网康NS-ICG的基本操作

设备功能列表1．网页过滤：目前网康ICG的URL数据库包括51个类别，超过1400万条的URL，基本覆盖中国大陆区域的网站，是全球最大的中文URL数据库。

并且每天都有近300万条的更新。

对网站的URL识别率不低于90%，识别准确率不低于90%。

具体的网页过滤功能包括：1)支持基于预分类的URL类别进行过滤控制。

2)支持用户自定义网站类别过滤。

3)支持URL类别的二级子类控制。

4)支持对以IP方式访问网站进行过滤控制。

5)支持基于网站分类过滤HTTPS加密的网站。

6)支持基于URL关键字进行过滤控制。

7)支持基于文件类型进行过滤控制。

8)支持基于网页文件大小进行过滤控制。

9)对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义。

10)支持网站黑、白名单设置。

11)能够识别并控制国内主流的SNS类网站，支持细分行为的封堵，包括开心网、校内网的登录、游戏行为。

2．应用控制网康ICG拥有国内最全面的网络应用协议数据库，支持480多种协议。

并且每周都有协议库的更新。

包括对标准应用协议、即时聊天IM类、P2P类、网络电视类、炒股类、游戏类、流媒体、隐患服务类等进行应用控制。

另外还支持对针对用户各项应用的每日上网时长的限额管理。

3．带宽管理，具体包括：1)支持基于带宽通道的流量控制，可设定多个不同的带宽通道，每个带宽通道提供保障速率和突发速率。

2)支持带宽通道优先级的定义，保障核心业务拥有带宽保障。

3)支持空闲带宽借用，实现带宽资源统计复用。

4)可设置基于人/部门的带宽管理策略。

5)可设置基于应用的带宽管理策略，避免非业务应用对主流应用的影响。

6)可设置人/部门某一种或多种应用的组合带宽策略。

7)可设置部门成员的平均带宽策略，避免个体成员独占部门带宽。

8)可根据时间段设置带宽管理策略。

4．内容审计和过滤，具体包括：1)邮件审计和过滤。

2)即时通讯审计3)论坛发帖审计。

4)网络应用审计。

5)HTTP文件传输审计。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件，并可细化识别行情查询与在线交易，加以区分控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达1600万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏●本地智能识别分类引擎，采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入，规范您的网络●20余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●对计算机终端环境进行管理，帮助管理者实施计算机准入规范●如：必须安装杀毒软件方可上网；禁止安装、运行与工作无关的应用程序等4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽●为关键业务提供带宽资源保障，保留足够可用带宽，保障服务质量5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户并加以处理●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控，及时过滤有害信息网康互联网控制网关NS-ICG 7000-10 适用于：8000人规模，1G出口带宽的网络环境参数规格：NS-ICG 7000-10产品规格参数见下表：。

标题：设备部署-HA1.用户场景“双机冗余”模式下，主机（active）负责数据的过滤与转发并同时通过启用了HA功能的端口与备机（standby）进行同步和状态检测，而备机仅负责从HA 端口与主机进行同步和状态检测，当检测出异常时，会切换自身的工作状态，代替原主机工作。

2.配置步骤配置主机HA口配置主机同步设置配置备机HA口配置备机HA同步设置2.1.配置主机HA口选择【系统管理】-【网络配置】-【HA配置】，点击【HA网络配置】；勾选【启用管HA口】，配置HA接口的IP和掩码，然后选择HA的接口，点击确定，配置成功后会弹出配置成功的提示界面2.2.配置主机HA同步设置在【HA配置】下选择【HA同步配置】，开启策略和上线用户的同步设置；配置完成后，点击【检查HA口连通性】，如果通讯正常，会弹出成功对话框主机HA口配置完成；2.3.配置备机HA口选择【系统管理】-【网络配置】-【HA配置】，点击【HA网络配置】勾选【启用管HA口】，配置HA接口的IP和掩码，然后选择HA的接口，点击确定，配置成功后会弹出配置成功的提示界面2.4.配置备机HA同步设置在【HA配置】下选择【HA同步配置】，开启策略和上线用户的同步设置配置完成后，点击【检查HA口连通性】，如果通讯正常，会弹出成功对话框；同步前必须保证主备机之间HA 口的连通性及系统版本的一致性。

备机HA配置完成；3.HA同步3.1.HA策略和上线用户手动同步方式进入主机的【HA同步配置】，点击【立即同步】；3.2.HA策略和上线用户自动同步方式自动同步即为立即生效自动同步，指主机在新建或修改策略，点击“立即生效”按钮时，主机的策略设置及上线用户信息自动同步到备机；4.其他概念注意事项========================================================================== 4.1.HA口地址HA口的IP地址不能和网络配置中的IP（如管理口IP，网桥IP，网关IP等）在同一网段，否则可能会造成网络无法使用。

网康互联网控制网关解决方案北京网康科技有限公司2011年7月目录1、互联网行为管理理念 (4)1.1互联网管理的发展 (4)1.2互联网管理的几个方向 (4)1.3互联网管理的内容 (6)1.4互联网管理解决什么问题 (7)1.5网康科技上网行为管理理念–洞悉，管控，驾驭 (7)2、互联网管理方案设计 (8)2.1目前用户普遍存在的问题 (8)2.2系统设计必须考虑的功能因素 (8)2.3系统设计必须考虑的技术因素 (9)2.4单位用户通用行为内容构成 (10)2.5修复隐患点各功能模块概述 (11)3、总体设计方案 (13)3.1建设目标 (13)3.2审计功能实现 (13)3.3实施非明文文件传输隐患规避 (19)3.4查询模式建议和监控 (23)4、网康NS-ICG介绍 (30)4.1设备系统的安全性 (30)4.2可靠性原则保障和易用性 (31)1、互联网行为管理理念互联网作为一个拥有完全社会特征的虚拟环境，其管理与单位的管理密不可分，然而互联网的管理复杂度远超过一般的单位管理。

互联网管理包括：风险管理、合规管理、行为管理和链路管理。

1.1互联网管理的发展从互联网使用的历程来看，首先是接入，让互联网可用；其次是高效率，出口链路的流量管理；然后是访问控制，让大家安全合理的使用互联网；最后上升到员工行为分析和管理。

归纳起来，一是关注上网权限（什么样的人允许使用互联网），二是关注上网速度（保证起码的办公需要），三是关注上网内容（泛指各种互联网应用及其信息），四是员工行为分析和管理。

实际上，使用权限、访问速度、上网内容、行为分析密不可分，都是互联网管理的重要组成部分。

完整的互联网访问管理遵循“记录—分析—决策—实施策略—再记录、分析”这样一个螺旋式上升的，逐步完善的过程。

1.2互联网管理的几个方向●权限管理对互联网的使用是不是开放的，需要什么样身份的人才可以接入网络。

●链路管理链路管理是互联网管理的基础，主要是如何保障互联网出口链路的畅通、高速。

网康集中管理平台(Central Management Platform, NS-CMP）是一款用于对多台网康互联网控制网关（NS-ICG）实施策略统一管理的软件产品。

NS-CMP可以同时呈现下辖的所有NS-ICG的运行状况，并且可通过分级分权的模式进行多台NS-ICG的策略同时下发及回收。

有效落实集团客户的中央集权模式的互联网行为管理思路。

主要功能：1、全局NS-ICG的组织架构建立●静态区域设备信息导入，建立集团NS-ICG的分布架构●动态区域设备信息注册，实现跨互联网的集团设备分布信息的获取●分组目录式结构管理，清晰展现各个区域的设备列表，管理员信息2、掌控所有NS-ICG的设备状态●全面展现所有NS-ICG的设备固有信息：包含设备IP地址、设备地理位置、系统软件版本、URL数据库版本、协议库版本●全面了解所有NS-ICG设备当前的状态信息：包含CPU利用率、内存利用率、存储空间使用率●全面了解所有NS-ICG所管理的网络的状况信息：包含终端数量、在线用户数、并发连接数、上行流量、下载流量●对设备的状态异常进行集中的告警通知：包含设备性能告警、网络状况告警●基于任意时间范围输出全网统计信息报告：包含访问数量最多的网站排名，全网应用流量排名，发送邮件数量排名，聊天工具排名等3、策略集中下发和回收●可对全部或部分的设备下发最高优先级或最低优先级的中央策略，实现中央思路落实●可对全部或部分的设备更改或回收已经下发的策略，实现中央思路变更的落实4、设备点对点远程管理●可实现对组织架构中的任何一台设备进行单独的远程管理●可实现对组织架构中的任何一台设备进行详细信息查看●可实现对组织架构中的任何一台设备进行特征库和软件版本的升级操作5、基于角色的设备管理分级分权●对区域ICG进行不同管理员级别的设备设定，实现区域管理员分等级管理当地设备●对区域ICG进行不同审计员级别的设备设定，实现区域审计员分等级审计当地的日志信息6、全网日志汇总分析●汇总并统计组织框架中各ICG用户上网行为的统计数据，并生成全网用户上网行为管理统计分析报告网康集中管理平台NS-CMP适用于：集团用户对多台ICG进行统一策略分发/更改与回收、统一监控所有ICG的运行状况参数规格：NS-CMP产品规格参数见下表：。

网康ICG跨三层IP/MAC绑定配置案例为了更好的管理内部网络，用户一般会要求实现IP/MAC绑定功能，这样可以避免内网用户更改IP造成地址冲突的麻烦和实现管理定位的精确性。

在二层环境下IP/MAC绑定，一般管理设备可以通过广播的形式获取内网PC的IP/MAC，并进行绑定。

一旦经过了三层交换机，内网PC机IP 地址与管理设备不在同一地址段时，此内网PC的MAC地址就不能被获取并绑定，但现在衍生出了跨三层IP/MAC地址绑定的概念，当然这并没有违背TCP/IP原理。

那如何实现呢？就三层环境下实现IP/MAC绑定，管理设备厂家们各有千秋，比如S公司就是采用在PC端安装插件的方式实现。

但这种方式存在一定弊端：每个PC都必须安装此插件才能实现被管理，一旦某PC重装系统，或阻止了此插件的安装将起不到跨三层绑定的作用，而且会为管理员增加更多的维护工作量，尤其对于较大型网络更为明显。

而网康ICG则是通过读取三层交换机的IP/MAC地址对应表项实现绑定，做到了零插件管理，优势不言而喻。

以下是绑定实现过程。

网络结构图如下：1、首先在三层交换机上进行SNMP 相关配置，以华为交换机6503为例：只需进行以下两条命令配置：[Quidway S6503] snmp-agent community read admin [Quidway S6503] snmp-agent sys-info version all 配置完毕后生成以下信息： #snmp-agentsnmp-agent local-engineid 800007DB000FE25952586877 < 此条信息自动生成 > snmp-agent community read admin < 此可读团体名admin 将在ICG 的配置中用到 > snmp-agent sys-info version all #注意：配置snmp-agent 版本信息时一定要设置成所有版本，即：all ，否则ICG 将有可能获取不到交换机的IP/MAC 对应表项，在有些交换机上配置可能缺省为v3版本。