网康ICG操作手册
网康ICG快速配置手册_GAOQS
网康ICG快速上线配置手册一、web登录开机后用网线连接网康的E0或E1接口,默认Ip:192.168.1.23登录地址https://192.168.1.23 默认帐号密码:ns25000(密码与帐号相同)注:若接口与ip信息不清楚,则用console管理方式进后台查看。
后台帐号:icgadmin 密码:netentsec 进入后用icg_status命令查看。
二、License申请与导入申请测试License必备条件:网康ICG的序列号,测试时间范围。
(若申请正式的,还需获取硬件信息)注:系统管理→系统配置→授权与更新→产品授权信息→获取硬件信息。
收到测试(或正式)License后:系统管理→系统配置→授权与更新→产品授权信息,导入。
……→升级授权信息,导入(需联网)。
三、配置基本网络信息系统管理→网络配置→模式选择→网桥模式(最常用),配置ip信息、默认网关、DNS与路由。
如下图:^_^------四、配置策略1、应用控制策略(对各种应用程序如qq、迅雷、pplive等封堵)策略管理→控制策略设置→添加→应用控制策略。
如下:^_^---配置好后,必须在界面右上角点击“立即生效”,该策略才能生效。
如下:2、流量控制策略(限速)此处与上面的应用控制策略不同,必须先建一个带宽对象(即限制的速度范围)。
策略管理→对象设置→带宽通道对象→添加,建个迅雷限速通道。
如下:^_^设置好带宽通道对象后,进:控制策略设置→添加→流量控制策略。
在弹出的页面中填写相应信息,在应用列表中找到迅雷并点击,在弹出页面指定带宽通道。
如下:---3、网站浏览控制策略(封堵某个或一类网站)---此处与流控策略一样,必须先建一个网址分类对象(或网址匹配对象或关键字对象),对象设置→网站分类对象→添加,如下:Array然后在:策略管理→审计策略设置→http应用审计策略→网页浏览策略,如下:^_^---完成上部步骤,网康基本上可以正式上线了,无非根据用户的需求再建一些相应的策略。
第3章:网康ICG的【设备管理】
1、不限制:此时通过管理口和其它接口都可 以访问ICG 2、只允许管理接口访问本机:此时只允许从 管理接口访问NS-ICG
配置管理接口的IP地址时,请不要分配与网 桥、网关同一网段的IP
P15
练习题目
1、现在有一台3310型号的新出厂ICG设备,网桥接口有4个,E0/E1/E2/E3,请 写出初次登录ICG的操作步骤
2、如果不知道桥口的IP地址,使用什么方法可以查询桥口的IP地址,请写出操作 步骤
P16
网康科技助您 上好网 用好网
谢
谢!
W A N
L A N
P2
设备怎么管理
三种管理方式:
1、通过 通过Console接口管理设备:通过串口线以命令行的方式访问ICG的底层 接口管理设备: 接口管理设备 操作系统,主要用于获取网桥接口和管理口的IP地址
2、通过网桥接口管理设备:通过网桥接口的IP地址访问ICG并进行设备的管 通过网桥接口管理设备: 理
选择连接方式:Serial(串行) 端口选择COM1 波特率选择9600
其余选项使用默认值
参数配置完成后点击“连接”
P9
Console命令行方式访问设备
用户名是icgadmin
密码是netentsec
P10
Console命令行方式访问设备
登录之后使用 icg_status命令 可以查看各个 网络接口的IP 地址信息
P5
ICG的登录界面 的登录界面
默认用户名:ns25000,默认密码:ns25000
P6
ICG的WEB管理界面 的 管理界面
登录之后的WEB管理界面
P7
CONSOLE命令行方式访问设备 命令行方式访问设备
如果桥口1的IP地址不是192.168.1.23,而我们也不知道修改后的桥口IP地 址,这个时候怎样访问ICG? ICG支持使用CONSOLE口,以命令行的方式访问ICG设备的底层操作系统
【网康进阶之ICG】-01-升级版本及恢复出厂设置
标题:升级版本及恢复出厂设置1.升级准备条件A、检查设备【升级授权】在有效期之内在【系统管理】-【系统配置】-【授权与更新】-【升级授权信息】中,保证剩余天数不为负数图1-升级授权有效B、ICG可以ping通升级服务器在【系统管理】-【系统配置】-【系统工具】-【网络工具】中,去ping一下升级地址是否可以通 对应的地址为211.100.26.38图2:ping的测试图3:ping的正确结果C、确认没有定制以及日志中心连接断开标准版本均没有定制,日志中心连接断开志的是逻辑上的断开,不是指的拔开网线,在【系统管理】-【日志中心】的界面,将启用日志中心前的勾去掉,保证为空,就是不启用了D、进行系统备份及手工截取网络配置部分在【系统管路】-【系统配置】-【备份与恢复】中,点击备份,选择【导出文件】,点确定这个时候会提示保存system.backup,只要文件不为0M,就应该是保存成功,注:网络配置部分不会进行备份,需要手工进行备份(截图或者笔记)2.升级ICG软件版本步骤一:正常登陆的时候,您使用的ip为https://192.168.1.234那么升级的时候,需要在这个IP后面输入https://192.168.1.234/liveupdate用户名和密码默认为ns25000/ns25000步骤二:点击登陆,出现当前的版本号和已经安装的补丁信息,步骤三:点击在线获取更新列表,会显示是否存在可以更新的补丁包;如果有显示,点击该补丁前的空格,然后确定步骤四:出现下载提示,显示新版本的一些新功能,点击的过程中,如果出现文件损坏等,可以不用关注,直接点确定。
(日志量越大,安装时间越长)升级过程中,请不要中断连接,直到出现下面的绿色对勾,点返回或者确定为止步骤五:如果已经是最新版本,则提示无可用更新注:如果出现下面的报警,可能是点了升级以后,IE界面关闭了。
没有到出现绿色的对勾,导致升级进程没办法安装,这个时候只能单击‘红色’对话框中的那几个字,需要重新升级。
网康ICG产品功能简介
设备功能列表1.网页过滤:目前网康ICG的URL数据库包括51个类别,超过1400万条的URL,基本覆盖中国大陆区域的网站,是全球最大的中文URL数据库。
并且每天都有近300万条的更新。
对网站的URL识别率不低于90%,识别准确率不低于90%。
具体的网页过滤功能包括:1)支持基于预分类的URL类别进行过滤控制。
2)支持用户自定义网站类别过滤。
3)支持URL类别的二级子类控制。
4)支持对以IP方式访问网站进行过滤控制。
5)支持基于网站分类过滤HTTPS加密的网站。
6)支持基于URL关键字进行过滤控制。
7)支持基于文件类型进行过滤控制。
8)支持基于网页文件大小进行过滤控制。
9)对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义。
10)支持网站黑、白名单设置。
11)能够识别并控制国内主流的SNS类网站,支持细分行为的封堵,包括开心网、校内网的登录、游戏行为。
2.应用控制网康ICG拥有国内最全面的网络应用协议数据库,支持480多种协议。
并且每周都有协议库的更新。
包括对标准应用协议、即时聊天IM类、P2P类、网络电视类、炒股类、游戏类、流媒体、隐患服务类等进行应用控制。
另外还支持对针对用户各项应用的每日上网时长的限额管理。
3.带宽管理,具体包括:1)支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率。
2)支持带宽通道优先级的定义,保障核心业务拥有带宽保障。
3)支持空闲带宽借用,实现带宽资源统计复用。
4)可设置基于人/部门的带宽管理策略。
5)可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响。
6)可设置人/部门某一种或多种应用的组合带宽策略。
7)可设置部门成员的平均带宽策略,避免个体成员独占部门带宽。
8)可根据时间段设置带宽管理策略。
4.内容审计和过滤,具体包括:1)邮件审计和过滤。
2)即时通讯审计3)论坛发帖审计。
4)网络应用审计。
5)HTTP文件传输审计。
网康NS-ICG功能列表 v7.0
网页URL过滤
根据人员、地点、时间、网站URL分类/URL关键字对HTTP、HTTPS网站进行访问的放行和阻断
网页内容过滤
根据网页标题、正文中的关键字进行网页过滤
根据网页下载文件类型、文件名称进行网页过滤
网页记录
记录员工访问HTTP/HTTPS网站的时间、地点、网站URL、网站分类
应用控制
根据人员、地点、时间、应用名称进行应用的放行、阻断
应用限额
设定应用可使用的时长,由用户自行安排使用,总计时长不能超过限额
设定应用可使用的流量,由用户自行安排使用,总计流量不能超过限额
网页过滤
网页识别
通过网康的网页分类识别技术可识别病毒、木马、傀儡主机、色情、赌博、游戏等2600多万个网站的网页
镜像模式、直路串联、网关替换:
记录搜索引擎搜索的内容,并可根据设定搞得关键字库进行搜索内容的阻断
邮件审计
POP3、SMTP邮件审计:可以记录发件人、收件人、标题、正文、附件;并可根据关键字库进行收件人、发件人、标题、正文、附件名称、附件内容的过滤
SMTP邮件外发预审:可以临时缓存外发邮件,等到管理员审核完毕无泄密行为后再发送到外网
记录员工访问HTTP网站的网页标题、网页正文、文件下载名称等信息
内容审计
关键字库设定
用户可自行设定关键字库,每个库可设置5000个关键字,便于今后进行内容关键字过滤
网页外发审计
HTTP/ HTTPS坛发帖审计,记录发帖的标题,正文,并可根据设定的关键字库进行发帖内容的阻断
记录论坛发帖上传的文件,并可根据文件名称关键字进行发帖的阻断
用户管理
用户识别
IP、MAC、计算机名称识别
网康科技ICG功能介绍
功能介绍1、用户可以使用各种浏览器对设备进行访问控制,设备管理界面的访问不需要安装任何插件;2、URL库数量超过1400万条,覆盖国内网站;3、在 URL库中,支持对URL类别的二级子类控制;4、支持对以IP方式访问网站进行过滤控制;5、对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义;6、支持仅审计某邮箱地址发出或接收的邮件;7、支持仅审计包含某类型附件的邮件收发内容;8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;9、可控制允许外发邮件附件的大小范围;10、可自定义设置不需审计的发帖网址;11、能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字;12、可单独控制用户的某项互联网应用每日上网时长限额;13、可查询被阻断的web访问纪录。
可根据预设的web过滤策略,实现对违禁访问网页行为的查询;14、支持对发帖网址和发帖正文关键字查找,记录内容包括:用户、时间、论坛地址、正文和附件;15、可查询被策略阻塞的应用记录,包含匹配的策略名称;16、支持POP3邮件账号用户识别;17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中,并可选择将该IP暂时屏蔽还是永久屏蔽;18、可提供在软件系统异常时硬件直通保护;19、提供主动式一键直通切换,设备上提供直通按键,协助管理员迅速排查网络故障;20、能够识别控制国内主流的P2P下载软件,如:迅雷,BT,电驴等,要求对于加密的下载协议也能识别控制;21、能够识别控制国内主流的网络电视应用,如:PPLive,土豆网,酷6,6间房等;22、能够控制国内主要网络游戏,如:联众游戏,魔兽世界,梦幻西游等;23、能够识别控制国内主要的股票软件,如:大智慧,同花顺,钱龙等;24、支持基于带宽通道的流量控制,可设定多个不同的带宽通道,每个带宽通道提供保障速率和突发速率;25、支持带宽通道优先级的定义,保障核心业务拥有带宽保障;26、支持空闲带宽借用,实现带宽资源统计复用;27、可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响;28、可设置部门成员的平均带宽策略,避免个体成员独占部门带宽;29、可根据时间段设置带宽管理策略;30、可查看某策略所适用的用户和部门;31、对于应用控制策略和网页过滤策略,可记录用户匹配阻塞策略的行为信息,并可基于策略名称和应用类型进行查询分析;32、可手工添加用户,必须支持txt、csv格式文件导入全局用户列表,也可以只导入某个部门的用户列表,导入的用户信息应包含用户的组织结构;33、支持按IP段自动分组,新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息,自动适用该网段的策略;34、应提供丰富的查询条件,查询用户的上网行为细节数据。
网康互联网控制网关ICG安装配置一指禅
网康互联网控制网关ICG安装配置一指禅1. 设备拆箱,上电运行,正常情况下开机3分钟后设备即可正常运转;2. ICG系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23。
如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP地址配置为192.168.1.xxx/24(与桥口的默认IP地址同网段)3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG(注意是https而不是http),点击“继续浏览此网站(不推荐),输入默认用户名:ns25000,默认密码:ns25000;4.登录之后的WEB管理界面如下图所示;5. 通过【系统管理】-【网络配置】-【网络配置】进入网络配置界面,默认使用网桥模式管理设备。
根据学校网络实际情况,修改设备的网桥口IP地址,IP掩码,缺省网关,DNS 服务器。
(例如将默认的192.168.1.23改为192.168.196.53)6. 修改网络配置的时候设备网卡会重启,网络中断约30秒左右,此时将计算机的IP地址配置为x.x.x.xxx/24(与桥口新配置的IP地址同网段,例如192.168.196.100),使用PC 浏览器重新登录设备,确认可以通过新IP地址访问WEB管理页面;7. 将设备安装上机架并固定,以透明网桥的模式,串接在互联网出口设备(防火墙/路由器)和核心交换机之间,WAN口(eth0)连接防火墙/路由器,LAN口(eth1)连接核心网交换机,如下图所示;8.确认设备串接后互联网访问恢复正常,若出现长时间断网情况,请及时进行回退,恢复原先网络连接,检查线路连接情况,判断故障原因,准备下次割接;9.确认设备正常串接且互联网访问恢复正常后,通过学校内网中任意一台计算机访问设备管理页面,通过图形化界面观察网络运行情况;10. 进入【系统管理】-【集中管理】页面,输入教育局集中管理平台的IP(10.20.1.141),如下图示例,以便于区教育局进行统一的设备管理和策略下发;11. 根据教育局等主管单位的相关规定,配置各项上网行为管理策略。
H3C ICG 系列信息通信网关 用户手册
目录第1章简介.............................................................................................................................1-11.1 本书简介.............................................................................................................................1-11.2 相关手册.............................................................................................................................1-11.3 分册简介.............................................................................................................................1-1第2章业务特性明晰..............................................................................................................2-12.1 概述....................................................................................................................................2-12.2 基础版特性功能索引..........................................................................................................2-12.3 标准版特性功能索引..........................................................................................................2-22.4 特性功能明晰.....................................................................................................................2-32.4.1 接入分册..................................................................................................................2-32.4.2 IP业务分册...............................................................................................................2-62.4.3 IP路由分册...............................................................................................................2-82.4.4 IP组播分册...............................................................................................................2-92.4.5 MPLS&VPN分册....................................................................................................2-112.4.6 QoS分册................................................................................................................2-122.4.7 安全分册................................................................................................................2-132.4.8 系统分册................................................................................................................2-152.4.9 IPX分册.................................................................................................................2-172.4.10 语音分册..............................................................................................................2-182.4.11 无线分册..............................................................................................................2-19第3章登录ICG系列信息通信网关..........................................................................................3-13.1 登录ICG系列信息通信网关方法简介..................................................................................3-13.1.1 通过Console口进行本地登录...................................................................................3-13.1.2 通过以太网端口利用Telnet进行远程登录................................................................3-23.2 用户界面简介.....................................................................................................................3-43.2.1 ICG系列信息通信网关支持的用户界面....................................................................3-43.2.2 信息通信网关用户界面编号.....................................................................................3-4第4章信息通信网关的软件注册............................................................................................4-1第5章信息通信网关的软件维护............................................................................................5-15.1 简介....................................................................................................................................5-15.1.1 信息通信网关管理的文件.........................................................................................5-15.1.2 信息通信网关的软件维护的几种方法.......................................................................5-35.2 BootROM菜单....................................................................................................................5-45.2.1 BootROM主菜单......................................................................................................5-45.2.2 BootROM子菜单......................................................................................................5-6 5.3 通过串口升级BootROM.....................................................................................................5-95.3.1 串口参数的修改.......................................................................................................5-95.3.2 升级BootROM.......................................................................................................5-11 5.4 通过串口升级应用程序.....................................................................................................5-12 5.5 通过以太网口升级应用程序..............................................................................................5-135.5.1 以太网口参数配置..................................................................................................5-135.5.2 通过以太网口升级应用程序...................................................................................5-14 5.6 命令行模式维护应用程序及配置......................................................................................5-175.6.1 通过TFTP服务器对信息通信网关的维护...............................................................5-175.6.2 通过FTP服务器对信息通信网关的维护.................................................................5-18 5.7 应用程序以及配置文件的维护..........................................................................................5-21 5.8 口令丢失的处理................................................................................................................5-245.8.1 用户口令丢失.........................................................................................................5-245.8.2 BootROM口令丢失................................................................................................5-255.8.3 Super Password口令丢失.....................................................................................5-25 5.9 BootROM的备份和恢复...................................................................................................5-26第1章简介1.1 本书简介您可以通过以下条目了解到本书所涉及的主要内容。
网康ICG用户识别认证操作培训
路漫漫其修远兮, 吾将上下而求索
• 名词解释: 1. 802.1x:协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通
路漫漫其修远兮, 吾将上下而求索
• 重要名词解释
路漫漫其修远兮, 吾将上下而求索
• 名词解释: • (认证识别的3种机理) 1. 单点登录(网康叫透明识别):指客户原来就存在用户身份的管理系统,ICG可利用原有的用
户管理数据,在ICG上线后,上网的用户端人员不需要安装任何客户端、不需要进行附加的新 的身份认证,ICG就可以识别出产生网络行为的人的用户名。
路漫漫其修远兮, 吾将上下而求索
• 名词解释: 1. Kerberos:是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供
强大的认证服务。Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如: 共享密钥)执行认证服务的。微软的AD域采用的是Kerberos协议 2. PPPOE:一种使用在ADSL技术上的协议,可以使得以太网报文中携带用户认证信息。 3. H3C CAMS,锐捷 SAM:是上述两个公司的准入系统的用户身份识别系统,可以识别用户名, 主机mac,连接的交换机ID,连接的交换机端口等。
2. 混合认证:是指对同一个/多个主机(IP)可以串行的进行多种身份识别与认证方式,第一个正 确匹配的识别认证信息中的身份信息将作为该用户的身份。
3. 认证网段:是指指定的认证方式生效的网段。超出该网段的范围,指定的认证识别方式将不生 效
网康配置策略网段
网康配置策略网段策略网段策略网段,用来设置NS-ICG各种策略的生效网段。
如果不设定策略网段,NS-I CG默认对所有网段都生效。
添加策略网段后,则NS-ICG各种策略只对网段内用户生效,对网段外用户不做任何审计和控制。
如果在添加策略网段后,同时勾选了“阻塞不在策略网段中的IP”选项,则NS-ICG的各种策略不仅只对网段内用户生效,而且网段外用户都无法继续使用网络。
因此,合理的配置策略网段,是建立有效访问策略的重要组成部分。
下面以添加一条策略网段为例说明详细操作方法。
第1步:通过【策略管理】→【策略网段】进入如下图所示页面:图 1策略网段o添加:添加一条策略网段;o删除:选择要删除的策略网段后,点击该按钮将其删除;o清空:清空所有已建立的策略网段;o阻塞不在策略网段中的IP:禁止策略网段外用户使用网络。
第2步:点击“添加”按钮,弹出如下图所示窗口:图 2 添加策略网段o起始IP和终止IP是必填项,要求输入完整的IP地址。
o对描述项不做限制。
第3步:设置完毕后,点击“确定”按钮后,策略网段新建成功,并显示在策略网段列表中,如下图所示:图 3 策略网段提示:1.最多设定10条策略网段;2.添加策略网段后,NS-ICG的策略将只对策略网段内的IP生效,对于不在策略网段内的IP地址的网络通信,会进行流量统计和协议分析,可在查询和统计中可以看到总流量,但无法查看详细的流量信息和进行控制;3.若不选择“阻塞不在策略网段中的IP”,那么在策略网段外的IP,将不受任何策略控制;4.策略网段和黑白名单在策略中按照优先级由高到低执行,优先级顺序是:Bypass域名→免监控IP→屏蔽IP→策略网段。
例如:若选择“阻塞不在策略网段中的IP”,设置策略网段为192.168.1.1 – 192.168.1.200,而免监控I P为192.168.1.222,此时192.168.1.222仍不会被阻塞。
09-ICG的【反向连接与reset】
P11
Reset命令使用 命令使用
P12
Reset命令使用 命令使用
Reset命令功能描述: Reset命令会重置ICG设备,所以请谨慎使用此命令。 请谨慎使用此命令。 请谨慎使用此命令
1. 执行此命令后,用户所配置的系统配置、策略配置等都将被清除; 2. IP地址将恢复为出厂时默认的https://192.168.1.23,可能会引起网络中断。 3. 网口将恢复为出厂时的eth0口,和eth1口。
P5
反向连接功能 反向连接功能
P6
反向连接功能 反向连接功能
远程协助服务号: 远程协助服务号: 协助服务号
这个号同一时刻只能由一个icg设备使用,所以必须保证不同的icg 设备在反向连接时配置不同的号。理论上可以使用的端口范围为 1024-65535。
使用HTTP代理连接: 代理连接: 使用 代理连接
P3
培训提纲
1 3 2 3
背景描述
反向连接功能 Reset命令使用
P4
反向连接功能介绍 反向连接功能介绍
反向连接功能: 反向连接功能: 由内网ICG设备主动和我们指定的一个公网地址的服务器建立连接, 然后我们通过这条连接来控制ICG,达到远程访问的目的。只要ICG设备 可以连到Internet,就可以通过这种方式连接。 对应ICG界面:【系统管理】→【系统配置】→【远程协助】。 界面: 系统管理】 【系统配置】 【远程协助】 对应 界面 可以进行远程连接的方式: 可以进行远程连接的方式: 远程连接的方式 1、该ICG配置了公网IP地址,直接连接即可; 2、ICG部署在用户的内网环境中,在路由器或防火墙上做端口映射; 3、通过QQ等软件远程连到客户网管的桌面,再登录ICG。 如果以上条件都不满足 都不满足,我们需要用ICG反向连接功能 都不满足
网康WEB本地认证
网康WEB本地认证指南
WEB本地认证
WEB本地认证,即NS-ICG认证。
用户使用在NS-ICG组织管理中设置的登录名和密码进行认证。
WEB 本地认证和客户端本地认证的区别在于用户不需要安装客户端。
详细如下:
第1步:手动添加或导入用户至组织管理中,且用户必须有登录名。
(详细请参考“普通用户”)。
第2步:进入【用户管理】→【认证管理】→【认证配置】中点击“WEB本地认证”对应的配置列的“未配置”链接,弹出如下图所示窗口:
图 1WEB认证配置界面
o时间有效期:设定本地认证有效期,到期后需重新认证。
o登录开始:本地认证从用户登录开始计算一定时间后失效。
o不活动开始:本地认证从无数据流量开始一定时间后失效。
使用该功能需要开启流量统计,否则用户登陆后,将一直被认为是“不活动”。
o初始密码类型:同“客户端本地认证”相关部分。
o强制用户修改初始密码:选择该项后,用户在第一次登录后系统会强制用户修改密码。
第3步:设置完毕后,点击“确定”按钮关闭当前窗口。
回到认证配置界面,点击“WEB本地认证”对应的默认认证方式列的”将其更改为“ ”。
并立即生效。
第4步:此时如果内网用户上网,画面会弹出认证窗口。
详细请参考“登录界面”章节。
提示:
如果需要设置用户自动下线、帐号多地点登录、帐号黑名单等详细配置,请结合“高级配置”一起使用。
详细请参考“高级配置”章节。
【网康进阶之ICG】-02-封堵限制类或者某几个网页
标题:封堵限制类或者某几个网页1.实现目的A、封堵色情、暴力等限制某类网页B、封堵指定的几个网页,但是该类网页大部分允许,比如限制亚马逊这个网上交易类网站,其他网上交易类不限制C、策略生效的部门为【研发部门】设定工作时间为【周一到周五,早8:00-11:30 13:30-18:00】2.配臵过程2.1.查看并设臵用户的组织结构点开【用户管理】-【组织管理】,鼠标单击【ROOT】,然后【+操作】,添加【新组】,组名填写‘研发部门’,然后确定其他部门,可以按照类似的方法创建,如下在研发部门这个目录下面创建用户,单击【研发部门】-【+操作】-【新用户】以张三为例,填写完毕,如果还有其他的用户,那么可以继续添加注:用户名是必填项,登录名、ip、mac可以任意填写一项,2.2.设臵时间段在【策略管理】-【对象设臵】-【时间对象】中,点【+添加】,设臵相应时间段,点确定时间段创建完毕,如果需要设臵其他时间段,方法一样2.3.创建网页浏览策略点开【网页策略】-【审计策略设臵】中,单击【HTTP应用审计策略】下拉框中【网页浏览策略】,点击用户,选中【研发部门】(不选用户和时间,默认是所有时间生效)将上面的用户和时间选择为对应的用户和时间,分别单击策略内容中的所有用户和所有时间,进行选择如下注:时间上可以选择多个时间,选择动作和用户一样,选择完成以后,点击【策略条件】中的网站分类,在策略内容中,单击【指定网站分类】,出现【网站分类对象】,点击右上角的‘+’号(或者之前先在策略管理—对象设臵中进行设臵),对指定的分类前面打勾,点确定创建完毕,在创建好的分类前,打勾如果我们要想封堵所有的网上交易类网页,那么也可以按照上面的操作,勾选【网上交易】,本例子只想封堵某几个网页,不想封堵所有的,那么继续按照下面的操作创建阻塞某类网页创建完毕:开始创建阻塞某几个网页的策略,单击策略条件中的【网址】,点击【关键字对象】,然后点击右上角的【+】添加亚马逊的网址关键字创建以后,勾选相应的关键字对象,如果有多个关键字对象,可以分开来写,全部勾选策略创建完成以后,点击右上角的立即生效,如下整体策略创建完毕3.验证策略是否查看策略创建的情况,在【查询统计】-【查询】-【网站访问】中,【选择操作】-【设置过滤条件】,在用户设置处,选择用户,如下(按照用户或者IP查询都可以,选择任何一个)点击确定,开始过滤,色情类的被封堵了,网上交易类的含有amazon的网上交易被封堵了。
网康混合认证
网康混合认证指南混合认证从上一节中我们可以看出,NS-ICG支持很多种用户识别方式和用户认证方式。
如果单独在认证配置中设置,则NS- ICG下所有用户都只能采取一种识别或认证方式。
但是有些网络环境需要对不同的网段使用不同的认证方式,或者某些用户不需要进行认证就允许其上网。
因此我们提供了混合认证功能。
NS-ICG支持多种认证方式的混合认证,即让一些网段使用一种认证,而让一些网段使用另外一种认证。
当认证网段有交叉时,用户只要通过其中一种认证就可以访问网络。
混合认证页面如下图所示:图 1 混合认证配置界面(一)、开启混合认证点击“开启混合认证”,并点击下方的“确定”按钮,激活混合认证功能。
提示:当开启混合认证后,在本页面中没有涉及到的IP地址都将使用“认证配置”模块中被设置为“默认认证方式”的识别或认证方式。
(二)、认证网段混合认证中正是通过添加多个网段,并为不同的网段指定不同的认证方式,来达到混合认证的功能。
点击“认证网段”的“添加”按钮,弹出如下图所示窗口:图 2 添加认证网段1. 起始IP:输入新网段的起始IP地址;2. 终止IP:输入新网段的终止IP地址;3. 认证类型:从下拉框中选择所需的认证类型。
只有在【认证配置】中经过配置并显示为“已配置”的认证方式才会显示在此处供选择。
提示:1.【认证配置】中除了IP身份识别和HTTP代理身份识别,其他都支持混合认证。
2. 列:调整认证类型内优先级。
点击“ ”,表示提升优先级;点击“ ”表示降低优先级。
在认证网段列表中,最上面的认证类型将具有最高优先级。
如果一个用户既在认证列表中的第一行认证网段中,又在第二行认证网段中,则该用户上网时会首先被要求通过第一行认证方式。
(三)、免认证IP网段将IP地址或者IP段加入免认证IP网段后,在混合认证模式下,这些用户将不需要认证就可以直接访问网络。
添加免认证IP网段只需要点击“免认证IP网段”的“添加”按钮,在弹出的窗口中输入起始IP地址和终止IP地址后确定即可。
ICG产品CLI命令讲解
• 15、rassis
–功能:又叫“反向连接”命令,使NS-ICG主动 和网康公司公网服务器发起连接。当设备出现 故障,而客服人员由于距离或时间等原因无法 及时赶到客户现场进行服务时,可以通过此命 令来帮助修复故障问题。 –对应ICG界面:无
–对应ICG界面:无
• 10、icg_arp
–功能:配置静态ARP表。 –对应ICG界面:无
• 在个别情况下,NS-ICG设备可能无法学习到网关的 MAC地址,此时就需要手工添加静态arp表项。 icg_arp命令只可删除由该命令所添加的arp表项, 不能删除通过其他方式(如直接用arp命令添加的静 态arp映射)所添加的arp表项。
– 每次的变动都将在退出当前softbypass命令后才生效。 – 当系统softbypass时,外网和NS-ICG都能ping通。
–Open/Close SoftBypass
• 功能:开启或关闭softbypass功能。如果当前是ON, 使用该参数后则OFF。反之亦然。
–Configure SoftBypass Interval
网康科技公司中级服务支持培训教程
第一章:CLI命令讲解来自2009.3 更新-截止版本5.1-毛飞
CLI及适型
• CLI:CLI是Command Line Interface的缩写, 即命令行界面。可在用户提示符下键入可执行指 令的界面。 • 本课件适用于网康科技提供的产品: – NS150/ NS151/ NS250/ NS550 – NS1500/ NS1501/ NS2500/ NS2501/ NS5500/ NS5501 – NS15000/ NS25000
网康ICG操作手册
用户管理用户是互联网访问的标识主体(即谁在访问),是NS-ICG互联网访问管理的目标对象。
出身份认证信息外,一个完整的用户定义还包含其组织信息和访问策略。
每一个互联网访问都对应唯一的用户(或用户组),这是NS-ICG实现基于用户和用户组的访问控制的基础。
而建立完整和准确的用户信息更是保证NS-ICG 进行有效互联网访问审计(监控、查询、报表等)的关键。
用户管理模块提供全面的用户管理功能,主要有如下几个功能模块:用户导入---------------可通过扫描当地局域网内的IP导入用户、导入LDAP用户或者自定义导入用户。
组织管理---------------手动构建企业组织架构和用户信息。
认证管理---------------配置用户上网的识别和认证管理方式,可针对不同用户采用不同的识别认证方式,支持本地人证和多多种第三方认证;支持用户绑定设置。
用户导入用户导入主要支持三种方式:IP导入、LDAP导入和网康自定义导入。
IP导入主要通过扫描设备IP来进行用户导入,LDAP导入时导入LDAP服务器上的用户,而网康自定义导入则是通过TXT或者CSV文件导入用户信息。
IP导入NS-ICG提供两种用户信息的建立方式。
其一,可以通过已存在的用户信息数据源,导入到NS-ICG系统中,如依据IP地址导入用户、从已建立的LDAP服务器中导入用户、根据网康自定义格式导入用户;其二,可以通过管理界面手工管理。
第1步:通过【用户管理】--【用户导入】--【IP导入】进入如下图所示页面:第2步:点击“扫描”或者“浏览”本地文件后点击“导入”,进入“导入用户列表”画面,如下图:用户名:手动输入用户名;导入选项:导入IP与MAC:保存用户名、IP地址和MAC地址导入MAC:保存用户名、MAC地址导入IP:保存用户名、IP地址填充用户名:如果选择该项, ICG 会将相应的 IP 地址作为用户名进行自动填充;选择导入位置:根据选择,导入到组织管理的指定位置(注:需提前配置好组织架构)第 3 步:管理员根据需要选择导入的数据和填充画面各项信息后,点击右上角的“导入”按钮,进行导入。
4.网康产品命令行解说
NSICG CLI 参考手册北京网康科技有限公司1目录一、连接到CLI (3)1. Console访问CLI (3)2. SSH访问CLI (3)二、命令详解 (4)1. help (4)2. icg_status (5)3. icg_http_ctl (5)4. icg_if_cfg (6)5. icg_ip_cfg (6)6. icg_dns_cfg (7)7. icg_route (8)8. icg_arp (9)9. icg_monitor_ports (10)10. icg_sys_diagnose (10)11. icg_sys_tune (13)12. diagnose_network (14)13. icg _db_backup (15)14. softbypass (15)15. reset (17)16. update_pwd_reset (17)17. upgrade (18)18. passwd (18)19. nslookup (18)20. ping (19)21. curl (20)22. traceroute (20)23. reboot (20)24. Poweroff (21)25. Exit (21)23一、 连接到CLI1.Console 访问CLI用console 线将计算机和NSICG 设备相连,通过超级终端进入到CLI ,超级终端设置如下:2.SSH 访问CLINSICG 默认是开放22端口的,可采用SSH 软件登陆到NSICG 的CLI :二、命令详解1. help此命令用于查看NSICG console口模式下可用的命令。
语法模式:Help例子:[NS-ICG]->help*******************************************************Netentsec Internet Control Gateway Console******************************************************** help --------------- list available commands ** icg_status --------- show icg status ** icg_http_ctl ------- turn http engine on/off ** icg_if_cfg --------- config in/out interface ** icg_ip_cfg --------- config ip address ** icg_dns_cfg -------- config dns address ** icg_route ---------- config static route ** icg_arp ------------ config static arp item ** icg_monitor_ports -- config engine monitor ports ** icg_sys_diagnose --- diagnose system and collect ** the infomation ** icg_sys_tune ------- tune system parameter ** diagnose_network --- diagnose web access problem ** icg_db_backup ------ backup and restore database ** softbypass --------- set icg softbypass parameter ** reset -------------- reset system to factory mode ** update_pwd_reset --- reset the password of liveu- ** pdate system ** upgrade ------------ icg system upgrade ** passwd ------------- modify current user password ** nslookup ----------- query the DNS for resource ** records ** ping --------------- ping ip address ** curl --------------- transfer a URL ** traceroute --------- print the route packets take ** to network host ** reboot ------------- reboot the system ** poweroff ----------- turn off the system *45* exit --------------- exit from the login ********************************************************2. icg_status这个命令用于查看icg 网关当前的运行状态,包括运行模式,内外网口信息,IP 配置信息和引擎工作状态。
【网康进阶之ICG】-07设备部署-网桥模式(双网桥)
标题:设备部署-网桥模式(双网桥)1.用户场景网桥模式,透明部署在路由器和核心交换机中间,为设备配置与路由器内网口和相连交换机接口相同网段的地址,保证设备能够正常管控内网用户,并且内网用户可以管理网康设备。
2. 配置步骤基础配置网桥配置路由配置DNS配置2.1.基础配置系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23/24如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP地址配置为192.168.1.2/255.255.255.0(与桥口的默认IP地址同网段),然后尝试去ping 对端地址192.168.1.23,,如果可以ping通,那么就可以继续在浏览器中输入https://192.168.1.23,使用该地址登陆界面默认的登陆名和密码为ns25000、ns250002.2.网桥配置选择【系统管理】-【网络配置】-【基础配置】,点击【网桥模式】,输入桥IP地址和IP掩码,选择外网口和内网口,配置网关;点击【确定】,在当前列表里显示配置好的链路信息,点击【添加桥接链路】,输入另一链路的桥IP地址和IP掩码,选择外网口和内网口;点击【确定】,在当前列表里显示配置好的链路信息,网络配置完成;注:桥模式只能添加一个缺省网关地址,将网关地址配置成其中任意一条链路的路由器内网口地址即可,缺省网关配置只是影响设备自身上网,对内网用户上网没有影响;2.3.路由配置选择【系统管理】-【网络配置】-【路由配置】,点击【静态路由】,输入目的地址、IP 掩码,下一跳地址并选择接口点击【确定】,在当前列表中显示添加好的路由信息,点击立即生效,配置生效,10.0.2.0/24网段添加方法相同;注:添加静态路由目的只是保证设备可以向内网用户推送web认证界面等,并不是影响内网用户上网的路由,也不是影响设备自身上网的路由。
2.4.DNS配置选择【系统管理】-【网络配置】,点击【DNS配置】,输入DNS服务器IP,点击【确定】;配置完成后,点击立即生效,配置生效;3.接入网络3.1.检查网络连通性检查设备自身是否可以上网;选择【系统管理】-【系统配置】,点击【网络工具】;测试结果,表示设备可以访问网络;检查PC是否可以访问设备;在PC上ping设备的桥地址192.168.110.229,保证可以ping通;在浏览器中输入https://192.168.110.229,确认可以登陆管理界面;4.其他概念注意事项==========================================================================4.1.注意A、多桥模式,HTTP引擎必须为旁路模式;B、多网桥模式,只支持多入多出,即内外网口数量相同;C、多网桥模式,无法启用trunk;D、多条线路的IP地址不能再同一网段。
网康ICG产品常用命令操作指引
技术文档
3.为网桥或者管理口配置 IP 地址
执行命令:icg_network_cfg 功能描述:修改 NS-ICG 的工作模式、IP、默认网关与输入输出接口等。由于我们的设备种类 繁多,且网口有光口和电口之分,默认状态下 eth0 口为出口,eth1 口为入口,当这两个口在 当前网络环境下不可用时,就需要我们更改出入口的设置,用此命令就可以实现。此功能还可 以在命令行下设置管理口地址。 设置过程演示: [NS-ICG]->icg_network_cfg Current Configurations: Network mode: Bridge IP Configuration: bri0: 192.168.1.23/255.255.255.0 Default Gateway: 192.168.1.1 bri0 | External Interface: eth0 Internal Interface: eth1 Do you want to change Mgr_port configurations?(y|n)y Ip Address: Mgr-Port ip Netmask: Mgr-Port network mask Network Device: Mgr-Port network interface ICG Access Mode: allow all ports or Mgr-port Only to access ICG Enable Mgr-Port: enable or disable Access function Please input IpAddress/Netmask/NetworkDevice/ICGAccessMode(all|only)/EnableMgr-Port(yes|n o) (eg:192.168.1.23/255.255.255.0/eth2/all/yes) Input:1.1.1.1/255.0.0.0/eth4/all/yes <注:输入管理口地址、掩码及所在物理接口,普通设备管理口一般为 eth4,四光四电设备管 理口为 eth8> Do you want to change network configurations?(y|n)y Please choose network mode [B]ridge/[G]ateway: b <b 为网桥模式,g 为网关模式> New network mode is: Bridge Please input Stp mode[on|off]: off <生成树功能一般设置为关闭 off 状态> Stp mode: off Available NICS: eth0 eth1 eth2 eth3 Warning: eth4 is used by manage_port. You can disable it first if there are no enough NICS. Please input the total number of bridges:1 Please input Bri0 ip/netmask/ethout/ethin (eg:192.168.1.23/255.255.255.0/eth0/eth1) Input: 10.67.50.94/255.255.255.0/eth0/eth1 < 设 置 网 桥 地 址 , 一 般 情 况 下 接 口 使 用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用户管理
用户是互联网访问的标识主体(即谁在访问),是NS-ICG互联网访问管理的目标对象。
出身份认证信息外,一个完整的用户定义还包含其组织信息和访问策略。
每一个互联网访问都对应唯一的用户(或用户组),这是NS-ICG实现基于用户和用户组的访问控制的基础。
而建立完整和准确的用户信息更是保证NS-ICG进行有效互联网访问审计(监控、查询、报表等)的关键。
用户管理模块提供全面的用户管理功能,主要有如下几个功能模块:
用户导入---------------可通过扫描当地局域网内的IP导入用户、导入LDAP 用户或者自定义导入用户。
组织管理---------------手动构建企业组织架构和用户信息。
认证管理---------------配置用户上网的识别和认证管理方式,可针对不同用户采用不同的识别认证方式,支持本地人证和多多种第三方认证;支持用户绑定设置。
用户导入
用户导入主要支持三种方式:IP导入、LDAP导入和网康自定义导入。
IP 导入主要通过扫描设备IP来进行用户导入,LDAP导入时导入LDAP服务器上的用户,而网康自定义导入则是通过TXT或者CSV文件导入用户信息。
IP导入
NS-ICG提供两种用户信息的建立方式。
其一,可以通过已存在的用户信息数据源,导入到NS-ICG系统中,如依据IP地址导入用户、从已建立的LDAP 服务器中导入用户、根据网康自定义格式导入用户;其二,可以通过管理界面手工管理。
第1步:通过【用户管理】--【用户导入】--【IP导入】进入如下图所示页面:
第2步:点击“扫描”或者“浏览”本地文件后点击“导入”,进入“导入用户列表”画面,如下图:
用户名:手动输入用户名;
导入选项:
导入IP与MAC:保存用户名、IP地址和MAC地址
导入MAC:保存用户名、MAC地址
导入IP:保存用户名、IP地址
填充用户名:如果选择该项,ICG 会将相应的IP 地址作为用户名进行自动填充;
选择导入位置:根据选择,导入到组织管理的指定位置(注:需提前配置好组织架构)
第 3 步:管理员根据需要选择导入的数据和填充画面各项信息后,点击右上角的“导入”按钮,进行导入。
或者选择“返回”按钮,返回到前一画面。
如果管理员没有勾选任何数据,那么默认全部导入。
第 4 步:若想让最新的配置立即生效,请点击右上方“立即生效”按钮;
(二)、通过文件导入
第 1 步:设置交换机,方法同上述。
第 2 步:新建txt 文本文件,正文格式是每行一个IP 地址,或一个网段(同时支持跨网段),如:
192.168.1.10
192.168.10.12-192.168.10.155
192.168.30.68-192.168.40.255
第 3 步:点击主画面的“浏览”按钮,选择该文本文件后,点击“导入”按钮。
ICG 会在指定的IP 或IP 网段间进行扫描,将所有开机的并匹配的PC 机的MAC 地址找到后,匹配显示到如上图所示画面中。
后续操作同方法一。
IP对象
IP对象主要是在设置认证策略及客户端推送策略时使用,管理员可将需要安装客户端的PC地址设置为一个IP对象,或者可将,某一个IP网段设置为一个IP对象,可为IP对象设置推送客户端策略,或者设置认证策略,下面详细介绍如何设置IP对象;
第1步,通过【对象设置】-【IP对象】进入下图:
第2步,点击“添加”按钮,进入下图;
对象名称:添加对象名称;
对象描述:添加对象描述;
IP信息:填写IP对象所包含的IP,支持两种方式,一种是手动录入IP地址,一种是勾选录入IP地址;
第3步,点击“手动录入IP地址”,手动输入IP,支持两种格式;IP地址和IP子界,每行一个,最多100行,如下图:
也可以勾选录入IP地址,在新建IP对象编辑框点击“勾选录入IP地址”,弹出框中列出ICG目前所有用户IP列表,如下图:
第4步,手写录入IP或者勾选IP之后,点击“录入”,则IP显示在IP对象编辑窗口的IP信息列表中。
然后点击“保存”,则IP对象创建完毕。
策略纵览
NS-ICG 作为互联网行为审计产品其最主要的功能就是对各种互联网行为进行审计及控制,而策略总览页面提供了ICG 可支持的所有审计策略的设置通道并展示当前所有已配置的策略视图,通过策略总览页面,管理员可以直观查看策略信息(哪些策略在生效、其控制动作、策略优先级、策略的生效时间等等)和进行各种策略配置,如创建/ 修改/ 复制/ 删除/ 查询/ 激活/ 关闭策略、生成策略报告等等,策略总览页面支持的审计策略共有 6 大类23 种策略,具体如下:
式下可对策略进行所有操作如创建、修改、删除、查询等;而用户模式则偏重于用户维度的策略展示,即有哪些策略作用于指定用户,管理员只能查看这些策略,不能进行策略修改。
下面以列表模式进行说明:。