安装部署
1网桥模式(透明串接)
掌握ICG/NPS设备透明网桥模式部署及设置;
了解网桥模式下某些应用(WEB认证、准入规则等)可以正常使用的注意事项,能正确配置设备以实现这些功能;
掌握多网桥的上线部署及设置。
1掌握ICG/NPS设备透明网桥模式部署及设置
网桥模式
NS-ICG安装于企业内部网络与防火墙/路由器之间的任意位置。单网桥网络拓扑实例如下图:
图0-1 单网桥模式下网络拓扑实例图
在网桥模式下有两个重要配置:
◇NS-ICG的IP地址:用于访问NS-ICG。可设为企业内网上的任意IP(出厂默认配置192.168.1.23/255.255.255.0)。
◇NS-ICG的默认网关:网桥模式下,请将NS-ICG的默认网关指向该企业所使用的网关(即防火墙/路由器内部IP),如192.168.1.254。
网络管理者可通过NS-ICG提供的Web管理界面来管理系统。相应的管理界面的地址为“https: //NS-ICG的IP地址”,如https: //192.168.1.23。
多网桥模式,又称多入多出模式。它是在单网桥的基础上增加了多个桥路,将网口划分
为多个组,每组一个入口一个出,实现了多路且独立的单入单出。多网桥模式实现了一台NS-ICG设备对公司内部多条链路同时控制的功能。网络拓扑实例如下图,以双入双出为例:
图0-2 双网桥模式下网络拓扑实例图
在多入多出模式下有两个重要配置:
◇线路的IP地址:用于访问NS-ICG。可设为企业内网上的任意IP,各条线路必须处于不同的网段。
◇NS-ICG的默认网关:设定为该企业所使用的网关(即防火墙/路由器内部IP),如192.168.1.254。
配置向导共有五步,只有完成了前一步才能进入下一步。配置向导仅限于配置网桥模式和网关模式,不支持镜像模式。具体每一步的配置在后续章节详细介绍。
基础配置
NS-ICG出厂设置时默认IP地址是“https://192.168.1.23”,在浏览器中输入该地址后登录系统并通过【系统管理】→【网络配置】→【基础配置】进入到如下图所示页面:
图0-3 基础配置配置
模式选择中说明了NS-ICG支持的模式,如:网关模式、网桥模式(单网桥模式和多网桥模式)、镜像模式。关于这几种网络模式适用的网络环境是怎样的、如何选择适合本企业的网络环境,请参考【错误!未找到引用源。错误!未找到引用源。】章节。本节主要介绍各种网络模式的配置方法。
网桥模式
单网桥模式
刚进入基础配置界面时,系统默认的是单网桥模式。如下图:
图0-4 单网桥模式
系统默认只存在一条线路,并且内外网口默认为eth1和eth0,具体设置如下:
◆模式选择:网桥模式下需要设置桥IP地址、掩码、内外网口及缺省网关;
◇IP地址:用于访问NS-ICG。可设为企业内网上的任意IP,比如192.168.1.23。
◇IP掩码:根据企业实际网络环境设置,如255.255.255.0。
◇缺省网关:请将NS-ICG的默认网关指向该企业所使用的网关(即防火墙/路由器内部IP),如192.168.1.254。
◇外网口:选择连接外网的接口。系统默认为eth0口。
◇内网口:选择连接内网用户的接口,系统默认为eth1口。
◆网口状态:显示当前设备的网口状态,当鼠标停留在网口上时,将显示该网口的详细信
息,如接口类型、接口速率等。
配置完毕后,点击“确定”按钮保存配置。
其他如DNS配置、静态域名解析、trunk、多IP配置等请参考后续章节。
2了解网桥模式下某些应用(WEB认证、准入规则等)可以正常使用的注意事项,能正确配置设备以实现这些功能
图0-5 新建属性组
◆组名称:必填,填写属性组名称;“/”双引号中的特殊字符不能作为组名称,组名称中
也不能含有这些特殊字符,组名称不能超过30个字符;
◆组描述:选填,填写描述信息;
◆属性设置:属性类型主要有两种:基本属性和扩展属性,基本属性包含用户名、登录名、
IP、MAC和用户组,扩展属性包含姓名、显示名、办公室等等用户的扩展属性。双击属性名称,属性值栏出现输入框,可输入属性关键字进行用户过滤,所有属性都是精确匹配的,但是除去IP、MAC、用户组外,其他属性也支持模糊匹配,方法是在属性值的前后加上*号,如用户名属性值是*2*,表示这个属性组匹配所有含有2的用户名,如
用户名属性值是2*,表示这个属性组匹配所有以2开头的用户名,如用户名属性值是*2,表示这个属性组匹配所有以2结尾的用户名。
第2步,设置属性后,点击“保存”。然后点击右上方“立即生效”按钮。
创建的属性组则会显示在属性组列表中,点击“用户信息”链接,可以查看所有满足属性设置的用户。
用户对象
用户可以选择用户组织结构中的某些用户,新建一个用户对象,策略选择用户列表中可以勾选该用户对象。
第1步:通过【用户管理】→【用户管理】→【用户对象】进入如下图所示页面:
图0-6 用户对象列表
第2步:点击右上角的“添加”按钮,弹出用户对象编辑页面,如下图:
图0-7 用户对象编辑页面
名称:添加用户对象名称,可以添加64个字符;
描述:添加用户对象描述,可以添加1024个字符;
用户信息:点击“选择用户”按钮,在弹出的用户组织结构列表中选择要添加的用户,确定,则被选择的用户就成为该用户对象中的成员。
认证管理
用户是NS-ICG互联网控制网关的主体对象,无论是制定策略、或是统计报告、数据分析都是基于用户。NS-ICG提供了多种识别和认证方式,供企业灵活使用。认证管理共包括五个模块:
认证配置·······························选择用户上网时采用何种识别认证方式。
认证策略·······························设置认证方式,可针对不同用户采取不同的身份识别
及上网认证方式;
登录界面·······························开启WEB认证时,管理员可以自行配置WEB认证登
录界面。
认证成功页面
用户绑定·······························设置IP、MAC、登录名之间的绑定关系
认证配置
认证配置中主要对用户识别及认证进行普通配置及高级配置,主要包括:
透明识别配置························支持各种透明识别或认证,如pop3识别、pppoe认证,
机器名识别、AD识别、HTTP代理用户认证等等web认证配置 ························进行web认证的初始密码等配置;
认证高级配置························进行认证的全局配置,web认证高级配置和客户端认
证高级配置;
短信认证配置························进行短信网关的账号、密码,以及密码有效期等相关
的配置;
提示信息设置························设置账号黑名单及登录失败时的提示信息;
透明识别配置
透明识别主要支持如下图所示类别:
图0-8 透明识别配置
管理员可以开启多种透明识别方式,当ICG的认证策略中用户身份确认方式为“透明识别”时,ICG会根据开启的透明识别方式对用户身份进行识别,通过认证策略,对不同的用户采取不同的透明识别方式,达到用户身份识别的多样性。下面介绍ICG支持的透明识别方式:
?Kerberos认证
现有的AD域服务器一般都使用Kerberos协议。Kerberos协议是一种计算机网络授权协议,用在非安全网络中,对个人通信以安全的手段进行身份认证。用户只要登录域,就能被识别。NS-ICG在用户登录域时,取得登录账号信息并做识别。详细如下:
第1步:企业已经配置了域服务器,且配置了用户的域账号和密码;
第2步:点击kerberos认证列的“未配置”,进入下图进行配置:
图0-9 kerberos认证
第3步:输入域服务器的IP地址或域名以及端口号。如:192.168.30.252:88,或者eng.qa2000:88。多个之间请用半角逗号分隔。如果输入如192.168.30.252,则认为端口使用默认的88端口。
第4步:点击“确定”按钮;
第5步:将“默认认证方式”设置为“kerberos认证”;
第6步:若想让最新的配置立即生效,请点击右上方“立即生效”按钮。
此时用户只要使用域账号登录,则NS-ICG就能识别出用户账号。在【系统监控】→【上线用户】中类型为“透明认证”,状态为“登录名识别”。
?POP3识别
POP3认证是指,NS-ICG在用户和企业邮件服务器间进行交互的时候,取得其使用的邮件账号信息来识别用户。详细如下:
第1步:企业已经配置了邮件服务器,且为内网用户配置了用户名和密码。
第2步:点击POP3认证配置列的“未配置”,进入下图输入邮件服务器的IP/域名(如211.100.26.54或者https://www.doczj.com/doc/0b17669698.html,)和端口,端口号默认为110,如下图:
图0-10 POP3认证
第3步:设置完毕后,点击“确定”按钮保存配置。
第4步:将“默认认证方式”设置为“POP3认证”
第5步:若想让最新的配置立即生效,请点击右上方“立即生效”按钮。
此时内网用户上网时,只要使用POP3协议接收邮件,NS-ICG就可以识别出其对应的邮件账号信息,并可以在【系统监控】→【上线用户】中查看详细信息。如下图所示:
图0-11 透明认证-POP3认证
上图用户列中显示的是该用户的邮件账号,类型为“透明认证”,状态为“登录名识别”。
?PPPOE认证
PPPOE(Point-to-Point over Ethernet),是以太网上的点对点协议。它是将点对点协议(PPP)封装在以太网框架中的一种网络隧道协议。由于协议中集成了PPP协议,所以实现了传统以太网不能提供的身份验证、加密及压缩等功能。
目前有一些企业或组织中利用该功能让用户上网,为了识别这些用户,我们提供了PPPOE认证。它通过读取用户上网时所提供的账号和密码来达到识别用户的目的。方法如下:
第1步:企业已经配置了PPPOE服务器,且配置了用户的账号和密码;
第2步:在认证配置主界面将默认认证方式设置为“PPPOE认证”;
第3步:点击PPPOE后面的配置,打开PPPOE登录名设置方法配置界面,如下图所示:
图0-12 pppoe登录名获取方法配置
头部和尾部均为0到10的数字,系统识别的账号为:最初的登录名去掉头部n个字符,去掉尾部m个字符之后,剩下的字符串,如果头部和尾部的数值之和大于等于登录名长度,系统识别到的登录名则为初始登录名,不做截取。
例如,登录名为abcdefghijk,头部为3,尾部为2,那么最后识别到的登录名则为defghi;如果设置头部为5,尾部为7,系统识别到的登录名则为abcdefghijk。
第4步:若想让最新的配置立即生效,请点击右上方“立即生效”按钮。
当用户上网,弹出如下图所示窗口:
图0-13 PPPOE识别拨号
用户输入PPPOE中设置的账号和密码,点击“连接”按钮上网后,NS-ICG就能识别出用户账号及其当时所使用的IP地址信息,在【系统监控】→【上线用户】中类型为“透明认证”,同“错误!未找到引用源。”所示。
?机器名识别
机器名识别是通过识别内网用户的PC机机器名来识别用户,该功能尤其适用于DHCP 动态分配IP地址等IP地址不固定网络的环境中。机器名识别功能本身对于PC机的命名没有任何限制,但是为了便于组织识别用户,建议组织内的PC机按照一定的规则命名。
机器名识别的详细使用方法如下:
在透明识别配置标签页将机器名识别的状态置为,然后点击右上方“立即生效”按钮。
此时内网用户只要上网,NS-ICG就能识别出其使用的PC机的机器名信息,在【系统监控】→【上线用户】中识别为“透明用户识别”,如下图所示:
图0-14 机器名识别
通常情况下,【系统监控】→【上线用户】中“用户名”是以“机器名+MAC地址”的格式显示,但有时因PC机、环境等因素可能会导致偶尔获取不到机器的MAC地址,此时“用户名”则是以“机器名”的格式显示。
?城市热点联动
在很多高校网络中都部署了城市热点上网计费系统,ICG与城市热点上网计费系统进行联动,通过透明用户识别,在ICG中以城市热点上网计费系统中的用户名来标识用户。如果想使用该功能,请和相关的客户服务人员联系。
?RADIUS账号认证
目前有一些企业或组织中部署了radius认证服务器,用户需要到radius认证服务器上进行radius认证,而ICG可以识别出用户的radius认证账号,从而得到用户与radius账号的一一对应关系。
此外,ICG还提供radius认证功能,radius认证功能指的是内网用户通过ICG向radius认证服务器进行身份认证,由radius认证服务器将结果返回至ICG,RADIUS账号认证与RADIUS认证的区别是RADIUS账号认证是一种识别方式,不参与用户的认证过程,仅从用户流量中提取radius账号信息,而radius认证参与用户的认证过程,用户需要通过ICG与
radius认证服务器进行身份认证。
而radius账号识别是内网用户不通过ICG向radius认证服务器进行身份认证,ICG只对内网用户进行身份的透明识别。
?深澜计费系统联动
ICG可以与深澜计费系统实现无缝对接,当勾选了“深澜计费系统联动”后,ICG可以识别深澜计费系统的登录用户,并且以深澜计费系统中的用户名来显示各类审计结果。?移动WLAN账号认证
ICG还支持中国移动WLAN业务的账号识别,目前主要支持CMCC、江苏移动、湖南移动、广东移动还有其他省份的WLAN账号,当管理员勾选了“移动WLAN账号识别”之后,下面的子项才可以勾选,管理员可以根据需要进行设置。
?AD识别
如果企业内网中已经存在了AD域服务器进行内网用户的身份认证,而又不想改变目前认证方式但还需要对内网用户进行身份识别和上网行为审计控制的话,那么可以采用AD识别这种透明用户识别方式。该识别方式与网络环境无关,只要AD域服务器与ICG可以连通,并且登录域服务器上的管理员具有一定的操作权限即可(允许WMI服务权限和远程查看安全日志权限)。AD识别具有识别率高、不添加任何客户端程序、配置简单的优点。AD识别设置界面如下:
图0-15 AD识别
◆AD识别:勾选,则开启AD识别功能;
◆AD连通性测试:在下方设置完用户名、密码和AD域服务器IP地址之后,必须点击“AD
连通性测试”按钮,进行网络连通性和用户名、密码、IP的正确性测试,通过测试后,再进行配置保存。
用户名/密码:填写登录AD域服务器的用户名和密码,只支持字母、数字和下划线;输入的用户名如果包含下列字符/ \ [ ] : ; | = , + * ? < > @ ",系统将给出提示转换成_;用户名不支持%,最长支持20个字符,密码支持127个字符。
◆IP地址:填写AD域服务器的IP地址,支持多个IP,多个IP地址须用半角;分隔,多
个域服务器的登录账号需一致,即都可用上方设置的用户名和密码进行登录;
设置完毕后,点击“AD连通性测试”进行网络连通性和账号检查,测试通过后,点击配置界面的“确定”按钮保存配置。若想让配置立即生效,请点击右上方“立即生效”按钮。
开启了AD识别功能后,当内网用户登录域后,ICG在上线用户页面能够识别出用户的用户名,如果该用户名不存在组织管理下,那么会自动加入到第三方用户。
域服务器上开启登录账户的查看日志权限
在window server 2003中文版服务器上新建用户,将其添加到administrator组即可。
在window server 2008中文版服务器上新建用户,将其添加到Builtin组中Event Log Reader权限组即可。
域服务器上开启登录账户WMI权限
以windows server 2008中文版为例,点击开始-管理工具-计算机管理-服务与程序-WMI 控制-更多操作-属性-“安全”标签页-选择root下CIMV2目录-安全设置-添加-添加已存在的用户-分配允许远程启用的权限-更改作用范围为本空间以及子空间。具体如下图:
图0-16 分配WMI远程启用权限
图0-17 更改作用范围
?数据库识别
目前,企业或者机构均采用的第三方认证系统多种多样,除了主流的AD域,LDAP之外,在不同的行业还采用了深澜、城市热点等认证系统,为了更好的与众多第三方认证系统达到有效联动,并且提高设备维护效率,ICG提供了数据库识别功能,通过底层通用接口,实现与不同认证系统间的用户信息导入、识别信息联动的功能,无论第三方服务器是什么系统,什么版本,或者改动了什么配置,只要第三方服务器的数据库类型与ICG的数据库识别类型相匹配,即可实现用户信息的有效识别。ICG支持多个数据库多表数据库识别上下线功能。
数据库识别如下图:
图0-18 数据库识别
◆数据库类型:选择数据库类型,支持SQL SERVER、ORACLE、MySQL;
◆IP:填写数据库IP地址;
◆端口:填写数据库端口号;
◆登录账号/密码:填写登录数据库的账号/密码;具有可读权限的用户帐号即可,避免使
用管理员权限;
◆数据库名:填写数据库名称;
◆查询编码:选择查询编码,支持UTF8、GBK、BIG5三种编码方式;
◆查询语句:填写数据库查询语句,主要用于从目标数据库的数据表中提取出ICG需要
的字段,ICG必需的字段有ip和username,ip保存ip地址,username保存用户名,目标数据库的userdetail表里含有ip,username字段,那么可以直接读取这些字段作为ICG识别用户的依据,例如目标数据库有一张表ONLINE_USER,其中USER_IPV4字段保存ip,USER_ID字段作为用户名,那么查询语句应该写成Select USER_ID as username,USER_IPV4 as ip from ONLINE_USER
◆轮询时间:单位秒,指每隔多少秒去目标数据库查询一次;
填写完毕后,可以点击“连接测试”来查看与目标数据库的连接以及查询查询是否成功;
若连接成功,则可以点击“确定”保存配置,然后点击右上方“立即生效”。
ICG 支持多数据库识别,如下图:
图多数据库识别0-1
系统在轮询时刻主动去检查数据库表,数据表中新增用户将自动上线,数据库表中删除用户,ICG将触发下线。数据库中有修改用户,原有用户下线,新用户上线。
?HTTP代理用户认证
HTTP代理用户认证,是指企业网络环境中已有第三方代理服务器存储着用户名和密码信息,并由这些服务器进行认证。而NS-ICG只是通过和这些服务器建立关系,获取IP和用户的对应关系。
HTTP代理用户认证支持两种认证方式:NTLM认证和BASIC认证。在认证配置的主页面中点击“HTTP代理用户认证”的“未配置”链接弹出如下图所示窗口:
图0-19 HTTP代理用户识别
NTLM,是NTLAN Manager的缩写。NTLM认证下,NS-ICG局域网内所有用户都需要通过第三方代理服务器认证后才能上网。NS-ICG可以通过提取HTTP请求中用于认证的用户信息,建立起IP到用户的对应关系,同时将这些信息通知给认证中心,使其他模块也建立“IP-用户”映射表,从而达到识别用户的效果。用户是否能够通过认证由提供认证的认证服务器负责,系统仅仅建立IP-用户名的对应关系。同理BASIC认证。HTTP代理用户识别的使用方法是:
◇第1步:企业已经配置了NTLM服务器/BASIC服务器,且导入了用户名和密码。
◇第2步:在上图中选择“NTLM认证”或者“BASIC认证”,并点击“确定”按钮。
◇第3步:将“默认认证方式”设置为“HTTP代理用户认证”。此时NS-ICG自动开启了外部代理功能,在【系统管理】→【系统配置】→【系统参数】中的“外部代
理配置”为开启状态。并在外部代理配置中手动将端口号与企业的NTLM服务器或
BASIC服务器的端口号保持一致,点击“确定”按钮。
◇第4步:若想让最新的配置立即生效,请点击右上方“立即生效”按钮。
此时网内用户上网时,需要在IE浏览器中设置代理,并在弹出的web认证窗口输入正确的用户名和密码后才可以访问网络。
透明用户认证
透明用户识别,可以认为是单点登录(Single Sign On),它是目前比较流行的企业业务整合的解决方案之一,被定义在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。