网康ICG产品部署之内旁模式

⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体（即谁在访问），是NS-ICG互联⽹访问管理的⽬标对象。

出⾝份认证信息外，⼀个完整的⽤户定义还包含其组织信息和访问策略。

每⼀个互联⽹访问都对应唯⼀的⽤户（或⽤户组），这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。

⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计（监控、查询、报表等）的关键。

⽤户管理模块提供全⾯的⽤户管理功能，主要有如下⼏个功能模块：⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。

组织管理---------------⼿动构建企业组织架构和⽤户信息。

认证管理---------------配置⽤户上⽹的识别和认证管理⽅式，可针对不同⽤户采⽤不同的识别认证⽅式，⽀持本地⼈证和多多种第三⽅认证；⽀持⽤户绑定设置。

⽤户导⼊⽤户导⼊主要⽀持三种⽅式：IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。

IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊，LDAP导⼊时导⼊LDAP服务器上的⽤户，⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。

IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。

其⼀，可以通过已存在的⽤户信息数据源，导⼊到NS-ICG系统中，如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户；其⼆，可以通过管理界⾯⼿⼯管理。

第1步：通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯：第2步：点击“扫描”或者“浏览”本地⽂件后点击“导⼊”，进⼊“导⼊⽤户列表”画⾯，如下图：⽤户名：⼿动输⼊⽤户名；导⼊选项：导⼊IP与MAC：保存⽤户名、IP地址和MAC地址导⼊MAC：保存⽤户名、MAC地址导⼊IP：保存⽤户名、IP地址填充⽤户名：如果选择该项，ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充；选择导⼊位置：根据选择，导⼊到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导⼊的数据和填充画⾯各项信息后，点击右上⾓的“导⼊”按钮，进⾏导⼊。

xxxx公司上网行为管理系统设计方案XXXXX2009年8月目录1.1 互联网一把双刃剑 (6)1.2 对员工上网行为进行规范管理势在必行 (8)1.3 网康ICG 帮您用好双刃剑 (10)2功能介绍 (11)2.1 网页过滤 (11)2.1.1 最领先的中文URL 分类数据库 (11)2.1.2 灵活的Web 策略设置 (12)2.1.3 Web 访问违禁提示 (14)2.2 应用控制 (14)2.2.1 基于特征识别的覆盖全面的应用协议数据库 (15)2.2.2 灵活精细的管控策略 (16)2.3 带宽管理 (16)2.3.1 识别控制P2P 软件和加密P2P 数据 (17)2.3.2 针对用户/应用设置带宽 (17)2.3.3 基于时间段流量控制 (18)2.4 内容审计和过滤 (18)2.4.1 邮件收发审计和过滤 (19)G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor。

(19)2.4.2 IM 审计和过滤 (19)2.4.3 HTTP 文件传输审计和过滤 (20)2.4.4 FTP 文件传输审计和过滤 (20)2.4.5 TELNET 内容审计 (20)2.4.6 论坛发帖审计 (20)2.4.7 搜索引擎关键字审计和过滤 (20)2.4.8 基于时间和用户对象审计外发信息 (21)2.5 实时监控 (21)2.6 查询统计与报表分析 (23)2.6.1 详细的日志查询 (23)2.6.2 发送电子邮件丰富的统计报告 (24)2.6.2.1 递进式（Dill-down）统计分析 (25)2.6.2.2 预置报告模版 (25)2.6.2.3 直观的报告展现与结果保存 (29)2.6.2.4 分级系统报警日志 (29)2.6.2.5 简明系统操作日志 (29)2.7 日志管理 (30)2.7.1 完整的日志记录与导出备份 (30)2.7.2 日志中心 (30)2.9 用户管理 (31)2.9.1 丰富的用户认证方式 (31)2.9.2 支持用户的权限组管理 (33)2.9.3 支持AD 域权限组导入 (33)2.9.4 屏蔽活跃用户IP 地址 (33)2.9.5 支持用户对象的快速搜索选择 (34)2.9.6 支持IP/MAC 绑定 (34)2.9.7 LDAP 认证用户可修改认证密码 (34)2.9.8 支持强制下线 (34)2.9.9 支持BASIC 的每连接认证 (34)ICG 支持B ASIC 用户识别的每连接认证。

Thank You!
具备路由功能
专业的互联网控制功能 满足广大中小客户的需求
用户
透明网桥方式部署
透明网桥方式 无时延透明桥接
多级Bypass保护技术
双入双出链路平衡 满足大中型客户的需求
用户
镜像旁路审计部署
无拓扑改变的的镜像旁路
旁路审计
多路分担镜像技术 满足纯审计客户的需求
用户
硬件代理服务器
如果客户已经使用代理，希望提升 性能，并且有效管理 全面的HTTP,HTTPS（可识别加密 URL）,SOCKS代理 高速缓存，TCP优化技术 满足客户的代理服务器需求
网康科技培训教程
1-1 ICG的各种部署模式
ICG部署模式丰富的接 Nhomakorabea入手段透明旁路
Si
集中管理平台 各个部门只能配 置自己的策略 管理员全局
负载均衡 ADSL拨号
互联网
路由 替换
每个部门只能看 到自己的数据 管理员全局 海量数据中心
透明串接 PROXY 透明代理替换
无痛实施
路由模式部署
路由网关模式
用户
专用硬件代理
离线日志服务器
网关模式
离线日志 分析系统 用户可选择数据外置存储
透明网桥
旁路审计 代理服务器
选用外置存储的ICG性能将获得
解放，控制能力将极大提升。 海量日志得以保存，并可提供更
用户
加丰富的查询统计报表
集中管理平台全面管理
集群模式 集中管理端
带外，带内集群式管理，策略统一分发 全面满足集团客户的全面管理需求

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

网康互联网控制网关ICG安装配置一指禅1. 设备拆箱，上电运行，正常情况下开机3分钟后设备即可正常运转；2. ICG系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23。

如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP地址配置为192.168.1.xxx/24（与桥口的默认IP地址同网段）3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG（注意是https而不是http），点击“继续浏览此网站（不推荐），输入默认用户名：ns25000，默认密码：ns25000；4.登录之后的WEB管理界面如下图所示；5. 通过【系统管理】－【网络配置】－【网络配置】进入网络配置界面，默认使用网桥模式管理设备。

根据学校网络实际情况，修改设备的网桥口IP地址，IP掩码，缺省网关，DNS 服务器。

（例如将默认的192.168.1.23改为192.168.196.53）6. 修改网络配置的时候设备网卡会重启，网络中断约30秒左右，此时将计算机的IP地址配置为x.x.x.xxx/24（与桥口新配置的IP地址同网段，例如192.168.196.100），使用PC 浏览器重新登录设备，确认可以通过新IP地址访问WEB管理页面；7. 将设备安装上机架并固定，以透明网桥的模式，串接在互联网出口设备（防火墙/路由器）和核心交换机之间，WAN口（eth0）连接防火墙/路由器，LAN口（eth1）连接核心网交换机，如下图所示；8.确认设备串接后互联网访问恢复正常，若出现长时间断网情况，请及时进行回退，恢复原先网络连接，检查线路连接情况，判断故障原因，准备下次割接；9.确认设备正常串接且互联网访问恢复正常后，通过学校内网中任意一台计算机访问设备管理页面，通过图形化界面观察网络运行情况；10. 进入【系统管理】－【集中管理】页面，输入教育局集中管理平台的IP（10.20.1.141），如下图示例，以便于区教育局进行统一的设备管理和策略下发；11. 根据教育局等主管单位的相关规定，配置各项上网行为管理策略。

网康上网行为管理产品NS-ICG 5.6对于网络的滥用，封堵还是放任？这是摆在企业管理者面前的一道难题。

武断封堵，无疑是因噎废食。

网康上网行为管理产品，提供灵活地策略管理，根据企业的个性需求量身定制，帮助企业“上好网，用好网”，实现企业安全、文明、健康、高效的网络环境。

网康互联网控制网关（NetentSec Internet Control Gageway，简称NS ICG）是北京网康科技有限公司推出的一款专业的上网行为管理产品，是面向企业用户的软硬件一体化的控制管理网关。

它提供强大的网页过滤功能，屏蔽员工对非法网站的访问；提供基于时间、用户、应用的精细管理控制策略，控制员工在上班时间玩网络游戏、炒股、观看在线视频，以及无节制地网络聊天，从而保障工作效率；提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免企业机密信息泄露；此外，网康ICG还提供应用层的带宽管理功能，有效阻止、限制P2P等严重消耗带宽的应用，确保企业的核心业务带宽得以保障。

产品功能介绍网页过滤内置全球最大中文URL数据库，对用户访问的网页进行精确分类，并根据管理需求对不良网站进行过滤封堵；支持基于网站类别、URL关键字、文件类型等多种条件的灵活管理，并能够对访问网页内容进行阻断、记录以及网页快照保存等管理操作。

应用控制采用DPI+DFI综合应用识别技术，对各种互联网应用协议进行精确识别；对违规、有害应用进行记录、封堵；可以针对特定用户与特定应用进行使用时间限制，如：普通员工每天只能炒股半小时；带宽管理对带宽资源占用高的各种P2P、在线视频应用进行限速控制；为关键业务应用保障足够可用带宽；精确识别各种加密P2P应用流量，确保带宽管理精准可靠。

内容审计与过滤支持对POP3、SMTP协议收发邮件进行完整内容审计，也支持对163、Gmail等在线邮箱内容的全面审计；可审计邮件附件内容，对修改文件名后的邮件附件、打包压缩后的附件内容也能够进行精确识别；对QQ、MSN、飞信等主流即时聊天工具的聊天行为、内容进行完整记录；支持各类BBS论坛、新闻评论、贴吧的发帖内容进行监控审计，审计内容包括正文及附件；对搜索引擎的搜索行为进行记录，可区分网页搜索、图片搜索、视频搜索等搜索类型，并可过滤有害关键字；检测到敏感信息时，可自动向管理员发送邮件报警。

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。

1、ICG支持的几种部署模式串接和镜像旁路部署。

串接支持网关和网桥部署。

网关支持多出口，网桥支持单桥或者双桥；支持镜像旁路部署。

2、代理服务器支持集中部署模式？、代理服务器支持网桥、网关和旁路部署。

3、能否封堵IM聊天软件答：可以实现。

对于QQ类的聊天软件，可以对QQ的子项进行封堵；针对具体的应用进程也可以实现封堵。

比如只允许QQ聊天，而不允许QQ游戏或传送文件等。

4、可以对每个用户的连接数做限制吗？答：可以实现。

在策略管理—防护设置当中可以对新建连接数做限制。

5、邮件附件内容可以做关键字过滤吗？答：可以实现。

网康互联网控制网关设备可以对邮件正文，标题，内容，附件文件名、附件内容等做关键字过滤，同时还可以实现邮件的预审。

6、强制下线和暂时屏蔽的区别？答：强制下线的功能对于IP身份识别，只是短暂效应，用户随后就可以上网；而对于使用认证的网络环境，则需要强制下线的用户经过重新认证上网，而暂时屏蔽要到当日24点后才会自动解除，或者手动从暂时屏蔽列表中删除。

7、某用户策略失效，应用流量、网站访问均看不到是为什么？答：（1）查看策略管理---策略网段；如果用户IP未在策略网段内，默认是不匹配策略的；如果策略网络默认为空，则对所有经过ICG的流量进行审计和管理。

（2）策略管理-黑白名单-免监控IP 查看系统IP是否在免监控IP地址中；如果在免监控IP地址中，删除问题可以解决。

（3）引擎是否停止-系统管理-系统配置-系统参数-http引擎，如果引擎停止，也会出现上面现象，启动http引擎。

8、网络电视无法阻塞，pplive，UUSEE依旧可以看？答：由于播放软件较新无法封堵，可以通过升级应用协议库来解决。

建议勾选自动更新，以获得最新的协议库，网康应用协议库每周进行动态更新。

9、通过网康ICG，内网VPN（PPTP）就拨不出去，跳过网康就没问题。

答：在策略管理中，加入一条应用控制策略—勾选‘安全’下面的—PPTP选项，允许即可，单击确认，立即生效，故障可以解决。

认证安全
认证密码支持全局统一设定与随机获取的方式；
支持强制用户修改初始密码；
支持认证账号黑名单；
支持自定义登录失败的提示信息；
终端类型认证
根据不同的终端类型（PC、移动）选择不同的用户认证或者用户识别方式
自动录入
对于认证或者识别到的新用户自动录入到指定的组织位置
用户自动分类
可以为用户添加多个属性，并根据用户的属性（如职位、部门、电话、邮件等）自动进行用户分类，根据分类的结果进行审计与控制
1-超管无论如何配置都无权看审计日志
2-审计员必须经过超管授权，审核员确认才能看日志
3-审核员仅能审核审计员权限是否合法，不能看日志
分级管理/权限管理
多名管理员、审计员，根据授权配置局部策略，查看局部日志
IPSec VPN
支持标准IPSec协议的VPN功能，能够实现隧道建立于配置、隧道状态监视、证书管理等内容。
支持Skype账号、聊天内容、行为审计与控制。
支持以对P2P，网络视频，游戏，炒股，期货，即时通讯，移动应用有独立的分类进行识别控制，协议库数量不低于3000
移动协议库数量不低于500
可以根据应用协议库限制每个人的应用时长
可以根据应用协议库限制每个人的应用流量
★技术支持
支持厂商工程师在线的远程协助和故障排查，设备界面提供远程协助开关
URL库定期升级
支持URL库的自动与手动更新，支持自定义更新时间计划，避开业务高峰；
在界面上可以查看升级历史记录和版本更新；
在官网上有公开的URL库更新情况详细说明；
应用协议库升级
支持应用协议库的自动与手动更新，支持自定义更新时间计划，避开业务高峰。
可以基于特定网址的一天访问总次数或者总流量进行控制

系统管理讲解
• 系统管理－－权限配置 1、添加用户 用户名：登陆时的用户名 密码：登陆时使用的密码 用户姓名：用户描述信息 用户组：administrator、user 注：只有超级管理员才能增减用户设置，超级管理员用户是不
能被删除的。
用户权限
• 4.3只有一种管理员角色 • 5.0设置三种用户角色：超级管理员、管理员、审计员
不限制：此时通过管理接口、外接口和内接口等都可访问NS-ICG。 只允许管理接口访问本机：此时只允许从管理接口访问NS-ICG。
注意： 配置管理接口的IP地址时，请不要分配与网桥、网关同一网段的IP。
系统管理讲解
• 系统管理－－日志管理
操作日志：此功能为网康技术支持人员所用，主要用于跟踪系统运行状态、查看策略变更 情况、查看系统的操作行为等。 用户防护日志：进入用户防护报警页面，点击上部的日期，能够看到该日所有匹配用户防 护规则的事件，表中详细列出了发生异常的时间、用户IP、匹配规则和超出阀值数量。 系统监控日志：点击上部的日期，能够看到该日所有超过系统监控规则阀值的匹配事件， 表中详细列出了发生异常的时间和匹配规则。 Web记录日志：每天的Web记录数超过该机型设定的Web记录条数上限值将产生报警；间 隔时间段内访问Web的请求速率过快将产生报警。 Arp报警日志：点击上部的日期，能够看到当日可能进行ARP攻击的IP地址列表。列表按 照时间倒序列出，记录了每个IP地址在报警间隔时间内MAC地址的变换次数，点击其他日 期，则可以看到该日期的ARP报警列表。 系统服务日志：系统会进行网络情况、引擎情况、系统负载等服务的检测，并返回报警信 息： 超出阀值日志：选中用户防护规则页面的“记录超出阀值的数据包信息”选项，并且匹配 了用户防护规则，超出阀值的数据包信息会在本功能中以日志的方式呈现出来，方便及时 找到原因。 网络状态监控：如果开启了策略中的防护功能，系统将持续记录网络状态的四个参数，分 别是IP个数、连接个数、包速率和上传速率。 用户防护指标：在开启防护报警后，勾选“获取用户防护指标”选项，点击确定，并点击 页面右上方的“立刻生效”链接，此时系统开始记录相关的指标信息。

NSICG CLI 参考手册北京网康科技有限公司1目录一、连接到CLI (3)1. Console访问CLI (3)2. SSH访问CLI (3)二、命令详解 (4)1. help (4)2. icg_status (5)3. icg_http_ctl (5)4. icg_if_cfg (6)5. icg_ip_cfg (6)6. icg_dns_cfg (7)7. icg_route (8)8. icg_arp (9)9. icg_monitor_ports (10)10. icg_sys_diagnose (10)11. icg_sys_tune (13)12. diagnose_network (14)13. icg _db_backup (15)14. softbypass (15)15. reset (17)16. update_pwd_reset (17)17. upgrade (18)18. passwd (18)19. nslookup (18)20. ping (19)21. curl (20)22. traceroute (20)23. reboot (20)24. Poweroff (21)25. Exit (21)23一、 连接到CLI1.Console 访问CLI用console 线将计算机和NSICG 设备相连，通过超级终端进入到CLI ，超级终端设置如下：2.SSH 访问CLINSICG 默认是开放22端口的，可采用SSH 软件登陆到NSICG 的CLI ：二、命令详解1. help此命令用于查看NSICG console口模式下可用的命令。

语法模式：Help例子：[NS-ICG]->help*******************************************************Netentsec Internet Control Gateway Console******************************************************** help --------------- list available commands ** icg_status --------- show icg status ** icg_http_ctl ------- turn http engine on/off ** icg_if_cfg --------- config in/out interface ** icg_ip_cfg --------- config ip address ** icg_dns_cfg -------- config dns address ** icg_route ---------- config static route ** icg_arp ------------ config static arp item ** icg_monitor_ports -- config engine monitor ports ** icg_sys_diagnose --- diagnose system and collect ** the infomation ** icg_sys_tune ------- tune system parameter ** diagnose_network --- diagnose web access problem ** icg_db_backup ------ backup and restore database ** softbypass --------- set icg softbypass parameter ** reset -------------- reset system to factory mode ** update_pwd_reset --- reset the password of liveu- ** pdate system ** upgrade ------------ icg system upgrade ** passwd ------------- modify current user password ** nslookup ----------- query the DNS for resource ** records ** ping --------------- ping ip address ** curl --------------- transfer a URL ** traceroute --------- print the route packets take ** to network host ** reboot ------------- reboot the system ** poweroff ----------- turn off the system *45* exit --------------- exit from the login ********************************************************2. icg_status这个命令用于查看icg 网关当前的运行状态，包括运行模式，内外网口信息，IP 配置信息和引擎工作状态。

日期：2010.1
网康ICG与深信服AC产品对比
编号
1 产品定位
对比项目
1.1
产品定位
2 2.1
产品功能 网页过滤
URL库分类模式
URL库规模及准确率
URL库更新能力
客户未分类URL回传再分类
自定义URL组
IP类URL过滤
自定义违规提示页面
网站访问黑白名单 2.2 互联网内容审计
审计范围
网页浏览审计
支持 对于禁止访问的网站列入黑名单，对于无需过滤的网站列入白名单，如 防病毒软件的自动更新。 全面 1.网页审计 2.IM(QQ/MSN/YAHOO/飞信) 3.论坛发帖 4.邮件（POP3/SMTP/126、163、sina、TOM、Gmail、yahoo、sohu等十 余项主流webmail邮件） 5.文件传输（HTTP、IM、邮件、发帖、FTP） 6.搜索引擎关键字 7.流量审计 支持 1.记录访问网页的用户、时间、URL地址、访问内容的分类、允许/阻断 、匹配的控制策略等信息； 2.可审计用户访问HTTPS加密网站的行为。 3.可记录网页标题信息。 4.支持网页快照，可以记录网页内容信息。 支持 支持 1.可记录QQ聊天内容 2.可记录QQ聊天双方的账号、昵称 3.可记录QQ的语音视频行为 4.可记录QQ文件传输名称和类型 支持 1.可记录MSN聊天内容及双方昵称 2.可记录MSN的语音视频行为 3.可记录并还原MSN文件传输名称、类型和内容 4.可对MSN聊天内容进行关键字匹配，匹配预设关键字则发送邮件报警 支持 1.可记录飞信聊天内容及双方昵称 2.可记录飞信外发文件的名称及大小 3.可记录飞信群聊内容 支持 可记录用户在任何论坛上发帖的主题和正文内容 可定义无需审计的论坛地址 支持 1.可记录收发邮件的发信人地址、收信人地址、主题、正文、附件内容 2.能够基于用户名、时间、发送账户、接收帐号、主题关键字、正文关 键字、附件名称、附件类型、附件大小等条件灵活调节外发邮件的审计粒 度，具有很强的灵活性； 3.可以由针对性的仅审计需要关注的内容。如对邮件主题、正文、附件 名中包含如“机密”、“财务”等敏感关键字的外发邮件进行监控；对研发 部门发送的带有“.h”类型程序代码附件的外发邮件进行监管； 4.可对收发邮件的标题及内容关键字进行匹配，匹配预设关键字则发送 邮件报警 支持 1.能够审计用户通过搜索引擎输入的所有关键字，也可以只审计指定的 敏感关键字。 2.可以基于搜索类别审计用户在搜先进的基于行为后果的URL预分类模式 通过基于网页全息分析的爬虫技术对网页进行分类，能够从网页的结构 、上下文、网页相似度等多角度对其进行全面解析与自动分类。在此基础 上，网康拥有超过20人的专业团队对上述分析结果进行人工审核，网页分类 的精确率超过95%。 提供全球最大的中文URL分类库，规模达1500万条，分类精准率接近100% 支持43个一级分类，以及8个二级子分类。对google搜索引擎任意关键 字的前100条搜索结果，ICG的网页分类识别率高达95%以上，且识别分类精 准率接近于100%。 URL每天更新量超过300万条 网康URL库更新快速，对于新生、变更、消亡的URL，通过网康自主研发 的内容分类引擎(crawler/spider)，7x24小时在互联网上进行URL抓取，每 天更新超过300万条，并自动分类。 能够自定义URL更新时间，例如设定在每晚2点更新，不影响正常工作时 间的网络使用 支持 网康产品支持未分类URL自动回传、再分类下发功能，使得通过一段时 间的积累，客户管控的URL范围快速收敛，提高客户处URL分类的广度和精准 支持 能够对预置URL分类及自定义的URL分类自由整合，构建符合实际需要的 自定义URL分组，方便策略的定制和后期维护。 支持 目前国内外所有上网行为管理产品的网页过滤功能都基于网页域名进行 控制，而某些用户为了逃避管理，会直接使用违禁网页的IP地址进行访问。 据分析，目前大量的色情、违法网站均建议用户通过IP地址访问。ICG能够 帮助IT部门有效管控这类试图通过域名解析到的IP地址访问违禁网站的用户 行为，确保网页过滤的全面。 支持 IT部门能够自定义警示信息，对违反策略的网页访问行为进行提示，当 用户因访问违禁网站而被禁止时，能够清楚的知道自身产生了违规行为，系 统能提示所访问网站的类别，不会因为误认为此问题由断网引起，而对IT部 门频繁求助或进行投诉，该功能体现了网康产品的人性化。

太原
太原市亲贤北街腾龙雅苑小区1号 楼3单元2501室
呼和浩特 内蒙呼和浩特兴安南路
天津 河北 辽宁 辽宁
天津 石家庄 沈阳 大连
天津市南开区鞍山西道时代公寓 B1303
石家庄市裕华区翟营南大街458号 14楼5单元301室
沈阳市和平区五里河街51号昌鑫国 际大厦G座1612室
大连市西岗区奥林匹克广场9号东 C-518号
- 为什么我们的很多项目总是拖很长时间才能下来，我认为最主要的原因就在于资金方面， 主要是资金不到位，所以我们在盯项目的同时一定要考虑客户资金是否到位。
▪ 再找有钱没需求的客户!
- 每个市场的开拓都有它地方的差异性，也都有各自的特点。我所说的没需求只是表面上的 ，在实际的网络应用中没有问题的网络廖廖无己，只是我们没有跟客户讲清楚，或是我们 没有发现客户的需求在哪里，或是我们的商务工作没有做到位。总之我们要多次的，详细 的，多方位的了解客户的网络。
Page 13
产品荣誉 • 2019中小企业优选IT产品 • 2019年度中国企业信息化500强 • 2019中国信息安全内容安全产品用户推荐奖 • 2019年SP最佳增值奖 • 2019年度天极信息优秀解决方案
Page 14
网康的服务机构
Page 15
网康的服务机构
北京地区 北京
海淀区中关村东路66号，世纪科贸 大厦A座3层
Page 16
网康的服务能力
网康已经有效的完成了众多的集团客户快速交付
客户名称
分支数量
设备到货
合同签订后实施验收
民生银行 国美电器 中国船级社 中储集团 昆仑润滑油 长城润滑油 APP金光纸业
29 47 44 13 23 13 8+30

标题：设备部署-网桥模式（双网桥）1.用户场景网桥模式,透明部署在路由器和核心交换机中间，为设备配置与路由器内网口和相连交换机接口相同网段的地址，保证设备能够正常管控内网用户，并且内网用户可以管理网康设备。

2. 配置步骤基础配置网桥配置路由配置DNS配置2.1.基础配置系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23/24如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP地址配置为192.168.1.2/255.255.255.0（与桥口的默认IP地址同网段），然后尝试去ping 对端地址192.168.1.23,，如果可以ping通，那么就可以继续在浏览器中输入https://192.168.1.23，使用该地址登陆界面默认的登陆名和密码为ns25000、ns250002.2.网桥配置选择【系统管理】-【网络配置】-【基础配置】，点击【网桥模式】，输入桥IP地址和IP掩码，选择外网口和内网口，配置网关；点击【确定】，在当前列表里显示配置好的链路信息，点击【添加桥接链路】，输入另一链路的桥IP地址和IP掩码，选择外网口和内网口；点击【确定】，在当前列表里显示配置好的链路信息，网络配置完成；注：桥模式只能添加一个缺省网关地址，将网关地址配置成其中任意一条链路的路由器内网口地址即可，缺省网关配置只是影响设备自身上网，对内网用户上网没有影响；2.3.路由配置选择【系统管理】-【网络配置】-【路由配置】，点击【静态路由】，输入目的地址、IP 掩码，下一跳地址并选择接口点击【确定】，在当前列表中显示添加好的路由信息，点击立即生效，配置生效，10.0.2.0/24网段添加方法相同；注：添加静态路由目的只是保证设备可以向内网用户推送web认证界面等，并不是影响内网用户上网的路由，也不是影响设备自身上网的路由。

2.4.DNS配置选择【系统管理】-【网络配置】，点击【DNS配置】，输入DNS服务器IP，点击【确定】；配置完成后，点击立即生效，配置生效；3.接入网络3.1.检查网络连通性检查设备自身是否可以上网；选择【系统管理】-【系统配置】，点击【网络工具】；测试结果，表示设备可以访问网络；检查PC是否可以访问设备；在PC上ping设备的桥地址192.168.110.229，保证可以ping通；在浏览器中输入https://192.168.110.229，确认可以登陆管理界面；4.其他概念注意事项==========================================================================4.1.注意A、多桥模式，HTTP引擎必须为旁路模式；B、多网桥模式，只支持多入多出，即内外网口数量相同；C、多网桥模式，无法启用trunk；D、多条线路的IP地址不能再同一网段。

共4页
上网行为管理 NS-ICG 产品介绍
定 用户可以设
URL
自定义 关键字
网页分类
用户可以设定网页智能学习分类，利用网页样本训练设备智能识别网页
URL 根据人 地 间 URL /URL H H 网 页 放 过滤
员、 点、时 、网站 访问的 行和阻断
分类
关键字 对 TTP、 TTPS 网站进行
根据 标题 正 网 页 内 容
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、 情况 风险告警
查询 个 收络 查询 括： 日志
对整 网 的访问日志进行 擎、邮件 发等
，包
用户、应用流量、网站访问、搜索引
统 报表 支持统 报 活动 长 订阅 计
计 告（用户 、用户行为、带宽资源、上网时 ）的 和管理
产产品品价价值值 上网行为可视：
直观掌握各种上网行为，便于快速制定上网行为 管理策略。
P2P 流量占到了整体流量的 50%以上
迅雷下载和 P2P 电影是员工的主要行为
需要限制 P2P 的速率
网站访问第一、第二名都是购物网站 存在较多以 IP 方式访问的财经及国外站点
需要在上班时间控制购物网站的访问
邮件发送敏感关键字信息，存在泄密风险 搜索引擎在搜索大量的敏感关键字，存在法 律风险
用户认证 网康本地认证 微软 AD、RADIUS、LDAP、邮件联动认证
终端准入 检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况 确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不依赖 口 IP、端 。可识别 P2P、在线视频、炒股、游戏、即时通讯等 600 多种 协议 主流应用 。 用户可根据 IP、端口自定义应用协议

-------------------------------------------------------------------------------------------------------------------------------------------------------北京网康科技有限公司 第 5 页 共 6 页
技术文档
3．为网桥或者管理口配置 IP 地址
执行命令：icg_network_cfg 功能描述：修改 NS-ICG 的工作模式、IP、默认网关与输入输出接口等。由于我们的设备种类 繁多，且网口有光口和电口之分，默认状态下 eth0 口为出口，eth1 口为入口，当这两个口在 当前网络环境下不可用时，就需要我们更改出入口的设置，用此命令就可以实现。此功能还可 以在命令行下设置管理口地址。 设置过程演示： [NS-ICG]->icg_network_cfg Current Configurations: Network mode: Bridge IP Configuration: bri0: 192.168.1.23/255.255.255.0 Default Gateway: 192.168.1.1 bri0 | External Interface: eth0 Internal Interface: eth1 Do you want to change Mgr_port configurations?(y|n)y Ip Address: Mgr-Port ip Netmask: Mgr-Port network mask Network Device: Mgr-Port network interface ICG Access Mode: allow all ports or Mgr-port Only to access ICG Enable Mgr-Port: enable or disable Access function Please input IpAddress/Netmask/NetworkDevice/ICGAccessMode(all|only)/EnableMgr-Port(yes|n o) (eg:192.168.1.23/255.255.255.0/eth2/all/yes) Input:1.1.1.1/255.0.0.0/eth4/all/yes <注：输入管理口地址、掩码及所在物理接口，普通设备管理口一般为 eth4，四光四电设备管 理口为 eth8> Do you want to change network configurations?(y|n)y Please choose network mode [B]ridge/[G]ateway: b <b 为网桥模式，g 为网关模式> New network mode is: Bridge Please input Stp mode[on|off]: off <生成树功能一般设置为关闭 off 状态> Stp mode: off Available NICS: eth0 eth1 eth2 eth3 Warning: eth4 is used by manage_port. You can disable it first if there are no enough NICS. Please input the total number of bridges:1 Please input Bri0 ip/netmask/ethout/ethin (eg:192.168.1.23/255.255.255.0/eth0/eth1) Input: 10.67.50.94/255.255.255.0/eth0/eth1 < 设 置 网 桥 地 址 ， 一 般 情 况 下 接 口 使 用

网康ICG设备命令行配置网康ICG设备命令行配置对于图形化的WEB界面配置，都可以通过友善的界面、简单的操作，实现设备的基本配置工作，但对于特殊情况下，无法通过图形界面完成配置时，我们就有必要学习如何在命令行模式下完成必要的操作了。

首先，我们需要知道能进入设备的用户名及密码用户名：icgadmin，密码：netentsec。

网康设备有着自己独特的命令行模式，在登陆成功后，系统会自动地出现所有相关的命令及注释。

可以通过输入help，查看所有的命令。

网康的命令行没有可以使用TAB键补全的功能。

查看系统配置的命令为：icg_status，如下图：设备现在是作为桥接模式串入网络的，而且只为单网桥模式。

网康设备视接口数量，可以每两个接口为一组，完成多线路的上网行为管理。

注：网康设备可设备管理口及管理IP，但用做管理口的接口就无法用于其他的用途，而且管理IP应该于该网络不在同一网段，以免影响网络通信的正常。

在命令行模式下，如何配置基本网络信息。

icg_network_cfg，进入配置网桥模式下的配置命令：Do you want to change Mgr_port configurations?(y|n)n（是否配置管理口：否）Do you want to change network configurations?(y|n)y（是否更改设备的网络配置：是） Please choose network mode [B]ridge/[G]ateway: b（请选择网络模式：桥接模式） Please input Stp mode[on|off]: off（是否启用STP模式：否）Please input the total number of bridges:1（输入桥接模式下的网桥数量：1）Please input Bri0 ip/netmask/ethout/ethin(eg:192.168.1.23/255.255.255.0/eth0/eth1) Input:192.168.5.135/255.255.255.0/eth2/eth3（输入该网桥的管理IP，掩码，外口接口号，内口接口号） Please input default gateway IP: 192.168.5.254（输入默认网关）如下图所示：当前网络配置网关模式下的配置命令：Do you want to change Mgr_port configurations?(y|n)n（是否配置管理口：否）Do you want to change network configurations?(y|n)y（是否更改设备的网络配置：是） Please choose network mode [B]ridge/[G]ateway:g（请选择网络模式：桥接模式） Please input External ip/netmask/ethout(eg:192.168.1.23/255.255.255.0/eth0) （输入外网口IP地址，掩码，接口号）Please input Internal ip/netmask/ethin (eg:192.168.1.23/255.255.255.0/eth1) （输入内网口IP地址，掩码，接口号）Please input default gateway IP: 192.168.5.254（输入默认网关）如下图所示：当前网络配置感谢您的阅读，祝您生活愉快。