【网康进阶之ICG】-07-网页浏览策略用户自定义方式

标题：上网时长策略1.实现功能A、限制研发部张三上班时间P2P下载和通讯聊天软件每天使用4小时，超过4小时就不能再使用了2.配置要点配置需要控制的用户配置需要控制的时间配置策略内容3.配置过程3.1.查看并设置用户的组织结构点开【用户管理】-【用户管理】，鼠标单击【ROOT】,然后【新建组】，添加【新建普通组】【组名称】填写“研发部”，【所属组】选择对应的组目录，本案例默认在根目录下即【ROOT】组下，选择后点击【保存】，组目录创建完毕完成添加后，我们会在组织管理的目录里面看见刚才创建的目录【研发部】；其他部门，可以按照类似的方法创建；接下来，在研发部门这个目录下面创建用户，单击【研发部门】-【新建用户】以张三为例，填写完毕，如果还有其他的用户，那么可以继续添加注：用户名称、所属组是必填项，其他可以任意填写3.2.设置时间段在【全局配置】-【对象设置】-【时间对象】中，点【+添加】，设置相应时间段；点击确定，时间段创建完毕，如果需要设置其他时间段，方法一样3.3.创建应用时长策略选取【流量管理】-【每用户控制】，点击【添加策略】，选择【时长策略】，点击时间、用户、应用和控制动作，然后对这些条件进行编辑，选择要控制的条件和内容；创建完成后，在当前的策略列表里面会显示该条策略，点击立即生效后，策略生效4.验证策略是否生效4.1.查看已经使用的时长在【系统监控】-【应用限额】，点击【选择操作】-【设置过滤条件】，在用户设置处，选择用户，如下（按照用户或者IP查询都可以，选择任何一个）点击确定，开始过滤，可以看到策略开始生效的时间，以及还有多长时间可以使用4.2.时长到期，是否匹配时长策略为了能看到效果，将每日限额变成10分钟时长及生效时间，调整时长内容，起止时间不会变化，引擎或者策略变动会重置开始计时的时间，我们可以在【系统监控】-【应用限额】查看实际使用时长；当出现【解禁】字样，表示该用户时长已经到期了，这个时候用户就无法使用选择的应用了，管理员可以点【解禁】重新计时；在【查询统计】-【应用活动】中查看张三以及对应的应用使用情况，被阻塞而且阻塞策略就是时长策略而未在时长策略内容中的应用可以照常使用。

⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体（即谁在访问），是NS-ICG互联⽹访问管理的⽬标对象。

出⾝份认证信息外，⼀个完整的⽤户定义还包含其组织信息和访问策略。

每⼀个互联⽹访问都对应唯⼀的⽤户（或⽤户组），这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。

⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计（监控、查询、报表等）的关键。

⽤户管理模块提供全⾯的⽤户管理功能，主要有如下⼏个功能模块：⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。

组织管理---------------⼿动构建企业组织架构和⽤户信息。

认证管理---------------配置⽤户上⽹的识别和认证管理⽅式，可针对不同⽤户采⽤不同的识别认证⽅式，⽀持本地⼈证和多多种第三⽅认证；⽀持⽤户绑定设置。

⽤户导⼊⽤户导⼊主要⽀持三种⽅式：IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。

IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊，LDAP导⼊时导⼊LDAP服务器上的⽤户，⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。

IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。

其⼀，可以通过已存在的⽤户信息数据源，导⼊到NS-ICG系统中，如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户；其⼆，可以通过管理界⾯⼿⼯管理。

第1步：通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯：第2步：点击“扫描”或者“浏览”本地⽂件后点击“导⼊”，进⼊“导⼊⽤户列表”画⾯，如下图：⽤户名：⼿动输⼊⽤户名；导⼊选项：导⼊IP与MAC：保存⽤户名、IP地址和MAC地址导⼊MAC：保存⽤户名、MAC地址导⼊IP：保存⽤户名、IP地址填充⽤户名：如果选择该项，ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充；选择导⼊位置：根据选择，导⼊到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导⼊的数据和填充画⾯各项信息后，点击右上⾓的“导⼊”按钮，进⾏导⼊。

网康互联网控制网关 NS-ICG面对日益普及的互联网，人们的工作、学习、生活也越来越依赖于互联网，然而由于滥用互联网的行为所带来的各种风险却没有被重视起来：1.工作效率低下：办公室越来越像网吧，贴在墙上的管理条例形同虚设2.网速越来越慢：带宽一扩再扩，永远满足不了业务的需求3.安全隐患不断：防火墙、防病毒系统挡不住层出不穷的病毒、木马等安全隐患4.机密信息外泄：内部机密信息通过Email、BBS、MSN等在不经意的流失5.违反国家规定：网络安全建设不符合国家对互联网的使用管理规定网康上网行为管理产品NS-ICG 产品功能介绍Web访问过滤互联网上的信息资源非常丰富，却良莠不齐。

通过网康互联网控制网关，您可以根据业务需要制定精细化Web访问策略，将非业务信息挡在门外。

可控制管理50多个网址分类，共计1400万条URL适合中国用户的上网习惯符合中国社会伦理与法律法规实时更新，自动分类，人工校验网络聊天管理随着IM软件应用的日益广泛，与工作无关的聊天和聊天中泄密等问题给企业管理带来了严峻的挑战。

通过网康互联网控制网关，您可以根据业务需要制定精细化的网络聊天监控管理策略，在不同时间对不同部门、不同人员施行差异管理方式。

可控制管理多种流行IM软件，包括：QQ、MSN、Yahoo通、AIM(ICQ)、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺、飞信等支持对MSN、Y ahoo通聊天内容的监控支持对IM软件子协议的独立控制，如聊天、文件传输、音视频、游戏、远程桌面等支持对使用权和使用时间的监控管理P2P下载控制P2P下载为人们快速共享文件提供了极大的便利，但其强占带宽资源的特性却常常影响正常的业务数据传输。

通过网康互联网控制网关，您可以定制精细的P2P控制管理策略、阻塞或者限制P2P上传/下载的带宽，确保企业核心业务的带宽得以保障。

可控制管理多种主流的P2P软件，包括：BT、eMule/eDonkey、迅雷（以及web方式）、PP 点点通、Kugoo、KaZaA（Fast Track）、Gnutella、V agaa、百度下吧、WinMX、Winny、Share、msze、未知P2P应用（UDP）等识别控制加密P2P数据流支持对使用权、带宽和使用时间的控制管理网络娱乐控制网络娱乐已经成为中国一大经济产业，然而不分时间不分场合的娱乐，对工作和学习的影响显而易见。

网康ICG快速上线配置手册一、web登录开机后用网线连接网康的E0或E1接口，默认Ip：192.168.1.23登录地址https://192.168.1.23 默认帐号密码：ns25000（密码与帐号相同）注：若接口与ip信息不清楚，则用console管理方式进后台查看。

后台帐号：icgadmin 密码：netentsec 进入后用icg_status命令查看。

二、License申请与导入申请测试License必备条件：网康ICG的序列号，测试时间范围。

（若申请正式的，还需获取硬件信息）注：系统管理→系统配置→授权与更新→产品授权信息→获取硬件信息。

收到测试（或正式）License后：系统管理→系统配置→授权与更新→产品授权信息，导入。

……→升级授权信息，导入（需联网）。

三、配置基本网络信息系统管理→网络配置→模式选择→网桥模式（最常用），配置ip信息、默认网关、DNS与路由。

如下图：^_^------四、配置策略1、应用控制策略（对各种应用程序如qq、迅雷、pplive等封堵）策略管理→控制策略设置→添加→应用控制策略。

如下：^_^---配置好后，必须在界面右上角点击“立即生效”，该策略才能生效。

如下：2、流量控制策略（限速）此处与上面的应用控制策略不同，必须先建一个带宽对象（即限制的速度范围）。

策略管理→对象设置→带宽通道对象→添加，建个迅雷限速通道。

如下：^_^设置好带宽通道对象后，进：控制策略设置→添加→流量控制策略。

在弹出的页面中填写相应信息，在应用列表中找到迅雷并点击，在弹出页面指定带宽通道。

如下：---3、网站浏览控制策略（封堵某个或一类网站）---此处与流控策略一样，必须先建一个网址分类对象（或网址匹配对象或关键字对象），对象设置→网站分类对象→添加，如下：Array然后在：策略管理→审计策略设置→http应用审计策略→网页浏览策略，如下：^_^---完成上部步骤，网康基本上可以正式上线了，无非根据用户的需求再建一些相应的策略。

xxxx公司上网行为管理系统设计方案XXXXX2009年8月目录1.1 互联网一把双刃剑 (6)1.2 对员工上网行为进行规范管理势在必行 (8)1.3 网康ICG 帮您用好双刃剑 (10)2功能介绍 (11)2.1 网页过滤 (11)2.1.1 最领先的中文URL 分类数据库 (11)2.1.2 灵活的Web 策略设置 (12)2.1.3 Web 访问违禁提示 (14)2.2 应用控制 (14)2.2.1 基于特征识别的覆盖全面的应用协议数据库 (15)2.2.2 灵活精细的管控策略 (16)2.3 带宽管理 (16)2.3.1 识别控制P2P 软件和加密P2P 数据 (17)2.3.2 针对用户/应用设置带宽 (17)2.3.3 基于时间段流量控制 (18)2.4 内容审计和过滤 (18)2.4.1 邮件收发审计和过滤 (19)G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor。

(19)2.4.2 IM 审计和过滤 (19)2.4.3 HTTP 文件传输审计和过滤 (20)2.4.4 FTP 文件传输审计和过滤 (20)2.4.5 TELNET 内容审计 (20)2.4.6 论坛发帖审计 (20)2.4.7 搜索引擎关键字审计和过滤 (20)2.4.8 基于时间和用户对象审计外发信息 (21)2.5 实时监控 (21)2.6 查询统计与报表分析 (23)2.6.1 详细的日志查询 (23)2.6.2 发送电子邮件丰富的统计报告 (24)2.6.2.1 递进式（Dill-down）统计分析 (25)2.6.2.2 预置报告模版 (25)2.6.2.3 直观的报告展现与结果保存 (29)2.6.2.4 分级系统报警日志 (29)2.6.2.5 简明系统操作日志 (29)2.7 日志管理 (30)2.7.1 完整的日志记录与导出备份 (30)2.7.2 日志中心 (30)2.9 用户管理 (31)2.9.1 丰富的用户认证方式 (31)2.9.2 支持用户的权限组管理 (33)2.9.3 支持AD 域权限组导入 (33)2.9.4 屏蔽活跃用户IP 地址 (33)2.9.5 支持用户对象的快速搜索选择 (34)2.9.6 支持IP/MAC 绑定 (34)2.9.7 LDAP 认证用户可修改认证密码 (34)2.9.8 支持强制下线 (34)2.9.9 支持BASIC 的每连接认证 (34)ICG 支持B ASIC 用户识别的每连接认证。

设备功能列表1．网页过滤：目前网康ICG的URL数据库包括51个类别，超过1400万条的URL，基本覆盖中国大陆区域的网站，是全球最大的中文URL数据库。

并且每天都有近300万条的更新。

对网站的URL识别率不低于90%，识别准确率不低于90%。

具体的网页过滤功能包括：1)支持基于预分类的URL类别进行过滤控制。

2)支持用户自定义网站类别过滤。

3)支持URL类别的二级子类控制。

4)支持对以IP方式访问网站进行过滤控制。

5)支持基于网站分类过滤HTTPS加密的网站。

6)支持基于URL关键字进行过滤控制。

7)支持基于文件类型进行过滤控制。

8)支持基于网页文件大小进行过滤控制。

9)对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义。

10)支持网站黑、白名单设置。

11)能够识别并控制国内主流的SNS类网站，支持细分行为的封堵，包括开心网、校内网的登录、游戏行为。

2．应用控制网康ICG拥有国内最全面的网络应用协议数据库，支持480多种协议。

并且每周都有协议库的更新。

包括对标准应用协议、即时聊天IM类、P2P类、网络电视类、炒股类、游戏类、流媒体、隐患服务类等进行应用控制。

另外还支持对针对用户各项应用的每日上网时长的限额管理。

3．带宽管理，具体包括：1)支持基于带宽通道的流量控制，可设定多个不同的带宽通道，每个带宽通道提供保障速率和突发速率。

2)支持带宽通道优先级的定义，保障核心业务拥有带宽保障。

3)支持空闲带宽借用，实现带宽资源统计复用。

4)可设置基于人/部门的带宽管理策略。

5)可设置基于应用的带宽管理策略，避免非业务应用对主流应用的影响。

6)可设置人/部门某一种或多种应用的组合带宽策略。

7)可设置部门成员的平均带宽策略，避免个体成员独占部门带宽。

8)可根据时间段设置带宽管理策略。

4．内容审计和过滤，具体包括：1)邮件审计和过滤。

2)即时通讯审计3)论坛发帖审计。

4)网络应用审计。

5)HTTP文件传输审计。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI+XAI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件，并可细化识别行情查询与在线交易，加以区分控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达2000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏●本地智能识别分类引擎，采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入，规范您的网络●20余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●对计算机终端环境进行管理，帮助管理者实施计算机准入规范●如：必须安装杀毒软件方可上网；禁止安装、运行与工作无关的应用程序等4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽●为关键业务提供带宽资源保障，保留足够可用带宽，保障服务质量5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户并加以处理●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控，及时过滤有害信息网康互联网控制网关NS-ICG 7000-70 适用于：80000人规模，4Gbps出口带宽的网络环境参数规格：NS-ICG7000-70产品规格参数见下表：。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。