆箱,上电运行,正常情况下开机3分钟后设备即可正常运转;2. ICG系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23。
如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP地址配置为192.168.1.xxx/24(与桥口的默认IP地址同网段)3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG(注意是https而不是http),点击“继续浏览此网站(不推荐),输入默认用户名:ns25000,默认密码:ns25000;4.登录之后的WEB管理界面如下图所示;5. 通过【系统管理】-【网络配置】-【网络配置】进入网络配置界面,默认使用网桥模式管理设备。
根据学校网络实际情况,修改设备的网桥口IP地址,IP掩码,缺省网关,DNS 服务器。
(例如将默认的192.168.1.23改为192.168.196.53)6. 修改网络配置的时候设备网卡会重启,网络中断约30秒左右,此时将计算机的IP地址配置为x.x.x.xxx/24(与桥口新配置的IP地址同网段,例如192.168.196.100),使用PC 浏览器重新登录设备,确认可以通过新IP地址访问WEB管理页面;7. 将设备安装上机架并固定,以透明网桥的模式,串接在互联网出口设备(防火墙/路由器)和核心交换机之间,WAN口(eth0)连接防火墙/路由器,LAN口(eth1)连接核心网交换机,如下图所示;8.确认设备串接后互联网访问恢复正常,若出现长时间断网情况,请及时进行回退,恢复原先网络连接,检查线路连接情况,判断故障原因,准备下次割接;9.确认设备正常串接且互联网访问恢复正常后,通过学校内网中任意一台计算机访问设备管理页面,通过图形化界面观察网络运行情况;10. 进入【系统管理】-【集中管理】页面,输入教育局集中管理平台的IP(10.20.1.141),如下图示例,以便于区教育局进行统一的设备管理和策略下发;11. 根据教育局等主管单位的相关规定,配置各项上网行为管理策略。
网络安全ICG设备
网络安全ICG设备网络安全ICG设备是一种专门用于保障网络安全的设备,ICG 是Internet Control Gateway的缩写。
随着网络的快速发展和普及,各种网络威胁也不断涌现,因此保障网络安全变得尤为重要。
网络安全ICG设备的出现解决了许多网络安全难题,为企业和个人提供了有效的保护措施。
网络安全ICG设备主要有以下几个方面的功能。
首先,ICG设备可以对网络流量进行实时监控和管理。
它能够对所有通过网络的数据进行深度分析,并及时发现和阻止潜在的安全威胁。
ICG设备可以对网络流量进行实时检测,发现并拦截病毒、木马、恶意软件等危险物。
在发现异常流量时,还可以发出警报并及时采取应对措施,保障网络的安全运行。
其次,ICG设备还可以对网络进行访问控制和流量分配。
它能够根据安全策略对网络访问进行细粒度的控制,只允许合法用户访问网络资源,并对用户进行身份认证。
同时,ICG设备还可以将网络流量按照特定的规则进行划分和分配,保障网络资源的公平分配和高效利用。
此外,ICG设备还可以提供远程接入和VPN服务。
通过ICG设备,用户可以远程接入企业内部网络,实时获取和处理数据。
ICG设备支持虚拟专用网络(VPN),通过加密等技术保障用户在公共网络上的通信安全。
企业内部的员工可以通过VPN远程接入企业内部网络,进行工作和业务处理,同时保证通讯的安全性。
网络安全ICG设备的出现为网络安全提供了有效的保护措施,但是也面临着一些挑战。
首先,网络攻击技术的不断更新和演变,要求ICG设备不断升级和改进,提供更加强大的防护能力。
其次,ICG设备的使用和管理对于企业和个人而言需要一定的技术水平,需要专业人员的配置和维护。
最后,ICG设备还需要和其他网络设备进行配合,形成一个完整的网络安全体系。
总之,网络安全ICG设备是一种重要的网络安全保护措施,它能够对网络流量进行实时监控和管理,进行访问控制和流量分配,提供远程接入和VPN服务等功能,保障网络的安全运行。
网康NS-ICG的工作环境
网康NS-ICG的工作环境NS-ICG产品部署方式非常灵活,主要分三种模式:透明网桥模式、网关模式、镜像模式。
其中透明网桥模式又支持单网桥模式和双网桥模式。
NS-ICG产品在部署时能够透明接入,从而不修改网络拓扑结构、不修改用户网络配置、不需要在客户桌面计算机上安装任何软件且不需要在客户桌面计算机做任何配置。
不同的网络部署模式分别适用于不同的网络拓扑结构。
请根据实际情况,选择适合本企业的网络部署模式。
一、单网桥模式NS-ICG安装于企业内部网络与防火墙/路由器之间的任意位置。
网络拓扑实例如下图:图 1 单网桥模式下网络拓扑实例图在网桥模式下有两个重要配置:o NS-ICG的IP地址:用于访问NS-ICG。
可设为企业内网上的任意IP(出厂默认配置 192.168.1.2 3/255.255.255.0)。
o NS-ICG的默认网关:网桥模式下请将NS-ICG的默认网关指向企业所使用的网关(即防火墙/路由器内部IP),如192.168.1.254。
网络管理者可通过NS-ICG提供的Web管理界面来管理系统。
相应的管理界面的地址为“https: //NS-ICG的IP地址”,如https: //192.168.1.23。
提示:Web管理界面地址以https开始,而非以http开始。
二、双网桥模式双网桥模式,又称双入双出模式。
它是在单网桥的基础上增加了另一个桥路,将网口划分为两组,设置两个出口和两个入口,实现了两路且独立的单入单出。
双网桥模式实现了一台NS-ICG设备对公司内部两个独立网络同时控制的功能。
网络拓扑实例如下图:图2 双网桥模式下网络拓扑实例图在双入双出模式下有三个重要配置:o线路1的IP地址:用于访问NS-ICG。
可设为企业内网上的任意IP(出厂默认配置 192.168.1.23/ 255.255.255.0)。
o线路2的IP地址:用于访问NS-ICG。
可设为企业内网上的任意IP,必须与链路1的IP处于不同网段,例如:192.168.10.23.o NS-ICG的默认网关:设定为该企业所使用的网关(即防火墙/路由器内部IP),如 192.168.1.25 4。
网康ITM产品介绍
带宽资源
• 是哪几种应用占用了大量的网络资源 • 是哪几个主要用户占用了大量的网络资源 • 排名居前的应用中,主要是哪几个用户 • 排名居前的用户中,主要在使用哪些应用
• ……
P9
网络带宽资源已愈发紧张
• 78.1% P2P下载业务占用了 的中国网民使用下载工具 60%的网络 进行下载 资源 • 中国:迅雷站中国下载引擎市场 全球:作为P2P协议的领头羊, 份额的 BT消耗的网络资源高达 80% 40%
P23
针对场景4的解决方案:网络应用和用户活动可见
P24
小结:网康ITM的解决方案
充分有效利用现有的 带宽资源
保证带宽资源的公平分配
保证关键业务的 应用
网康ITM
控制非关键业务 的应用
封堵无关应用
分析流量走势,把握当 前网络中最流行的应用 、最活跃的用户
P25
网康ITM的部署示意图
邮件,FTP 服务器 ERP, CRM, Oracle 视频, VOIP 交换机 PC
NS-ITM
流量分析
内部主机 内部主机 内部主机 内部主机
带宽保障
教学楼
内部主机 内部主机 内部主机 内部主机
用户流量可察
实验室
关键应用可保
P13
网康ITM功能之一:流量洞察
P2P下载 即时通讯 网络游戏 网络电视 办公自动化 HTTP应用
网康应用协议特征库每周至少一次更新……
P14
网康ITM流控机制
抗得住
• • •
性能卓越
依托”多核并行优化技术“发明专利,实时动态均衡多核负载, 极大提升系统的运算效率 通过“无效连接动态清洗技术”发明专利,提前强制清除长时间 处于等待状态的无效连接,从而释放大量占用的网络带宽资源 采用独有的多维非线性策略管理引擎,支持超过2万条策略规则 时依然保持高效
网康互联网控制网关ICG v7.0
网康互联网控制网关ICG v7.0作者:暂无来源:《计算机世界》 2013年第3期优秀解决方案奖获奖理由ICG v7.0 通过移动终端管理、移动位置管理,解决员工身份、上网途径的定位问题,通过移动应用管理、移动内容审计,解决员工访问网络的合规性要求。
网康科技提出的企业移动办公行为管理解决方案,是业界首个迎合客户实际场景需求的企业网络内容管理解决方案,依托网康全新的互联网控制网关ICG v7.0 设备,帮助企业IT 管理人员从容应对移动办公带来的挑战。
ICG v7.0 集成了针对企业移动办公行为管理的方案支持。
在保持原有位于企业网出口的部署方式不变的同时,可以实现对企业移动办公设备以及上网活动的有效管理。
移动设备管理。
企业上网行为管理体系,首要就是明确上网行为主体的身份。
在移动办公背景下,员工接触网络的方式从桌面机拓展到笔记本、手机、PAD 等智能终端,因此员工身份确认由原先的IP、MAC、用户名也相应地拓展至包括终端类型甚至终端平台在内的信息,网康ICG v7.0 内置终端类型识别功能,并能基于终端类型实现不同的准入策略,在员工访问网络的源头上进行直接管理,简单有效。
移动位置管理。
移动办公除了接入网络的方式变化,用户访问网络的地点也变得不固定,与此同时,企业不同的办公区域,其网络访问的权限也不尽相同。
网康ICG v7.0 可基于企业办公网络划分的常用手段(IP 段、VLAN)对等建立位置属性,进而实现针对不同办公区域的员工上网行为进行动态管控,灵活机动。
移动应用管理。
移动网络的极速发展也得益于各个智能终端平台的APP 规模。
针对这一趋势,网康ICG v7.0 不断深入研究,其内置的应用识别特征库,包含数百种当前各个终端平台的热门业务,确保即使移动设备接入也同固网设备一样的管控力度。
移动内容审计。
网康ICG v7.0 一方面可给予移动应用管理进行有效管控,另一方面,也支持针对国内主流微博站点以及即时聊天工具的内容审计,保障公司机密信息无外泄隐患。
网康互联网控制网关NS-ICG产品参数表
NI7000-50
50000人 3G 6Gbps 300万 60000个/S 3072 4电千兆+4光SFP √ √ √ 2 √ √ √ (两组, E0/E1,E2/E3) × √ 500G 交流110~240V 600W √ 430*540*88 2U 17.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
ቤተ መጻሕፍቲ ባይዱ规格说明
选型参考
适用用户数 适用带宽
NI3000-10
100人 10M 100Mbps 10万 4000个/S 128 2电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
400人 30M 300Mbps 30万 7000个/S 256 4电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
NI3000-40
600人 50M 400Mbps 50万 8000个/S 256 4电千兆 √ √ × 2 √ √ √ (一组,E0/E1) × × 500G 交流110~240V 100W × 426*330*44 1U 4.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
NI7000-70
80000人 4G 7Gbps 400万 80000个/S 4096 4电千兆+4光SFP √ √ √ 2 √ √ √ (两组, E0/E1,E2/E3) × √ 500G 交流110~240V 600W √ 430*540*88 2U 17.5 0°C - 45°C 0°C- 70°C 20%~90%RH √
网康互联网控制网关NS-ICG产品介绍
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
网康互联网控制网关NI5000-50系列介绍
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:1、精细应用识别,管控您的网络●DPI+DFI+XAI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警●对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件,并可细化识别行情查询与在线交易,加以区分控制2、专业网页分类,健康您的网络●国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境●高达2000万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏●本地智能识别分类引擎,采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入,规范您的网络●20余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患●对计算机终端环境进行管理,帮助管理者实施计算机准入规范●如:必须安装杀毒软件方可上网;禁止安装、运行与工作无关的应用程序等4、带宽合理分配,优化您的网络●精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽●为关键业务提供带宽资源保障,保留足够可用带宽,保障服务质量5、实时监控审计,洞悉您的网络●查看上线用户的网络使用时间与流量信息,及时发现异常用户并加以处理●全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控,及时过滤有害信息网康互联网控制网关NS-ICG 5000-50/50F系列适用于:5000人规模,800M出口带宽的网络环境参数规格:NS-ICG 5000-50/50F系列产品规格参数见下表:。
网康应用安全网关产品(NS-ASG)
图4
产品优势
专业精准 ( 见图 5) 应用识别“精” 通过终端桌面应用识别以及常规应用识别相结合,系统可以识别绝大部分的网络应用并加以控制 客户端控制“准” 可以完成对客户端的精准控制,可控网络要素包括:单次最大上线时长,单次最大下载流量,单次最高下载速度等 策略划分“细” 细粒度的访问策略控制,可以基于 URL 来控制对于应用的访问权限
远程虚拟应用
不需要用户安装任何客户端软件,通过云计算的方式访问远 程 虚拟应用
防火墙
用户使用模式
项目 地址翻译功能
防火墙
项目
可以支持内网屏蔽以及内网地址翻译功能,保证内网系统的 安全性
可防范多种 DOS 攻击,保证认证装置系统本身的安全性;可 以支持大容量的防火墙策略
项目
项目
个人用户远程访问 可以支持专用客户端,浏览器插件以及反向代理三种模式
发送数据
TCP和UDP
任意端口
任意地址
Adobe Reader
AcroRd32.exe
发送数据
TCP和UDP
任意端口
任意地址
方正Apabi Reader
ApaReader
发送数据
TCP和UDP
任意端口
任意地址
Tristana阅读器
reader.exe
发送数据
TCP和UDP
任意端口
任意地址
图5
超星阅读器
支持多种身份认证标准,具备和多种主流认证服务的互联互 通性
支持 CALIS 标准,与高校 CALIS 系统实现无缝连接
- Active Directory/ Windows 域
支持 Windows Active Directory,允许企业用户直接利用 现有基于 Windows 的用户认证系统
网康ICG产品性能参数表
•可 插 拔 的 插
槽 •支
持
4 电 千
兆 •支
持
4 光 千
兆 •支
持
2 光 万
兆
备注
1,橙色是板载配置,蓝色 是可配置插槽。
可插拔 支持四 千兆电 口或光
可 插 拔 的 插
槽 支 持
4 电 千
兆 支
持
4 光 千
兆 支 持
2 光 万
兆
扩展性
不支持扩展网口
支持网口扩展 扩展形式如图1 支持网口扩展 扩展形式如图2
产品型号
标准配置
NI2100-10 2电千兆
NI3100-20 Mgt+HA+2电千兆
NI3100-30 Mgt+HA+4电千兆
NI3100-40 Mgt+HA+4电千兆
NI3100-40F Mgt+HA+4电千兆+4光千兆
• 板载,不可插拔 • 一个管理口、一个HA口
ICG
图2
NI7100-10 NI7100-30
NI7100-50 NI7100-70 NI7100-90
• 板载,不可插拔 • 一个管理口、一个HA口
ICG各型号可扩展网卡说明
扩展方式 不支持 不支持 不支持 不支持 不支持 不支持 不支持 不支持 不支持 2个扩展槽,每个扩展槽支持4个千兆电口或光口 2个扩展槽,每个扩展槽支持4个千兆电口或光口 2个扩展槽,每个扩展槽支持4个千兆电口或光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用2个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口 共4个插槽均可插拔,默认板载占用1个。每个插槽均可支持4个千兆电口、光口,或者2个万兆光口
NS-ICG介绍
共4页
上网行为管理 NS-ICG 产品介绍
定 用户可以设
URL
自定义 关键字
网页分类
用户可以设定网页智能学习分类,利用网页样本训练设备智能识别网页
URL 根据人 地 间 URL /URL H H 网 页 放 过滤
员、 点、时 、网站 访问的 行和阻断
分类
关键字 对 TTP、 TTPS 网站进行
根据 标题 正 网 页 内 容
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、 情况 风险告警
查询 个 收络 查询 括: 日志
对整 网 的访问日志进行 擎、邮件 发等
,包
用户、应用流量、网站访问、搜索引
统 报表 支持统 报 活动 长 订阅 计
计 告(用户 、用户行为、带宽资源、上网时 )的 和管理
产产品品价价值值 上网行为可视:
直观掌握各种上网行为,便于快速制定上网行为 管理策略。
P2P 流量占到了整体流量的 50%以上
迅雷下载和 P2P 电影是员工的主要行为
需要限制 P2P 的速率
网站访问第一、第二名都是购物网站 存在较多以 IP 方式访问的财经及国外站点
需要在上班时间控制购物网站的访问
邮件发送敏感关键字信息,存在泄密风险 搜索引擎在搜索大量的敏感关键字,存在法 律风险
用户认证 网康本地认证 微软 AD、RADIUS、LDAP、邮件联动认证
终端准入 检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况 确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不依赖 口 IP、端 。可识别 P2P、在线视频、炒股、游戏、即时通讯等 600 多种 协议 主流应用 。 用户可根据 IP、端口自定义应用协议
网康ICG产品常用命令操作指引
技术文档
3.为网桥或者管理口配置 IP 地址
执行命令:icg_network_cfg 功能描述:修改 NS-ICG 的工作模式、IP、默认网关与输入输出接口等。由于我们的设备种类 繁多,且网口有光口和电口之分,默认状态下 eth0 口为出口,eth1 口为入口,当这两个口在 当前网络环境下不可用时,就需要我们更改出入口的设置,用此命令就可以实现。此功能还可 以在命令行下设置管理口地址。 设置过程演示: [NS-ICG]->icg_network_cfg Current Configurations: Network mode: Bridge IP Configuration: bri0: 192.168.1.23/255.255.255.0 Default Gateway: 192.168.1.1 bri0 | External Interface: eth0 Internal Interface: eth1 Do you want to change Mgr_port configurations?(y|n)y Ip Address: Mgr-Port ip Netmask: Mgr-Port network mask Network Device: Mgr-Port network interface ICG Access Mode: allow all ports or Mgr-port Only to access ICG Enable Mgr-Port: enable or disable Access function Please input IpAddress/Netmask/NetworkDevice/ICGAccessMode(all|only)/EnableMgr-Port(yes|n o) (eg:192.168.1.23/255.255.255.0/eth2/all/yes) Input:1.1.1.1/255.0.0.0/eth4/all/yes <注:输入管理口地址、掩码及所在物理接口,普通设备管理口一般为 eth4,四光四电设备管 理口为 eth8> Do you want to change network configurations?(y|n)y Please choose network mode [B]ridge/[G]ateway: b <b 为网桥模式,g 为网关模式> New network mode is: Bridge Please input Stp mode[on|off]: off <生成树功能一般设置为关闭 off 状态> Stp mode: off Available NICS: eth0 eth1 eth2 eth3 Warning: eth4 is used by manage_port. You can disable it first if there are no enough NICS. Please input the total number of bridges:1 Please input Bri0 ip/netmask/ethout/ethin (eg:192.168.1.23/255.255.255.0/eth0/eth1) Input: 10.67.50.94/255.255.255.0/eth0/eth1 < 设 置 网 桥 地 址 , 一 般 情 况 下 接 口 使 用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网康互联网控制网关(NS-ICG)——产品概述网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。
NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。
需求背景随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。
网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。
如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。
功能特性终端准入网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。
用户管理“人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。
网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。
此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。
网页过滤丰富的网页内容良莠不齐,充斥许多反动、暴力、色情等不健康的信息,此外,夹杂在80端口中的病毒、木马等危险内容的入侵,为内网用户带来安全风险。
网康ICG提供灵活的策略设置,能够对娱乐、病毒、色情等非法违规网站及含有安全隐患的网页进行过滤,避免用户访问非法网页带来的危险。
网康ICG内置高达2000多万条的全球最大中文网页分类库,每天300万条的更新频率,确保静态网页识别的准确性。
同时,网康ICG采用云技术,对未识别的网页进行实时分类回传,提升对动态网页识别的准确性。
内容审计通过互联网传递信息已经成为企业的关键应用,然而在为人们带来便利的同时,信息的机密性、健康性、政治性等问题也随之而来。
网康ICG支持对网页访问、聊天记录、论坛发帖、邮件收发、网络搜索、文件传输等各类传输信息进行审计和记录。
此外,网康ICG支持基于各类预设条件,对传输的信息进行精细化过滤控制,可预设5000个以上关键字,毫秒级匹配处理速度,提前过滤各种危险的外发行为的同时,不影响正常网络使用。
应用控制随着技术的迅猛发展,各种互联网应用层出不穷,如即时通讯、网络游戏、在线炒股等,丰富了人们的互联网生活,但是,未加管理的使用带来了工作效率降低等问题。
网康ICG提供灵活的、人性化的策略设置,支持完全禁止使用、限制使用速率、限制使用时长、限制流量总额等多种控制手段,对各类网络应用进行分类管理。
网康ICG采用DPI、DFI、XAI技术,基于特征准确识别网络应用,内置国内最全面的应用协议分类库,分为20余类,涵盖600多种网络应用,确保对应用识别的准确性。
流量管理网络应用层出不穷,对带宽资源的占用也越来越高,特别是以P2P为代表的下载软件,如果不加限制,会严重消耗企业的带宽资源,从而影响正常的业务数据的传输。
网康ICG支持应用层的带宽分配与流量管理,采用划分虚拟通道的方式,为不同用户、应用分配不同的带宽。
网康ICG不但可以识别普通流量,对于加密流量同样可以有效的识别和控制,从而可以做到优先保障关键应用的正常使用带宽,限制无关应用对带宽的无限占用。
行为分析对用户网络行为进行记录与分析,是上网行为管理产品必备的重要功能。
对日志的存留与分析,既是对国家法律法规的遵从,也是企业对网络使用情况回溯反查、不断改进的需要。
网康ICG能够完整保留用户所有上网行为资料,通过灵活简便的查询条件,可快速获取特定的网络活动信息。
网康ICG内置50余种报表模板,支持饼图、柱状图、曲线图等多种呈现方式,便于对网络使用情况进行全面分析。
此外,ICG还提供报警监控平台和智能指数报告,帮助IT管理部门、HR部门,以及企业领导全面掌控用户上网行为轨迹及潜在风险。
产品优势识别精准人员识别精准,支持20多种用户识别、认证手段,人员识别手段丰富,能够与各种已有的认证系统联动,满足不同网络环境的需求。
网页识别精准,内置全球最大的中文URL分类库,超过2000万条记录,采用网页分类云技术,对网页实时分类回传。
应用识别精准,通过DPI、DFI及网康独有的XAI技术,加密流量也能快速识别,内置国内最全面的应用协议库,涵盖600余种网络应用。
内容识别精准,5000个以上关键字毫秒级匹配,对WEB内容突破传统的局限,基于搜索引擎特征、Webmail特征、发帖特征对网页内容精准识别。
控制灵活多条件控制,基于人员、时间、应用等不同维度,基于应用类别、具体应用、细分子应用等不同粒度,基于主题、正文、账号等不同角度,提供用户灵活的策略。
人性化控制,除了提供允许、阻断等常见控制手段外,还提供时长限额、流量限额等更人性化的管理方式,避免粗犷的控制带来负面抵触情绪。
使用容易部署容易,支持网桥模式、网关模式、旁路模式,满足不同网络环境的部署需求,网桥模式透明接入不影响已有网络配置。
支持分布式部署,对所有设备统一集中管理维护。
升级容易,无需专业知识,WEB界面一键按钮即可完成软件版本、特征库升级过程。
分布式部署下,无需分支机构配合,统一升级全部设备的软件版本和特征库,升级无遗漏。
维护容易,集中报警平台,采用语音报警,帮助管理员及时发现系统问题,问题查看无遗漏。
多种智能bypass技术不仅确保任何情况下设备均不会造成断网,还能帮助管理员快速排查故障点。
内置远程协助功能能够快速获取远程帮助。
数据安全查看安全,所有日志查看过程均采用HTTPS加密传输,内容不会被截获,无泄密可能。
权限安全,采用三权分立体系,细化查看权限,帮助IT管理员在日志泄密时免责。
保存安全,软件版本升级后日志可完整保留,不丢失,满足公安82号令要求应用场景实名制上网公司内部网络的使用者构成复杂,不仅有常驻人员,可能还会流动人员、远程移动办公人员、分支机构人员等。
如果外来人员随意接入,可能出现不遵从公司的上网规定的行为,不良行为风险将转嫁给接入公司。
而对于公司内部人员,如果无法将互联网行为与真实的人关联起来,则内部出现不良行为后无法定位到人,无法对当事人进行及时的纠正。
通过网康ICG的用户管理功能,对接入公司内网的用户进行身份认证,对合法用户放行而拒绝非法接入。
同时,结合有效的识别手段,将互联网行为与真实人员关联,便于定位互联网行为的主体。
特别的,网康ICG产品,针对不同的网络环境,提供不同的识别认证手段:公司已经具备成熟的认证系统时,能够提供开放的接口进行联动;公司没有认证系统时,能够提供一套完整的认证机制。
在正确识别用户的基础上,通过网康ICG建立与公司内部真实情况一致的组织架构,对不同人员分组进行不同的控制与管理,特别是对于特定用户(组),如公司领导,能够提供免监控功能。
互联网防泄密电子邮件、即时聊天以及论坛发帖等网络应用,为人们沟通信息提供了极大的便利,但也可能成为员工泄密的工具。
公司内部员工可能掌握着一些敏感数据,这些重要信息可能通过网络“轻易而快速”地传递到外部,对公司造成重大损失。
另外,P2P分享、木马入侵也可能造成无感知的被动信息泄密,如果不能及时阻断这类情况,同样会对公司带来泄密隐患。
通过网康ICG的内容审计功能,对通过各种途径外发的信息,包括即时聊天(IM)、邮件、论坛发帖等,进行审计与过滤控制,避免内部机密信息被外发并留存相应记录便于查证。
同时,通过应用控制功能,严格控制P2P与木马的侵入,避免被动泄密。
法律风险规避互联网充斥着各种良莠不齐的信息,公司员工在获取有用信息的同时,也容易被不良内容侵蚀。
员工从公司内网访问互联网不良资源,比如访问色情、赌博、犯罪网站等,或通过公司内网向互联网发布一些过激言论、反动信息等,不仅会为公司形象带来负面影响,甚至如果触犯了国家的法律招致有关部门的调查,还会牵连公司面临法律风险。
通过网康ICG的网页过滤功能,对网站访问进行控制,阻断对含有不良信息、危险信息网站的访问请求。
同时,通过内容审计功能,对通过搜索引擎搜索不良信息的行为进行审计和过滤控制,对通过IM、邮件、论坛外发的信息进行审计和过滤,避免员工通过各种途径外发反动信息、过激言论等不良内容。
工作效率保障互联网上各类应用带来工作的便利的同时,也为工作效率带来的挑战。
在线聊天、浏览娱乐类网站、网络视频、网络游戏、在线炒股、博客、微博等无时无刻不在占用正常的工作时间,敲击键盘和点击鼠标的“忙碌”表项背后却是低下的工作效率。
在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”,人力资源在无形中浪费巨大,公司运行效率也因此大大降低。
通过网康ICG的应用控制功能和网页过滤功能,对员工在工作时间使用的应用、访问的网站进行分类管理,并引导员工合理、高效的使用互联网,从而达到提升工作效率的目的。
特别地,ICG提供时长限额、流量限额等人性化管理手段,避免员工抵触情绪。
网络拥塞避免公司为了业务发展进行了大量的IT设备与带宽资源投资,意图提升关键业务的使用质量,提升整体办公效率。
但是宝贵的带宽资源却被各类P2P应用、在线视频、娱乐网站访问等挤占,这不仅造成带宽资源被大量浪费,还使得公司的正常业务得不到应用的带宽保障,关键业务的质量降低,比如视频会议的停顿、ERP访问速度慢、邮件无法正常收发等。
通过网康ICG的流量管理功能,对不同应用占用的带宽进行分类管理,对于P2P下载等无关应用进行带宽限制,对于ERP等关键引用进行带宽保障,从而提升带宽资源使用率,保障关键业务的质量。
成功案例国务院办公厅管理层对互联网上的潜在隐患具有高度的风险意识。
通过管理规定严格要求单位各级员工遵守国家法律法规,禁止员工浏览不和谐的网站,更不能参与任何与国家法律法规违背的网上讨论。
经过严格的筛选,国务院办公厅最终认可网康科技提供的互联网法律风险规避解决方案,将单位的管理规定通过技术手段落到实处。