网康上网行为管理功能策略列表

标题：上网时长策略1.实现功能A、限制研发部张三上班时间P2P下载和通讯聊天软件每天使用4小时，超过4小时就不能再使用了2.配置要点配置需要控制的用户配置需要控制的时间配置策略内容3.配置过程3.1.查看并设置用户的组织结构点开【用户管理】-【用户管理】，鼠标单击【ROOT】,然后【新建组】，添加【新建普通组】【组名称】填写“研发部”，【所属组】选择对应的组目录，本案例默认在根目录下即【ROOT】组下，选择后点击【保存】，组目录创建完毕完成添加后，我们会在组织管理的目录里面看见刚才创建的目录【研发部】；其他部门，可以按照类似的方法创建；接下来，在研发部门这个目录下面创建用户，单击【研发部门】-【新建用户】以张三为例，填写完毕，如果还有其他的用户，那么可以继续添加注：用户名称、所属组是必填项，其他可以任意填写3.2.设置时间段在【全局配置】-【对象设置】-【时间对象】中，点【+添加】，设置相应时间段；点击确定，时间段创建完毕，如果需要设置其他时间段，方法一样3.3.创建应用时长策略选取【流量管理】-【每用户控制】，点击【添加策略】，选择【时长策略】，点击时间、用户、应用和控制动作，然后对这些条件进行编辑，选择要控制的条件和内容；创建完成后，在当前的策略列表里面会显示该条策略，点击立即生效后，策略生效4.验证策略是否生效4.1.查看已经使用的时长在【系统监控】-【应用限额】，点击【选择操作】-【设置过滤条件】，在用户设置处，选择用户，如下（按照用户或者IP查询都可以，选择任何一个）点击确定，开始过滤，可以看到策略开始生效的时间，以及还有多长时间可以使用4.2.时长到期，是否匹配时长策略为了能看到效果，将每日限额变成10分钟时长及生效时间，调整时长内容，起止时间不会变化，引擎或者策略变动会重置开始计时的时间，我们可以在【系统监控】-【应用限额】查看实际使用时长；当出现【解禁】字样，表示该用户时长已经到期了，这个时候用户就无法使用选择的应用了，管理员可以点【解禁】重新计时；在【查询统计】-【应用活动】中查看张三以及对应的应用使用情况，被阻塞而且阻塞策略就是时长策略而未在时长策略内容中的应用可以照常使用。

支持基于多关键字过滤搜索行为、过滤网页、过滤发帖内容；
发帖控制
支持允许用户浏览帖子但不准发贴功能；
文件行为管理
文件外发控制
支持对HTTP、FTP、Email附件方式外发文件的识别、报警、过滤等管理措施；
文件外发告警
1.支持识别外发文件的扩展名；
2.支持识别删除、篡改文件扩展名行为并告警；
3.支持识别压缩、加密文件内文件类型并报警；
临时帐户
支持临时账户有效期限制，过期自动失效；
页面跳转
支持页面跳转：
1.跳转到用户原本输入的URL地址；
2.跳转到管理员指定的URL地址；
3.跳转到注销页面;
终端管理
终端准入管理
支持识别终端
1.操作系统版本；
2.系统补丁安装情况；
3.硬盘指定目录下的文件；
4.终端系统的进程信息；
5.终端系统注册表中表项和键值；
记录木马、病毒、端口扫描等危险行为；
反向审计
支持能审计外网访问内网网站、发帖、收发邮件、下载上传文件的行为；
硬件免审计
支持指定用户通过硬件方式（USB-Key）免审计的功能；
IP、域名免审计
支持基于IP、域名设置免除审计；
上网日志管理
数据中心
设备支持内置数据中心和独立数据中心；
日志查看权限
1.支持管理员配置，普通管理员只能查看指定用户组的日志；
上网权限管理
权限控制
支持基于时间段、基于用户/用户组、基于应用类型控制用户的上网权限；支持限制用户一天内总上网时长；
上网提醒
支持自动提醒功能，用户使用某应用时长、流速超过管理员设定值时，网关自动向该用户发起提醒；
策略有效期
支持上网策略对象有效期设定，过期自动失效；

上网行为管理一解释上网行为管理是指帮助互联网用户控制和管理对互联网的使用。

其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

比如，限制公司员工访问某一些网页，限制使用QQ、微信等软件，针对每台电脑带宽做限制等。

二为什么要管理上网行为1.防止员工使用像迅雷、BT等为代表的P2P应用，占用大量带宽资源，导致网速变慢。

2.有效预防内部员工带来的安全隐患，像浏览了有安全风险的网络内容。

3.防止员工在工作期间发生聊天、游戏、炒股等行为，严重影响办公效率。

4.预防内部员工在网上发布违反法律的信息。

5.网络故障时，可以即时找到故障根源。

三主要功能1.网页访问过滤根据行业特征、业务需要和企业文化来制定个性化的网页访问策略，过滤非工作相关的页网页。

2.网络应用控制制定有效的网络控制策略，封堵与业务无关的网络应用。

3.带宽流量控制对不同岗位的员工、不同网络应用划分带宽通道，并设定优先级，合理利用有限的带宽资源，节省投入。

4.信息内容审计制定全面的信息收到监控策略，有效控制关键信息的传播范围，以及避免可能引起的法律风险。

5.上网行为分析用户可以实时了解、统计、分析网络使用状况，并根据分析结果对管理策略做调整和优化。

四其他功能NAT、路由、防火墙、VPN等功能。

五部署1.路由模式设备相当于路由器，一般在出口位置，具备路由转发和地址转换功能。

一般这种部署时替换客户原有的防火墙、路由器设备。

这种模式对客户的影响大，需要清楚的知道内网需要代理上网的地址段，需要映射到公网的业务等等，如不是非用此模式不可，一般不建议采用。

2.网桥模式这种模式对客户的网络基本没有改动，设备就是二层设备，只有在设备上架的短时间影响网络，推荐使用。

网桥模式不支持NAT、VPN、DHCP等功能，网桥模式支持硬件bypass，如果设备故障自动启用此功能，不会影响客户网络。

3.旁路部署模式此模式用于审计，不影响客户网络环境。

策略分类：网康行为管理的策略主要分两大类：针对网页访问的策略（如使用浏览器上网）、针对软件访问的策略（如QQ、PPLive）。

目前已做的策略如下：1.网页访问——迁移原代理服务器的策略，限制用户通过浏览器访问特定的网址；2.网页访问——未在代理服务器配置中的IP及网址默认全部阻止；3.软件访问——禁止用户使用P2P影音（如PPLive）、在线音乐（如虾米）以及网络游戏（如QQ游戏）。

做策略的基本方法：基本思路是：XX用户或用户组，若满足或不满足XX条件，则允许或阻塞相应的请求。

针对网页访问的策略：选择“上网管理”——“网页访问详情”；新建一条策略或者点击进入一条策略进行编辑；在上图界面中勾选需要执行策略的用户或用户组；勾选“网址”，在右侧选择逻辑条件（包含或不包含）以及关键字；点击关键字可以进行对应的关键字编辑（也可在“全局配置”——“对象设置”——“关键字对象”中进行编辑）；关键字对象中，每个关键字可以通过换行隔开；以上完成了逻辑条件的设置，下面设置执行的动作；勾选“设置控制动作”后，在右侧点击可在“允许该请求”和“阻塞该请求”中切换；确定后点击右上角“立即生效”完成。

针对软件访问的策略：选择“上网管理”——“应用控制详情”；新建一条策略或者点击进入一条策略进行编辑；在上图界面中勾选需要执行策略的用户或用户组；在网康的应用分类库中勾选需要进行控制的应用；以上完成了逻辑条件的设置，下面设置执行的动作；勾选“设置控制动作”后，在右侧点击可在“允许该请求”和“阻塞该请求”中切换；确定后点击右上角“立即生效”完成。

策略效果分析和微调：所有策略生效后，可根据实际使用情况进行小幅调整。

在“用户管理”——“组织结构”菜单中可以查看、编辑用户。

如可以新建用户组、在用户组中新建用户或者移动组内用户到其他组。

在“查询统计”——“网址访问”菜单中可以查看用户访问网页的情况，如允许或阻塞、匹配了哪一条策略。

如有用户反馈某些网址无法打开，可点击“选择操作”——“设置过滤条件”弹出设置窗口。

聊天工具已经成为了现实网络中不可忽视的信息传播途径，包括QQ、MSN等聊天工具在内，俨然已经成为办公人员必备的业务交流工具，同时也是和外部保持联系的常用手段，就是由于聊天工具拥有这样的"双重身份"，使得办公网的网络管理员很难进行强硬性的管理制度，而如果不加任何管控措施，信息安全无疑受到严重挑战。

网康科技定位于应用层的管理专家，旗下NS-ICG可实现针对QQ、MSN、飞信、雅虎通等多款热门即时聊天工具的聊天内容审计，结合之前的邮件收发审计、文件传输审计，形成全方面的信息安全防护。

技术原理：之前在业务流量管控中提到不同应用数据包具有不同的报文特征，通过深入分析发现，针对同一应用，其不同操作背后的数据包交互也存在一定的区别，基于这种细粒度的研究，可有效的将用户聊天信息从聊天应用中提取出来，在结合基于关键字审计策略，可有效实现聊天内容审计功能。

配置实战：前提条件是NS-ICG通过透明桥接模式部署在运营商办公网络中；另外开启了用户认证服务。

我们可以针对不同的聊天工具实现不同的审计策略，常见的包括：QQ、MSN、飞信等。

第一步，我们打开NS-ICG的"策略管理"-》"审计策略设置"界面，在屏幕下方会有如下界面：通过点击对应审计项表格右侧的" "或" "可有效激活或去激活相应的聊天工具审计功能。

另外，通过 "点击编辑"和"编辑用户"可设定开启审计功能的时间、针对的具体办公网用户。

比如点击"点击编辑"可设定时间，如下界面显示。

第二步：查看审计结果。

我们打开NS-ICG的"查询统计"-》"查询"-》"论坛聊天"可查看匹配【策略管理】→【审计策略设置】→【其他审计策略】中"QQ审计"，"msn审计"，"飞信审计"，"雅虎通审计"及【策略管理】→【客户端策略设置】中的"QQ客户端审计策略""MSN+SHELL客户端审计策略""SKYPE客户端审计策略"的审计结果。

连接监控
实时支持连接监控和查询
通道监控
支持线路、流量通道癿流速
上线用户
支持上线用户列表
风险系数
支持最近15分钟和静态时间范围癿网络风险系数劢态评估和展示
管理界面
支持SSL加密WEB方式管理设备； 支持命令行方式管理设备；
系统配置
系统时间，ＤＮＳ，系统管理员账号设置
系统维护
配置备份恢复，恢复出厂设置，软件版本升级，应用协议库升级， IPS/AV/URL数据库升级，License，关机重启
URL过滤日志 URL过滤相关日志
流日志信息，为系统管理员队设备配置变更癿日志信息
日志关联
支持威胁日志、流量日志、URL过滤日志癿关联
设备信息
提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间 、网络接口等信息；
Top排名
实时提供高风险应用排名、应用流量排名、用户流量排名
支持主子微多级通道，方便用户按照组织结构或应用类别进行精细化分层 流可控指定某一个物理接口为虚拟线路，也可指定多个WAN口作为一个虚拟 线支路持基于应用类型划分不分配带宽
时间控制
支持基于时间段癿带宽划分不分配策略；
保障带宽和限制 支持通道可指定其保证带宽，保证带宽分为上下行均可设置，可按百分比
带宽
和数值进行配置；
别和管控
位置配置可以以IP网段或VLAN ID进行配置
用户状态查询 支持用户登录注销历叱查询
统计
日志 监控 系统管理
应用中心（基于 支 持 Top 应 用 、 Top 源 地 址 、 Top 目 癿 地 址 、 Top 威 胁 、 TopURL 、 应用安全角度全 TopCountry展示和关联钻取 局俯瞰统计排 名应）用风险系数 支持指定时间段内，整个网络应用风险评估显示。

网站&功能大类网站举例所有人禁用
时间段
特殊权限
时间段
网络流媒体IM传文件
游戏●
永久游戏IM ●永久P2P流媒体
P2P
迅雷迅雷●永久上网行为管理功能列表默认以下类别没有限制，如需禁用请将所有人勾选●并每个可以单独设定禁用的时间段，比如星期一8:00-18:00禁用MSN。

所有类别下有很多网站，可以全部禁用，也可以单个禁用，比如禁用淘宝，但不禁用京东。

下载工具
网银
木马控制灰鸽子●永久股票行情行情——操盘手
股票交易
生活服务
基于之前部分部门负责人的反馈建议:
1.在周一到周日8:00-12:00,13:00-18:00禁用网络流媒体,P2P流媒体
2.在周一到周日8:00-12:00禁用淘宝，京东等购物网站。

xxxx公司上网行为管理系统设计方案XXXXX2009年8月目录1.1 互联网一把双刃剑 (6)1.2 对员工上网行为进行规范管理势在必行 (8)1.3 网康ICG 帮您用好双刃剑 (10)2功能介绍 (11)2.1 网页过滤 (11)2.1.1 最领先的中文URL 分类数据库 (11)2.1.2 灵活的Web 策略设置 (12)2.1.3 Web 访问违禁提示 (14)2.2 应用控制 (14)2.2.1 基于特征识别的覆盖全面的应用协议数据库 (15)2.2.2 灵活精细的管控策略 (16)2.3 带宽管理 (16)2.3.1 识别控制P2P 软件和加密P2P 数据 (17)2.3.2 针对用户/应用设置带宽 (17)2.3.3 基于时间段流量控制 (18)2.4 内容审计和过滤 (18)2.4.1 邮件收发审计和过滤 (19)G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor。

(19)2.4.2 IM 审计和过滤 (19)2.4.3 HTTP 文件传输审计和过滤 (20)2.4.4 FTP 文件传输审计和过滤 (20)2.4.5 TELNET 内容审计 (20)2.4.6 论坛发帖审计 (20)2.4.7 搜索引擎关键字审计和过滤 (20)2.4.8 基于时间和用户对象审计外发信息 (21)2.5 实时监控 (21)2.6 查询统计与报表分析 (23)2.6.1 详细的日志查询 (23)2.6.2 发送电子邮件丰富的统计报告 (24)2.6.2.1 递进式（Dill-down）统计分析 (25)2.6.2.2 预置报告模版 (25)2.6.2.3 直观的报告展现与结果保存 (29)2.6.2.4 分级系统报警日志 (29)2.6.2.5 简明系统操作日志 (29)2.7 日志管理 (30)2.7.1 完整的日志记录与导出备份 (30)2.7.2 日志中心 (30)2.9 用户管理 (31)2.9.1 丰富的用户认证方式 (31)2.9.2 支持用户的权限组管理 (33)2.9.3 支持AD 域权限组导入 (33)2.9.4 屏蔽活跃用户IP 地址 (33)2.9.5 支持用户对象的快速搜索选择 (34)2.9.6 支持IP/MAC 绑定 (34)2.9.7 LDAP 认证用户可修改认证密码 (34)2.9.8 支持强制下线 (34)2.9.9 支持BASIC 的每连接认证 (34)ICG 支持B ASIC 用户识别的每连接认证。

部署方式 网关模式 网桥模式 旁路模式 多路桥接
VRRP双机
双机热备 集中管理
其他 售后服务
产品相关资质
其他
Bypass功能 多语言支持
全国除西藏外有31个直属服务机构；海外有5个分支机构（香港、泰国、印度、新加波 品备件；
深圳总部设有60个座席的CTI中心，两路800电话提供7*24小时不间断服务；客户服务
对互联网应用的识别广泛度，正是考验各厂商技术实力的关键所在，不能识别就不能管理 。SANGFOR AC具有国内最大的应用协议识别库，帮助客户有效识别所有主流互联网应用； 同时互联网应用加密化趋势、版本泛滥等SANGFOR AC提供多种应对方案。 网关内置海量预分类URL库，专业团队维护，支持自动更新。 允许管理者手工创建新URL分类； 通过网址关键字识别URL及其分类； 根据管理者提供的关键字、或网址等学习材料，网关实现未知网页的自动识别和分类； 对于SSL加密的网址，网关能够识别和过滤(无需通过封堵TCP 443端口实现）； 网关能够过滤搜索引擎输入的指定关键字； 网关能够过滤正文含有指定关键字的网页访问行为； 网关能够过滤含有指定关键字的网络发贴行为； 网关能够过滤含有多个关键字的搜索引擎行为、网络发帖行为； 网关能够基于关键字过滤SSL加密的网络发贴行为； 允许用户浏览论坛、BBS上的帖子，但不允许发送网络帖子； 网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置，并封堵； 对于通过HTTP/HTTPS端口传输非网页流量的行为，支持识别并过滤； 能够过滤通过HTTP下载、上传的文件类型，且允许用户通过白名单中网站下载任何文件； 能够过滤通过FTP下载、上传的文件类型，且允许用户通过白名单中网站下载任何文件； 包含24个大类，500多条应用识别规则，涵盖主流互联网应用，国内最大； 管理者可通过协议类型、IP、端口、域名、数据包特征字段等，自定义应用识别规则； 基于数据包应用层特征字段实现对应用的识别； 基于数据包与域名之间的关联实现应用的识别； 基于应用协议行为特征实现应用的识别； 当网关完成数据包的强特征识别后，后续数据包通过若特征识别技术即可完成识别，效率更好、速度 更快； 基于应用协议数据包发送频率、大小、速度等特征实现应用的识别； 识别超过37种IM聊天软件； 识别超过10种IM传文件行为； 识别超过75种网络游戏软件； 识别常见的23种P2P应用，同时可识别加密P2P应用； 针对P2P软件种类多、版本杂、更新快的问题，网关通过对P2P软件行为的分析和统计，智能识别各 种P2P软件并封堵； 识别超过36种在线流媒体软件； 识别超过27种网络炒股软件； 识别超过18种远程登录和木马软件； 识别超过6种加密代理、翻墙软件； 识别超过16种网上银行访问行为； 匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤； 匹配指定收件人地址、邮件大小、附件个数、邮件正文和标题关键字的外发Email邮件，网关将主动 拦安截 装，Em并a在il客人户工端审软核件后，再配外置发使；用SSL加密的POP3和SMTP行为，网关仍然能基于关键字、收发件人 地址等过滤外发Email邮件； 基于正文关键字过滤外发Webmail邮件行为； 允许用户登录webmail邮箱接收邮件，但不准外发； 即使通过SSL加密的webmail外发邮件，网关仍然能基于关键字过滤； 网关能过滤来自互联网的垃圾邮件；

支持静态路由、RIP、OSPF、策略路由
支持虚拟线网口对癿Down-up联劢机制 支持基于IP，服务，应用， 用户，时间条件癿访问控制策略； 支持统一策略框架下癿IPS/AV/URL/DOS Profile设置； 支持运营商地址列表；
NAT和ALG功能 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网
支持MD5及SHA验证算法
支持NAT穿越
支持数字证书
应用识别
应用识别与 控制 应用对象
支持对800种以上应用，300种高风险应用； 支持平台级应用细分（HTTP，QQ，MSN）； 可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用 、木马外联、炒股软件、视频应用、代理软件、SSL、网银等协议； 支持自定义应用;
分类库数量
支持20种以上癿分类对象，同时支持2500万个URL地址分类，并能够手劢 和自劢升级URL分类库
黑白名单 策略制定
支持在URL癿Profile内增加自定义癿黑白名单。同时支持黑名单癿劢作配 置可。根据源区域、目癿区域、源和目癿IP组、用户和应用等策略癿配置，支 持多Profile配置
多级通道 虚拟线路 应用流控
地址、内部地址到公网地址一一映射、源地址和目癿地址同时转换（双向
地址转换）、外部网络主机访问内部服务器
防火墙/VPN
支持多种NAT ALG，包括FTP、H.323、SIP，PPTP等
功能 IPSec VPN功能 支持AH、ESP协议
手工配置IKE、ESP算法
自劢协商IKE、ESP算法
ESP支持DES、3DES、AES算法多种加密算法
支持安全策略，流量管理策略中对应用对象癿引用
应用多维属性
应用大类，应用子类，应用技术分类，应用风险级别，应用属性 支持应用过滤器，方便应用选择和过滤

上网行为管理操作手册
1、打开浏览器输入：https://10.201.24.130或者https://10.201.24.123,登陆上网行为管理设
备，如图所示：
2、提示安装插件，单击浏览器下方工具条“右键”，安装插件，如图所示：
安装插件：
点击安装完成输入用户名和密码进入主界面：
3、点击“系统配置”模块下的“序列号”选项，可以查看设备序列号：
示：
5、点击“系统配置”模块下的“系统日期和时间”选项，可设置当前日期和时间：
6、点击“系统配置”模块下的“控制台用户管理”选项，可进行设备用户管理和设置：
7、点击“系统配置”模块下的“配置备份和恢复”选项，可进行设备配置的备份和恢复：
8、点击“系统配置”模块下的“重启操作”选项，可执行设备重启和服务重启操作：
护，如图所示：
10、点击“系统配置”模块下的“自动升级”选项，可执行设备相关库的升级操作：
如图所示：
定制，如图所示：
如图所示：
点击“进入内置数据中心”：
全屏：
行为统计”操作，如图所示：
报表统计，如图所示：
还可以对报表生成条目进行定制，如图所示：
16、进入“配置导入导出”选项，可进行配置文件的备份和恢复，如图所示：
助。

上网行为管理解决方案（推荐）第一篇：上网行为管理解决方案（推荐）上网行为管理解决方案一．上网行为管理产品产生的背景在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：1.与工作无关的 P2P 和在线视频等应用占用带宽2.与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率。

3.员工随意在网络上发帖和传输文件导致机密泄露4.员工上网容易受到病毒、木马和蠕虫等攻击和感染5.员工通过网络从事一些黄赌毒等违法活动6.员工浏览和发布不良言论导致企业面临法律风险为解决以上一系列的问题，上网行为管理产品应运而生。

二．上网行为管理产品给用户带来的价值上网行为管理产品带来了全面的互联网行为管理解决方案。

在此，我们以华为的ASG2000系列产品为例，从URL过滤、应用行为控制、流量管理、web内容过滤、上网行为审计等几个方面阐述行为管理产品为用户带来的价值： 1．应用控制和URL过滤：企业或者组织接入互联网的带宽一般非常有限。

当这个有限的带宽充斥了大量的无关应用（如在线游戏、P2P和在线视频）的时候，一些重要应用将受到挤压，基本带宽得不到保证，使得网络对于工作和重要业务不再可用。

该应用通过应用层数据识别，对数据流中的应用层数据进行内容检测。

通过对解析的数据包，使用应用特征库中的规则，对应用数据进行匹配，识别出在线游戏、P2P和在线视频等多种类型的网络数据流量，然后根据用户对该类应用配置的动作允许还是阻断数据包。

URL过滤在企业中是非常重要的功能，员工随意不受控地访问非法网站，不仅严重影响工作效率而且威胁企业网络安全。

URL过滤对用户的URL请求进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网行为的目的。

2．流量管理：基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。

网康上网行为管理方案1. 引言随着互联网的普及，越来越多的企业和机构面临着对员工和用户上网行为进行管理的需求。

上网行为管理旨在保护网络安全，防范信息泄露并提高工作效率。

本文将介绍一套基于网康设备的上网行为管理方案，该方案将帮助企业和机构实现对上网行为的监控和控制。

2. 网康设备概述网康设备是一款专业的网络安全设备，它提供了丰富的功能和灵活的配置选项，可以满足各种规模和需求的网络环境。

网康设备支持通过集中管理中心对网络设备进行统一的配置和管理，同时具备强大的上网行为管理功能。

3. 上网行为管理方案设计为了有效管理上网行为，我们设计了以下几个关键步骤：3.1. 设定策略在网康设备上设置上网行为管理策略，包括允许或禁止特定的网站访问，限制特定应用程序的使用，以及设定时间段和流量限制等。

策略可以根据不同用户、不同部门或不同网络区域进行个性化配置。

3.2. 监控行为网康设备可以实时监控员工和用户的上网行为，包括访问的网站、下载的文件、使用的应用程序等。

监控数据将通过日志进行记录，并可以通过集中管理中心进行查看和分析。

3.3. 报警机制通过设定合适的报警规则，当发现异常的上网行为时，网康设备将自动触发报警。

例如，当某个用户下载大量敏感信息或访问被禁止的网站时，系统会及时通知管理员并采取相应的措施。

3.4. 违规处理当发现员工或用户存在违规行为时，管理员可以根据实际情况采取相应的处理措施。

例如，警告员工、限制其访问权限或进行相应的处罚措施，以确保员工和用户遵守上网行为管理规则。

4. 实施步骤为了成功实施上网行为管理方案，我们建议按照以下步骤进行：4.1. 确定需求企业或机构应首先明确自己的上网行为管理需求，并根据实际情况制定相应的策略。

4.2. 设计方案根据需求，设计适合的上网行为管理方案。

包括设定策略、监控规则、报警机制和违规处理措施等。

4.3. 部署网康设备根据设计方案，部署网康设备，并进行相关的配置和测试。

网康上网行为管理为了保障企业网络安全和合法使用网络资源，需要对企业员工的上网行为进行管理和监控。

网康上网行为管理系统可以帮助企业实现对员工上网行为的实时监控、管理和策略控制，从而加强网络安全管理和合规管理。

一、网康上网行为管理系统的基本功能1、实时监控员工上网行为网康上网行为管理系统通过安装在企业网络中的探针和浏览器插件，可以对员工的上网行为进行实时监控。

系统可以详细记录员工的上网时间、访问网站的URL、访问次数、下载上传文件的大小和种类等信息，提供详尽的上网日志。

2、管理员工上网行为网康上网行为管理系统可以根据企业需求制定上网策略和访问权限，实现对员工上网行为的管理。

系统可以设置白名单、黑名单规则，对员工访问不合法网站进行拦截和屏蔽。

同时，系统也可以根据员工的职务、部门等身份进行授权管理，对员工上网权限进行分配和管理。

3、报表分析和安全审计网康上网行为管理系统为企业提供丰富的报表和分析功能，可以生成员工上网日志报表、违规访问报表等，为企业提供了大量的数据支持和决策参考。

系统还可以对企业网络安全事件进行安全审计，实时跟踪所有的网络安全事件，发现和排除网络风险隐患。

二、网康上网行为管理系统的应用场景1、企业网络安全管理随着互联网技术的快速发展，企业网络安全面临着越来越多的威胁。

网康上网行为管理系统可以对企业网络进行全方位的监控和管理，及时发现和解决各种网络安全隐患，保障企业网络安全。

2、员工管理和考核企业员工作为网络资源的使用者，如果滥用网络资源，则会影响企业的正常运营。

网康上网行为管理系统可以对员工进行上网行为管控，提高员工的工作效率和工作纪律，同时也为企业的考核和奖惩提供了有力依据。

3、合规管理和风险控制在一些行业中，企业必须遵守政府相关规定和行业标准，比如金融行业、医疗行业等，如果企业的上网行为不合规，则会面临着行政处罚和经济损失等风险。

网康上网行为管理系统可以帮助企业实现对上网行为的合规管理和风险控制，保障企业合法合规经营。

共4页
上网行为管理 NS-ICG 产品介绍
定 用户可以设
URL
自定义 关键字
网页分类
用户可以设定网页智能学习分类，利用网页样本训练设备智能识别网页
URL 根据人 地 间 URL /URL H H 网 页 放 过滤
员、 点、时 、网站 访问的 行和阻断
分类
关键字 对 TTP、 TTPS 网站进行
根据 标题 正 网 页 内 容
行为分析
实时监控
实时展示网络的带宽占用情况、应用使用情况、网页访问情况、人员访问分布、 情况 风险告警
查询 个 收络 查询 括： 日志
对整 网 的访问日志进行 擎、邮件 发等
，包
用户、应用流量、网站访问、搜索引
统 报表 支持统 报 活动 长 订阅 计
计 告（用户 、用户行为、带宽资源、上网时 ）的 和管理
产产品品价价值值 上网行为可视：
直观掌握各种上网行为，便于快速制定上网行为 管理策略。
P2P 流量占到了整体流量的 50%以上
迅雷下载和 P2P 电影是员工的主要行为
需要限制 P2P 的速率
网站访问第一、第二名都是购物网站 存在较多以 IP 方式访问的财经及国外站点
需要在上班时间控制购物网站的访问
邮件发送敏感关键字信息，存在泄密风险 搜索引擎在搜索大量的敏感关键字，存在法 律风险
用户认证 网康本地认证 微软 AD、RADIUS、LDAP、邮件联动认证
终端准入 检查上网终端杀毒软件、操作系统补丁、标准办公软件的安装情况 确保注册表、运行进程、磁盘文件中没有威胁软件
应用控制
应用识别
不依赖 口 IP、端 。可识别 P2P、在线视频、炒股、游戏、即时通讯等 600 多种 协议 主流应用 。 用户可根据 IP、端口自定义应用协议

ICG操作课程实验 ICG操作课程实验
• 实验概括： • 北京某销售公司现有的办公网络，已经达到了200个客户 端。公司网络目前管理混乱，网内有大量的bt下载，在线 视频等流量，严重影响办公需求。希望能够通过部署ICG 产品解决当前的带宽堵塞，应用庞杂，信息泄露等问题。 • 以下我们来模拟这一网络环境
ICG操作课程实验 操作课程实验
全局要求： 1、每用户的带宽上限是100KB/s 2、所有用户拒绝访问非法网站（色情、暴力、邪教） 3、所有用户工作时间不允许玩游戏 4、除财务部之外，任何用户不得在工作时间炒股 4、设置用户防护设置：上传速率包阀值1000包/分 钟，临时屏681965253拒绝p2p下载保险部1921681965455拒绝im拒绝ppsgames财务部19216819656带宽通道上行10k下载10k人力行政部1921681965758p2p下载5k58免监控技术部19216819659拒绝使用网络使用屏蔽ip问题1用户希望丌让某人上网并在访问web网站时有策略阻止的提示怎么做
具体需求描述
部门 销售部 保险部 财务部 人力行政部 技术部
Ip地址 192.168.196.52（53） 192.168.196.54（55） 192.168.196.56 192.168.196.57（58） 192.168.196.59
上网需求 拒绝p2p下载 拒绝im，拒绝pps， games 带宽通道上行10K，下载 10K P2p下载5K，58免监控 拒绝使用网络（使用屏蔽 ip）
问题
1、用户希望不让某人上网，并在访问WEB网站时有策略阻 止的提示，怎么做？ 2、领导担心自己被监控到上网记录，如何操作打消领导顾 虑？
Thank You!
网康科技公司培训教程

网络行为管理系统（一)产品功能网络行为网关是员工上网行为管理的产品。

该产品可以在不影响网络运行效率和不改变现有网络配置的条件下，对内部人员使用互联网的情况进行有效的管理和控制，网络行为网关是软、硬一体化专业网络设备,无需安装客户端软件，使用非常简单方便，单位管理人员一看就会.网关主要功能如下：访问控制提供完整的访问控制管理策略，可灵活地按用户角色或者分组对用户上网行为进行有效地控制，可以根据日期、时间段、服务类型、网址、流量、IP地址、端口范围等手段设置控制策略，并提供百万级的有害信息过滤网址库防堵不良网站，从而实现单位上网管理控制，规范员工上网行为.访问外网控制：可以控制所有人或指定的人能否上Internet。

日期时间控制：可以按照日期类型(如:工作日、非工作日)和时间段（如：上午9:00到下午6:00）使用各种控制策略。

网址关键字控制:可以按网址、通配符控制访问的网站（如:禁止网址中包含news的网站)。

应用服务控制：可以根据Internet的服务类型控制能否使用相关的服务（如：能否使用邮件、QQ、P2P下载、www服务等）.IP及端口控制：可以控制用户可以访问的IP地址或端口号(如：可以封掉某些IP地址及端口）。

分级控制：可以针对某个人、某个部门或所有人进行控制，每个部门或个人均可使用不同的访问策略.网址库类别控制：可以基于网址库的网址分类确定访问策略，而且用户可以自己维护网址库(如：用户可以将不能访问的网站作为网址库的一类，然后可以通过禁止这一类网址，就达到了禁止访问对应类别的网站的功能）应用服务分类控制：可以基于网络应用的分类确定访问策略,系统默认把应用分为“即时通信"、“P2P下载"、“网络游戏”等九大类,而且用户可以自定义网络应用类别（如：用户可以根据IP地址或端口来定义某些在线游戏服务，然后通过选择禁止或允许来控制最终用户对这些服务的使用）。

带宽管理网络行为网关可以对用户上网占用的带宽进行管控，可以按网络地址段、用户组、个人或服务类型来制定策略对带宽进行管理。