标题:网页浏览策略-用户自定义方式 1.实现功能 A、禁止研发部张三上班时间访问URL中包含taobao关键字的网址,当触发条件后 通过邮件报警告知管理员; 2.配置要点 配置需要控制的用户 配置控制的时间 设置关键字对象 配置报警对象 配置策略 2.1.配置需要控制的用户 点开【用户管理】-【用户管理】,鼠标单击【ROOT】,然后【新建组】,添加【新建普通组】 【组名称】填写“研发部”,【所属组】选择对应的组目录,本案例默认在根目录下即【ROOT】组下,选择后点击【保存】,组目录创建完毕 完成添加后,我们会在组织管理的目录里面看见刚才创建的目录【研发部】;其他部门,可以按照类似的方法创建;
接下来,在研发部门这个目录下面创建用户,单击【研发部门】-【新建用户】 以张三为例,填写完毕,如果还有其他的用户,那么可以继续添加 注:用户名称、所属组是必填项,其他可以任意填写
2.2.配置控制的时间 在【全局配置】-【对象设置】-【时间对象】中,点【+添加】,设置相应时间段 点击确定,时间段创建完毕,如果需要设置其他时间段,方法一样 2.3.配置关键字对象 选取【全局配置】-【对象设置】-【关键字对象】,点【+添加】 设置关键字对象的名称,输入URL关键字,点击确定后,设置完成。
设置完成后,在关键字对象里面显示定义好的对象 2.4.配置报警对象 选取【系统管理】-【系统配置】,在【系统设置】里选择【邮件服务器】
这样,邮件服务器就设置完成了; 接下来需要设置报警的对象;在【全局配置】-【对象设置】-【报警对象】中,点【+添加】 设置报警内容,设定报警级别,勾选邮件报警的方式,填写管理员的邮箱
网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。 主要功能: 1、精细应用识别,管控您的网络 ●DPI+DFI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制 ●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为,针对 发帖敏感关键字设置过滤,并支持 主动报警 ●对开心网、QQ农场等网页游戏, 以及魔兽世界等多种主流网络游 戏进行识别并控制 ●支持30余种主流炒股软件,并可 细化识别行情查询与在线交易,加 以区分控制 2、专业网页分类,健康您的网络 ●国际领先的网页预分类技术,对含 有有害、不健康内容的网页进行过 滤,创建文明健康上网环境 ●高达1600万条全球规模最大的中 文URL数据库,全面覆盖中文地区 站点,确保分类准确无遗漏 ●本地智能识别分类引擎,采用专业 自学习算法为URL数据库覆盖范 围外的网址提供实时智能识别 3、终端用户准入,规范您的网络 ●20余种用户身份识别/认证方式, 确保入网用户身份合法有效,避免 外来隐患 ●对计算机终端环境进行管理,帮助 管理者实施计算机准入规范 ●如:必须安装杀毒软件方可上网; 禁止安装、运行与工作无关的应用 程序等 4、带宽合理分配,优化您的网络 ●精确识别各种互联网应用,包括各 种对带宽占用极大的主流P2P软 件与在线视频软件 ●基于应用或用户对流量进行管理, 对指定类型的流量进行限速,避免 占用过多网络带宽 ●为关键业务提供带宽资源保障,保 留足够可用带宽,保障服务质量 5、实时监控审计,洞悉您的网络 ●查看上线用户的网络使用时间与 流量信息,及时发现异常用户并加 以处理 ●全面了解用户上网行为,包括网页 访问、邮件收发、即时聊天、论坛 发帖、网络娱乐等所有互联网活动 ●对于用户通过邮件、聊天、论坛等 外发的言论信息进行合理监控,及 时过滤有害信息 网康互联网控制网关NS-ICG 7110 适用于:5000-20000人规模,300-1000M出口带宽的网络环境
网康ICG 产品部署之串旁模式 一、串旁接入介绍 串旁模式就是在物理串接的前提下,引擎旁路模式,在此模式下,引擎效率相对较高,但部分功能无法实现(BYPASS 域名功能、网页重定向功能、网页脱机功能) 二、串旁接入部署 串接模式可部署与以下任何网络中 三、串旁接入方式 ,提供PPPOE 功能 信号的 运营商 的接入层出现
这样做对客户的价值:对于现有网络无需更改任何路由,拓扑。设备就像一个网线接头,很方便。无改造风险,即使设备坏了,可以bypass不影响网络,也可以直接拿下,不用额外的恢复操作 特殊说明:即使网口富裕,网康单个设备最多2个透明桥。 解释:多个线路在一个设备上单点故障的风险过高,2个线路是比较合适的 特殊说明:每个透明桥最多只能2个网口,一入,一出。不能做到单桥多入/出 解释:内容过滤产品通用做法 四、串旁接入机理 一个透明桥实际上就是一个虚拟的交换机(可以看成是一个不对公布VLAN ID的VLAN)每个透明桥就好象一个2层交换机,完全符合交换机的转发原理。在报文转发过程中,不改变报文的任何信息,例如IP地址,MAC地址等,是完全透明的。 目前设备的透明桥之间是不能相互转发信息的,也就是两个透明桥是完全独立的,可以认为是分别独立的物理线路 通过内外网口的设定,决定哪个口收到外出报文,那个口收到的是回程报文,继而进行 报文分析,审计,统计
五、串旁模式前提操作 1、先期准备- - 每次新机要先能通过浏览器访问设备的控制界 目前版本下新机的默认地址配置在E1口上,地址是192.168.1.23 / 255.255.255.0 如图连接好设备和计算机网口,将计算机的IP地址配置成为192.168.1.xxx/24 通过https://192.168.1.23 访问设备即可进行后期的配置 如果不是新机,并且不知道设备的IP地址是什么或不知道接口是怎么配置的,可以通过串口命令行方式进行设备的基础信息获取。 命令行采用超级终端,速率9600方式访问。
网康智能流量管理系统(NS-ITM) —— 产品概述 网康智能流量管理系统(NetentSecIntelligentTrafficManager,NS-ITM)是网康科技推出的基于应用层的、专业的流量管理产品,NS-ITM基于时间、VLAN、用户、应用、数据流向等条件,通过监控网络流量、分析流量行为、设置流量管理策略,实现全面的智能流量管理。 需求背景 随着信息技术和网络技术日新月异的发展,特别是国际互联网的出现、发展及逐渐普及,各行各业的信息化实现了跨跃式发展,信息技术应用的深度和广度上也达到前所未有的地步,各种依托于网络的新兴应用层出不穷,在极大丰富了人们的互联网生活的同时,网络带来了诸多问题,给企业、单位的网络管理者带来了新的挑战。 一方面企事业单位各种关键应用(如:ERP、CRM、OA系统、视频会议系统等)对带宽和延迟提出了更高的要求;另一方面P2P下载、网络电视、即时通讯及在线购物等与工作无关的应用日益泛滥。企事业单位有限的网络资源正被P2P下载、网络电视等应用所吞噬,关键应用的服务质量得不到保障。网速越来越慢、网络业务中断越来越频繁,不仅极大浪费了宝贵的带宽资源,也严重影响了本单位关键应用的正常运行。 功能特性 应用流量分析 分析网络中的流量成分是流量控制的基础步骤,网康ITM提供了丰富的流量分析功能,不仅能分析网络中流量的大小,更能清晰的展示网络中流量是由哪些应用构成的,每种应用所占用的带宽资源是多大。 通过实时监控功能,能够实时展示设备及链路的流量走势情况、带宽占用情况等内容,同时,还能够通过不同维度对目前一段时间内的流量进行实时分析,如并发连接数走势、新建连接数走势、应用占用带宽排名、用户带宽排名等。 通过查询统计功能,能够对历史流量进行综合统计分析,根据不同的分析条件,对指定时间、指定用户的各类应用流量进行统计,从而展现整个网络一段时间内的网络流量情况,特别的,网康ITM支持递进式查询和多维关联分析,带来更详尽的分析效果。 应用流向分析 网康ITM不仅能够对网络中的流量成分进行分析,还能对网络流量的流向进行分析展示。通过运营商流量统计,对不同目的去向的流量进行统计分析,能够展示出指定时间内的流量流向情况,展示去往不同运营商的流量大小、流量应用分布等情况,能够快速获取去往不同运营商的流量大小、流量成分等情况。 此外,网康ITM的流量流向分析还能够展示应用智能选路功能的选路效果,实时展现智能选路策略下发后流量的改善情况,不仅能够帮助验证智能选路功能的有效性,也便于掌握智能选路后的网络流量情况。 应用质量分析 由于不同类型的网络应用对网络的质量要求不同,同时每个人对应用质量好坏的感知判
网康互联网控制网关(NS-ICG) —— 产品概述 网康互联网控制网关(Internet Control Gateway, NS-ICG)是一款专业的上网行为管理产品,是一款软硬件一体化、性能卓越的互联网控制管理产品。NS-ICG旨在帮助客户最大化利用互联网价值,为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。 需求背景 随着互联网的发展,各种依托于网络的新兴应用层出不穷,网络中充斥着各种良莠不齐的信息,在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时,也带来了不少负面效应和安全隐患。网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题,给企业、单位的网络管理者带来了新的挑战。如何管好、用好互联网,成为了IT管理者迫切需要解决的问题。 传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。 功能特性 终端准入 网络终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。网康ICG能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则,提升终端设备的安全级别。 用户管理 “人”是上网行为管理的主题,因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。网康ICG提供了丰富的用户识别、认证方式,识别认证手段多达20多种,适应各种不同的网络环境,能与网络原有用户认证及管理系统轻松联动,例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。此外,网康ICG能够建立与企业真实情况相同的用户组织架构,将虚拟的网络活动与真实的人员对应,提供符合企业实际的用户管理能力。 网页过滤 丰富的网页内容良莠不齐,充斥许多反动、暴力、色情等不健康的信息,此外,夹杂在80端口中的病毒、木马等危险内容的入侵,为内网用户带来安全风险。网康ICG提供灵活的策略设置,能够对娱乐、病毒、色情等非法违规网站及含有安全隐患的网页进行过滤,避免用户访问非法网页带来的危险。网康ICG内置高达2000多万条的全球最大中文网页分类库,每天300万条的更新频率,确保静态网页识别的准确性。同时,网康ICG采用云技术,对未识别的网页进行实时分类回传,提升对动态网页识别的准确性。 内容审计
网康互联网控制网关ICG安装配置一指禅 1. 设备拆箱,上电运行,正常情况下开机3分钟后设备即可正常运转; 2. ICG系统初次安装时的默认地址配置在桥1上(E0/E1),桥口的IP地址是192.168.1.23。如图连接好设备(桥1的LAN口,即E1口)和计算机网口,将计算机的IP地址配置为192.168.1.xxx/24(与桥口的默认IP地址同网段) 3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG(注意是https而不是http),点击“继续浏览此网站(不推荐),输入默认用户名:ns25000,默认密码:ns25000;
4.登录之后的WEB管理界面如下图所示; 5. 通过【系统管理】-【网络配置】-【网络配置】进入网络配置界面,默认使用网桥模式管理设备。根据学校网络实际情况,修改设备的网桥口IP地址,IP掩码,缺省网关,DNS 服务器。(例如将默认的192.168.1.23改为192.168.19 6.53)
6. 修改网络配置的时候设备网卡会重启,网络中断约30秒左右,此时将计算机的IP地址配置为x.x.x.xxx/24(与桥口新配置的IP地址同网段,例如192.168.196.100),使用PC 浏览器重新登录设备,确认可以通过新IP地址访问WEB管理页面; 7. 将设备安装上机架并固定,以透明网桥的模式,串接在互联网出口设备(防火墙/路由器)和核心交换机之间,WAN口(eth0)连接防火墙/路由器,LAN口(eth1)连接核心网交换机,如下图所示; 8.确认设备串接后互联网访问恢复正常,若出现长时间断网情况,请及时进行回退,恢复原先网络连接,检查线路连接情况,判断故障原因,准备下次割接; 9.确认设备正常串接且互联网访问恢复正常后,通过学校内网中任意一台计算机访问设备管理页面,通过图形化界面观察网络运行情况; 10. 进入【系统管理】-【集中管理】页面,输入教育局集中管理平台的IP(10.20.1.141),如下图示例,以便于区教育局进行统一的设备管理和策略下发; 11. 根据教育局等主管单位的相关规定,配置各项上网行为管理策略。
功能介绍 1、用户可以使用各种浏览器对设备进行访问控制,设备管理界面的访问不需要安装任何插 件; 2、URL库数量超过1400万条,覆盖国内网站; 3、在 URL库中,支持对URL类别的二级子类控制; 4、支持对以IP方式访问网站进行过滤控制; 5、对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义; 6、支持仅审计某邮箱地址发出或接收的邮件; 7、支持仅审计包含某类型附件的邮件收发内容; 8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件; 9、可控制允许外发邮件附件的大小范围; 10、可自定义设置不需审计的发帖网址; 11、能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字; 12、可单独控制用户的某项互联网应用每日上网时长限额; 13、可查询被阻断的web访问纪录。可根据预设的web过滤策略,实现对违禁访问网页 行为的查询; 14、支持对发帖网址和发帖正文关键字查找,记录内容包括:用户、时间、论坛地址、 正文和附件; 15、可查询被策略阻塞的应用记录,包含匹配的策略名称; 16、支持POP3邮件账号用户识别; 17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中,并可选择将该IP暂时 屏蔽还是永久屏蔽; 18、可提供在软件系统异常时硬件直通保护; 19、提供主动式一键直通切换,设备上提供直通按键,协助管理员迅速排查网络故障; 20、能够识别控制国内主流的P2P下载软件,如:迅雷,BT,电驴等,要求对于加密的 下载协议也能识别控制; 21、能够识别控制国内主流的网络电视应用,如:PPLive,土豆网,酷6,6间房等; 22、能够控制国内主要网络游戏,如:联众游戏,魔兽世界,梦幻西游等;
网康互联网控制网关解决方案 北京网康科技有限公司 2011年7月
目录 1、互联网行为管理理念 (4) 1.1互联网管理的发展 (4) 1.2互联网管理的几个方向 (4) 1.3互联网管理的内容 (6) 1.4互联网管理解决什么问题 (7) 1.5网康科技上网行为管理理念–洞悉,管控,驾驭 (7) 2、互联网管理方案设计 (8) 2.1目前用户普遍存在的问题 (8) 2.2系统设计必须考虑的功能因素 (8) 2.3系统设计必须考虑的技术因素 (9) 2.4单位用户通用行为内容构成 (10) 2.5修复隐患点各功能模块概述 (11) 3、总体设计方案 (13) 3.1建设目标 (13) 3.2审计功能实现 (13) 3.3实施非明文文件传输隐患规避 (19) 3.4查询模式建议和监控 (23) 4、网康NS-ICG介绍 (30)
4.1设备系统的安全性 (30) 4.2可靠性原则保障和易用性 (31)
1、互联网行为管理理念 互联网作为一个拥有完全社会特征的虚拟环境,其管理与单位的管理密不可分,然而互联网的管理复杂度远超过一般的单位管理。互联网管理包括:风险管理、合规管理、行为管理和链路管理。 1.1互联网管理的发展 从互联网使用的历程来看,首先是接入,让互联网可用;其次是高效率,出口链路的流量管理;然后是访问控制,让大家安全合理的使用互联网;最后上升到员工行为分析和管理。 归纳起来,一是关注上网权限(什么样的人允许使用互联网),二是关注上网速度(保证起码的办公需要),三是关注上网内容(泛指各种互联网应用及其信息),四是员工行为分析和管理。实际上,使用权限、访问速度、上网内容、行为分析密不可分,都是互联网管理的重要组成部分。 完整的互联网访问管理遵循“记录—分析—决策—实施策略—再记录、分析”这样一个螺旋式上升的,逐步完善的过程。 1.2互联网管理的几个方向 ●权限管理 对互联网的使用是不是开放的,需要什么样身份的人才可以接入网络。 ●链路管理 链路管理是互联网管理的基础,主要是如何保障互联网出口链路的畅通、高速。 链路管理包括带宽分配、流量整形、异常流量的防护等。 ●风险管理
网康科技 NS-ICG MIB库手册 V1.1 2011年11月
目录 网康ICG MIB库手册 (1) 目录 (2) 1 公有MIB (3) 1.1SNMP mib-2根节点:1.3.6.1.2.1 (3) 1.2系统组:system组包含以下对象集(.1.3.6.1.2.1.1): (3) 1.3接口组:interfaces组包含以下对象集(.1.3.6.1.2.1.2): (3) 1.4地址转换组:at组包含以下对象集(.1.3.6.1.2.1.3): (4) 1.5网际协议组:ip组包含以下对象集(.1.3.6.1.2.1.4): (4) 1.6ICMP组:icmp组包含以下对象集(.1.3.6.1.2.1.5): (6) 1.7TCP组:tcp组包含以下对象集(.1.3.6.1.2.1.6): (7) 1.8UDP组:udp组包含以下对象集(.1.3.6.1.2.1.7): (8) 1.9HOST组:host组包含以下对象集(.1.3.6.1.2.1.25): (8) 1.10SNMP组:snmp组包含以下对象集(.1.3.6.1.2.1.11): (9) 2 添加私有信息查询 (9) 2.1ICG根节点 (10) 2.2ICG系统组:包含以下对象集(.1.3.6.1.4.1.37157.1.1): (10) 2.3ICG设备组:包含以下对象集(.1.3.6.1.4.1.37157.1.2): (10) 2.4ICG网络组:包含以下对象集(.1.3.6.1.4.1.37157.1.3): (11) 2.5ICG系统资源组:包含以下对象集(.1.3.6.1.4.1.37157.1.4): (11) 3 添加报警发送信息 (11) 3.1ICG报警组:包含以下对象集(.1.3.6.1.4.1.37157.1.5): (11)
网康应用安全网关ASG —— 产品概述 NS-ASG 产品是集IPSEC VPN和SSL VPN为一体的新一代VPN产品,为客户实现安全、易用、高效的连接。 需求背景 要想有效率且安全地运作网络服务,会遇到如下问题: ●不在单位内网的员工可能使用各种移动终端访问公司内网的CRM/OA/知识库等应 用系统 ●有较多分支机构,租赁端到端的专线价格昂贵 ●重要的专线资源没有备份,出现问题会造成业务中断 ●高校用户从外网访问教育网资源速度过于缓慢 ●WLAN等移动网络因为其开放性带来的安全问题 功能特性 IPSec VPN ASG提供标准的IPSec网络层连接功能,解决异地机构安全互连的问题。 SSL VPN ASG使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。 接入用户认证 ASG支持多种静态与动态用户认证技术,用于对远程接入用户进行高精度的认证与授权。另外,这些用户认证技术可以通过功能组合的方式来完成双因素可多因素认证。 应用访问授权 ASG的用户在使用VPN服务时,直观看到的是每一个他有权使用的内部应用。用户对于应用的使用权限通过访问安全策略来限制。 终端准入控制 ASG支持对客户接入的终端计算机进行安全扫描,对于不符合安全接入条件的计算机予以屏蔽。安全扫描要素包括:操作系统种类、版本、操作系统补丁、文件、注册表、进程、杀毒软件以及IP地址等。 日志报表 ASG可以对系统管理员的登录与操作、用户登录信息、应用资源的使用以及系统错误都形成日志,并且提供了丰富的信息统计与报表工具。 产品优势 IPSec VPN+SSL VPN双通道,提供高速、强壮的互连互通 考虑到IPSec与SSL各自的技术特性,可以来综合两种技术于一般使用场景中,即远程
ICG配置简介 登陆地址格式:https://xx.xx.xx.xx(地址根据实际环境提供,注意开头是https,设备默认地址:192.168.1.23) 将电脑本机的IP地址改为与设备默认地址同段的任意地址,然后用网线与设备的E1口直连登陆界面,输入用户名和密码(系统默认用户名和密码都是:ns25000) 管理界面 上架前配置步骤: 步骤1、配置桥口地址:系统管理—网络配置—基础配置
设备默认采用透明桥接模式,且默认启用一条链路,如实际环境有两条(或多条)出口链路,需点击添加链路(需要确认设备本身支持几条链路,即有几对桥口,一对桥口对应一条链路) 根据实际环境,输入桥口IP地址、掩码和网关,确认输入无误后点击确定 多链路情况下,只需在链路2(以及其他链路)IP地址处输入一个虚地址即可,因为链路1上已经存在了实际环境中的真实地址,没有必要再去配置真实地址,这样也可为用户环境节
省资源。 配置完桥口地址后,将接入设备的电脑本机上的IP地址改为与桥口地址同段任意地址,然后重新登录设备即可访问,需要注意的是,在整个设备的配置中,只有编辑桥口地址这一个动作会使设备有个重新识别的过程,即断网(哪怕什么都不改,就只单单点击确定),所以一般情况下都是在设备上架前完成,如果上线后有需要改动桥口地址的话就要做好避免断网的准备。 步骤2、配置DNS:系统管理—网络配置—DNS配置 根据用户实际环境输入主、备DNS地址即可 步骤3、路由设置:系统管理—网络配置—路由配置 同样也是根据实际环境来配置,如果用户是二层环境的话只需配置一个默认路由即可
如是三层环境,需添加回执路由,确保能够访问到ICG设备 步骤4、管理口配置(非必要):系统管理—网络配置—管理口配置 点击启用管理口,输入IP和掩码
方案说明 保障投资回报稳定持续收入网康科技防私接解决方案 北京网康科技 2014年6月
一、客户简介 XXX 二、项目背景 运营类场景 WLAN业务和宽带业务是运营商高度重视的重点业务,高校是WLAN业务和宽带的重点发展区域,重点覆盖教学楼、宿舍楼和图书馆。 起初,这种想法是好的,即可以为高校同学提供上网环境,又可以得到稳定的业务利润。项目伊始,办理宽带业务学生数量和业务利润稳步上升。但后期发现办理宽带业务的人数越来越少,反之,办理退订业务的人逐渐增多。 具体是什么原因,导致这样的事情发生? 经过调查发现,原本办理宽带开通业务是以个人为单位的,现在变成以寝室为单位,多人共享一条宽带业务实现上网。直接导致办理宽带业务的人数骤然下降。这样的现象,对运营商造成了巨大的经济损失!如不解决学生私接路由问题,将会严重影响此项目的收支关系,甚至造成项目的投资失败。 管理类场景 在传统网络中,上网方式是DHCP动态获取地址,每个用户分配上网账号,使相关人员的上网行为做到事后可查。
但是,360随身wifi等便捷的NAT共享设备的出现,给网络管理带来两个问题: 1. 大量的非法或者不具备上网权限的终端接入网络,尤其是手机和pad 等自带的移动终端。 2. 因为多个终端使用同一个IP上网,隐藏了上网用户的真实身份,导致审计记录无法对应到真实用户上。 为保证全网上网行为的可视,校方需要有效手段限制私接路由器的行为。但是NAT技术决定了从网络层和传输层上很难做到精确识别私接路由器的行为,更无法进行有针对性的管理。 三、网康科技防私接解决方案 3.1网络拓扑图
拓扑说明: 为解决私接路由问题,以透明桥接方式在互联网出口部署网康ICG设备,对于每一个帐号或者IP进行精准分析,检测出非法私接用户,并做出相应的管理。 3.2网康解决方案 网康防私接设备ICG能够对接入网络的设备做观察、控制,能够检测到 一个用户后的终端数量,并可以对数量做策略控制,以达到掌控用户终端数量 的目的。 其主要实现下面具体的功能需求: 3.2.1主机个数的识别 防私接最核心的功能就是能够识别出一个用户所使用的终端个数,不论这个用 户采用的是分时分段上网,还是采用NAT路由或是代理同时上网的情形。如下图:防私接设备能显示被识别出存在私接情况的用户,即用户下面>=两台终端的用户。
用户管理 用户是互联网访问的标识主体(即谁在访问),是NS-ICG互联网访问管理的目标对象。出身份认证信息外,一个完整的用户定义还包含其组织信息和访问策略。每一个互联网访问都对应唯一的用户(或用户组),这是NS-ICG实现基于用户和用户组的访问控制的基础。而建立完整和准确的用户信息更是保证NS-ICG进行有效互联网访问审计(监控、查询、报表等)的关键。 用户管理模块提供全面的用户管理功能,主要有如下几个功能模块: 用户导入---------------可通过扫描当地局域网的IP导入用户、导入LDAP用户或者自定义导入用户。 组织管理---------------手动构建企业组织架构和用户信息。 认证管理---------------配置用户上网的识别和认证管理方式,可针对不同用户采用不同的识别认证方式,支持本地人证和多多种第三方认证;支持用户绑定设置。 用户导入 用户导入主要支持三种方式:IP导入、LDAP导入和网康自定义导入。IP导入主要通过扫描设备IP来进行用户导入,LDAP导入时导入LDAP服务器上的用户,而网康自定义导入则是通过TXT或者CSV文件导入用户信息。 IP导入 NS-ICG提供两种用户信息的建立方式。其一,可以通过已存在的用户信息数据源,导入到NS-ICG系统中,如依据IP地址导入用户、从已建立的LDAP服务器中导入用户、根据网康自定义格式导入用户;其二,可以通过管理界面手工管理。
第1步:通过【用户管理】--【用户导入】--【IP导入】进入如下图所示页面: 第2步:点击“扫描”或者“浏览”本地文件后点击“导入”,进入“导入用户列表”画面,如下图: 用户名:手动输入用户名; 导入选项: 导入IP与MAC:保存用户名、IP地址和MAC地址 导入MAC:保存用户名、MAC地址 导入IP:保存用户名、IP地址 填充用户名:如果选择该项,ICG 会将相应的IP 地址作为用户名进行自动填充; 选择导入位置:根据选择,导入到组织管理的指定位置(注:需提前配置好组织架构)
网康互联网 控制 网关(Internet Control Gateway, NS-ICG )是一款软硬件一体化、性能卓越的互联网控制管理产品。NS-ICG 为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。 主要功能: 1、精细应用识别,管控您的网络 ● DPI+DFI 深度行为识别技术,准确识别上百种P2P 应用,并加以限流、封堵等精细化控制 ● 支持对市面主流30余种IM 聊天工具进行识别并控制 ● 能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警 ● 对开心网、QQ 农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制 ● 支持30余种主流炒股软件,并可细化识别行情查询与在线交易,加以区分控制 2、专业网页分类,健康您的网络 ● 国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境 ● 高达1600万条全球规模最大的中文URL 数据库,全面覆盖中文地区站点,确保分类准确无遗漏 ● 本地智能识别分类引擎,采用专业自学习算法为URL 数据库覆盖范围外的网址提供实时智能识别 3、终端用户准入,规范您的网络 ● 20余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患 ● 对计算机终端环境进行管理,帮助管理者实施计算机准入规范 ● 如:必须安装杀毒软件方可上网;禁止安装、运行与工作无关的应用程序等 4、带宽合理分配,优化您的网络 ● 精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P 软件与在线视频软件 ● 基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽 ● 为关键业务提供带宽资源保障,保留足够可用带宽,保障服务质量 5、实时监控审计,洞悉您的网络 ● 查看上线用户的网络使用时间与流量信息,及时发现异常用户并加以处理 ● 全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动 ● 对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控,及时过滤有害信息 网康上网行为管理设备NS-ICG 4000系列
领先的互联网控制管理设备及服务提供商 We GURRNTEE YOUR EMPLOYEES TO DO THE RIGHT AT RIGHT TIME OVER THE INTERNET 网康互联网行为控制网关 公司简介 Company brief introduction 北京网康科技有限公司(Netentsec Inc,.)是全球内容安全领域的领导者,提供创新的上网行为管理产品和服务,帮助用户更好地驾驭和使用互联网,提升应用价值、降低安全风险。 随着用户对互联网的深入应用,经由内部访问互联网导致的带宽滥用、安全隐患、效率下降、法律风险等问题日益突显。借助网康互联网控制网关系列产品,用户可以制定灵活、有效的控制管理策略,提高对互联网访问的控制力度,通过技术手段有效解决因接入互联网而可能引发的问题,加强互联网文明建设。 作为业界领导者,网康科技不断探索最前沿的互联网控制管理技术,坚持自主创新和自主研发。经过不懈努力,凭借创新的产品理念、领先的技术优势及本地化的服务优势,网康科技实现了跨越式发展,不仅在中国市场占有率第一,还在日本打开市场,成为信息安全市场成长最快的厂商之一。 目前,全球越来越多的用户正在体验网康科技带来的更易管理、更加安全、更加文明的互联网空间。 网康互联网控制网关系列产品: 网康HR3016(200用户)网康NI3310(100-300用户)网康NI3410(200-500用户)
网康HR3416(300用户)网康HR3516(500用户)网康NI3510(300-800用户) HR系列产品介绍:HR(high repair)系列产品是网康公司为各行业中具有代表性的企业推出的一款高性能、高信价比、高标准服务的特殊配置系列。HR系列产品享有快速修复机制,在修复同时为满足用户的正常使用其系列产品享有备用机服务。是一款高性能快速修复机制的高标准机型。一般情况下不针对中小企业销售 网康互联网控制网关部分获奖: 水能载舟亦能覆舟! 上网失去控制,企业将会怎样? 网速为什么这么慢? 网络带宽资源应该等同于企业的 人力资源的、财务资源等,是企业发 展的重要资源之一。然而不加控制的 P2P下载、在线视频、网络游戏等都 可能成为网络带宽的最大杀手。 信息化的建设就是生产力的建 设,如果没有良好的带宽流量管理规 划和策略,由于滥用带宽带来的网速 慢、效率低将导致企业的综合成本增 加,而成为企业发展的绊脚石。 有多少上网时间用于工作?
标题:目的地址转换配置 1.用户场景 防火墙做网关,配置目的地址转换,将内网web服务器的80端口映射到公网,使外网用户可以访问内网服务器; 2.配置步骤 配置地址对象 配置服务对象 配置目的地址转换 2.1.配置地址对象 选择【系统配置】-【对象配置】-【地址对象】,点击【新建】,输入名称和IP地址; 点击【确定】,配置好的地址对象显示在当前列表中;
2.2.配置服务对象 选择【系统配置】-【对象配置】-【服务对象】,点击【新建】,输入名称,选择协议,输入目的端口; 点击【确定】,配置好的服务对象显示在当前列表中; 2.3.配置目的地址转换 选择【策略配置】-【策略配置】-【地址转换】,点击【添加】,选择【目的地址转换】;
原始数据包中,选择【入网口】,【目的地址】,【服务】,转换后的数据包,目的地址转换为服务器的私网地址,目的端口转换为服务器所开放的端口; 点击【确定】,目的地址转换策略配置完成,点击右上角的生效,并勾选保持配置,策略生效并保存; 3.实现效果 当外网用户在浏览器中输入http://124.207.141.124:8080时,可以访问到内网的web服务器。 4.其他概念注意事项 ========================================================================== A、要保证外网用户可以正常访问到内务服务器,除了要正确配置目的地址转换,还要保证安全策略放行 服务器的流量,并且保证路由可达。 B、外网口为ADSL拨号模式的情况,原始数据包的目的地址可以不填写。 C、端口映射的时候,服务要写上对应的端口,如果不填写,默认为所有,设备将无法从外网控制,因为 访问设备所用的外网口443端口,也会匹配映射规则导致无法登陆管理界面。
网康NS-ICG的基本操作 NS-ICG的基本操作 一、登录NS-ICG 网康互联网控制网关产品的工作环境部署好后,就可以登录产品的管理平台。 由于NS-ICG设备的出厂时默认IP地址是“192.168.1.23”,因此请将任意一台PC的IP设置为1段地址,例如192.168.1.10。 在该PC的浏览器地址栏中输入“https: //192.168.1.23”并回车(请注意,该地址是以https开头,而非htt p),打开NS-ICG的登录界面,如下图所示: 图1 登录界面 NS-ICG系统管理员的用户名和密码默认都是ns25000。输入正确的用户名和密码后,点击“登录”按钮,进入 NS-ICG系统的控制页面。 提示: 1.登录成功后请及时修改管理员的密码。 2.如果累积五次输入用户名和密码错误,该IP的用户15分钟内将不允许登录NS-ICG。
二、认识NS-IC的工作窗口 本节将介绍NS-ICG互联网控制网关的页面构成。如下图所示: 图 2互联网控制网关界面 主模块...............................................................互联网控制网关的主模块选择按钮。 子模块...............................................................互联网控制网关主模块的子模块选择按钮。详细画面............................................................ 各子模块的详细显示画面。 子模块项目一览: 系统监控............................................................ 系统状态............................................................ 网络活动
ICG在不同网络环境下的部署指导 部署前的准备: ICG出厂IP地址为192.168.1.23,在IE里输入HTTPS://192.168.1.23进入配置页面,账号和密码都是ns25000 。如果不清楚ICG的ip地址,可以通过串口进入ICG的后台,用户是icgadmin ,密码是netentsec。在这里可以用icg_status查看ICG目前的配置。并可以通过icg_if_cfg来修改端口和通过icg_ip_cfg来修改ip配置。把ICG的IP地址改成用户自己的网段的IP,再通过IE进入WEB界面。 具体的网络环境: 1、ICG和所有用户在单一2层网段,用户出口设备为路由器/防火墙,拓扑图如下: 配置思路: ICG的桥接口地址设成内网网段地址,网关设成路由器的内接口地址,和内网PC的网关一样。(ICG要配置DNS服务器地址,内网PC也要配) 具体配置: A:【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】
B.选NS-ICG网桥模式: IP地址:设为路由器与2层交换机之间可用的地址,比如192.168.196.2。 IP掩码:根据实际情况设置,如255.255.255.0。 缺省网关:设为防火墙/路由器的内部IP地址,IP掩码根据企业实际网络环境设置。 2.用户为2层网络,但是在同一个广播域中有多个子网,ICG要配置多IP方式实现。拓扑图如下: 配置思路: 此种网络环境较为特殊,内网有多个网段,但没有划分VLAN,而是通过在路由器的内接口设置多个辅助IP地址实现(secondary),因此ICG上也要配置多个IP地址。 具体配置: A:【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】:
标题:升级版本及恢复出厂设置 1.升级准备条件 A、检查设备【升级授权】在有效期之内 在【系统管理】-【系统配置】-【授权与更新】-【升级授权信息】中,保证剩余天数不为负数 图1-升级授权有效 B、ICG可以ping通升级服务器 在【系统管理】-【系统配置】-【系统工具】-【网络工具】中,去ping一下升级地址是否可以通https://www.doczj.com/doc/6714377426.html, 对应的地址为211.100.26.38 图2:ping的测试 图3:ping的正确结果 C、确认没有定制以及日志中心连接断开 标准版本均没有定制,日志中心连接断开志的是逻辑上的断开,不是指的拔开网线,在 【系统管理】-【日志中心】的界面,将启用日志中心前的勾去掉,保证为空,就是不启用了 D、进行系统备份及手工截取网络配置部分 在【系统管路】-【系统配置】-【备份与恢复】中,点击备份,选择【导出文件】,点确定 这个时候会提示保存system.backup,只要文件不为0M,就应该是保存成功, 注:网络配置部分不会进行备份,需要手工进行备份(截图或者笔记)
2.升级ICG软件版本 步骤一:正常登陆的时候,您使用的ip为https://192.168.1.234 那么升级的时候,需要在这个IP后面输入https://192.168.1.234/liveupdate 用户名和密码默认为ns25000/ns25000 步骤二:点击登陆,出现当前的版本号和已经安装的补丁信息, 步骤三:点击在线获取更新列表,会显示是否存在可以更新的补丁包;如果有显示,点击该补丁前的空格,然后确定
步骤四:出现下载提示,显示新版本的一些新功能,点击的过程中,如果出现文件损坏等,可以不用关注,直接点确定。(日志量越大,安装时间越长) 升级过程中,请不要中断连接,直到出现下面的绿色对勾,点返回或者确定为止 步骤五:如果已经是最新版本,则提示无可用更新 注:如果出现下面的报警,可能是点了升级以后,IE界面关闭了。没有到出现绿色的对勾,导致升级进程没办法安装, 这个时候只能单击‘红色’对话框中的那几个字,需要重新升级。直到出现【返回】字样