网康科技•互联网控制网关

Size: px

Start display at page:

Download "网康科技•互联网控制网关"

肋灰玮缪
9 years ago
Views:

1 网康科技互联网控制网关 Internet Control Gateway 用户手册 Version 年 12 月

2 关于本手册版权声明 2009 版权所有, 保留一切权力本文件中出现的任何文字叙述文档格式插图照片方法过程等内容, 除另有特别注明, 版权均属 ( 以下简称网康科技 ) 所有, 受到有关产权及版权法保护未经网康科技书面许可不得擅自拷贝传播复制泄露或复写本文档的全部或部分内容信息更新本文档仅用于为最终用户提供信息, 并且随时可由网康科技更改或撤回免责条款根据适用法律的许可范围, 网康科技按原样提供本文档而不承担任何形式的担保, 包括 ( 但不限于 ) 任何隐含的适销性特殊目的适用性或无侵害性在任何情况下, 网康科技都不会对最终用户或任何第三方因根据说明文档使用 ICG 造成的任何直接或间接损失或损坏负责, 即使网康科技明确得知这些损失或损坏, 这些损坏包括 ( 但不限于 ) 利润损失业务中断信誉或数据丢失阅读对象本文的读者对象为企业 IT 决策人员网康互联网控制网关的使用用户网康科技的合作伙伴第页

3 目录关于本手册... 2 目录网康互联网控制网关简介公司简介网康互联网控制网关简介 NS-ICG 的工作环境单网桥模式双网桥模式网关模式镜像模式 NS-ICG 的基本操作登录 NS-ICG 认识 NS-ICG 的工作窗口认识 NS-ICG 的功能模块配置网络申请授权默认设置退出系统系统监控系统监控概述系统状态网络活动上线用户活跃用户流量监控应用监控网站访问搜索引擎邮件收发在线聊天论坛发帖 FTP 审计 TELNET 审计 HTTPS 审计文件审计时长限额策略管理策略管理概述策略网段第页

4 5-3 黑白名单概述黑白名单 Bypass 域名免监控 IP 免管控用户屏蔽 IP 对象设置概述时间对象网站分类对象网址匹配对象文件类型对象带宽通道对象用户自定义协议客户端检测对象策略设置概述应用控制策略时长限额策略流量控制策略网页控制策略审计策略设置外发邮件审计接收邮件审计 QQ 审计 MSN 审计飞信审计 YAHOO 通审计 FTP 审计 HTTPS 审计 TELNET 审计发帖审计客户端策略设置客户端准入策略客户端应用封堵策略用户带宽上限防护设置概述全局设置用户防护规则系统监控规则暂时屏蔽列表防护功能及状态栏警告提示页面策略报告用户管理第页

5 6-1 用户导入 IP LDAP 网康自定义组织管理 ROOT 第三方用户和 IP 临时用户用户查询认证管理认证配置混合认证登录界面网页重定向查询统计查询用户查询应用流量网站访问搜索引擎邮件收发在线聊天论坛发帖上线历史应用明细上网时长 FTP 审计 TELNET 审计 HTTPS 审计文件审计统计统计条件统计结果报告报告订阅中心历史报告管理用户活动摘要用户行为统计带宽资源使用上网时长统计系统管理系统状态权限配置网络配置第页

6 8-3-1 管理口设置网络配置向导网络基本配置网络高级配置系统配置基本设置系统设置授权与更新备份与恢复系统工具帮助信息日志管理操作日志系统报警日志用户防护日志系统监控日志 Web 记录日志 ARP 报警日志超出阀值日志网络状态监控用户防护指标被盗用 IP 列表日志中心数据库在线升级关于数据库 URL 数据库在线升级步骤应用协议数据库在线升级步骤软件升级关于软件升级说明软件在线升级软件 USB 存储设备升级第三部分 : 附录 NS-ICG 系统默认设置 ICG 支持的网络应用 URL 数据库分类表正则表达式 MIME 与文件类型对照表 AD 域证书服务器 AD 脚本配置认证客户端的安装与卸载术语说明第页

7 网康互联网控制网关简介 NS-ICG 的工作环境 NS-ICG 的基本操作系统监控策略管理用户管理查询统计系统管理数据库在线升级软件升级第页

8 1. 网康互联网控制网关简介 1-1 公司简介网康科技有限公司 (NetentSec,Inc.) 成立于 2004 年, 专注于研发生产和销售互联网控制网关等系列产品及相关服务, 拥有全部自主知识产权, 是世界最具技术创新和服务精神的企业之一目前, 网康科技已成为中国上网行为管理行业的领导品牌随着用户对互联网的深入应用, 经由内部访问互联网导致的带宽滥用效率下降法律风险安全隐患等问题日益凸显凭借网康互联网控制网关系列产品, 用户可以指定灵活有效的管理控制策略, 针对网页访问过滤网络应用控制带宽流量管理内容审计等进行精细化管理, 有效解决因接入互联网而可能引发的各种问题, 优化对互联网资源的应用网康科技凭借人性化设计简单易用 ; 精细灵活的策略管理 ; 全球最大的中文网页数据库 ; 国内最大的网络应用协议数据库 ; 强大的查询统计与分析报告 ; 灵活的部署方式 ; 稳定可靠的软硬件平台等产品技术优势, 以及专业的服务能力获得了客户的广泛认可目前网康已成为中国企业信息化 500 强指定上网行为管理设备提供商 ; 是中国唯一一家进军日本市场的互联网控制管理厂商 ; 是中国信息安全领域用户最值得信赖的首选品牌网康互联网控制网关产品更是被多家媒体评选为最佳上网行为管理产品, 获得编辑选择奖网康科技有限公司总部位于北京, 拥有中日英三种语言版本产品, 在日本美国等国家设置了分公司和代理处, 在中国建立了以京津冀华北华东华南华中东北西北西南等八大平台为依托, 遍布全国的代理商体系以及销售与服务网络, 为全国用户提供专业快捷的服务电话 : 传真 : 地址 : 北京市海淀区中关村东路 66 号, 世纪科贸大厦 A 座 3 层邮编 : 网址 : 电子信箱 :[email protected] ( 市场部 ),[email protected] ( 服务部 ) 网康科技 ( 美国 ) 1111 Corporate Center Dr., #103 Monterey Park, CA 91754, U.S.A. Tel: (213) Fax :( 323) 第页

9 1-2 网康互联网控制网关简介网康互联网控制网关 ( 以下简称 NS-ICG) 是目前最领先的上网行为管理产品, 它通过完善的网页过滤应用控制带宽管理内容审计等功能, 帮助用户提升工作效率降低安全威胁杜绝带宽滥用增强信息安全规避法律风险保护 IT 投资网页过滤 : 拥有全球最大的中文网页过滤数据库 (43 个一级和 10 个二级中文 URL 预分类库, 超过 1300 万条 URL 每天 300 万条的更新以及独有的子分类技术 ), 独特的行为后果分类方式, 精确过滤不良信息应用控制 : 拥有最全的应用协议控制数据库 ( 超过 200 多种流行应用协议分析特征库 ), 深度内容检测 (DCI) 技术, 精确识别各种应用的协议特征对于未知的 P2P 协议的下载软件未知的股票等应用软件甚至一些特殊应用 ( 比如走 80 端口的 web 迅雷 ), 我们都可以做到封堵或流量控制带宽管理 : 最精细的带宽流量管理, 基于用户应用时间数据流向等条件设置差异化的控制策略内容审计 : 最全面的信息收发审计, 全面审计通过邮件 IM BBS HTTPS Telnet FTP 等方式收发的所有信息内容第页

10 2. NS-ICG 的工作环境 NS-ICG 产品部署方式非常灵活, 主要分三种模式 : 透明网桥模式网关模式镜像模式其中透明网桥模式又支持单网桥模式和双网桥模式 NS-ICG 产品在部署时能够透明接入, 从而不修改网络拓扑结构不修改用户网络配置不需要在客户桌面计算机上安装任何软件且不需要在客户桌面计算机做任何配置不同的网络部署模式分别适用于不同的网络拓扑结构请根据实际情况, 选择适合本企业的网络部署模式 2-1 单网桥模式 NS-ICG 安装于企业内部网络与防火墙 / 路由器之间的任意位置网络拓扑实例如下图 : 图 2-1 单网桥模式下网络拓扑实例图在网桥模式下有两个重要配置 : NS-ICG 的 IP 地址 : 用于访问 NS-ICG 可设为企业内网上的任意 IP( 出厂默认配置 / ) NS-ICG 的默认网关 : 网桥模式下, 请将 NS-ICG 的默认网关指向该企业所使用的网关 ( 即防火墙 / 路由器内部 IP), 如网络管理者可通过 NS-ICG 提供的 Web 管理界面来管理系统相应的管理界面的地址为 https: //NS-ICG 的 IP 地址, 如 https: // Web 管理界面地址以 https 开始, 而非以 http 开始第页

11 2-2 双网桥模式双网桥模式, 又称双入双出模式它是在单网桥的基础上增加了另一个桥路, 将网口划分为两组, 设置两个出口和两个入口, 实现了两路且独立的单入单出双网桥模式实现了一台 NS-ICG 设备对公司内部两个独立网络同时控制的功能网络拓扑实例如下图 : 图 2-2 双网桥模式下网络拓扑实例图在双入双出模式下有三个重要配置 : 线路 1 的 IP 地址 : 用于访问 NS-ICG 可设为企业内网上的任意 IP( 出厂默认配置 / ) 线路 2 的 IP 地址 : 用于访问 NS-ICG 可设为企业内网上的任意 IP, 必须与链路 1 的 IP 处于不同网段, 例如 : NS-ICG 的默认网关 : 设定为该企业所使用的网关 ( 即防火墙 / 路由器内部 IP), 如双网桥模式下,NS-ICG 的引擎是旁路模式, 配置网关主要是为了 NS-ICG 设备本身访问网络, 和内网用户上网无关因此该项不是必须配置项 2. 系统默认是单网桥模式, 如果需要使用双网桥模式, 需要在系统安装完毕后手动配置 3. 网口为五个或五个以上设备, 可以如上图所示配置管理口网络管理者可通过管理口登录 NS-ICG 提供的 Web 管理界面来管理系统相应的管理界面的地址为 https: //NS-ICG 管理口的 IP 地址, 如 https: // 管理口的配置请参考管理口设置章节 4. 四口设备在双网桥模式下没有管理口, 网络管理者可以通过任一网桥地址直接访问, 如上图中的第页

12 2-3 网关模式网关模式能实现 NAT 路由防火墙等基本网关功能, 并能实现一入多出功能在网关模式下, 网络拓扑实例如下图 : Dept.A 内网 IP: /24 线路 1 线路 2 Internet Dept.B 线路 3 Dept.C 内网地址 : /24 网关 : Web admin 图 2-3 网关模式下网络拓扑实例图在网关模式下有以下重要配置项 : NS-ICG 的内网口 : 包括 IP 地址与 IP 掩码, 默认 IP 地址是请保证 NS-ICG 的内网口 IP 地址是其下级的级联设备的网关地址 NS-ICG 的外网口 : 网关模式下支持一入多出, 可以设置多个出口, 但请保证至少要设置一个出口 1. 线路的多少由 NS-ICG 设备所带的网络接口数量决定 ; 2. 线路模式支持静态地址动态地址 ( 即 ADSL 拨号 ) 或静态地址与动态地址的混合模式请根据实际需要设置 3. 详细请参考网关模式章节 2-4 镜像模式镜像模式比较适合网络流量较大更关注于信息的审计的大型单位在镜像模式下, 网络拓扑实例如下图 : 第页

13 图 2-4 镜像模式下网络拓扑实例图在镜像模式下有以下几个重要配置项 : NS-ICG 的内网口 : 首先在交换机配置镜像端口, 并将交换机的上联口进出的数据包都转发到镜像端口将 NS-ICG 的内网口和交换机的镜像端口相连, 用于接收交换机镜像端口的数据 IP 地址可设为企业内网上的任意 IP, 例如 ; NS-ICG 的管理口 : 用于管理该 NS-ICG 设备 IP 地址可设为企业内网上的任意 IP, 但不得与内网口控制口在同一个网段内, 可设为如和管理口相连的 PC 机 IP 地址应与管理口 IP 地址在同一网段内 ; NS-ICG 的控制口 : 主要用于阻断 web 访问 IP 地址需设为和网关内部 IP 地址同一网段的任意 IP 第页

14 3. NS-ICG 的基本操作 3-1 登录 NS-ICG 网康互联网控制网关产品的工作环境部署好后, 就可以登录产品的管理平台由于 NS-ICG 设备的出厂时默认 IP 地址是 , 因此请将任意一台 PC 的 IP 设置为该段地址, 例如在该 PC 的浏览器地址栏中输入 https: // 并回车 ( 请注意, 该地址是以 https 开头, 而非 http), 打开 NS-ICG 的登录界面, 如下图所示 : 图 3-1 登录界面 NS-ICG 系统管理员的用户名和密码默认均为 ns25000 输入正确的用户名和密码后, 点击登录按钮, 进入 NS-ICG 系统的控制页面 1. 登录成功后请及时修改管理员的密码 2. 为了安全起见, 如果累积五次输入用户名和密码错误, 该 IP 的用户 15 分钟内将不允许登录 NS-ICG 第页

15 3-2 认识 NS-ICG 的工作窗口本节将介绍 NS-ICG 互联网控制网关的页面构成如下图所示 : 图 3-2 互联网控制网关界面主模块互联网控制网关的主模块选择按钮子模块互联网控制网关主模块的子模块选择按钮详细画面各子模块的详细显示画面子模块项目一览 : 系统监控系统状态网络活动上线用户活跃用户流量监控应用监控网站访问搜索引擎邮件收发在线聊天第页

16 论坛发帖 FTP 审计 TELNET 审计 HTTPS 审计文件审计时长限额 NS-ICG 用户手册策略管理策略网段黑白名单对象设置策略设置用户带宽上限防护设置提示页面策略报告用户管理用户导入组织管理用户查询认证管理查询统计查询统计报告系统管理系统状态权限配置网络配置日志管理日志中心根据登录人员的权限, 能够显示的模块会有所不同详细情况, 请咨询管理员第页

17 3-3 认识 NS-ICG 的功能模块如上图所示, 网康互联网控制网关系统共有 5 大主要功能模块 : 系统监控通过系统监控模块, 可以快速了解系统当天的一段时间内用户的网络访问带宽资源的利用各种策略的审计控制结果 NS-ICG 的整体运行状况等策略管理通过策略管理模块, 可以建立各种策略来控制内网用户的上网行为, 如 Web 访问过滤上网炒股控制网络游戏控制网络聊天监控 P2P 下载控制外发信息审计带宽流量管理等并能通过设置防护规则让系统在网络或用户出现异常时发出警报同时还可以查阅指定用户或 IP 所适用的策略等, 灵活的部署互联网访问控制方案用户管理通过用户管理模块, 可以建立和管理组织结构查询用户部署认证方式管理者可以通过 IP LDAP 服务器或者网康自定义格式导入用户, 也可以手动建立和管理组织结构用户是各种策略建立的基础, 各种策略都是针对用户来进行部署的查询统计通过查询统计模块, 可以查询指定用户的网络访问带宽资源等的当天以及历史信息, 并进行统计分析生成报告, 定期发送到指定电子邮箱系统管理系统管理是部署 NS-ICG 的网络环境管理方式控制权限等的管理平台, 而且可以查看 NS-ICG 系统自身运行的各种日志和报警信息等第页

18 3-4 配置网络根据企业实际情况确定好网络部署模式后, 就可以着手开始配置 NS-ICG 的网络设置了, 包括其 IP 地址网关 DNS 等如果您是首次配置 NS-ICG 的网络, 您可以按照网络配置向导章节的说明进行配置 3-5 申请授权如果想正常使用互联网控制网关, 请先申请产品授权信息, 否则您将无权使用各种功能关于如何申请授权, 请参考产品授权信息章节 3-6 默认设置 NS-ICG 在出厂时, 按照最常见的使用环境, 进行了默认设置, 详细请参考附录 NS-ICG 系统默认设置 3-7 退出系统在 NS-ICG 系统的工作窗口右上角, 提供了退出按钮, 如下图的右边图标点击并确认后即可成功退出系统图 3-3 退出系统按钮退出 Web 管理界面时建议点击退出按钮进行正常退出第页

19 4. 系统监控系统监控模块以各种图形表格等方式让管理员快速的了解设备当天的运行情况内网用户的网络访问情况带宽资源的利用情况策略的监控结果等并可设置过滤条件, 迅速查看到匹配的监控结果本章将详细介绍该模块的详细使用方法 4-1 系统监控概述本节主要介绍系统监控模块的主要子模块及其功能, 如下图所示 : 图 4-1 系统监控模块系统状态显示当前设备硬件运行信息系统版本信息产品授权信息当前设备流量系统时间等第页

20 NS-ICG 用户手册网络活动显示当天统计信息最近 60 分钟流量走势本日应用排名本日活跃用户排名本日访问站点排名等, 并可查看详细上线用户显示本日所有上线用户及其识别方式如果开启了流量统计, 则同时显示上线用户对应的网络流量信息活跃用户显示当前内网用户中有网络流量的用户及其相关信息, 并可禁止指定用户继续使用网络流量监控显示本日流量最大的前十名应用, 以及本日流量最大的前十位用户应用监控显示当前网络应用协议的使用情况 ; 网站访问显示本日内网用户的网站访问情况如果在策略管理中配置了网页浏览策略, 此处将同时显示该策略的审计结果搜索引擎如果在策略管理中配置了网页搜索策略, 则显示本日内该策略的审计结果否则显示为空邮件收发如果在策略管理中配置并开启了外发邮件审计和接收邮件审计策略, 则显示本日内网用户的邮件收发审计结果否则显示为空在线聊天如果在策略管理中配置并开启了即时通讯策略, 如 QQ 审计 MSN 审计 YAHOO 通审计等, 则显示本日内网用户在线聊天的审计结果否则显示为空论坛发帖如果在策略管理中配置并开启了发帖审计, 则显示本日内网用户论坛发帖的审计结果否则显示为空 FTP 审计如果在策略管理中配置并开启了 FTP 审计, 则显示本日内网用户的 FTP 上传下载的审计结果否则显示为空 TELNET 审计如果在策略管理中配置并开启了 TELNET 审计, 则显示本日内网用户的 TELNET 及其服务器的审计结果否则显示为空 HTTPS 审计如果在策略管理中配置并开启了 HTTPS 审计, 则显示本日内网用户的 HTTPS 协议及其授权证书等相关信息的审计结果否则显示为空文件审计如果在策略管理中配置并开启了 MSN FTP 的文件审计功能, 则显示本日内网用户发送或接收文件的审计结果否则显示为空时长限额如果在策略管理中配置并开启了时长限额策略, 则显示本日内网用户上网时长的控制结果否则显示为空因数据较多, 因此以下各模块默认只显示当天最近 200 条信息 : 应用监控网站访问搜索引擎邮件收发在线聊天论坛发帖 FTP 审计 TELNET 审计 HTTPS 审计文件审计第页

21 4-2 系统状态系统状态集中显示了系统运行状况信息, 通过查看系统状态页面, 管理员可以快速了解到 NS-ICG 的运行状况是否正常稳定系统状态界面包括四个小模块, 如下图所示 : 图 4-2 系统状态 1 基本信息显示 NS-ICG 的设备资源占用情况 NS-ICG 的系统版本产品授权等相关信息 2 设备流量根据参数设置以流量图形式显示设备当前一段时间内的流量 3 系统时间显示系统当前时间上次开机时间以及系统持续运行时间 4 参数设置立即刷新基本信息和设备流量的详细信息, 或者配置其自动刷新和显示的属性以下是详细介绍 : 第页

22 基本信息 : NS-ICG 用户手册图 4-3 系统状态 - 基本信息系统资源 : 显示 NS-ICG 的硬件运行信息 CPU 负载 : 以百分比形式显示显示当前 CPU 的负载率内存使用 : 以百分比形式显示当前内存的使用率硬盘空间 : 显示当前硬盘的已用空间和可用空间, 并提供较为直观的饼状图和百分比数据如果硬盘已用空间过高, 将以红色显示并提示报警信息其他信息 : 显示 NS-ICG 的其他重要信息系统版本 : 当前安装的系统版本号过滤引擎 : 显示当前过滤引擎的运行状态, 如启动或停止 URL 库最后检查时间 : 显示 URL 数据库最近一次检查的时间应用协议库最后更新时间 : 显示应用协议数据库最近一次更新的时间产品授权信息 : 显示 NS-ICG 产品详细授权信息, 如授权类型授权区域产品型号等设备流量 : 默认情况下显示最近 24 小时通过 NS-ICG 的上传流量和下载流量该图以时间为横坐标以流量为纵坐标由于设备 NS-ICG 所处的网络环境差别较大, 为了使流量信息更加清晰可读, 在流量较小的情况下, 使用 bps, 在流量较高的情况下, 使用 Kbps, 在流量很高的情况下, 使用 Mbps, 如下图 : 图 4-4 系统状态 - 设备流量第页

23 横坐标 : 以时间为单位默认情况下显示最近 24 小时内的流量可以通过参数设置中的设备流量进行配置如 : 最近 24 小时最近 1 周最近 30 天纵坐标 : 以流量为单位由于设备 NS-ICG 所处的网络环境差别较大, 为了使流量信息更加清晰可读, 在流量较小的情况下, 使用 bps, 在流量较高的情况下, 使用 Kbps, 在流量很高的情况下, 使用 Mbps 图形内容 : 线路 :NS-ICG 支持单网桥模式和双网桥模式默认情况下显示所有线路的上传和下载流量如果 NS-ICG 的工作环境是单网桥模式, 则可以分别显示所有线路和线路 1 的流量, 效果是相同的如果 NS-ICG 的工作环境是双网桥模式, 则可以分别显示所有线路线路 1 和线路 2 的流量方法是从所有线路中进行选择如果 NS-ICG 的工作环境是网关模式, 则只显示所有线路通道 :NS-ICG 中除了默认通道, 还可以根据需要设置通道从而让不同的应用走不同的通道默认显示全部通道的流量如果设置了通道, 也可以只显示指定通道的流量信息可以通过参数设置中进行配置数据类型 : 默认显示所有上传流量和下载流量可以通过参数设置中配置只显示上传或只显示下载流量网关模式时, 可以选择查看每条线路的流量系统时间 : 图 4-5 系统状态 - 系统时间系统当前时间 :NS-ICG 系统当前的时间如果和实际时间不一致, 请在系统管理系统配置中进行更改, 详细请参考 8-4 系统配置章节上次开机时间 :NS-ICG 系统最近一次启动的时间持续运行时间 :NS-ICG 系统当前已持续运行的时间参数设置 : 立即刷新基本信息和设备流量的详细信息, 或者配置其刷新和显示属性图 4-6 页面参数设置第页

24 4-3 网络活动网络活动页面使用图表方式集中显示当前用户网络活动网络应用的使用情况以及带宽资源使用的概况, 使得管理员可以方便的掌握所管理用户的网络活动状况, 如下图所示 : 图 4-7 网络活动 1 本日统计显示系统网络活动的一些主要统计信息 2 当前设备带宽以流量图形式显示最近一段时间内的上传下载流量以及当前的上传和下载流量时间范围可通过参数设置进行配置第页

25 3 本日应用排名以饼状图显示当日流量排名前若干位的网络应用排名数量可通过参数设置进行配置 4 本日活跃用户排名以图表形式显示当日排名前若干位的活跃用户排名数量可通过参数设置进行配置 5 本日访问站点排名以图表形式显示当日访问排名前若干位的站点排名数量可通过参数设置进行配置 6 参数设置立即刷新上面各模块信息, 或配置其自动刷新和显示的属性以下是详细介绍 : 本日统计 : 本日统计处主要显示系统网络活动的一些 NS-ICG 管理员比较关心的统计信息, 如下图 : 图 4-8 网络活动 - 本日统计上线用户 :NS-ICG 已识别和通过认证的用户数量关于上线用户的详细信息请进入系统监控上线用户中查看 5 分钟内活跃用户 : 系统管理系统配置中开启流量统计功能后, 此处显示最近 5 分钟内有网络流量的内网用户数量关于活跃用户的详细信息请进入系统监控活跃用户中查看当前设备带宽 : 以流量图形式显示最近一段时间内的上传和下载流量以及当前的上传和下载流量图 4-9 网络活动 - 当前设备带宽第页

26 所有线路 :NS-ICG 支持单网桥模式和双网桥模式默认情况下显示所有线路的当前设备带宽如果 NS-ICG 的工作环境是单网桥模式, 则可以分别显示所有线路和线路 1 的流量, 效果是相同的如果 NS-ICG 的工作环境是双网桥模式, 则可以分别显示所有线路线路 1 和线路 2 的流量方法是从所有线路中进行选择当前流量 : 以数字方式显示当前的上传速率和下载速率横坐标 : 以时间为单位默认情况下显示最近 60 分钟内的流量可以通过参数设置中的设备流量进行配置如 : 最近 60 分钟最近 30 分钟最近 10 分钟纵坐标 : 以流量为单位由于设备 NS-ICG 所处的网络环境差别较大, 为了使流量信息更加清晰可读, 在流量较小的情况下, 使用 bps, 在流量较高的情况下, 使用 Kbps, 在流量很高的情况下, 使用 Mbps 图形内容 : 图形以颜色区分上传和下载流量红色代表上传流量, 绿色代表下载流量查看详细 : 点击该链接, 画面将跳转到系统监控流量监控并显示对应的详细信息本日应用排名以饼状图默认显示当日流量前五位的网络应用排名, 每种应用使用不同的颜色表示, 并注明了应用的名称, 如下图 : 图 4-10 网络活动 - 本日应用排名图形说明 : 以饼状图显示当日流量排名前若干位的应用右边说明了不同的颜色所代表的应用应用显示的个数可以通过参数设置进行设置查看详细 : 点击该链接, 画面将跳转到系统监控流量监控, 显示对应的详细信息本日活跃用户排名第页

27 默认显示当日流量最大的前 10 位用户排名, 如下图 : 图 4-11 网络活动 - 活跃用户排名用户 : 显示用户的组织关系及其用户名排名数量 : 从画面下方参数设置部分, 可以手动设置显示本日活跃用户的排名数量, 如 10 个 20 个或 50 个默认显示排名前 10 个活跃用户查看详细 : 点击该链接, 画面将跳转到系统监控活跃用户, 显示对应的详细信息本日访问站点排名下图 : 显示当日访问次数最多的站点排名, 表格各列分别为排名域名站点 URL 分类和请求数, 如图 4-12 网络活动 - 本日访问站点排名第页

28 查看详细 : 点击该链接, 画面将跳转到系统监控网站访问画面, 显示对应的详细信息排名数量 : 从画面下方参数设置部分, 可以手动设置显示本日访问次数最多的站点排名数量, 如 10 个 20 个或 50 个默认显示排名前 10 个站点参数设置 : 设置以上各小模块的自动刷新频率排名数量等参数, 如下图 : 图 4-13 网络活动参数设置 1. 其中域名该列指的是完整的站点域名, 如 news.sina.com.cn, games.sina.com.cn, 虽然都是 sina.com.cn 的子域名, 但是在此处为不同的域名 2. 点击每个功能右上部的查看详细链接, 页面将跳转到相应的详细记录页面 4-4 上线用户显示本日所有上线用户及其认证识别方式如果在系统管理系统参数中开启了流量统计, 则此处同时显示各上线用户对应的网络流量使用信息如果发现某个别用户网络流量过高, 可以点击强制下线列中该用户对应的后才能访问网络如下图所示 : 图标让该用户立即下线下线的用户需要再次通过认证第页

29 图 4-14 上线用户 1 监控结果显示 NS-ICG 下当日所有上线用户及其相关信息 ; 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 3 翻页及显示翻页, 并设置监控结果的页面显示属性等以下是详细介绍 : 监控结果刚进入上线用户界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称以下是监控结果的各项详细说明 : 用户 : 显示用户的组织关系及其用户名如果组织管理中没有建立该用户, 则显示其对应的 IP 地址类型 : 根据上线用户使用的认证方式而不同详细请参考认证配置章节 IP: 上线用户对应的 IP 地址 ; 上线时间 : 用户首次开始使用网络的时间 ; 流量 (KB): 如果在系统管理系统参数中开启了流量统计, 则此处同时显示该用户自识别或认证后, 产生的网络流量 ; 机器名 MAC 地址 : 如果在用户管理认证管理认证配置高级配置中将计算机信息选择了获取机器名 MAC 地址, 则此列将显示上线用户所使用的计算机名称和 MAC 地址强制下线 : 如果内网用户使用的上网类型是 IP 身份识别 WEB 认证 LDAP 认证 RADIUS 认证或邮件帐号认证中的一种, 则此处会显示图标, 用鼠标左键点击该图标, 会立刻使该用户下线下线的用户需要再次通过认证后才能访问网络 1. 如需显示用户的流量信息需要开启流量统计, 详细参考系统参数章节第页

30 2. 已经认证的用户, 如果其认证没有过期, 会一直存在于上线用户列表中 3. 对于有流量的 IP 且又不在用户列表中的用户, 在监控结果中用户名会显示其 IP, 类型为 IP 识别, 同时, 这些 IP 会自动加入到用户组织管理中的 IP 临时用户组中, 方便管理员进行添加设置过滤条件在系统监控章节以及查询统计模块的很多子模块中我们都提供了选择操作的功能选项, 该选项是用来配置过滤条件, 方便迅速查看到所想查询的监控结果此处我们以上线用户为例, 综合介绍如何创建如何保存如何使用已有的过滤条件, 以及如何编辑删除过滤条件图 4-15 选择操作选择操作 : 设置过滤条件 : 新建一条过滤条件保存过滤条件 : 保存过滤条件清空过滤条件 : 清空当前正在使用的过滤条件, 并显示当天的所有监控结果编辑过滤条件 : 编辑或删除已保存的过滤条件选择已有过滤条件 : 点击该选项右边的三角按钮, 显示所有已经保存的过滤条件选择某个过滤条件后, 监控结果将根据所选择的过滤条件显示对应的监控结果 ( 一 ) 创建过滤条件详细操作方法如下 : 第 1 步 : 点击选择操作下方的设置过滤条件, 进入下图 : 第页

31 图 4-16 上线用户监控 - 设置过滤条件用户设置 : 选择用户 : 从组织结构中选择某用户并将其作为过滤条件 ; 认证类型设置 : 认证类型选择 : 将上线用户所使用的认证类型作为条件进行过滤 ; 上线历史设置 : 将机器名或 MAC 地址作为条件进行过滤 ; 开始监控按钮 : 配置好过滤条件后, 点击该按钮会关闭当前窗口, 并依据所设置的条件从所有监控结果中进行过滤并显示过滤结果 ; 清空按钮 : 清空已经设置的过滤条件, 恢复为默认过滤条件取消按钮 : 取消所做的设置, 并关闭当前窗口第 2 步 : 点击用户设置中的选择按钮, 进入下图 : 第页

32 图 4-17 上线用户监控 - 选择用户用户组织结构 : 从组织结构中选择过滤对象详细请参考 6 用户管理章节选择用户 : 方法有如下几种 : 鼠标单击 : 在左部组织结构中点击选择用户或用户组已选的用户或用户组会在页面右部以列表方式显示, 方便用户查看搜索框 : 在页面右上角的搜索框中输入用户名或登录名进行搜索支持正则表达式有关正则表达式请参考附录 IP 选择用户 : 如果需要添加不包含在用户组织结构中的 IP, 可以在右下方中输入需要添加的 IP 地址取消选择用户 : 单击已选的用户 ( 组 ) 或使用 CTRL SHIFT 组合键多选用户 ( 组 ), 并点击取消选择按钮, 可以取消选择选中的用户 ( 组 ) 第 3 步 : 选择用户后, 点击确定按钮, 关闭当前窗口并返回到过滤条件设置页面此时用户已经选择完毕, 选择按钮已经更新为重新选择, 点击该按钮可以重新选择用户点击开始监控, 则新建了一条过滤条件界面显示为未保存的过滤条件 ( 二 ) 保存过滤条件第页

33 如果经常使用某些过滤条件,NS-ICG 支持将这些过滤条件保存下来, 方便再次使用如果设置了过滤条件并进行监控后, 如上所述, 界面会显示为未保存的过滤条件从选择操作中选择并点击保存过滤条件, 弹出如下图所示窗口 : 图 4-18 上线用户 - 保存过滤条件填写过滤条件名后点击确定按钮, 即可保存该过滤条件 ( 三 ) 编辑或删除过滤条件对已保存的过滤条件可以对其编辑或删除方法是从选择操作中选择并点击编辑过滤条件, 弹出如下图所示窗口 : 图 4-19 上线用户监控 - 编辑过滤条件如果需要编辑某过滤条件, 直接点击其链接进入编辑界面进行更改并保存即可 ; 如果需要删除某过滤条件, 选择该过滤条件后点击右上角的删除按钮, 并确认提示信息即可 ( 四 ) 使用已有过滤条件如果已经保存了过滤条件, 就可以直接使用方法是点击右上方的选择已有的过滤条件所有已保存的过滤条件都将以列表形式显示, 如下图选择并点击过滤条件后, 监控结果将显示相应的过滤结果第页

34 图 4-20 上线用户监控 - 使用已有过滤条件 NS-ICG 用户手册翻页及显示以上线用户为例, 在上线用户监控结果页面的最下方有如下图所示的翻页及显示设置 : 图 4-21 监控结果表格参数设定 : 回到监控结果第一页 ; : 向前翻一页 ; 第 * 页 : 在输入框中输入数字后按回车按钮即可翻到监控结果指定页面 ; : 往后翻一页 ; : 显示监控结果的最后一页 ; : 立即刷新当前页面 ; 每页显示 : 设置每页最多可以显示多少条记录 ; 刷新间隔 : 默认每隔 20 秒自动刷新页面一次点击刷新间隔旁的下拉项可设置自动刷新间隔时间 4-5 活跃用户活跃用户界面用来显示当前内网用户中有网络流量的用户及其相关信息当活跃用户较多时, 可以设置过滤条件迅速定位如果发现某用户的流量异常, 可以将该用户暂时屏蔽或永久屏蔽, 使其无法继续使用网络活跃用户界面如下图 : 以下是详细介绍 : 图 4-22 活跃用户监控结果 1 监控结果显示 NS-ICG 下所有有网络流量的用户及详细信息 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节第页

35 监控结果刚进入活跃用户界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称以下是监控结果的各项详细说明 : 暂时屏蔽 : 如果发现内网中有网络流量异常的用户, 可以选择该用户并点击暂时屏蔽按钮, 让用户立即下线, 并放入暂时屏蔽列表中,24 小时之内都不能再继续使用网络关于暂时屏蔽, 详细请参考暂时屏蔽列表章节永久屏蔽 : 如果发现内网中有网络流量异常的用户, 可以选择该用户并点击永久屏蔽按钮, 让用户立即下线, 并放入永久屏蔽列表中除非管理员手动改动, 否则该用户将永远不能继续使用网络关于永久屏蔽, 详细请参考屏蔽 IP 章节将活跃用户添加如屏蔽列表时, 请首先开启策略管理防护设置启用防护报警功能时间 : 在监控时间段内有流量的用户使用网络的起始时间和结束时间 ; 用户 : 显示用户的组织关系如果在组织管理中没有事先建立其组织关系, 则显示其对应的 IP 地址 IP: 显示用户的 IP 地址信息 ; 上传流量 : 以 KB 为单位显示用户在监控时间段内的上传流量 ; 下载流量 : 以 KB 为单位显示用户在监控时间段内的下载流量 ; 流量 (KB): 以 KB 为单位显示用户在监控时间段内的上传和下载流量之和 ; 设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 图 4-23 活跃用户监控结果第页

36 用户设置部分和上线用户操作方法完全相同, 此处略不同之处在于活跃用户增加了时间范围设置可以设置最近 5 分钟以内 10 分钟以内 30 分钟以内 60 分钟以内作为过滤条件, 显示对应时间段内有流量的用户配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节第页

37 4-6 流量监控示 : 流量监控以柱状图结合图表的形式形象的显示 NS-ICG 下流量最大的网络应用和用户如下图所图 4-24 流量监控 1 应用流量排名默认显示 NS-ICG 下流量最大的前十位应用左边以柱状图显示, 右边以表格形式显示柱状图以应用作为横坐标以速率为纵坐标进行显示点击表格中的用户列的查看链接, 会在用户流量排名显示该用户对指定应用的详细使用情况点击表格中的历史流量列的查看链接, 会显示详细信息 2 用户流量排名默认显示 NS-ICG 下流量最大前十位用户分别以柱状图和表格形式显示柱状图以用户作为横坐标以速率作为纵坐标 3 参数设置设置以上两个模块的自动刷新频率统计的时间范围第页

38 4-7 应用监控应用监控界面主要显示当前 NS-ICG 下用户对各种应用协议的使用情况如果对某应用的连接断开, 则此处也随之不再显示在应用监控中也可以设置过滤条件快速查找所需监控结果监控结果界面如下图所示 : 图 4-25 应用监控 1 监控结果显示 NS-ICG 下内网用户当前正在使用的各种应用协议信息 ; 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等以下是详细介绍 : 监控结果刚进入应用监控界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称以下是监控结果的各项详细说明 : 第页

39 连接创建时间 : 该次网络应用连接建立时间 ; NS-ICG 用户手册关联用户 : 该次网络应用由哪个用户发起的, 显示该用户的组织关系及用户名 ; 协议 : 该次网络应用协议的名称 ; 源 IP: 该次网络应用的源 IP 地址 ; 源端口 : 该次网络应用的源端口 ; 目的 IP: 该次网络应用的目的 IP 地址 ; 目的端口 : 该次网络应用的目的端口 ; 发送字节数 (KB): 该次网络应用发送字节数 ; 接收字节数 (KB): 该次网络应用接收字节数如果需要查询当天应用协议的策略审计结果, 请到查询统计查询应用流量中查看设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 图 4-26 应用监控 - 设置过滤条件应用监控的过滤条件大致和上线用户的过滤条件相同, 不同的是应用监控增加了网络应用设置选择网络应用 : 点击选择按钮, 弹出网络应用选择窗口网络应用选择窗口大致和应用控制策略的应用选择窗口相同, 详细请参考该章节端口 : 根据所设置的端口过滤监控结果可以输入单个或多个端口, 当输入多个端口时, 请用半角逗号进行分隔第页

40 1. NS-ICG 支持的网络应用是随着版本的升级而不断增加的 2. 端口可以单独填写, 作为独立的过滤条件, 也可以与选择的网络应用组合使用, 此时两者为 and 关系配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节翻页及显示在监控结果页面的下方有翻页及显示设置, 如下图所示 : 图 4-27 应用监控 - 翻页与刷新操作方法基本同翻页及显示章节, 不同的是应用监控的监控结果默认只显示最近的 200 条记录, 如果需要调整, 点击显示条数的下拉框即可进行更改 4-8 网站访问默认情况下, 只要 NS-ICG 内网用户访问网站, 在系统监控网站访问中都将记录下相应的网站访问记录, 包括访问时间访问用户访问的网址以及该网址属于哪种网站分类 ( 如股票? 色情? 等 ) 同时显示黑名单白名单和网页浏览策略等策略的审计结果关于黑名单白名单, 详细请参考黑白名单章节 ; 关于网页浏览策略, 详细请参考网页浏览策略章节在网站访问中也可以设置过滤条件快速查找所需监控结果网站访问界面如下图所示 : 第页

41 图 4-28 网站访问监控结果 1 监控结果显示 NS-ICG 下网站访问信息及网页浏览策略审计结果 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等以下是详细介绍 : 监控结果刚进入网站访问界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称以下是监控结果的各项详细说明 : 时间 : 该次网站访问发生的时间 ; 用户 : 该次网站访问由哪个用户发起人 ; IP: 该次网站访问由哪个 IP 地址发起 ; 网址 : 该次网站访问的目标网址默认仅显示主链接如果需要显示全部链接, 可以通过上图中翻页及显示部分的网址显示进行更改网站分类 : 该次网站访问的 Web 地址的所属分类标题 : 如果该次访问的网页有标题, 就显示在此列, 否则为空默认该列隐藏访问控制 : 如果设置了网页浏览策略, 则显示该次网站访问的访问控制结果, 允许或阻塞 ; 第页

42 匹配策略 : 如果设置了网页浏览策略, 则显示该次网站访问匹配的策略名称 ; 快照 : 如果设置了网页浏览策略且选择了开启快照功能, 则匹配策略的结果中对应的该列会出现查看链接点击则可以查看其网页快照设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 图 4-29 网站访问 - 设置过滤条件用户设置部分和上线用户操作方法完全相同, 此处略不同之处在于网站访问增加了网站访问设置 : 第页

43 图 4-30 网站访问 - 选择网站分类选择网站分类 : 点击选择按钮, 弹出网站分类选择窗口, 选择后点击确定按钮即可选择网站分类窗口中不仅包含 40 多种 NS-ICG 系统已定义的网站分类而且有用户自定义的网站分类选择匹配策略 : 点击选择按钮, 弹出选择匹配策略窗口, 选择后点击确定按钮即可匹配策略不仅可以从已建立的网页浏览策略中选择, 同时还可以从黑名单和白名单策略中选择选择访问控制 : 根据策略控制方式设置过滤条件, 包括所有允许和阻塞网址关键字 : 设置关键字从网址中进行过滤网页关键字 : 设置关键字从快照中进行过滤如果同时设置了几种过滤条件, 则之间的关系是 and 关系, 过滤的结果必须符合所有已设置的条件关于网页关键字的过滤条件的设置规则如下 : 1. 不能搜索小数 ; 2. 支持正则表达式中的与 & 或非! 的查询关于正则表达式, 详细请参考附录 3. 多个关键字之间请用空格分隔 ; 4. 中文可以单个字符查询, 但英文或数字智能精确查询, 如果需要模糊查询则需要在后面加上星号 * 配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节翻页及显示第页

44 在监控结果页面的下方有翻页及显示设置, 如下图所示 : 图 4-31 网站访问 - 翻页与刷新网址显示 : 调整网站访问监控结果中网址列只显示主链接还是显示所有链接其他 : 其他同上线用户详细请参考 4-4 上线用户章节 4-9 搜索引擎用于显示策略管理策略设置中的网页搜索策略的审计结果并可建立过滤条件, 从监控结果中迅速定位并显示系统默认不开启网页搜索的审计功能, 因此如果需要审计, 请首先配置并激活相应审计功能界面如下图所示 : 图 4-32 搜索引擎监控结果 1 监控结果显示网页搜索策略的审计结果 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节以下是详细介绍 : 监控结果刚进入搜索引擎界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称以下是监控结果的各项详细说明 : 时间 : 使用搜索引擎的时间 ; 第页

45 用户 : 使用搜索引擎的用户 ; NS-ICG 用户手册 IP: 显示相关的用户 IP 地址 ; 网址 : 所使用的搜索引擎的网址信息默认仅显示主链接如果需要显示全部链接, 可以通过上图中翻页及显示部分的网址显示进行更改搜索关键字 : 搜索时所使用的关键字信息 ; 搜索类别 : 搜索对象的属性, 如网页图片视频等 ; 访问控制 : 匹配策略时, 所采取的访问控制方式 ; 匹配策略 : 所匹配的网页搜索策略的名称 ; 设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 图 4-33 搜索引擎 - 设置过滤条件用户设置部分和上线用户操作方法完全相同, 此处略不同之处在于网站访问增加了搜索设置 : 第页

46 图 4-34 搜索引擎 - 设置过滤条件 2 选择搜索类别 : 选择搜索对象的属性, 如网页图片视频等默认是全部类别详细参考网页搜索策略选择匹配策略 : 点击选择按钮, 弹出选择匹配策略窗口, 选择后点击确定按钮即可选择访问控制 : 根据策略控制方式设置过滤条件, 包括所有记录阻塞并记录搜索引擎 : 输入搜索引擎 URL 的关键字进行匹配查找, 如百度的 URL 地址是那么此处可以输入 baidu 进行模糊查找搜索关键字表达式 : 指网页搜索策略中设置的关键字和表达式类型详细参考网页搜索策略章节几种搜索设置过滤条件, 如果进行了设置, 之间的关系是 and 关系, 结果必须符合所有已设置的条件配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节 4-10 邮件收发用于显示策略管理审计策略设置中的外发邮件审计策略和接收邮件审计策略的审计结果, 并可建立过滤条件, 从监控结果中迅速定位并显示系统默认不开启邮件收发审计, 因此如果需要审计邮件收发, 请首先激活相应审计功能界面如下图所示 : 第页

47 图 4-35 邮件收发监控结果 1 监控结果显示外发邮件审计策略和接收邮件审计策略的审计结果 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节以下是详细介绍 : 监控结果刚进入邮件收发界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称以下是监控结果的各项详细说明 : 时间 : 该次邮件发送的时间, 如果邮件类型为 POP3, 则指接收邮件的时间 ; 用户 : 发送邮件的用户或 IP 地址 ( 未定义用户 ), 如果邮件类型为 POP3, 则指接收邮件的用户或 IP 地址 ( 未定义用户 ); IP: 显示发送或接收该次邮件的内网用户的 IP 地址 Mail 服务器 : 通过 Webmail 服务器发送的, 显示为 Webmail 服务的提供商 ; 通过 SMTP 协议发送的, 显示为 SMTP 服务器地址 ; 通过 POP3 协议接收的, 显示为 POP3 服务器 IP 地址 ; 默认隐藏该列类型 : 指邮件所使用的协议包括 pop3 smtp 及所使用的 webmail 提供商等发送邮箱接收邮箱 : 显示发件人和收件人的邮件地址 ; 主题 : 邮件主题 ; 匹配关键字匹配策略和访问控制 : 是根据在策略管理中设置的策略显示的对应控制结果如果某邮件匹配了策略, 双击该行数据可以查看匹配详细正文 : 有邮件查看链接, 点击该链接, 可以查看邮件的正文, 如下图所示 : 第页

48 图 4-36 邮件收发 - 查看正文如果邮件包含附件, 可以点击附件的名称以打开附件或将附件保存到指定位置通过 SMTP 协议发送的邮件, 以及通过 Sina Gmail QQmail excite infoseek jp 这几个 Webmail 发送的邮件, 如果邮件包含附件, 则下载后的 eml 文件中也包含附件设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 第页

49 图 4-37 邮件收发过滤条件设置用户设置部分和上线用户操作方法完全相同, 此处略不同之处在于邮件收发中增加了设置 : 支持填写关键字从发送邮箱接收邮箱主题正文附件名中过滤结果邮件大小范围 (KB): 邮件大小, 单位为 KB, 支持单独设置上下限 ; 选择类型 : 点击选择按钮, 在弹出的窗口中可以选择邮件的类型, 包括 Webmail 服务的提供商, 最下方还可以选择通过 SMTP 发送或通过 POP3 接收的邮件配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节过滤条件中关键字的设置规则如下 : 1. 不能搜索小数 ; 2. 支持正则表达式中的与 & 或非! 的查询关于正则表达式, 详细请参考附录 3. 多个关键字之间请用空格分隔 ; 4. 中文可以单个字符查询, 但英文或数字智能精确查询, 如果需要模糊查询则需要在后面加上星号 * 第页

50 4-11 在线聊天用于显示匹配策略管理审计策略设置中的即时通讯策略的审计结果并可建立过滤条件, 从监控结果中迅速定位并显示系统默认不开启即时通讯审计策略, 因此如果需要监控, 请首先激活相应审计功能界面如下图所示 : 图 4-38 在线聊天 1 监控结果显示即时通讯策略的审计结果, 如 QQ MSN Yahoo 通飞信等 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节以下是详细介绍 : 监控结果刚进入在线聊天界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称以下是监控结果的各项详细说明时间 : 聊天信息发送的时间 ; 用户 : 发送 ( 接收 ) 聊天信息的用户或 IP 地址 ( 未定义用户 ); IP: 显示发送 ( 接收 ) 聊天信息用户的 IP 地址信息 ; 聊天工具 : 使用的即时通讯软件 ; 动作 : 聊天的动作信息, 如登录退出发送接收多人聊天发送音频视频等发送帐号 : 发送聊天信息的帐号名称 ; 接收帐号 : 接收聊天信息的帐号名称 ; 匹配策略访问控制 : 该两列主要是针对 MSN 审计中设置的策略匹配显示第页

51 消息内容 : 通过 yahoo 通和 MSN 聊天的具体内容, 同时包括 MSN 的视频信息文件传输信息被阻止信息等如果开启 QQ 客户端审计, 则同时包括 QQ 聊天内容及各种动作的审计信息点击用户列中某个用户, 则会弹出该用户的对话还原窗口, 可以查看该用户的某个完整的对话内容设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 图 4-39 在线聊天 - 设置过滤条件发送帐号 ( 关键字 ): 输入关键字对发送帐号进行监控或过滤 ; 接收帐号 ( 关键字 ): 输入关键字对接收帐号进行监控或过滤 ; 消息关键字 : 支持单个关键字或多个关键字检索多个关键字之间输入不同的半角特殊符号可以实现关键字之间不同的匹配要求 &: 表示相连的关键字之间是和关系 ; : 表示相连的关键字之间是或关系 ;!: 表示相连的关键字之间是非关系 ; (): 将其中的一部分作为一个整体, 且优先考虑 ; 访问控制 : 包括全部允许和阻塞对话模式 : 如果同时设置了发送帐号和接收帐号关键字, 且勾选了该选项, 则可以查看所设置第页

52 的发送帐号和接收帐号之间的完整对话 NS-ICG 用户手册选择聊天工具 : 如 MSN QQ Yahoo 飞信等配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节若使用在线聊天监控功能, 请首先在策略管理审计策略设置中, 打开相应的聊天工具审计功能, 详细参考 5-6 审计策略设置章节 4-12 论坛发帖用于显示匹配策略管理审计策略设置中的发帖审计策略的监控结果, 并可建立过滤条件, 从监控结果中迅速定位并显示系统默认不开启发帖审计策略, 因此如果需要监控, 请首先激活相应审计功能界面如下图所示 : 图 4-40 在线聊天监控结果 1 监控结果显示发帖审计策略的审计结果 ; 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节以下是详细介绍 : 监控结果刚进入论坛发帖界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称以第页

53 下是监控结果的各项详细说明 : 时间 : 该 Post 发送的时间 ; 用户 : 发送 Post 信息的用户或 IP 地址 ( 未定义用户 ); 地址 :Post 信息发布的 URL; 正文 : 点击发帖查看链接可以查看发帖内容, 如下图 : 图 4-41 查看发帖内容 - 发帖视图由于目前的互联网技术中, 很多信息也是通过 Post 方法传递的,NS-ICG 同样获取了这些信息, 但是由于不是标准的用户发帖格式的信息, 可能无法正常显示, 所以不做解析还原发帖视图 : 查看论坛发贴的标题和正文原文下载 : 点击正文下载链接可以发帖正文列表视图 : 查看详细信息, 如果有附件, 可以在此处下载或在线查看原文视图 : 查看发帖详细信息设置 : 在列表视图中有很多参数名, 各个参数对应着其相应的参数值如果想调整发帖视图中的编码标题内容及正文内容时, 可以通过在设置中选择不同的参数项来调整设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 第页

54 图 4-42 论坛发帖 - 设置过滤条件 URL 关键字 :Post 的 URL 地址关键字, 多个关键字之间用, 分隔 ; 正文关键字 :Post 信息的正文关键字 ; 1. 设置关键字时如果输入除汉字外的关键字时请使用英文半角字符输入, 否则将不能获得正确结果 2. 设置关键字时必须输入两个或两个以上字符才能正确进行查询 3. 过滤条件中正文关键字的设置规则如下 : a. 不能搜索小数 ; b. 支持正则表达式中的与 & 或非! 的查询关于正则表达式, 详细请参考附录配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节若需使用论坛发帖监控功能, 请首先在策略管理审计策略设置中, 激活发帖审计功能, 详细参考发帖审计章节第页

55 4-13 FTP 审计用于显示匹配策略管理审计策略设置中的 FTP 审计策略的监控结果, 并可建立过滤条件, 从监控结果中迅速定位并显示系统默认不开启 FTP 审计策略, 因此如果需要监控, 请首先激活该审计功能界面如下图所示 : 图 4-43 FTP 审计 1 监控结果显示 FTP 审计策略的审计结果 ; 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节以下是详细介绍 : 监控结果刚进入 FTP 审计界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认第页

56 选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称在 FTP 审计结果中主要包括内网用户的相关信息 FTP 服务器的相关信息, 同时还包括匹配的策略访问控制等为方便用户查看, 监控结果同时提供隐藏列排序以及按照列属性进行分组显示的功能操作方法是鼠标轻移到对应列名旁, 会出现三角符号, 点击后出现如上图所示下拉窗口, 根据需要进行选择设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 图 4-44FTP 审计 - 设置过滤条件客户端 IP~ 登录名 : 这几项如果设置, 则请输入完整内容, 如客户端 IP 输入 , 不支持仅输入 168 等的模糊匹配访问控制 :NS-ICG 对 FTP 行为的控制方式, 包括全部允许和阻塞三种目录名称 : 从访问的 FTP 服务器目录名称中进行过滤以上设置中, 当输入多个条件时, 请使用半角逗号进行分割配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节第页

57 4-14 TELNET 审计用于显示匹配策略管理审计策略设置中的 TELNET 审计策略的监控结果, 并可建立过滤条件, 从监控结果中迅速定位并显示系统默认不开启 TELNET 审计策略, 因此如果需要监控, 请首先激活该审计功能界面如下图所示 : 图 4-45TELNET 审计结果 1 监控结果显示 TELNET 审计策略的审计结果 ; 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节以下是详细介绍 : 第页

58 监控结果刚进入 TELNET 审计界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称在 TELNET 审计结果中主要包括内网用户的相关信息 TELNET 服务器的相关信息, 同时还包括匹配的策略访问控制等为方便用户查看, 监控结果同时提供隐藏列排序以及按照列属性进行分组显示的功能操作方法是鼠标轻移到对应列名旁, 会出现三角符号, 点击后出现下拉窗口, 根据需要进行选择即可设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 图 4-46TELNET 审计 - 设置过滤条件 TELNET 设置中的这几项, 不支持模糊配置, 支持完全匹配因此如果设置, 请输入完整内容例如客户端 IP 输入 , 但不支持仅输入 168 等的模糊匹配配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节第页

59 4-15 HTTPS 审计用于显示匹配策略管理审计策略设置中的 HTTPS 审计策略的审计结果并可建立过滤条件从监控结果中迅速定位并显示系统默认不开启 HTTPS 审计策略, 因此如果需要审计, 请首先激活该审计策略 HTTPS 审计的界面如下图所示 : 图 4-47HTTPS 审计 1 监控结果显示 HTTPS 审计策略的审计结果 ; 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节以下是详细介绍 : 监控结果刚进入 HTTPS 审计界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称在 HTTPS 审计结果中主要包括相关的内网用户的详细信息 HTTPS 访问使用的证书相关信息 ( 如网站分类证书颁发者及所有者证书有效期等 ) 等为方便用户查看, 监控结果同时提供隐藏列排序以及按照列属性进行分组显示的功能操作方法是鼠标轻移到对应列名旁, 会出现三角符号, 点击后出现如上图所示下拉窗口, 根据需要进行选择设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 第页

60 图 4-48 HTTPS 审计 - 设置过滤条件用户设置部分和 4-4 上线用户操作方法完全相同, 此处略不同之处在于 HTTPS 审计增加了网站访问设置 : 图 4-49 HTTPS 审计 - 选择颁发者颁发者 : 将网站使用的证书的颁发者作为过滤条件 ; 网站分类 : 点击选择按钮, 弹出网站分类选择窗口, 选择后点击确定按钮即可访问控制 : 将策略控制方式作为过滤条件, 如所有允许和阻塞所有者 : 输入关键字从证书所有者中过滤匹配结果配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节第页

61 4-16 文件审计用于显示匹配文件审计策略 ( 如 MSN 的文件审计 FTP 的文件审计外发邮件的附件审计 HTTP 文件审计等 ) 的监控结果, 并可建立过滤条件从监控结果中迅速定位并显示系统默认不开启文件审计策略, 因此如果需要监控, 请首先激活相应的审计功能文件审计的界面如下图所示 : 图 4-50 文件审计监控结果 1 监控结果显示 MSN 的文件审计 FTP 的文件审计外发邮件的附件审计 HTTP 文件审计等策略的审计结果等策略的审计结果以及通过飞信传送的文件的大小和文件名等 ; 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 ; 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节以下是详细介绍 : 监控结果刚进入文件审计界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称在文件审计结果中可以查看到文件传送的相关信息, 以及匹配策略的控制行为等设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 第页

62 图 4-51 文件审计 - 设置过滤条件发送帐号接收帐号文件名 : 均支持输入关键字进行模糊查询, 但至少输入两个或以上字符 ; 后缀名 : 从审计的文件后缀名中进行查询 ; 文件大小 (KB): 输入数字从文件大小中进行查找可以只输入一个传输方式 : 可根据文件的传输方向进行查询, 包括发送接收或者全部访问控制 : 匹配策略后的控制方式, 如全部允许和阻塞匹配策略 : 从外发邮件审计策略 MSN 审计策略 FTP 审计策略和已建立的 HTTP 审计策略中选择过滤对象选择传输工具 : 如 SMTP FTP MSN HTTP 飞信等配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节第页

63 4-17 时长限额用于显示匹配策略管理策略设置中的时长限额策略的监控结果, 并可建立过滤条件从监控结果中迅速定位并显示系统默认没有建立时长限额策略, 因此如果需要监控, 请首先建立相应的策略并激活时长限额策略的监控界面如下图所示 : 监控结果图 4-52 时长限额 1 监控结果显示时长限额策略的审计结果 2 设置过滤条件设置过滤条件从监控结果中进行过滤, 方便迅速查看到所想查询的结果 3 翻页及显示翻页, 并设置监控结果的页面显示属性等详细请参考 4-4 上线用户章节刚进入时长限额界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称在时长限额监控结果中可以查看到当前正适用的匹配策略及其执行情况以下是监控结果的各项详细说明 : 时间 : 策略实际生效期间该时间的起始时间表示拥护使用该策略中指定的应用的开始时间如果用户使用该应用到达了时长限额, 则终止时间为达到限额时间如果用户使用该应用没有达到时长限额, 则终止时间为系统当前时间用户 : 显示用户的组织关系及其用户名如果组织管理中没有建立该用户, 则显示其对应的 IP 地址匹配策略 : 匹配的策略名称上网时长 : 用户在匹配相应的时长限额策略后的实际上网时长以分钟为单位每日时长限额 : 时长限额策略中配置的时长限额以分钟为单位设置 : 当用户上网时长达到策略限额时, 该列会显示解禁链接, 并禁止该用户继续使用相关的应用手动点击该链接, 可以允许用户继续使用, 且重新计时当该用户上网时长再次达到时长限额时, 该用户会被再次禁用策略中指定的应用第页

64 此处只显示匹配时长限额策略且有流量的用户的相关信息设置过滤条件点击选择操作配置过滤条件, 弹出如下图所示窗口 : 图 4-53 时长限额 - 设置过滤条件选择用户 : 该部分和 4-4 上线用户操作方法完全相同, 此处略选择匹配策略 : 点击选择按钮, 在弹出的窗口中选择需要过滤的策略名称配置好过滤条件后, 点击开始监控按钮, 监控结果将显示匹配的结果关于如何保存编辑或删除过滤条件等, 详细请参考 4-4 上线用户章节第页

65 5. 策略管理 NS-ICG 支持网页过滤应用控制带宽管理内容审计等访问控制机制, 而这些访问控制机制都是基于策略来实现的只有建立且激活了相应的策略才能实现这些功能 NS-ICG 的管理者可以自定义适合本单位的访问控制策略, 灵活的实施互联网访问控制 5-1 策略管理概述本节主要介绍策略管理模块的主要子模块及其功能, 如下图所示 : 图 5-1 策略管理策略网段设置 NS-ICG 各种策略的生效网段黑白名单设置 NS-ICG 各种策略的特殊情况, 如不审计某些用户或不审计一些网站等对象设置设置 NS-ICG 各种策略的适用对象, 如时间网页控制带宽通道等, 并可自定义协议策略设置配置各种控制策略, 如 P2P 应用控制 FTP 流量控制色情网页控制员工上网时长控制等审计策略设置配置各种审计策略, 如 QQ 审计邮件审计论坛发帖审计 FTP 审计等客户端策略设置配置客户端准入策略和客户端应用封堵策略如用户上网的机器如果没有安装杀毒软件则不允许其上网等第页

66 用户带宽上限设置企业某个部门乃至某个用户的上传带宽上限或下载带宽上限防护设置设置用户或系统防护规则, 在网络流量或网络行为出现异常的时候, 启用报警并采取相应的控制机制, 以保障网络运行正常提示页面设置用户所访问的网页被阻塞时的提示页面及提示信息 ; 策略报告查看用户或 IP 地址被配置的策略策略的组成元素一条访问策略最核心的部分由谁 (Who) 在什么时间 (When) 做什么 (What) 对此行为采取的控制动作 (Action) 四部分组成 : Who( 谁 ) 互联网访问的行为主体, 如企业中的某个部门或某个用户该主体要求在 6. 用户管理中提前配置 When( 时间 ) 此次互联网访问的时间条件, 如上班时间该对象要求在策略管理对象设置中提前配置 What( 做什么 ) 此次互联网访问的具体行为, 如迅雷下载浏览色情网站这决定了该配置哪种策略, 如应用控制策略网页浏览策略 Action( 控制行为 ) 针对此次互联网访问的具体行为,NS-ICG 采取的控制行为, 如禁止使用限制带宽基于以上说明, 我们可以构建一条应用控制策略 :( 本单位 ) 所有组织与员工, 在上班时间 ( 假设为从 9:00 到 18:00) 内, 禁止使用迅雷下载其中, Who When What 可以统称为访问控制的条件集合, 即只有这些条件都满足时, 才视为符合该策略的条件, 才匹配该策略关于立即生效当系统的策略发生改变时 ( 如改变策略对象黑 / 白名单提示页面, 或恢复策略等 ),NS-ICG 将会在 Web 管理界面的右上角用红色字体显示立即生效字样, 如下图如果要使配置立即生效, 请点击立即生效, 也可以在所有的在所有的配置完成后, 点击立即生效, 使所有的配置一次全部生效图 5-2 立即生效提示并不是所有与策略有关的变动, 都会出现立即生效的提示, 操作过程中, 请及时观察该提示是否出现第页

67 关于页面提示策略管理页面中如果有必填项, 或者填写格式有一定要求的项, 当不填或者填写错误时, 页面会产生相应的错误提示, 同时将鼠标移至红色波浪线处会显示详细的提示信息如下图 : 图 5-3 页面提示例 1 当填写错误时, 也会产生相应的提示, 如下图 : 图 5-4 页面提示例 2 第页

68 5-2 策略网段策略网段, 用来设置 NS-ICG 各种策略的生效网段如果不设定策略网段,NS-ICG 默认对所有网段都生效添加策略网段后, 则 NS-ICG 各种策略只对网段内用户生效, 对网段外用户不做任何审计和控制如果在添加策略网段后, 同时勾选了阻塞不在策略网段中的 IP 选项, 则 NS-ICG 的各种策略不仅只对网段内用户生效, 而且网段外用户都无法继续使用网络因此, 合理的配置策略网段, 是建立有效访问策略的重要组成部分下面以添加一条策略网段为例说明详细操作方法第 1 步 : 通过策略管理策略网段进入如下图所示页面 : 图 5-5 策略网段添加 : 添加一条策略网段 ; 删除 : 选择要删除的策略网段后, 点击该按钮将其删除 ; 清空 : 清空所有已建立的策略网段 ; 阻塞不在策略网段中的 IP: 禁止策略网段外用户使用网络第 2 步 : 点击添加按钮, 弹出如下图所示窗口 : 图 5-6 添加策略网段起始 IP 和终止 IP 是必填项, 要求输入完整的 IP 地址第页

69 对描述项不做限制第 3 步 : 设置完毕后, 点击确定按钮后, 策略网段新建成功, 并显示在策略网段列表中, 如下图所示 : 图 5-7 策略网段 1. 最多设定 10 条策略网段 ; 2. 添加策略网段后, NS-ICG 的策略将只对策略网段内的 IP 生效, 对于不在策略网段内的 IP 地址的网络通信, 会进行流量统计和协议分析, 可在查询和统计中可以看到总流量, 但无法查看详细的流量信息和进行控制 ; 3. 若不选择阻塞不在策略网段中的 IP, 那么在策略网段外的 IP, 将不受任何策略控制 ; 4. 策略网段和黑白名单在策略中按照优先级由高到低执行, 优先级顺序是 : Bypass 域名免监控 IP 屏蔽 IP 策略网段例如 : 若选择阻塞不在策略网段中的 IP, 设置策略网段为 , 而免监控 IP 为 , 此时仍不会被阻塞第页

70 5-3 黑白名单概述黑白名单是策略的重要组成部分之一黑白名单又分四个分类, 他们可以看做是 NS-ICG 策略的控制对象中的一些特例如下图所示 : 图 5-8 策略网段网址黑白名单将网址设置为黑名单, 则网内用户无法访问该网址 ; 将网址设置为白名单, 则网内用户不仅可以访问该网址 ; Bypass 域名内网用户访问 Bypass 域名及子域名中的地址时,NS-ICG 系统都不做监控或记录免监控 IP 免监控 IP 地址的所有网络活动,NS-ICG 系统都不做监控或记录免管控用户设定免控制用户或免审计用户, 使其免受 NS-ICG 的控制策略或者审计策略的控制屏蔽 IP 当屏蔽 IP 地址是内网地址时, 则该地址禁止访问外部网络当屏蔽 IP 地址是外网地址时, 则内网用户禁止访问该外网地址这五类都是特例, 为了保障策略有序执行, 系统预定义了它们之间的优先级 NS-ICG 系统在执行策略时会按照优先级由高到低顺序执行优先级是 ( 由左向右从高到低 ): Bypass 域名免监控 IP 屏蔽 IP 黑名单白名单策略下面是详细说明 : 第页

71 5-3-1 黑白名单可以通过黑白名单来设置 Web 访问中的特例对于一些网站可能需要跳过已定义好的策略, 而无条件地允许访问或阻塞访问被直接允许访问的网站列表称为白名单 ; 相反地, 被直接阻塞访问的网站列表称为黑名单例如 : 如果企业自身的网站不需要进行任何策略的控制, 而允许企业用户直接访问, 这时可以将企业一系列的网址添加到白名单中黑白名单的界面如下图所示 : 图 5-9 网址黑白名单激活 : 是否启动黑名单 / 白名单功能记录日志 : 启动激活后, 可以选择是否启动记录日志功能如果选择, 则记录所有访问黑白名单的日志信息并显示在系统监控或查询统计的网站访问中, 且对应的网站分类为黑名单或白名单添加 : 添加一条黑名单 / 白名单导入 : 选择保存 URL 地址的文件, 然后点击 " 添加 " 该文件是文本文件, 可以包含多行, 每行对应一个网址, 行与行之间用回车符隔开比如此文件包含三行 URL: sina.com.cn baidu.com 删除 : 删除某个指定黑名单或白名单清空 : 清空黑名单 / 白名单列表 1 黑白名单中指定的 URL 支持模式匹配, 具体的匹配规则为 : 第页

72 1. 若名单中 URL 为域名下的子目录, 则匹配该子目录下的所有文件例如 URL 为 news.sina.com.cn/2006, 则匹配 news.sina.com.cn/2006 目录下所有的内容 2. 若名单中 URL 为域名且不含路径, 则匹配所有对该域名及其子域名的访问 : 例如 URL 为 sina.com.cn, 则匹配对 sina.com.cn 及 news.sina.com.cn sports.sina.com.cn 等子域的访问又例如 URL 为 com, 则屏蔽任何以 com 结尾的域名 2 配置完毕后, 若想让最新的配置立即生效, 请点击右上角的立即生效按钮 Bypass 域名内网用户访问 Bypass 域名及子域名中的地址时, 系统将全部放行, 既不记录其访问结果, 也不进行统计 NS-ICG 默认内置了若干个用于升级的 Bypass 域名, 如微软升级网址金山卡巴斯基江民等杀毒软件的升级网址等界面如下图所示 : 图 5-10 Bypass 域名配置页面激活 : 只有选择激活,bypass 域名功能才生效保存 : 更改激活的勾选状态后, 点击该按钮可以保存更改 ; 添加域名 : 点击添加, 输入域名和备注, 可以添加一条新的 Bypass 域名 ; 第页

73 删除域名 : 从域名列表中选择对象后点击删除, 可删除选中的 Bypass 域名 ; 编辑域名 : 点击某条 Bypass 域名的链接, 可以进行修改 1.Bypass 域名的匹配规则 : 若域名地址列表中添加域名后, 则匹配所有对该域名及其子域名的访问如若 Bypass 域名为 sina.com.cn, 则匹配所有 news.sina.com.cn sports.sina.com.cn 等 sina.com.cn 子域的访问 2.Bypass 域名不能工作在代理模式下 3. 要使用 bypass 域名, NS-ICG 需要配置有效的 DNS 服务器, 且内网用户 PC 的域名需要和 NS-ICG 的 DNS 服务器保持一致免监控 IP NS-ICG 支持将特殊用户设置为免监控, 该用户的所有网络行为将不再受 NS-ICG 所管理和记录例如, 可以将公司管理层或特殊部门设置为免监控用户界面如下图所示 : 图 5-11 免监控 IP 配置页面为下列免监控 IP 指定带宽通道 : 为免监控 IP 列表中的所有用户指定优先级较高的带宽通道, 以保证免监控 IP 用户的带宽需要先在策略管理带宽通道对象中事先建立保存 : 保存对免监控 IP 页面的更改添加 : 点击该按钮, 可以添加一个或一组免监控 IP 地址至于是一个还是一组, 由所设定的子网掩码地址决定删除 : 选择某个免监控 IP 后, 点击该按钮, 可以删除所选择的对象编辑免监控 IP: 点击某个免监控 IP 的链接可以编辑所选择的对象清空 : 清空免监控 IP 列表中所有数据 1. 指定单个 IP 地址时, 请将掩码设置为 ; 2. 关于带宽通道对象, 详细请参考带宽通道对象设置章节 3. 属于免监控的 IP 地址, 某种程度上属于特权 IP 地址, 不能被阻塞监控第页

74 记录因此网络应用监控和流量统计的对象不包含免监控的 IP 地址 NS-ICG 用户手册免管控用户由于企业某些部门或人员工作职务特殊性, 不能审计他们的邮件收发内容聊天内容网页访问信息或者不能对他们的应用协议的使用或带宽上限进行限制等, 因此提供了免管控用户的功能该功能包括两个子功能, 即免控制用户和免审计用户下面是详细介绍 : 第 1 步 : 通过导入或手动等方式, 在组织管理中建立用户详细方法请参考本章其他章节第 2 步 : 通过用户管理认证管理免管控用户进入如下图所示页面 : 图 5-12 免管控用户免控制用户 : 免控制用户不受应用控制策略时长限额策略用户带宽上限策略流量控制策略的控制时间 : 设置策略有效时间默认所有时间均有效点击选择时间在弹出的选择时间对象窗口中选择工作时间如果没有满足的时间对象, 可以点击该窗口右上角的 + 按钮, 或者到策略管理对象设置时间对象中创建适合的时间对象操作方法请参考时间对象章节设定用户 : 设置免控制账号免控制用户受默认带宽通道的控制免审计用户 : 免审计用户不受所有审计策略的审计, 包括 : 外发邮件审计接收邮件审计 QQ 审计飞信审计 MSN 审计 YAHOO 通审计 FTP 审计 TELNET 审计 HTTPS 审计发帖审计, 以及网页控制策略 ( 网页浏览策略网页搜索策略 HTTP 文件审计策略 ) 第页

75 设定用户 : 设置免审计账号免审计用户不可以选择策略生效的时间, 默认对所有时间生效第 3 步 ( 可选 ): 如果配置免控制用户, 则可以点击选择时间, 设置免控制用户的生效时间即在所设置的时间段内免控制用户不受控制策略的控制在所设置的时间段外时, 免控制用户和普通用户一样都受控制策略的控制第 4 步 : 点击设定用户, 弹出如下图所示窗口 : 图 5-13 选择用户第 5 步 : 选择用户后点击确定按钮, 关闭如上窗口第 6 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 免管控用户是根据用户的登录名来识别用户的, 请确保免管控用户的登录名和所采用的认证管理方式的登录名一致 2. 系统会在识别出用户后根据其账号信息判断是否是免管控用户在未识别出用户时, 免管控用户和普通用户一样, 受系统所有策略的控制 3. 免管控用户包括两种, 即免控制用户和免审计用户, 可以根据情况设置而免监控 IP 是不受系统所有策略的控制, 且没有任何相关记录, 但是在动态分配 IP 地址的网络环境中, 免监控 IP 就无法生效因此动态分配 IP 地址的网络环境中可以通过免管控账号来实现相应的免控制免审计的第页

76 功能 4. 在网址黑名单方面, 网址黑名单属于审计策略, 因此免控制用户无法正常访问网址黑名单, 而免审计用户可以正常访问网址黑名单 5. 免管控用户上线后, 在系统监控上线用户中可以查看, 并显示其上线时所使用的识别或认证方式 6. 优先级策略网段 > 免监控 IP> 免管控用户免控制账号无法访问黑名单, 免审计账号可以访问黑名单第页

77 5-3-5 屏蔽 IP NS-ICG 支持对某些 IP 进行屏蔽的功能如果将某内网 IP 地址添加入屏蔽 IP, 则该用户将无法继续使用网络如果将某外网 IP 地址添加入屏蔽 IP, 则所有内网用户都禁止访问该外网 IP 地址该功能可以帮助网络管理员实现对某些攻击行为或异常流量的内网用户的管理, 同时也可以某些外网 IP 地址起到屏蔽的作用将某用户添加入屏蔽 IP 列表中有两种方法, 一种是在策略管理黑白名单屏蔽 IP 中手动添加 ; 一种是在策略管理防护设置暂时屏蔽列表中, 选择某个暂时屏蔽 IP, 点击右上角的永久屏蔽按钮, 则该暂时屏蔽 IP 也将被加入到屏蔽 IP 列表中屏蔽 IP 的界面如下图所示 : 图 5-14 手动添加屏蔽 IP 添加 : 点击该按钮, 可以添加一个或一组屏蔽 IP 地址至于是一个还是一组, 由所设定的子网掩码地址决定删除 : 选择某个屏蔽 IP 后, 点击该按钮, 可以删除所选择的对象编辑屏蔽 IP: 点击某个屏蔽 IP 的链接可以编辑所选择的对象清空 : 清空屏蔽 IP 列表中所有数据 1. 屏蔽 IP 列表最多支持添加 50 条 IP 地址或网段 2. 关于暂时屏蔽列表, 详细请参考暂时屏蔽列表章节第页

78 5-4 对象设置概述策略中的条件和控制行为是通过对象定义的对象可视为具备某些公共特征的一些实例的集合带宽通道是另外一类对象, 用于对控制行为的描述对象是策略的重要组成部分, 策略可以看成是基于对象 ( 组 ) 的规则合理地构建和管理对象, 是建立有效的访问控制策略的前提对象设置包括六类对象, 界面如下图所示 : 图 5-15 对象设置时间对象共通引用对象构建各种策略时都需要确定策略的生效时间网站分类对象是构建网页浏览策略时需要引用的对象网址匹配对象是构建网页浏览策略时需要引用的对象文件类型对象是构建网页浏览策略时需要引用的对象带宽通道对象是构建流量控制策略时需要引用的对象用户自定义协议用户可以自己定义系统内建网络应用之外的其他网络应用, 在构建应用控制策略和流量控制策略时加以引用客户端检测对象是构建客户端准入策略和客户端应用封堵策略时需要引用的对象用户对象是策略管理的重要对象, 该对象的设置请参考 6. 用户管理章节下面是详细说明 : 第页

79 5-4-1 时间对象 NS-ICG 的系统中可以定义一些时间对象, 即定义一些时间段的组合, 供构建策略时使用在时间对象管理中建立的时间对象可以被所有的策略选用下面以添加一条时间对象为例说明详细操作方法 : 第 1 步 : 通过策略管理对象设置时间对象进入时间对象页面, 系统默认建立了两个时间对象, 即所有时间和工作时间, 如下图所示 : 图 5-16 时间对象管理主界面添加 : 点击该按钮, 可以添加一条时间对象删除 : 选择某个时间对象后, 点击该按钮, 可以删除所选择的对象编辑时间对象 : 点击某个时间对象的链接可以编辑所选择的对象第 2 步 : 点击添加按钮, 弹出如下图所示窗口 : 图 5-17 添加时间对象名称星期 : 这两项是必填项时间段 : 每个时间对象支持两个互不重复的时间段第 3 步 : 点击确定按钮, 新建的时间对象将显示在时间对象列表中第页

80 正在被策略使用的时间对象是不允许删除的, 执行删除操作时, 系统会弹出警告网站分类对象网站分类对象是建立网页浏览策略时所需要的匹配条件之一网康核心 URL 数据库从中国国情出发, 将网页分为 43 个一级网站分类和 10 个二级网站分类网站分类对象可以包含一个或多个网站分类, 并可以为这些分类设置例外, 供建立网页浏览策略使用当内网用户访问的 URL 符合网站分类对象条件时, 即匹配了引用该对象的网页浏览策略, 从而达到控制用户对该类网站的访问的目的通过策略管理对象设置网站分类对象进入如下图所示页面 : 图 5-18 网站分类对象管理主界面网站分类对象它是建立网页浏览策略时所需要的匹配条件之一 NS-ICG 系统已定义的网站分类有四十多种一个网站分类对象可以由一个或多个网站分类组成用户也可以为其添加例外自定义网站分类除了 NS-ICG 系统已定义的四十多种网站分类外, 用户也可以自己定义一些网站分类下面是详细说明 : ( 一 ) 网站分类对象第页

81 下面以添加一条网站分类对象为例说明详细操作方法 : 第 1 步 : 点击网站分类对象的添加按钮, 弹出如下图所示窗口 : 图 5-19 新建网站分类对象名称 : 必填项请输入所要建立的网站分类对象的名称 ; 描述 : 可选项可以增加对该网站分类对象的说明已选分类 : 网康公司从中国国情着眼, 将 1200 万条 URL 根据属性分成了 43 个一级分类和 10 个二级分类, 为 web 网页访问内容过滤提供最准确的技术保障例外网址 : 用户也可以为所选的网站分类增加一些例外网址点击右上方的添加按钮后, 在弹出的窗口中输入网址后, 点击确定按钮即可例外网址支持模式匹配, 具体的匹配规则为 : 1. 若例外网址为域名下的子目录, 则匹配该子目录下的所有文件如例外网址为 news.sina.com.cn, 则匹配 news.sina.com.cn 目录下所有的内容 2. 若例外网址为域名且不含路径, 则匹配所有对该域名子域名的访问例如例外网址为 sina.com.cn, 则匹配对 sina.com.cn 及 news.sina.com.cn sports.sina.com.cn 等子域的访问第页

82 举例说明 : 假设上班时间不允许访问新闻媒体娱乐类等影响工作的网站, 这就需要定义一个网站分类对象, 命名为休闲娱乐类网站, 在该对象中添加门户网站与搜索引擎文学和娱乐等网站分类, 如上图如果在建立网页浏览策略时选择阻塞, 那么访问以上所选的网站分类将被禁止此时访问 news.163.com( 属于门户网站与搜索引擎 ) 将被阻塞新建网站分类对象时, 可以为该对象定义一些例外网址例如如果在阻塞新闻媒体类网站的同时, 不希望阻塞 news.google.com, 只需在右侧的例外网址中添加 news.google.com 这样当建立策略阻塞休闲娱乐类网站时, 访问 news.google.com 将不被阻塞如要取消例外网址, 则首先选择要删除的网址, 然后点击例外网址列表上方的删除按钮即可第 2 步 : 设置完毕后, 点击确定按钮, 即可新建一个网站分类对象添加的网站分类对象将以列表形式进行显示如果需要修改对象, 请点击需要修改的对象名称, 修改完毕后点击确定按钮即可如果需要删除对象, 请选择对象后点击右上角的删除按钮, 确认弹出的提示信息后即可正在被策略使用的网站对象是不允许删除的, 执行删除操作时, 系统会弹出警告 (2) 自定义网站分类除了 NS-ICG 内建的网站分类对象外, 用户还可以自己定义网站分类对象, 并显示在网站分类列表中, 供添加网站分类对象时使用下面以添加一条自定义网站分类为例进行说明 : 第 1 步 : 进入网站分类对象管理主界面, 点击添加按钮, 弹出如下图所示窗口 : 图 5-20 新建自定义网站分类对象第页

83 名称 : 必填项请输入所要建立的自定义网站分类的名称 ; NS-ICG 用户手册描述 : 可选项可以增加对该自定义网站分类的说明 ; 添加 : 用户可以手动添加一个一个的网址, 方法是点击该按钮, 在弹出的窗口中输入网址 ; 导入 : 用户也可以通过本地已经建立的文件一次性导入大量网址要求本地文件是 txt 文本格式, 且每行一个网址, 行尾用回车符隔开, 如 linux 站点分类.txt 的格式为 : 自定义网站分类中的网址支持模式匹配, 具体的匹配规则为 : 1. 若自定义网站分类中包含的 URL 为域名下的子目录, 则匹配该子目录下的所有文件例如 :URL 为 news.sina.com.cn/2006, 则匹配 news.sina.com.cn/2006 目录下所有的的内容 2. 若自定义网站分类中包含的 URL 为域名且不含路径, 则匹配所有对该域名及其子域名的访问, 例如 :URL 为 sina.com.cn, 则匹配对 sina.com.cn 及 news.sina.com.cn sports.sina.com.cn 等子域的访问删除 : 删除已经添加的某个网址 ; 清空 : 清空所有已经添加的网址正在被策略使用的自定义网站分类对象 ( 如在某个策略中的网站对象包含该自定义网站分类对象 ) 是不允许删除的, 执行删除操作时, 系统会弹出警告第 2 步 : 设置完毕后, 点击确定按钮, 即可新建一个自定义网站分类新建的网站分类将显示在网站分类中供网站分类对象或者网页浏览策略使用如下图所示 : 第页

84 图 5-21 自定义网站分类对象第页

85 5-4-3 网址匹配对象网址匹配对象可作为网页浏览控制时的匹配条件之一它使用正则表达式对 Web 访问网址进行匹配当内网用户访问的网址符合匹配条件时, 即匹配了引用该对象的网页浏览策略, 从而达到控制用户对该类网址的访问的目的下面以添加一条网址匹配对象为例说明详细操作方法 : 第 1 步 : 通过策略管理对象设置网址匹配对象进入如下图所示页面 : 图 5-22 网址匹配对象添加 : 点击该按钮, 可以添加一个网址匹配对象删除 : 选择某个网址匹配对象后, 点击该按钮, 可以删除所选择的对象编辑网址匹配对象 : 点击某网址匹配对象的链接可以编辑所选择的对象正在被策略使用的网址匹配是不允许删除的, 执行删除操作时, 系统会弹出警告第 2 步 : 点击添加按钮弹出如下图所示窗口 : 图 5-23 新建网址匹配对象第 3 步 : 名称和正则式是必填项关于正则表达式详细请参考附录第页

86 5-4-4 文件类型对象网络访问和网页浏览会碰到各种各样的文件类型, 基于文件类型的访问管理控制, 是 NS-ICG 提供的重要访问控制手段之一文件类型对象可作为网页浏览控制时的匹配条件之一下面以添加一条文件类型对象为例说明详细操作方法第 1 步 : 通过策略管理对象设置文件类型对象进入如下图所示页面 : 图 5-24 文件类型对象添加 : 点击该按钮, 可以添加一个文件类型对象删除 : 选择某个文件类型对象后, 点击该按钮, 可以删除所选择的对象编辑文件类型对象 : 点击某文件类型对象的链接可以编辑所选择的对象正在被策略使用的文件类型对象是不允许删除的, 执行删除操作时, 系统会弹出警告第 2 步 : 点击添加按钮弹出如下图所示窗口 : 第页

87 图 5-25 新建文件类型对象名称 : 必填项输入文件类型对象的名称描述 : 增加对所建立的文件类型对象的说明文件扩展名 : 输入文件扩展名多个文件扩展名之间请用英文半角逗号分隔 MIME 类型 :MIME 类型是设定某种扩展名的文件用一种应用程序来打开的方式类型, 当该扩展名文件被访问的时候, 浏览器会自动使用指定应用程序来打开多个 MIME 类型之间请用英文半角逗号分隔有关文件扩展名和 MIME 的对照关系, 请参考附录 5 第 3 步 : 配置完毕后, 点击确定按钮新建的文件类型将显示在列表中第页

88 5-4-5 带宽通道对象将网络带宽划分成若干个虚拟通道, 每个通道可以设定上下载 ( 最大 ) 速率的限制优先级, 可以根据企业自身的需求, 让某些服务或某些部门员工的数据从指定的通道通过通过带宽通道对象, 可以更合理地使用整个网络的带宽资源带宽通道对象是控制策略中的控制手段之一单网桥模式和双入双出模式下的带宽通道对象的页面是不同的双入双出模式下的带宽通道对象页面比单网桥模式要多一个链路, 但配置方法是相同的此处以单网桥模式为例说明带宽通道对象的操作方法通过策略管理对象设置带宽通道对象进入如下图所示页面 : 图 5-26 单网桥模式下的带宽通道对象页面添加 : 添加带宽通道对象删除 : 删除选择的带宽通道对象鼠标左键点击相应的带宽通道对象即为选择了该对象选择对象后, 删除按钮呈可点击状态设置链路带宽 : 根据企业实际带宽大小, 来设置 NS-ICG 的链路总带宽默认带宽通道 : 系统默认建立了一个默认带宽通道, 详细请参考下方说明链路 1 使用 (kbps): 总上传 / 总下载 : 即链路总带宽通过设置链路带宽可以配置空闲上传 / 空闲下载 : 即总上传 / 总下载减去所有已建的带宽通道对象的上传 / 下载速率法下面分别以设置链路总带宽设置默认带宽通道添加一条带宽通道对象为例介绍详细使用方 ( 一 ) 设置链路总带宽第页

89 NS-ICG 默认将链路总带宽设置为 1G 用户在拿到 NS-ICG 后, 应当根据企业的实际带宽和使用情况进行修改例如企业的总带宽是 10M, NS-ICG 的链路总带宽应该小于或等于 10M 操作方法是点击页面中设置链路带宽按钮, 弹出如下图所示窗口 : 图 5-27 设置链路总带宽请根据实际需要分别修改上传流量和下载流量后, 点击确定按钮即可完成修改上图是单网桥模式下的链路总带宽的设置界面在双入双出模式下会增加一条链路, 设置方法同单网桥模式 ( 二 ) 设置默认带宽通道带宽通道对象中, 系统自带默认带宽通道 NS-ICG 下没有被指定带宽通道对象的流量都会走默认带宽通道它的默认带宽是 1G 默认带宽通道的优先级最低, 意思是在执行策略时, 优先执行策略带宽通道对象, 当都不匹配时才会走默认带宽通道默认带宽通道有自动和手动两种, 点击图 5-24 的 [ 自动 ] 默认带宽通道的链接, 弹出如下图所示窗口 : 图 5-28 编辑默认带宽通道自动 : 自动模式下, 系统会用总带宽减去已建立的带宽通道对象中设置的带宽之和, 将剩下的带宽作为默认带宽, 供所有未指定带宽通道对象的流量通行优点是使用比较方便手动 : 手动模式下, 管理员可以为默认带宽通道设置固定的上传 / 下载速率和最大上传 / 下载速率当用户建立了多条带宽通道对象后, 如果觉得剩下的带宽还是比较大, 不太适合让其他未指定通道对象的流量通行, 就可以手动设置优点是可控性更强选择手动模式后, 上图所示窗口会变更为如下图所示 : 第页

90 图 5-29 手动设置默认带宽通道优先级 : 默认情况下, 默认带宽通道的优先级是 7 级, 也就是最低意思是先匹配其他策略带宽通道对象后, 如果找不到匹配的带宽通道, 才会走默认带宽通道可以调整数字越小的优先级越高配合策略设定, 会优先保障优先级较高的通道内的网络连接和通信, 为关键应用保证带宽和网络服务质量上传 / 下载速率 : 设定该通道最低能得到的带宽值, 又称为保证带宽所有带宽通道的保证带宽之和应小于或等于链路总带宽最大上传 / 下载速率 : 设定该通道最大能得到的带宽值当超过上传 / 下载速率后, 如果其他通道还有剩余上传 / 下载速率, 允许其借用设置最大上传 / 下载速率是为了带宽借用设置了上传 / 下载速率后, 该项可以不填写, 其效果是最大上传 / 下载速率与上传 / 下载速率相同最大上传速率和最大下载速率是指在上传或下载文件时该通道可能达到的最大带宽, 又称为最大带宽配置完毕后, 点击确定按钮, 即可更改 1. 如果没有设置其他通道, 则所有用户都使用默认带宽通道如果默认带宽通道的速率设置不够大, 将会极大地影响网络速度 2. 正在被策略使用的带宽通道对象是不允许删除的, 执行删除操作时, 系统会弹出警告 ( 三 ) 添加带宽通道对象 NS-ICG 中可以建立流量控制策略, 为部门或用户的应用指定带宽通道, 达到流量控制的目的流量控制策略所使用的带宽通道对象就是通过此处进行设置添加一条带宽通道对象的详细方法如下 : 第 1 步 : 通过策略管理对象设置带宽通道对象进入页面后, 点击添加按钮, 弹出如下图所示页面 : 第页

91 图 5-30 新建带宽通道对象名称 : 必填项请输入新建的带宽通道对象的名称 ; 平均分配 : 勾选该选项后, 按通道内的每个内网用户平均分配带宽 ; 优先级上传 / 下载速率最大上传 / 下载速率的功能请参考前页的设置默认带宽通道第 2 步 : 设置完毕后, 点击确定按钮即可建立带宽通道对象时, 上传速率下载速率最大上传速率最大下载速率的值均不能设置为 0. 建立带宽通道对象时, 最大上传速率和最大下载速率都可不填, 但是上传速率和下载速率至少填一项如果只填写上传 / 下载速率中的一个时, 则未填写的一项认为不限制其速率用户自定义协议 NS-ICG 拥有超过 200 多种流行应用协议分析特征库, 除了这些内建的网络应用协议, 用户可以定义其他网络应用, 如基于某个端口的应用, 或基于某个目标服务器的应用自定义协议和系统内建的其它协议一样, 可用于策略中的网络应用控制带宽管理, 并可进行网络应用实时监控等自定义协议优先级最高, 即当自定义协议与系统内置协议冲突时 ( 如端口相同 ), NS-ICG 将识别为用户自定义的网络应用协议下面以添加一条自定义协议为例说明详细操作方法 : 第 1 步 : 通过策略管理对象设置用户自定义协议进入如下图所示页面 : 第页

92 图 5-31 用户自定义协议主界面添加 : 点击该按钮, 可以添加一个自定义协议删除 : 选择某个自定义协议后, 点击该按钮, 可以删除所选择的对象编辑文件类型对象 : 点击某自定义协议的链接可以编辑所选择的对象第 2 步 : 点击添加按钮, 弹出如下图所示窗口 : 图 5-32 新建自定义协议名称 : 必填项输入自定义协议的名称描述 : 可选项增加对自定义协议的说明规则列表 : 显示在该自定义协议中建立的规则添加 : 点击该按钮添加新的规则删除 : 删除选择的规则清空 : 清空规则列表中的所有规则第 3 步 : 点击添加按钮, 弹出如下图所示窗口 : 第页

93 图 5-33 为自定义协议添加规则协议类型 : 选择规则的协议类型如 TCP UDP, 或者所有协议其他 : 其他四个选项中请至少填写一项都支持范围条件的匹配, 即用户既可以输入单个 IP 地址或者端口号, 也可以输入 IP 地址范围或者端口号例如源 IP 地址中输入 , 源 / 目的端口可以输入第 4 步 : 配置完毕后, 点击确定按钮, 即为自定义协议新建了一条规则一个自定义协议可以包含多个规则如下图所示 : 图 5-34 添加自定义协议 - 添加协议规则第 5 步 : 在配置完毕后, 点击确定, 自定义协议新建完成 1. 系统内置协议不能从界面中对其进行修改操作只允许用户对自定义协议进行添加修改和删除 2. 用户自定义协议中, 最多能配置 100 条子规则第页

94 5-4-7 客户端检测对象客户端检测对象是建立客户端策略中准入策略和应用封堵策略所需要的匹配条件之一客户端检测对象是将内网用户上网时所使用的电脑作为检测对象, 并检测该电脑的五大方面 : 进程检测文件检测注册表检测操作系统检测和杀毒软件检测通过策略管理对象设置客户端检测对象进入如下图所示界面 : 图 5-35 客户端检测对象添加对象 : 点击右上角的 + 添加按钮, 在弹出的窗口中进行配置并确认即可删除对象 : 选择对象后, 点击右上角的 X 删除按钮, 并确认弹出的确认信息即可编辑对象 : 点击对象的链接, 修改后确认即可对于系统内建的检测对象是不允许修改的, 同时其相关的进程名窗口名特征文件名服务名等都是隐藏的以下是详细介绍 : ( 一 ) 进程检测对象进程检测对象是指对客户端主机上正在运行的进程进行检测系统默认建立了五种代理软件的进程检测, 如果需要建立其他进行检测对象, 请点击上图右上角的 + 添加按钮, 弹出如下图所示窗口 : 第页

95 图 5-36 进程检测对象名称 : 必填项请输入所要建立的进程检测对象的名称 ; 描述 : 可以增加对该进程检测对象的说明以便理解 ; 进程名 : 必填项即已运行的程序在 windows 任务管理器的进程中所对应的映像名称例如 CCProxy 代理软件的映像名称是 CCProxy.exe, 那么此处就要填写 CCProxy.exe 窗口名 : 即打开某应用程序后窗口左上角所显示的标题, 如 :CCProxy 特征文件名 : 某应用程序运行时所必须用到的文件的名称, 如运行 CCProxy 代理软件时必须用到 CCProxy.ini, 那么此处就要填写 CCProxy.ini 服务名 : 有些应用软件在安装完毕后会在服务与应用程序中增加一个服务项, 在此处请填写该名称配置完毕后, 点击确定按钮, 关闭当前窗口新创建的进程检测对象就会显示在列表中, 供建立客户端准入策略和客户端应用控制策略时使用进程名窗口名特征文件名和服务名这四项之间是或的关系, 即只要匹配了这四项中的一项, 就认为匹配了该进程检测对象 ( 二 ) 文件检测对象文件检测是从检查客户端主机上指定路径中是否存在指定的文件的角度来考察客户端主机是否符合准入条件例如有的企业为了安全起见, 要求每个员工的主机上都要有一个身份标识文件, 就可以通过配置文件检测对象来达到该目的系统默认没有建立任何文件检测对象, 下面以添加一个文件检测对象为例详细介绍 : 第 1 步 : 点击如图 5-35 的标签页文件检测对象, 进入如下图所示界面 : 第页

96 图 5-37 文件检测对象第 2 步 : 点击上图右上角的 + 添加按钮, 弹出如下图所示窗口 : 图 5-38 新建文件检测对象名称 : 必填项请输入所要建立的文件检测对象的名称 ; 描述 : 可以增加对该文件检测对象的说明以便理解 ; 文件路径 : 写明文件所在的路径及其名称, 如 e:\demo.txt 文件 MD5 值 : 该项用于判断文件内容是否正确第 3 步 : 配置完毕后, 点击确定按钮, 关闭当前窗口新创建的进程检测对象就会显示在列表中, 供建立客户端准入策略时使用文件路径和文件 MD5 值之间是和的关系, 即如果这两个条件都配置, 则必须同时匹配才匹配了该文件检测对象 ( 三 ) 注册表检测对象注册表检测是从客户端主机的注册表中是否存在某个注册表项或键值的角度来考察客户端主机是否符合准入条件客户端主机上安装某个软件后一般会在注册表中注册一些表项和键值, 通过这第页

97 些表现和键值就可以知道客户端主机上是否安装了某种软件下面以添加一个注册表检测对象为例详细介绍 : 第 1 步 : 点击如图 5-35 的标签页注册表检测对象, 进入如下图所示界面 : 图 5-39 注册表检测对象第 2 步 : 点击上图右上角的 + 添加按钮, 弹出如下图所示窗口 : 图 5-40 新建注册表检测对象名称 : 必填项请输入所要建立的注册表检测对象的名称 ; 描述 : 可以增加对该注册表检测对象的说明以便理解 ; 注册表根项 : 以 WindowsXP 系统为例, 在开始运行中输入 regedit 回车后就可以打开注册表编辑器, 可以看到有五个根项请根据程序所在的根项进行选择一般在 PC 上安装的应用程序在注册表中所对应的根项是 HKEY_LOCAL_MACHINE 如下图所示 : 第页

98 图 5-41 注册表编辑器注册表子项 : 必填项请填写被检测项在注册表中的目录例如 Yahoo 的版本号在注册表中的位置为 : \software\yahoo\pager 数值名称 : 填写应用程序的数值名称, 如 ProductVersion 数值类型 : 选择应用程序的数据类型, 如 REG_SZ 数值数据 : 填写应用程序的数值, 如第 3 步 : 配置完毕后, 点击确定按钮, 关闭当前窗口新创建的注册表检测对象就会显示在列表中, 供建立客户端准入策略时使用注册表根项注册表子项数值名称数值类型和数值数据之间是和的关系, 即必须匹配了所有项, 才匹配了该注册表检测对象 ( 四 ) 操作系统检测对象操作系统检测是从客户端主机使用的操作系统和操作系统补丁包版本的角度来考察客户端主机是否符合准入条件例如某公司要求只有安装了 WindowsXP 操作系统并且安装了 SP2 补丁包的主机才能访问互联网, 那么这种情况下就可以通过配置操作系统检测对象的客户端准入策略来实现下面以添加一个操作系统检测对象为例详细介绍 : 第 1 步 : 点击如图 5-35 的标签页操作系统检测对象, 进入如下图所示界面 : 第页

99 图 5-42 操作系统检测对象第 2 步 : 点击上图右上角的 + 添加按钮, 弹出如下图所示窗口 : 图 5-43 新建操作系统检测对象名称 : 必填项请输入所要建立的操作系统检测对象的名称 ; 描述 : 可以增加对该操作系统检测对象的说明以便理解 ; 操作系统版本 : 请从下拉列表中选择要检查的操作系统版本 ; SP 版本号 : 请输入要检查的 SevicePack 版本号, 直接输入数字即可第 3 步 : 配置完毕后, 点击确定按钮, 关闭当前窗口新创建的操作系统检测对象就会显示在列表中, 供建立客户端准入策略时使用 1. 操作系统版本和 SP 版本号间是和的关系, 如果填写了 SP 补丁包版本, 则只有同时匹配这两项才匹配该对象 2. 如果填写了 SP 版本号, 则如果内网用户 PC 机中所安装的该应用程序的数据只要大于等于该值, 就认为满足该 SP 补丁包版本条件 ( 五 ) 杀毒软件检测对象杀毒软件是检查客户端主机是否满足准入条件的一个重点检测对象, 所以单独设置了杀毒软件第页

100 检测对象, 可以针对杀毒软件的特点设置不同于一般应用检测的检测项例如, 某公司要求只有安装了卡巴斯基杀毒软件并且病毒库升级到了最新版本的客户端主机才能访问互联网, 就可以通过配置杀毒软件检测对象的客户端准入策略来实现下面以添加一个杀毒软件检测对象为例详细介绍 : 第 1 步 : 点击如图 5-35 的标签页杀毒软件检测对象, 进入如下图所示界面 : 图 5-44 杀毒软件检测对象对于系统内建的检测对象是不允许修改的, 同时其相关的属性值等都是隐藏的第 2 步 : 点击上图右上角的 + 添加按钮, 弹出如下图所示窗口 : 图 5-45 新建杀毒软件检测对象第页

101 名称 : 必填项请输入所要建立的杀毒软件检测对象的名称 ; NS-ICG 用户手册描述 : 可以增加对该杀毒软件检测对象的说明以便理解 ; 进程名 : 必填项即已运行的程序在 windows 任务管理器的进程中所对应的映像名称例如 360 杀毒软件的映像名称是 360tray.exe, 那么此处就要填写 360tray.exe ; 病毒库版本 : 填写病毒库版本 ; 注册表根项注册表子项数值名称和数值类型 : 请参考注册表检测对象第 3 步 : 配置完毕后, 点击确定按钮, 关闭当前窗口新创建的杀毒软件检测对象就会显示在列表中, 供建立客户端准入策略时使用 1. 进程名称病毒库版本注册表根项注册表子项数值名称和数值类型之间是和的关系, 如果填写了这几项, 则只有同时匹配了这六项才匹配了该杀毒软件检测对象 2. 如果填写了病毒库版本, 则如果内网用户 PC 机中所安装的杀毒软件的病毒库的版本只要大于等于该值, 就认为满足该病毒库版本条件 5-5 策略设置概述对象建立后, 就可以建立策略了建立和设置策略是实施互联网访问控制的核心工作之一在策略设置中建立的策略主要是控制策略, 有四类 : 应用控制策略时长限额策略流量控制策略和网页控制策略其中网页控制策略包括网页浏览策略网页搜索策略和 HTTP 文件审计策略三种如下图所示 : 图 5-46 策略设置应用控制策略建立策略对应用程序的使用进行控制, 如阻塞游戏股票软件网络电视等应用的使用时长限额策略建立策略对某种应用或全部应用制定时长限额, 让指定的用户对某种应用或者全部应用每天只能使用一定的时长, 来实现企业对员工上网时间的控制第页

102 流量控制策略建立策略对应用的流量进行控制, 如限制迅雷 FTP 的下载带宽等网页浏览策略建立策略对网页浏览进行控制, 如禁止访问色情成人暴力赌博等非法网站网页搜索策略建立策略控制对搜索引擎的使用, 如禁止搜索敏感文字等 HTTP 文件审计策略建立策略对使用 HTTP 协议上传或下载文件进行控制, 同时审计相关的文件内容如阻塞并记录在新浪上传文件为了便于了解, 我们建立了各种策略, 如下图所示 : 图 5-47 策略列表添加 : 选择添加策略内容, 包括 : 应用控制策略流量控制策略和网页浏览策略删除 : 选择策略后, 该按钮呈可选择状态点击并确认提示信息后可以删除所选择的策略 ; 生成报告 : 选择策略后, 该按钮呈可选择状态点击该按钮可以将指定策略的详细内容在新的窗口中以报告的形式显示 ( 注意 : 策略报告以弹出窗口的形式出现, 请确保浏览器未禁止弹出窗口 ); 列 : 调整同类策略内优先级点击, 表示提升优先级 ; 点击表示降低优先级在策略管理列表中, 最上面的策略将具有最高优先级 ; 策略名称 : 显示自定义的策略名称在网页控制策略中, 策略名称前有网字的表示该策略是网页浏览策略如果是搜字则表示该策略是网页搜索策略如果是文字则表示该策略是 HTTP 文件审计策略时间 : 点击链接可以进行编辑用户 : 点击链接可以修改策略适用用户对象编辑窗口请参考图 5-49 选择用户 ; 状态 : 激活或关闭策略表示该策略呈激活状态, 表示该策略呈关闭状态, 点击可以切换策略状态 ; 当多条策略处于激活状态时, 优先级高的策略首先进行策略匹配, 第页

103 只有匹配失败才继续对低优先级的策略进行匹配高优先级的策略匹配成功后将不会再匹配低优先级的策略 ; 创建人 : 表明该策略由哪个管理员创建的, 级别较低的管理员不能调整比自己级别高的管理员创建的策略, 包括策略是否激活, 策略优先级, 删除策略和具体的策略内容 ; 应用控制策略建立策略对应用的使用进行控制, 如允许或阻塞游戏股票软件网络电视等应用的使用 NS-ICG 根据不同的协议及应用领域将网络应用分为 15 类, 分别为传统协议 VoIP 办公和自动化 Session Games IM P2P 股票软件网络电视文件和数据库 HTTP 应用代理和隧道其他应用用户自定义和未知协议每一个大类中又包含若干具体的子应用, 管理者可根据不同的需要, 对各种应用定制基于用户和时间段的策略, 以实现对员工上网行为的管理下面以添加一条应用控制策略为例详细介绍操作方法第 1 步 : 通过策略管理策略设置进入主页面, 点击添加按钮, 选择并点击应用控制策略, 进入如下图所示页面 : 图 5-48 新建应用策略名称 : 必填项输入应用策略的名称描述 : 可选项增加对策略的说明时间 : 设置策略有效时间默认所有时间均有效点击选择时间在弹出的选择时间第页

104 对象窗口中选择工作时间如果没有满足的时间对象, 可以点击该窗口右上角的 + 按钮, 或者到策略管理对象设置时间对象中创建适合的时间对象操作方法请参考时间对象章节控制方式 : 设置策略的控制方式, 有允许阻塞两个选择项如果选择允许, 意味着对指定的应用放行, 不做约束如果选择阻塞, 意味着对不允许使用指定的应用优先级 : 设置策略执行的优先级顺序当有多条应用控制策略时, 系统会按照优先级顺序从高到低执行策略数字越小优先级越高默认是 0, 即优先级最高应用列表 : 该表中列出了 ICG 支持的所有应用, 约 200 多种请根据需要进行选择已选应用 : 选择后的应用协议会显示在此窗口中如果需要取消选择, 可以在应用列表中取消勾选, 也可以在本窗口中选择某应用后, 点击右上角的取消选择按钮用户 : 点击选择用户按钮, 从组织结构中选择策略将对哪些用户生效如果需要配置用户组织结构, 请在用户管理组织管理中进行设置选择用户窗口如下图所示 : 图 5-49 选择用户选择用户 : 鼠标单击 : 在左部组织结构中点击选择用户或用户组已选的用户或用户组会在页面右部以列表方式显示, 方便用户查看搜索框 : 在页面右上角的搜索框中输入用户名或登录名进行搜索第页

105 取消选择用户 : 单击已选的用户 ( 组 ) 或使用 CTRL SHIFT 组合键多选用户 ( 组 ), 并点击取消选择按钮 1. 关于如何配置组织结构, 详细请参考 6. 用户管理章节 2. 使用搜索功能时, 请至少输入两个字符进行搜索第 2 步 : 配置完毕后, 点击确定按钮, 就配置好了这条策略若想让最新的配置立即生效, 请点击右上方立即生效按钮立即生效后生产部和市场部的用户都不能在上班时间炒股关于应用控制策略的审计结果请到查询统计应用流量中查看时长限额策略时长限额策略, 是通过为用户和应用指定上网时长限额, 让指定的用户对某种应用或者全部应用在指定时间段内只能使用一定的时长, 实现企业对员工上网时间的控制方法如下 : 第 1 步 : 点击策略管理策略设置进入主页面, 点击添加按钮, 选择并点击时长限额策略, 进入如下图所示页面 : 图 5-50 时长限额策略每日限额 ( 分 ): 设置每天在指定的时间段内用户最多能上网多久以分钟为单位第页

106 应用列表 : 该表中以树状结构列出了 ICG 支持的所有应用, 约 200 多种请选择 : 如果选定全部应用 : 表示只要 1 分钟内有上网流量通过 NS-ICG, 则认为该用户使用网络一分钟超过限额后则不能继续使用网络如果选定部分应用 : 表示只要 1 分钟内有指定协议的流量通过 NS-ICG, 则认为用户使用指定的协议一分钟时间超过限额后则不能继续使用该协议, 但可以继续使用其他未指定的协议其他 : 上图中其他项目的说明同应用控制策略相关部分第 2 步 : 根据需要进行设置配置完毕后点击确定按钮, 策略建立完毕第 3 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮时长限额策略的当天审计结果记录在系统监控时长限额中在查询统计查询上网时长中可以查询到当天以及历史审计结果流量控制策略流量控制策略, 是通过为用户和应用指定带宽通道对象, 让指定的用户和应用走指定的通道, 实现对用户和应用的带宽上下限管理, 例如限制迅雷 FTP 的下载带宽等建立流量控制策略需要引用策略管理对象设置带宽通道对象中建立的带宽通道对象, 因此请首先在上述模块中建立所需的带宽通道对象详细请参考带宽通道对象章节下面以添加一条流量控制策略为例详细介绍操作方法第 1 步 : 在带宽通道对象中建立一个对象第 2 步 : 通过策略管理策略设置进入主页面, 点击添加按钮, 选择并点击流量控制策略, 进入如下图所示页面 : 第页

107 图 5-51 新建带宽通道策略应用列表 : 该表中以树状结构列出了 ICG 支持的所有应用, 约 200 多种分别是应用协议类应用协议应用协议子类, 如 : 传统协议这个应用协议类包含很多应用协议, 包括 FTP DNS 等而 FTP 这个应用协议又包括控制连接和数据连接这两个子类鼠标左键单击某一应用后, 为其指定带宽通道对象其他 : 上图中其他项目的说明同应用控制策略相关部分注意 : 1. 对某一应用协议类 ( 或应用协议 ) 指定通道后, 则该类下级的所有应用协议 ( 或子类 ) 均共享该通道且无法单独设置带宽通道 2. 如果需要对某一个应用协议 ( 或子类 ) 单独设定带宽通道, 其上级应用协议类 ( 或应用协议 ) 必须未指定通道第 3 步 : 填写名称和描述必填项并根据需要选择用户和时间后, 在应用列表中点击某应用, 弹出如下窗口 : 第页

108 图 5-52 指定带宽通道 NS-ICG 用户手册如上图所示, 我们选择了迅雷, 在选择通道中默认是不指定通道, 在第 1 步中添加的带宽通道对象会以列表的形式显示在此处, 选择并点击确定策略建立完毕第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮在应用列表中有一项是其他应用, 其含义是 : 1. 超出防护阀值流量 : 在用户防护规则设置, 选择流量控制, 此时超出阀值的流量即识别为异常流量在策略中, 可以对这部分流量进行管理 2. 其他 IP 协议 : 对非 IP 协议 ( 非 TCP/UDP/ICMP 的数据包 ) 的流量网页控制策略通过为用户和网页指定对象, 实现对用户的网站访问管理包括网页浏览策略网页搜索策略和 HTTP 文件审计策略网页浏览策略对 NS-ICG 下指定用户在指定时间内所浏览的网页进行审计和控制, 包括访问网站类型 ( 如股票色情 ) 网址类型 ( 如聊天室 ) 文件类型 ( 如 mp3) http 请求限额等同时还可以记录下匹配策略条件的网页快照, 便于在该网页过期或没有访问权限时仍能查看网页内容下面以添加一条网页浏览策略为例详细介绍操作方法 : 第 1 步 : 进入策略设置默认画面, 点击添加按钮, 在网页控制策略中选择并点击网页浏览策略, 进入如下图所示页面 : 第页

109 图 5-53 新建网页浏览策略控制方式 : 当匹配策略的所有条件后, 对用户行为的控制方式共有四种可能的控制行为 : 允许阻塞允许并记录阻塞并记录请注意, 如果用户量大, 选择记录将耗费大量的磁盘空间和 CPU 资源 ; 记录网页快照 : 匹配策略所有条件后, 记录下用户所访问网页的标题快照即使该网页已经过期或者没有访问权限, 仍然可以查看其快照审计结果请参考 4-8 网站访问章节 1. 只有当控制方式为允许并记录时, 才可以选择记录网页快照功能 2. 开启记录网页快照后, 文件类型对象和 HTTP 限额功能失效 3. 开启记录网页快照会消耗大量的系统资源匹配对象 : 设置策略的控制方式有选择对象和任何内容两个选择项选择对象是指从网站分类对象网址匹配对象或文件类型对象中至少选择一个对象作为匹配条件任何内容是将所有 HTTP 请求都作为匹配条件 1. 匹配对象中如果选择任何内容, 则在网站分类对象网址匹配对象文件类型对象和 HTTP 限额中所作的设置都将不保存 ; 且如果控制方式选择的是阻塞或者阻塞并记录, 则等同于阻塞所有 HTTP 请求 2. 画面的其他说明同应用控制策略相关部分网页浏览控制策略共包含三个匹配条件这三个对象既可以在当前页面中通过单击左边的 + 添加按钮来添加, 也可以通过策略管理对象设置中进行添加匹配条件 1: 网站分类对象 : 从网站分类对象列表中, 选择要匹配的网站分类对象若通过 NS-ICG 访问的网址, 属于第页

110 所选择的网站分类对象, 则该网址将会匹配策略点击列表右上方的 + 添加网站分类对象按钮, 可以创建一个新的网站分类对象, 关于创建和管理网站分类对象, 请参考网站分类对象章节匹配条件 2: 网址匹配对象 : 从网址匹配对象列表中, 选择要匹配的网址匹配对象, 若通过 NS-ICG 访问的网址, 符合所选择的网址匹配对象的正则表达式, 则该网址将会匹配策略点击列表右上方的 + 按钮, 可以创建一个新的网址匹配对象, 关于创建和管理网址匹配对象, 请参考网址匹配对象章节匹配条件 3: 文件类型对象 : 从文件类型对象列表中, 选择要匹配的文件类型对象, 若通过 NS-ICG 访问的文件类型, 符合所选择的文件类型对象, 则该文件类型将会匹配策略点击列表右上方的 + 按钮, 可以创建一个新的文件类型对象, 关于创建和管理文件类型对象, 请参考文件类型对象章节网页浏览控制还可以控制连接请求与流量控制, 如下图 : 图 5-54 策略配置 -Web 访问连接和流量控制针对所选用户的访问采取何种的连接和流量控制行为如没有限制可以不填主要控制参数如下 : 请求限额 : 一天内, 所选用户的 HTTP 总请求次数限额流量限额 : 一天内, 所选用户的数据上传下载的总流量限额上传限额 : 单次 HTTP 请求上传流量限额下载限额 : 单次 HTTP 请求下载流量限额网页浏览控制匹配条件 ( 网站分类对象 / 网址匹配对象 / 文件类型对象 ) 之间是或的关系第 2 步 : 根据需要进行相关配置后点击确定按钮, 即新建了一条网页浏览策略第 3 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮第页

111 示例 : 禁止所有用户访问色情网站, 如果有试图访问的要记录下来方法是 : 1 新建网页浏览策略, 输入名称描述, 用户和时间不需要修改 ; 2 控制方式选择阻塞并记录, 匹配对象选择选择对象 ; 3 在网站访问对象标签中点击右方的添加网站分类对象, 选择色情确定返回当前菜单 4 点击确定, 并立即生效 NS-ICG 下所有用户上网都将不能访问色情网站, 如果有访问不仅会被阻塞, 而且会记录在系统监控网站访问中网页搜索策略通过设置控制方式搜索类别关键字等, 实现对用户对搜索引擎使用的控制, 如禁止搜索敏感文字下面以添加一条网页搜索策略为例详细介绍操作方法 : 第 1 步 : 进入策略设置默认画面, 点击添加按钮, 在网页控制策略中选择并点击网页搜索策略, 进入如下图所示页面 : 图 5-55 新建 WEB 搜索策略控制方式 : 匹配策略后 NS-ICG 对用户行为所采取的控制方式共有三种可能的控制行为 : 记录阻塞阻塞并记录记录是指记录下用户此次搜索行为 ; 阻塞是指禁止用户进行搜索 ; 阻塞并记录是指不仅禁止用户进行搜索, 而且在系统监控搜索引擎中记录下相关信息匹配对象 : 设置关键字的匹配方式有任意关键字和指定关键字两个选择项默认是匹配第页

112 任意关键字如果选择指定关键字, 则画面下方的表达式匹配关系输入框呈可输入状态, 请输入相应的关键字表达式 : 当匹配对象选择了指定关键字后, 该项呈可选择状态有普通表达式和正则表达式两个选项普通表达式指任意输入的关键字, 多个关键字之间请用空格或者回车进行分隔正则表达式请参考附录 4, 不支持多关键字匹配英文字符不区分大小写匹配关系 : 当匹配对象选择了指定指定关键字后, 该项呈可选择状态匹配关系指在普通表达式中, 多个关键字之间的关系有 OR 和 AND 两个选项若为 AND, 则指多个关键字中的每一个都必须在用户搜索的关键字中 ; 若为 OR, 则指多个关键字中的任意一个出现在了用户搜索的关键字中搜索类别 : 搜索对象的属性, 如网页图片视频等默认是全部类别点击右侧的选择类别按钮, 可以进行选择如下图 : 图 5-56 搜索类别网页搜索策略画面的其他项目说明同应用控制策略相关部分第 2 步 : 输入策略名称和描述, 并根据情况进行选择和输入后, 点击确定按钮若想让最新的配置立即生效, 请点击右上方立即生效按钮示例 : 禁止公司研发部门员工在上班时间搜索视频, 方法是 : 1 新建一个网页搜索策略, 输入策略名称和描述 ; 2 选择事先在组织管理中建立好的公司研发部门员工 ( 详细请参考 6-2 组织管理章节 ); 3 选择上班时间 ( 详细请参考时间对象章节 ); 第页

113 4 选择控制方式为阻塞或者阻塞并记录, 匹配对象为任意关键字, 搜索类别为视频 ; 5 点击确定按钮建立该策略, 并立即生效那么此时研发部门员工想通过 GOOGLE 百度等搜索引擎来搜索视频类的网站或内容时都将被阻塞对于和策略相匹配的内容, 但是如果是用户手动点击找到的我们不予控制如上例中某员工自己在六间房中点击首页的视频进行播放时, 我们不进行拦截 HTTP 文件审计策略建立策略对使用 HTTP 协议上传或下载文件进行控制, 同时审计相关的文件内容如阻塞并记录在新浪上传文件审计结果将记录在系统监控文件审计中下面以添加一条 HTTP 文件审计策略为例详细介绍操作方法 : 第 1 步 : 进入策略设置默认画面, 点击添加按钮, 在网页控制策略中选择并点击 HTTP 文件审计策略, 进入如下图所示页面 : 图 5-57 新建 HTTP 文件传输策略控制方式 : 匹配策略后 NS-ICG 对用户行为所采取的控制方式 : 允许 : 对指定的 HTTP 文件传输行为放行, 不做约束阻塞 : 不允许使用 HTTP 协议传输文件允许并记录行为 : 对指定的 HTTP 文件传输行为放行, 同时在系统监控文件审计中记录下所传输的文件的属性, 但不记录文件内容阻塞并记录行为 : 不允许使用 HTTP 协议传输文件, 同时在系统监控文件审计中记录下所传输的文件的属性, 但不记录文件内容第页

114 允许并记录内容 : 对指定的 HTTP 文件传输行为放行, 同时在系统监控文件审计中记录下所传输的文件的属性, 以及文件内容可以打开或保存到本地传输方向 : 指策略针对的 HTTP 文件传输的方向, 包括上传下载全部选择全部时将不考虑 HTTP 文件传输方向, 只要发生就匹配策略该条件网站域名 : 支持关键字输入, 只要访问的网站域名中包含该关键字就匹配了该条件多个关键字之间请用半角逗号, 或者回车符分隔如果不输入, 则忽略该条件文件名 : 支持对文件名设置关键字进行控制关键字的输入支持普通表达式和正则表达式两种如果使用普通表达式, 多个关键字之间请用半角逗号, 或者回车符分隔如果使用正则表达式, 是不支持多关键字匹配的文件大小 : 可以设置根据文件大小来匹配策略画面其他项目的说明同应用控制策略相关部分第 2 步 : 输入策略名称和描述, 并根据情况进行选择和输入后, 点击确定按钮若想让最新的配置立即生效, 请点击右上方立即生效按钮示例 : 网内所有用户使用 Http 协议上传或下载的文件大于 1000kb 时, 允许并记录内容方法如下 : 1 控制方式 : 允许并记录内容 ; 2 传输方向 : 全部 ; 3 网站域名用户时间 : 不变 ; 4 文件名 : 普通表达式, 并填写 doc ; 5 文件大小 : 选择 >= 并输入 1000 那么如果网内用户使用 http 协议上传 doc 文件, 当该文件大于等于 1000kb 时, 就允许而且记录在系统监控文件审计中, 小于 1000kb 时, 就允许但是不记录目前暂不支持对 http 文件上传的阻塞功能第页

115 5-6 审计策略设置在审计策略设置中主要是审计类策略, 即对 QQ MSN YAHOO 通等常用的聊天工具, 以及对邮件收发论坛发帖 FTP TELNET HTTPS 等容易泄密影响网络安全的行为进行审计和管控审计策略设置主画面如下图所示 : 图 5-58 审计策略列表策略名称 : 点击带有下划线的策略名称时可以打开该审计策略的详细配置界面, 并可以修改时间 : 默认情况下策略对所有时间生效, 如果需要更改, 请点击该链接用户 : 该列中有两项 : 编辑和已共享编辑链接用于更改该策略针对哪些用户生效已共享选项只有登录 NS-ICG 的管理员是超级管理员时才可以看见, 并可以设置该策略所适用的用户是否对 NS-ICG 的其他管理员是否可以编辑默认情况下是允许其他管理员编辑的, 如果需要更改, 点击该链接即可状态 : 显示该策略的当前激活状态默认情况下, 所有审计策略都是未激活的, 如果需要审计, 请点击该项将其设置为状态生成报告 : 勾选某策略后, 该项将显示为可以点击状态点击则可以在 IE 中新页面中查看指定策略的配置详细外发邮件审计 NS-ICG 支持对邮件内容进行监控, 可以监控到局域网内任何一台计算机, 通过 SMTP 协议发送的邮件, 也可以监测到用户通过 Yahoo Sohu Hotmail Tom Sina Gmail QQmail 第页

116 excite goo infoseek livedoor 等 Webmail 提供商, 以 Webmail 形式发送的邮件 ; 管理员可以根据情况设置是否对邮件进行监控, 以及对哪些邮件进行监控开启了该功能后, 系统监控邮件收发中将记录下当天通过指定邮件服务器发送的邮件历史邮件记录, 保存在查询统计中相关画面通过 SMTP 协议发送的邮件, 以及通过中文 yahoo 邮箱 sohu msn Hotmail Tom Sina QQmail excite infoseek jp 这几个 Webmail 发送的邮件, 如果邮件包含附件,NS-ICG 也可以审计到附件信息详细操作方法如下 : 第 1 步 : 进入审计策略设置主页面, 点击外发邮件审计链接, 进入下图 : 第页

117 图 5-59 外发邮件审计用户和时间设置 : 设置对哪些用户在什么时间使用外发邮件审计策略 ( 详细操作步骤请参考应用控制策略章节 ) 外发邮件审计设置 : 开启或关闭外发邮件审计策略 ( 只有开启时, 以下选项才可选 ); SMTP 外发邮件审计设置 : 开启 SMTP 邮件附件记录 : 默认情况下 SMTP 审计仅记录邮件的正文部分如果需要记录邮件的附件, 需要勾选本项但是请注意, 一旦开启将会占用较大磁盘空间只有开启后, 附件名和附件大小才可用控制方式 : 策略匹配后用户行为的控制方式当该策略的所有条件匹配后, 针对该类的访第页

118 问采取何种控制行为, 共有四种可能的控制行为, 包括匹配并记录全记录阻塞并记录阻塞不记录当选择全记录时, 以下几项均呈灰显, 不需设置当选择阻塞并记录或阻塞不记录时, 附件大小是不可以设置的当选择除全记录之外的三项时, 必须配置以下选项中至少一项, 否则系统会因为无法匹配到任何关键字, 就全部不记录 ; SMTP 邮件审计关键字设置 : 发件人收件人主题正文附件名 : 对这几项支持使用普通表达式和正则表达式来设置关键字如果设置多个普通表达式, 请用半角逗号分隔关于正则表达式请参考附录 4 附件大小 : 设置审计的附件大小范围有以下几种设置方法, 举例说明 : 1. 选择匹配并记录, 选择 <=, 输入文件大小为 50KB 则当有用户发送邮件时如果附件小于或等于 50KB 将被记录下来 2. 选择阻塞不记录或者阻塞并记录 ( 此时不能选择 >= 或 <=), 输入文件大小为 100KB, 则当有用户发送邮件时如果附件大于等于 100KB 时, 就被阻塞 3. 如果选择了记录, 在系统监控或者查询统计的文件审计中可以查看详细组合关系 : 指 SMTP 邮件审计关键字下 6 个项目间的关系包括 OR 和 AND 两种若为 AND, 则指 SMTP 邮件审计时必须完全匹配这 6 个部分才适用该策略若为 OR, 则只需匹配其中一个就适用该策略 Webmail 外发邮件审计设置 : 通过选择特定的 Webmail 服务商来控制审计哪些 Webmail; 外发邮件标题及正文报警关键字设置 : 当内网用户发送的邮件的标题或者正文中包含所设置的关键字时, 系统会按照报警频率给指定的报警通知邮件地址发送报警邮件关键字匹配后报警通知 : 勾选该项后即开启了匹配了关键字后就会发送报警邮件 ; 报警频率 : 设置报警的频率, 如每小时每天每周发一次等 ; 报警关键字 : 设置关键字支持普通表达式和正则表达式两种 1. 普通表达式 : 多关键字之间采用英文半角, 分隔 ; 正则表达式 : 不支持多关键字 2. 设定关键字时, 请勿设定较短或常见的关键字, 否则会产生大量报警信息而加重系统负载报警通知邮件地址 : 设置将邮件发送到指定的邮件地址 1. 由于需要发送报警邮件, 因此请首先配置邮件服务器详细请参考邮件服务器章节 2. 设定报警通知邮件地址时, 每组地址用英文半角 ; 作为分隔符, 组内的每个地址用英文半角, 分隔第 2 步 : 设置完毕后, 点击确定按钮若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 系统默认情况下, 对外发邮件不做审计 2. 附件大小的单位是 KB 默认为 10240KB, 上限为 KB, 即 300M 第页

119 5-6-2 接收邮件审计 NS-ICG 支持通过 POP3 协议收取的邮件进行审计系统监控邮件收发中将记录下当天通过 POP3 协议接收的邮件非当天的历史邮件记录, 保存在查询统计中相关画面详细操作方法如下 : 第 1 步 : 进入审计策略设置主页面, 点击接收邮件审计链接, 进入下图 : 图 5-60 POP3 邮件审计用户和时间设置 : 设置对哪些用户在什么时间使用外发邮件审计策略 ( 详细操作步骤请参考应用控制策略章节 ) POP3 接收邮件审计设置 : 开启 POP3 邮件审计 : 开启或关闭 POP3 接收邮件审计策略开启 POP3 邮件附件记录 : 只有开启上一项, 此项才呈可选状态该项用于控制是否进行 POP3 邮件附件的记录 POP3 邮件标题及正文报警关键字设置 : 当内网用户接收的邮件的标题或者正文中包含所设置的关键字时, 系统会按照报警频率给指定的报警通知邮件地址发送报警邮件关键字匹配后报警通知 : 勾选该项后即开启了匹配了关键字后就会发送报警邮件 ; 报警频率 : 设置报警的频率, 如每小时发一次或每天发一次 ; 报警关键字 : 设置关键字支持普通表达式和正则表达式两种 ; 第页

120 1. 普通表达式 : 多关键字之间采用英文半角, 分隔 ; 正则表达式 : 不支持多关键字 2. 设定关键字时, 请勿设定较短或常见的关键字, 否则会产生大量报警信息而加重系统负载报警通知邮件地址 : 设置将邮件发送到指定的邮件地址 1. 由于需要发送报警邮件, 因此请首先配置邮件服务器详细请参考邮件服务器章节 2. 设定报警通知邮件地址时, 每组地址用英文半角 ; 作为分隔符, 组内的每个地址用英文半角, 分隔第 2 步 : 设置完毕后, 点击确定按钮若想让最新的配置立即生效, 请点击右上方立即生效按钮在审计策略列表画面通过点击时间链接和用户的编辑链接来修改策略所适用的时间和用户所达到的效果, 是和在审计策略设置主画面中设置的时间和用户所达到的效果是相同的 QQ 审计进入审计策略设置主页面, 点击 QQ 审计的链接, 进入下图 : 图 5-61 QQ 审计对于 QQ 审计功能 NS-ICG 提供两种审计方式开启 QQ 审计 : 只审计 QQ 聊天的动作信息, 如登录退出发送接收等行为开启客户端 QQ 审计 : 不仅审计登录退出等行为, 同时审计聊天的内容, 如传输文件 ( 记录所传输文件的名称大小 ) 音频行为视频行为多人聊天内容群聊天内容超级第页

121 群聊天内容等但要求首先开启上述的 QQ 审计选项, 同时, 在用户管理认证管理认证配置中开启客户端认证的任意一种 1. 关于如何选择用户和时间, 请参考应用控制策略相关部分 2. 关于客户端认证, 详细请参考 6-4 认证管理章节 3. 客户端 QQ 审计中暂不支持对 QQ2009 版本的音视频及文件传输行为的审计 MSN 审计 NS-ICG 可以监控到处于 ICG 监控的局域网内任何一台计算机, 通过 Windows Messenger, MSN Messenger, Windows Live Messenger 等 MSN 客户端软件发送接收的聊天信息, 同时支持对 MSN 音视频行为文件传输行为及内容聊天行为及内容的监控和控制功能同时支持通过代理方式使用 MSN 的审计开启本功能后, 系统监控在线聊天中将记录下当天相关的聊天信息, 文件审计中记录文件信息历史信息保存在查询统计中相关画面配置方法如下 : 第 1 步 : 进入审计策略设置主页面, 点击 MSN 审计链接, 进入如下图所示画面 : 第页

122 图 5-62 MSN 审计用户和时间设置 : 设置对哪些用户在什么时间使用 MSN 审计策略 ( 详细操作步骤请参考应用控制策略章节 ); 开启 MSN 审计 : 对 MSN 帐号设置策略实现对 MSN 的聊天 ( 包括群聊 ) 音视频文件传输 ( 文件名文件传输方向 ) 的控制系统默认情况下对 MSN 不做审计只有开启了本项后, 以下选项才可选控制方式 : 匹配策略后 NS-ICG 对用户行为所采取的控制方式 : 全记录 : 审计所有帐号的 MSN 聊天信息此时不允许配置审计帐号匹配并记录 : 只记录审计帐号中设置的 MSN 帐号所发生的聊天信息阻塞不记录 : 如果在审计帐号中设置的是内网用户, 则该用户无法登录 MSN 如果设置的是外网用户, 则内网用户可以看见该外网用户在线, 但无法与其通讯此时 NS-ICG 不记录相关的审计结果阻塞并记录 : 阻塞的结果和阻塞不记录相同, 但会记录下相关的审计结果审计帐号 : 可以对帐号设置关键字进行审计, 支持普通表达式和正则表达式两种模式普通表第页

123 达式就是一般表达式, 如输入 ab, 则 MSN 帐号中包含 ab 的用户均匹配该策略多个普通表达式之间请用半角逗号分隔关于正则表达式请参考附录 4 注意 : 1. 当选择除全记录之外的三项时, 必须配置审计帐号, 否则系统会因为无法匹配到任何审计帐号而导致全部不记录 2. 以上三项是对 MSN 行为的审计, 即对聊天内容音视频行为和文件传输的行为的审计 3. 对于音频行为的审计, NS-ICG 目前仅支持对 MSN 的 9.0 版本开启 MSN 文件审计 : 启动对通过 MSN 传输文件的行为及传输的文件进行审计只有开启了本项后, 以下选项才呈可选状态注意 : 以下选项只对传输的文件进行审计控制方式 : 匹配所有控制条件后, 对通过 MSN 传输的文件采用的控制方式匹配并记录 : 匹配了以下几项条件后, 不做控制, 但会记录全记录 : 不考虑其他任何条件, 只要是通过 MSN 传输的文件就都记录选择该项后, 以下各项均不可选阻塞并记录 : 匹配了以下几项条件后, 阻塞文件传输, 并记录下相关审计结果阻塞不记录 : 匹配了以下几项条件后, 阻塞文件传输, 但对审计结果不做记录传输方向 : 对文件的传输方向进行控制有四种选项 : 空白全部发送和接收选择空白时, 即忽略传输方向审计帐号 : 对指定的帐号使用 MSN 发送文件时进行控制文件名 : 支持设置关键字对文件名进行审计支持普通表达式和正则表达式两种模式比如使用正则表达式.*\.doc$ 这样所有以 doc 为后缀的文件都将被匹配关于正则表达式请参考附录 4 文件大小 : 设置审计的文件大小范围组合关系 : 审计帐号传输方向文件名和文件大小这四个部分的关系包括 OR 和 AND 两种若为 AND, 则指文件审计时必须完全匹配这四个部分才适用该策略若为 OR, 则只需匹配其中一个就适用该策略 MSN 聊天信息报警关键字设置 : 当内网用户 MSN 聊天信息中包含所设置的关键字时, 系统会按照报警频率给指定的报警通知邮件地址发送报警邮件关键字匹配后报警通知 : 勾选该项后即开启了匹配了关键字后就会发送报警邮件 ; 报警频率 : 设置报警的频率, 如每小时发一次或每天发一次 ; 报警关键字 : 设置关键字支持普通表达式和正则表达式两种 ; 1. 普通表达式 : 多关键字之间采用英文半角, 分隔 ; 正则表达式 : 不支持多关键字 2. 设定关键字时, 请勿设定较短或常见的关键字, 否则会产生大量报警信息而加重系统负载报警通知邮件地址 : 设置将邮件发送到指定的邮件地址第页

124 1. 由于需要发送报警邮件, 因此请首先配置邮件服务器详细请参考邮件服务器章节 2. 设定报警通知邮件地址时, 每组地址用英文半角 ; 作为分隔符, 组内的每个地址用英文半角, 分隔第 2 步 : 根据需要设置所需项目后, 点击确定按钮第 3 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 系统默认情况下, 对 MSN 不做审计 2. 对策略生效后登录的 MSN 用户进行审计策略生效前已经登录的用户要在下次重新登录时生效 3. 文件阀值的单位是 KB 默认为 10240KB, 上限为 KB, 即 300M 4. 如果通过 MSN 传输的文件匹配了策略而被阻塞, 在系统监控文件审计中虽然会被记录, 但该文件大小为 0KB, 且不能查看其详细内容开启 MSN 审计和开启 MSN 文件审计的优先级开启 MSN 审计开启 MSN 文件审计控制方式审计帐号控制方式审计帐号阻塞并记录 [email protected] 匹配并记录 [email protected] 如果用户配置了类似上表中的策略, 则策略实际执行结果是 [email protected] 的所有匹配策略的文件传输行为是被阻塞的, 而且系统会记录两次前者是记录在在线聊天中并显示为阻塞并记录, 后者是记录在文件审计中并显示为匹配并记录飞信审计 NS-ICG 可以监控到处于 ICG 监控的局域网内任何一台计算机使用飞信客户端软件的聊天信息开启本功能后, 系统监控在线聊天中将记录下当天通过飞信的聊天信息音频信息群聊信息, 同时可以在系统监控文件审计中可以查看到通过飞信传送的文件信息 ( 文件名文件大小 ) 等非当天的历史聊天信息, 保存在查询统计中相关画面操作方法很简单, 只需要在状态栏中激活后, 点击右上方的立即生效按钮即可第页

125 5-6-6 YAHOO 通审计 NS-ICG 可以监控到处于 ICG 监控的局域网内任何一台计算机使用 YAHOO 通客户端软件或使用 YAHOO web Messenger 发送的聊天信息开启本功能后, 系统监控在线聊天中将记录下当天通过 YAHOO 的聊天信息非当天的历史聊天信息, 保存在查询统计中相关画面操作方法很简单, 只需要在状态栏中激活后, 点击右上方的立即生效按钮即可 FTP 审计对 FTP 的使用进行审计, 对通过 FTP 所传输的文件进行审计系统监控 FTP 审计中将记录下当天 FTP 审计的相关信息, 系统监控文件审计中将记录下当天 FTP 文件审计的相关信息历史信息保存在查询统计中相关画面详细操作方法如下 : 第 1 步 : 进入审计策略设置主页面, 点击 FTP 审计链接, 进入下图 : 图 5-63 FTP 审计用户和时间设置 : 设置该策略对哪些用户在什么时间有效 ( 详细操作步骤请参考应用控制策略 ); FTP 审计设置 ( 普通表达式时多个关键字间用半角逗号分隔, 正则表达式不支持多个关键字 ): 开启 FTP 审计 : 激活或关闭 FTP 审计功能, 以下属性方可选择第页

126 控制方式 : 有两个控制方式, 分别指目录名的控制方式和文件名的控制方式可以选择全记录或阻塞并记录默认是全记录选择阻塞并记录时, 可以对目录名设置关键字审计支持普通表达式和正则表达式两种设置关于正则表达式请参考附录 4 如果选择了阻塞并记录但不设置关键字, 则阻塞所有 FTP 行为文件内容审计 : 激活或关闭 FTP 文件审计功能文件阀值 : 设置审计的文件大小范围, 设置该项后, 大于设置范围的文件将不再被审计文件名 : 支持对文件名设置关键字进行审计, 支持使用普通表达式或者正则表达式正则表达式请参考附录 4 第 2 步 : 根据需要设置所需项目后, 点击确定若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 系统默认情况下, 对 FTP 不做审计 2. 文件阀值的单位是 KB 默认为 10*1024KB, 上限为 300*1024KB HTTPS 审计 HTTPS 是基于 SSL/TLS 协议传输的一种 http 加密协议随着互联网的发展, 越来越多的网页开始使用 https 协议, 而随之而来的就是员工利用这种加密的方式泄露企业敏感信息的可能性也越来越大为保障网络安全, 保护企业机密,NS-ICT 提供了 https 审计功能通过 https 审计功能, 可以针对网站分类证书颁发者证书所有者证书有效期等进行审计, 加以控制系统监控 HTTPS 审计中将记录下当天的审计结果, 历史信息保存在查询统计的相关页面详细操作方法如下 : 第 1 步 : 进入审计策略设置主页面, 点击 HTTPS 审计链接, 进入下图 : 第页

127 图 5-64 HTTPS 审计用户和时间设置 : 设置对哪些用户在什么时间使用 HTTPS 审计策略 ( 详细操作步骤请参考应用控制策略 ); HTTPS 审计设置 : 开启 HTTPS 审计 : 激活 HTTPS 审计功能, 只有激活后, 以下功能才可选控制方式 : 当匹配策略条件后, 对用户的 https 访问所采取的控制方式如下 : 全记录 : 记录所有 https 访问信息选择全记录时, 网站分类等四类条件均不可设置匹配不记录 : 匹配策略条件的 https 请求,NS-ICG 会放行且不做记录不匹配时, 也会放行但会记录下相关信息阻塞并记录 : 匹配策略条件的 https 请求,NS-ICG 会阻断且记录不匹配时,NS-ICG 会放行且会记录下相关信息阻塞不记录 : 匹配策略条件的 https 请求,NS-ICG 会阻塞但不做记录不匹配时, NS-ICG 会放行且会记录下相关信息网站分类 : 以网站类型作为控制条件点击选择按钮后在弹出的窗口中选择网站分类点击确定按钮即可证书颁发者 : 以 https 协议所使用的数字证书的颁发者作为控制条件例如工行网银的证书颁发者是 : VeriSign Class 3 Extended Validation SSL SGC CA 点击选择按钮后弹出如下图所示窗口 : 第页

128 图 5-65 选择证书颁发者系统内置了 112 个常用的证书颁发者, 如果仍没有所需的颁发者, 可以点击上方的添加按钮, 在弹出的窗口中输入颁发者信息可以一次性添加多个证书颁发者, 但请用英文半角逗号分隔颁发者列表中的颁发者信息最多为 1000 个证书所有者 : 将证书所有者作为控制条件例如工行网银的证书所有者就是 mybank.icbc.com.cn 证书有效期 : 证书都是有效期的,Https 的数字证书也不例外, 一般是一年如果不设置该项, 则策略默认记录所有 https 访问信息 HTTPS 审计的网站分类证书颁发者证书所有者和证书有效期这四项是或的关系, 即 : 只要匹配了其中一项, 就匹配了 HTTPS 审计策略第 2 步 : 设置完毕后, 点击确定按钮若想让最新的配置立即生效, 请点击右上方立即生效按钮 TELNET 审计启动或关闭对 TELNET 的审计及 TELNET 服务器信息的审计如果局域网内某用户对交换机路第页

129 由器等进行了设置, 那么如果事先开启了此项审计, 则可以轻松的查询到详细设置系统监控 TELNET 审计中将记录下当天 TELNET 审计的相关信息历史信息保存在查询统计中相关画面详细操作方法如下 : 第 1 步 : 进入审计策略设置主页面, 点击 TELNET 审计链接, 进入下图 : 图 5-66 TELNET 审计用户和时间设置 : 设置对哪些用户在什么时间使用 TELNET 审计策略 ( 详细操作步骤请参考应用控制策略 ); 开启 TELNET 审计 : 激活或关闭 TELNET 审计功能激活该项后,TELNET 服务器信息审计功能方能开启开启 TELNET 服务器信息审计 : 激活该选项后,ICG 可以监控到局域网内指定用户使用的 TELNET 服务器信息, 如服务器端口服务器端 IP 等第 2 步 : 根据需要设置所需项目后, 点击确定按钮第 3 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 不支持对 Telnet 访问服务器为 Windows 系统的审计 2. 不支持对 BBS 网站的 Telnet 的审计发帖审计启动或关闭发帖审计功能, 发帖审计的对象是通过 HTTP 协议的 Post 方法发送的内容, 如 BBS/ 论坛上发布的帖子, 同时还提供对 Post 关键字控制和报警设置, 方便管理员对外发信息的控制详细操作方法如下 : 第 1 步 : 进入审计策略设置主页面, 点击发帖审计链接, 进入下图 : 第页

130 图 5-67 发帖审计用户和时间设置 : 设置对哪些用户在什么时间使用发帖审计策略 ( 详细操作步骤请参考应用控制策略章节 ) 发帖审计设置 : 开启发帖审计 : 开启或关闭发帖审计策略 ( 只有开启时, 以下选择才可选 ); 设置不需优化的发帖网址 : 用户可以添加一些需要记录的发帖网址 ; 设置不需审计的发帖网址 : 用户也可以添加不记录一些发帖网址, 如内部 BBS 论坛等关键字匹配后阻塞访问 : 设置当发帖内容中包含设定的关键字时阻塞访问 ; 关键字 : 设置关键字发帖审计可以根据设置的关键字进行阻塞审计或报警审计 ; 发帖报警设置 : 关键字匹配后报警通知邮件的发送设置当发帖内容与所设置的关键字匹配时, 给指定邮件地址根据报警频率发送报警邮件设置不需优化的发帖网址和设置不需审计的发帖网址中的网址支持模式匹配, 具体的匹配规则为 : 1. 若网址中包含的 URL 为域名下的子目录, 则匹配该子目录下的所有文件例如 :URL 为 news.sina.com.cn/2006, 则匹配 news.sina.com.cn/2006 目录下所有的的内容 2. 如果设置的网址为 sina.com, 则匹配对 sina.com news.sina.com sports.sina.com 等子域的访问但是, 对于 house.sina.com.cn 的域名及子域名不予匹配第 2 步 : 设置完毕后, 点击确定按钮, 回到审计策略列表画面第 3 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮第页

131 1. 系统默认情况下, 对外发消息不监控 2. 如果开启报警通知, 必须在系统中正确的配置邮件服务器, 详情请参考邮件服务器章节 5-7 客户端策略设置为了检查内网用户主机的系统环境是否满足单位联入互联网的要求, 需要对用户主机的系统运行环境进行检查, 判断用户主机是否符合联入互联网的要求, 并且能识别用户主机上某些应用软件的网络连接信息, 在必要时可以对该应用连接进行封堵客户端策略包括两种 : 客户端准入策略和客户端应用封堵策略客户端准入策略就是例如要求必须运行了防病毒软件没有运行代理软件的主机才能通过单位网络访问互联网客户端应用封堵策略就是例如允许用户主机上网但封堵迅雷软件的使用等客户端准入策略客户端准入策略是通过检测用户主机的系统环境, 判断用户主机是否符合联入互联网的要求如果符合则允许该用户主机访问互联网, 如果不符合则禁止其访问互联网下面以添加一条客户端准入策略为例详细介绍操作方法 : 第 1 步 : 点击策略管理客户端策略设置进入如下图所示页面 : 图 5-68 客户端策略设置第 2 步 : 点击添加按钮, 在下拉列表中点击客户端准入策略, 进入如下图所示页面 : 第页

132 图 5-69 新建客户端策略设置名称 : 必填项请输入所要建立的策略名称 ; 描述 : 增加对该策略的说明以便理解 ; 用户 : 选择策略将对哪些用户有效选择用户的方法请参考应用控制策略章节 ; 时间 : 选择策略将在什么时间生效选择时间的方法请参考应用控制策略章节 ; 系统 / 选定的 / 控制方式 : 这几个选项是指当系统含有或不含有选定的任一或全部检测对象时, 系统将采取什么样的控制方式检测对象 : 在客户端准入策略中可以配置五种检测对象, 即进程文件注册表操作系统杀毒软件检测对象如果系统中默认建立的检测对象不满足需求, 可以点击右上角的 + 添加按钮进行添加关于这五种检测对象的详细描述请参考客户端检测对象章节第 3 步 : 输入要新建的客户端准入策略的名称和描述 ; 第 4 步 : 点击选择用户和选择时间, 配置策略要对哪些用户在什么时间生效 ; 第 5 步 : 配置策略的控制方式, 即满足检测对象条件时是允许访问还是阻塞访问互联网 ; 第 6 步 : 配置匹配对象是遵循任一匹配原则还是全部匹配原则 ; 第 7 步 : 配置检测对象如果系统默认建立的检测对象符合要求, 直接勾选即可 ; 如果不符合要求, 请点击右上方的 + 添加来添加新的检测对象第 8 步 : 配置完毕后, 点击确定按钮, 关闭该窗口第 9 步 ( 重要 ): 点击用户管理认证管理认证配置, 在该界面中配置认证类型为客户端认证中的任意一种, 如互联网准入认证关于客户端认证, 详细请参考认证配置章节第页

133 第 10 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮客户端应用封堵策略客户端应用封堵策略是通过检测用户主机的系统环境, 判断用户主机中是否安装了指定的应用程序, 如果有, 则首先封堵该应用程序然后允许该用户主机访问互联网例如某些公司不允许用户主机使用代理之狐软件, 那么此时就可以通过客户端应用封堵策略来实现管控下面以建立一条客户端应用封堵策略为例介绍详细使用方法第 1 步 : 点击策略管理客户端策略设置进入主界面后, 点击添加按钮, 并选择客户端应用封堵策略, 进入如下图所示页面 : 图 5-70 新建客户端应用封堵策略名称 : 必填项请输入所要建立的策略名称 ; 描述 : 增加对该策略的说明以便理解 ; 用户 : 选择策略将对哪些用户有效选择用户的方法请参考应用控制策略章节 ; 时间 : 选择策略将在什么时间生效选择时间的方法请参考应用控制策略章节 ; 进程检测对象 : 配置要检查的进程对象关于进程检测对象的详细描述请参考客户端检测对象章节第 2 步 : 输入要新建的客户端应用封堵策略的名称和描述 ; 第 3 步 : 点击选择用户和选择时间, 配置策略要对哪些用户在什么时间生效 ; 第 4 步 : 配置进程检测对象如果系统默认建立的检测对象符合要求, 直接勾选即可 ; 如果不符合要求, 请点击右上方的 + 添加来添加新的检测对象第页

134 第 5 步 : 配置完毕后, 点击确定按钮, 关闭该窗口第 6 步 ( 重要 ): 点击用户管理认证管理认证配置, 在该界面中配置认证类型为客户端认证中的任意一种, 如互联网准入认证第 7 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 5-8 用户带宽上限通过用户带宽上限功能, 对用户组织结构中的单个组, 甚至对单个用户都可以设定其上传或下载的上限, 实现流量管控详细操作方法如下 : 第 1 步 : 通过策略管理用户带宽上限进入如下图所示页面 : 图 5-71 用户带宽上限用户 : 该组织结构和用户事先在组织管理中建立的组织结构基本是一致的由于权限组的用户同时又隶属于其他组, 所以此处不显示权限组的用户上传 / 下载带宽 : 默认情况下, 对所有组和用户的流量都不做限制在设置了上传 / 下载上限后, 会详细显示在此处第 2 步 : 如果需要对某个组或用户设置其上传 / 下载带宽, 请点击其相应的链接, 弹出如下图所示窗口 : 第页

135 图 5-72 设置用户带宽上限用户 : 显示所选择的对象的组织结构 ; 指定用户带宽 : 只有勾选了该选项, 才可以设置上传 / 下载带宽 ; 上传 / 下载带宽 : 单位是 kbps, 根据需要设置可以只填写一项, 不填写的则表示对其流量不做限制第 3 步 : 设置完毕后点击确定按钮若想让最新的配置立即生效, 请点击右上方立即生效按钮用户或组的带宽上限的设置方法是相同的 5-9 防护设置概述 NS-ICG 所管理的网络中如果产生异常状况, 如网络上传速率很高突发较多连接某个用户发包速率过高或者病毒带来的 ARP 攻击影响网络的正常使用,NS-ICG 会自动侦测出这些异常情况, 及时进行防护报警, 方便用户找到原因, 排除故障防护设置页面如下图所示 : 图 5-73 防护设置第页

136 NS-ICG 用户手册全局设置防护报警的总开关只有在全局设置中开启防护报警, 系统才会检测网络中的异常情况以及系统自身运作的异常情况, 并记录相关的日志信息和产生报警信息, 否则以下三项的设置都无法真正生效用户防护规则设置用户防护报警的防护基准当超过基准时就认为是网络异常, 并发出用户防护报警系统监控规则设置系统监控报警的防护基准当超过基准时就认为是系统异常, 并发出系统监控报警暂时屏蔽列表将匹配用户防护规则且动作为阻塞的 IP 地址自动放入暂时屏蔽列表, 管理员也可以手动配置相关的报警日志记录在系统管理日志管理中以下是详细说明 : 全局设置防护报警的总开关只有在全局设置中开启防护报警, 系统才会检测网络中的异常情况, 并记录相关的日志信息和产生报警信息同时支持设置系统自动检测的间隔时间和接收报警邮件地址等通过策略管理防护设置全局设置进入如下图所示窗口 : 启用防护报警 : 防护设置总开关图 5-74 全局设置第页

137 NS-ICG 的防护报警类型分为系统监控报警用户防护报警 Web 记录报警 ARP 攻击报警超出阀值报警等五种这些报警机制都是由启用防护报警和其他规则相结合才生效的关于他们的详细使用方法我们放在系统管理日志管理中进行详细说明, 详细请参考该章节启用 ARP 防护报警 : 只有开启了防护报警, 才可以启用该项设定检测间隔时间 : 开启防护报警后, 设定系统自动检测的间隔时间如每 10 分钟检测一次接收报警邮件地址 : 系统自动检测时如果发现网络异常, 例如发现某用户的流量超过用户防护规则中的设置, 则向指定的邮件地址发送报警邮件 1. 如果需要使用该功能, 请首先在系统管理系统配置邮件服务器中配置邮件服务器 2. 发送报警信息邮件的规则如下 : 1) 每个报警信息截取前 200 行, 避免邮件过大 ; 2) 如果正确配置了邮件服务器, 并正确填写了接收报警的邮件地址, 则每次产生的报警信息均立刻进行发送 ; 3) 如果没有正确配置邮件服务器, 或没有正确填写接收报警的邮件地址, 造成邮件积累, 当正确配置和填写后, 系统会将每类报警的最后六次报警合并成一封邮件进行发送, 之前的所有报警信息将自动删除启用跨三层 IP/MAC 绑定阻塞 : 如果在组织管理中对三层用户开启了 IP/MAC 绑定功能, 且勾选了本项, 则如果有用户盗用了 IP 地址, 则系统自动将其放入策略管理防护设置暂时屏蔽列表中, 使其到次日凌晨 0:00 都无法继续使用网络, 同时也可以在系统管理日志管理被盗用 IP 列表中查询关于跨三层 IPMAC 绑定, 详细请参考用户管理组织管理用户防护规则 NS-ICG 支持用户防护报警用户防护报警是指系统会根据用户防护规则中设置的阀值定时检测网络每个 IP 地址的异常流量情况, 当超过设置的阀值时, 会产生用户防护报警 1. 只有在策略管理防护设置全局设置中开启了启用防护报警, 用户防护规则才生效 2. 当内网用户的网络流量超过预设阀值时, 系统会进行报警, 并在系统管理日志管理用户防护日志中记录其对应的报警信息 3. 如果在策略管理防护设置全局设置中填写了接收报警邮第页

138 件地址并正确配置了邮件接收器, 系统也会发送报警邮件 NS-ICG 用户手册用户防护规则中可以对内网用户的上传包速率下载包速率上传速率新建连接速率和小包速率设置报警阀值在大型网络中存在很多如邮件服务器代理服务器等多种服务器, 这类设备也需要流量管理, 但他们的正常流量和连接数远远大于普通用户, 如果其防护报警规则的阀值参考普通用户, 则无效报警过多反过来, 如果普通用户的报警规则阀值参考服务器, 则普通用户的异常不能体现针对这种现象可以通过设置特权组和非特权组来根据不同的 IP 或 IP 段来设置不同的防护阀值以下是详细说明 : 第 1 步 : 通过策略管理防护设置用户防护规则进入如下图所示页面 : 图 5-75 用户防护报警规则设置规则类型 : 用户防护报警规则的类型包括如上传包速率下载包速率上传速率新建连接速率和小包速率共五种类型规则组又分为两大类, 即 : 特权组和非特权组点击对应的链接可以根据不同的 IP 或 IP 段来设置不同的防护阀值上传包速率 ( 数据包 / 分钟 ): 每分钟内, 内网某用户通过 NS-ICG 发送到外部网络的数据包数量 ; 下载包速率 ( 数据包 / 分钟 ): 每分钟内, 内网某用户经过 NS-ICG 从外部网络获取的数据包数量 ; 上传速率 (KB/ 分钟 ): 每分钟内某用户通过 NS-ICG 发送到外部网络的数据包大小 ; 新建连接速率 ( 个 / 分钟 ): 每分钟内某用户新建的连接数量 ; 第页

139 小包速率 ( 数据包 / 分钟 ): 每分钟内, 内网某用户通过 NS-ICG 发送到外部网络的小于 40 字节的数据包数量管理特权用户 : 用于添加特权用户点击该按钮, 如下图所示 : 图 5-76 添加特权用户第 2 步 : 点击添加按钮, 可以添加单个 IP 用户或 IP 段用户 ( 通过设置子网掩码来划分 ) 添加完毕的特权用户将以列表形式显示在左列中选择某个特权用户后, 删除按钮呈可选状态, 点击可以删除该用户非特权组匹配所有未匹配特权组的用户特权组的匹配优先级高于非特权组第 3 步 : 点击列表中的规则类型, 可对该规则进行编辑进入如下图所示窗口 : 图 5-77 编辑用户防护报警规则阀值 : 设置阀值上限, 当匹配所设的阀值后, 则采取以下所选择的控制方式第页

140 如果对于用户的这几个指标的数值不清楚, 建议点击右上角的获取用户防护指标链接, 并参考该页面数据后再填写相应的数值不阻塞 : 当内网用户的相关流量超过所设置的阀值时,NS-ICG 对数据包不做任何控制流量控制 : 当内网用户的相关流量超过所设置的阀值时,NS-ICG 会将超出阀值的数据包当作是一种网络协议来处理, 并对超出阀值的数据包可以进行带宽管理该功能要求建立相关的流量控制策略对该流量控制策略的要求是配置策略的过程中请在应用列表中使超出防护阀值流量引用某带宽通道对象如果该策略在执行的过程中被匹配, 则超出阀值部分的数据包仍然被允许, 但是其所占用的带宽不得高于该带宽通道对象中所设置的最大上传 / 下载速率只阻塞超出阀值部分 : 对于超过设定阀值的数据包进行阻塞, 但不暂时屏蔽 IP 阻塞 ( 阻塞超出阀值以上部分并暂时屏蔽该 IP): 速率一般都不是平稳的曲线, 会有突发速率的情况, 所以这里可以设定一个超出阀值的容忍数值如果超出阀值的部分仍然大于该容忍数值, 则会将该 IP 放入暂时屏蔽列表中 1. 对于上传速率类型, 只能选择不阻塞或阻塞 ; 2. 注意这里的阻塞选项, 阻塞后匹配用户会被放入暂时屏蔽列表, 如果不进行手动解除, 系统在当天结束后会自动解除, 有关暂时屏蔽列表功能请参考暂时屏蔽列表章节 ; 3. 上传速率的流量控制只阻塞超出阀值部分和记录超出阀值的数据包信息选项不可选记录超出阀值的数据包信息 : 选择该项后, 系统不仅会将报警信息记录到系统管理日志管理用户防护日志中, 而且会将超过阀值的具体流量信息记录在系统管理日志管理超出阀值日志中如下图所示 : 第页

141 图 5-78 超出阀值日志 1. 下载超出阀值日志的时候, 应确保浏览器没有屏蔽弹出窗口 2. 下载的文本文件请使用 UltraEdit 等文本工具打开, 格式会更加清晰 3. 如果使用时间较长, 日志会较多, 系统最多可读取条日志, 该文件会比较大, 请在打开或下载的时候耐心等待第 4 步 : 设定完毕后, 点击确定按钮即可更新该条用户防护规则, 当用户流量出现匹配设定的用户防护规则后就被认为是异常行为, 系统将根据设定的条件对其进行记录或阻塞第 5 步 : 在用户防护规则列表中, 用户可以点击优先级一栏的, 表示提升该条规则的优先级 ; 点击, 表示降低该条规则的优先级, 最上面的策略将具有最高优先级, 会优先进行阻塞记录日志等行为 ; 还可以点击状态栏图标来决定是否激活该条用户防护规则第 6 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 产生的报警日志可以查看日志管理页面, 具体说明请参考 8. 系统管理章节 2. 当发生用户防护报警时, 同时会在系统的状态栏中以红色字体提示策略生效后, 如果内网用户有网络异常, 则记录在系统管理日志管理用户防护日志中, 如下图所示 : 图 5-79 用户防护日志 NS-ICG 会记录 7 天之内匹配用户防护规则的数据, 之前的数据将自动删除, 如果某天没有异常流量则当天的表为空表第页

142 5-9-3 系统监控规则 NS-ICG 支持系统监控报警系统监控报警是指系统会根据系统监控规则中设置的阀值定时检测全局网络中数据包上传速率连接数和 IP 总数的流量情况, 当超过设置的阀值时, 会产生系统监控报警 1. 只有在策略管理防护设置全局设置中开启了启用防护报警, 系统监控规则才生效 2. 当内网的网络流量超过预设阀值时, 系统会进行报警, 并在系统管理日志管理系统监控日志中记录对应的报警信息 3. 如果在策略管理防护设置全局设置中填写了接收报警邮件地址并正确配置了邮件接收器, 系统也会发送报警邮件以下是详细说明 : 第 1 步 : 通过策略管理防护设置系统监控规则进入如下图所示页面 : 图 5-80 系统监控规则上传包速率 ( 数据包 / 分钟 ): 每分钟内部网络通过 NS-ICG 发送到外部网络的数据包数量 ; 上传速率 (KB/ 分钟 ): 每分钟内部网络通过 NS-ICG 发送到外部网络的数据包大小 ; 连接总数 ( 个 ):NS-ICG 监测到的内部网络与外部网络建立的 TCP 连接的总数 ; IP 总数 ( 个 ): 间隔时间段内 NS-ICG 监测到内部网络活跃 IP 的总数 ; 第 2 步 : 点击某个规则类型的链接, 即可进入如下图所示窗口 : 第页

143 图 5-81 系统监控规则设置如果对于内部网络的这几个指标的数值不清楚, 建议先从策略管理防护设置全局设置中开启启用防护报警, 并等待一段时间后, 点击上图中的参考网络监控状态图根据其所获得的相应信息来设置规则第 3 步 : 配置完毕后, 点击确定按钮即可建立一条系统监控规则但默认系统监控规则是未激活状态, 点击状态栏的将其变更为即表示激活了该规则第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 系统检测规则每种监控类型只能设置 1 条规则, 共 4 条 2. 注意这里的上传速率单位是 KB/ 分钟而不是 KB/S 3. 备注最多只能填写 64 个字符第 5 步 : 系统监控报警产生的日志记录在系统管理日志管理系统监控日志中, 如下图所示 : 图 5-82 系统监控日志 NS-ICG 会记录 7 天之内匹配系统监控规则的相关数据, 之前的数据将自动删除, 如果某天没有异常则当天的表为空表第页

144 5-9-4 暂时屏蔽列表暂时屏蔽列表中的用户在加入该列表后只能在次日凌晨 0:00 之后才可以继续使用网络管理员可以使用该功能将一些网络流量异常的用户添加到该表中, 保障网络畅通如果要使用暂时屏蔽列表功能, 请首先在策略管理防护设置全局设置中开启启用防护报警功能暂时屏蔽列表中的用户可以通过两种方法进行添加一种是手动添加, 另一种是系统自动添加下面分别详细介绍 : ( 一 ) 手动添加暂时屏蔽 IP 手动添加暂时屏蔽 IP 的方法有两种 (1) 一种是通过策略管理防护设置暂时屏蔽列表方式进入暂时屏蔽列表页面后, 点击右上角的添加按钮, 在弹出的窗口中输入 IP 地址后确认即可手动添加的暂时屏蔽列表会自动在屏蔽原因中添加手动屏蔽的注释页面如下图所示 : 图 5-83 暂时屏蔽列表 1. 只支持添加单个 IP 地址, 如不支持输入多个 IP 地址或 IP 段 2. 选择某暂时屏蔽 IP 后点击右上角的永久屏蔽按钮, 可以将该 IP 转移到策略管理黑白名单屏蔽 IP 中, 永久禁止该 IP 上网 (2) 另一种手动添加暂时屏蔽 IP 的方法是在系统监控活跃用户中选择某网络流量有异常的用户后点击右上角的暂时屏蔽, 则该用户也会被添加到暂时屏蔽列表中第页

145 ( 二 ) 系统自动添加暂时屏蔽 IP 系统自动添加暂时屏蔽 IP 的方法也有两种 (1) 一种是如果在用户管理中开启了三层 /IPMAC 绑定, 则盗用他人 IP 上网的用户会被系统自动添加到暂时屏蔽列表中 (2) 另一种是如果在用户防护规则中, 在某规则里选择了阻塞超出阀值 * 以上部分并暂时屏蔽该 IP, 则匹配该规则的用户会被系统自动添加到暂时屏蔽列表中防护功能及状态栏警告 NS-ICG 在以下情况下会在状态栏进行报警 : 对磁盘文件分区和系统缓存状况检测发现问题, 或有符合防护报警设置的报警信息此时, 会在 Web 管理页面最下部的系统状态栏中显示报警信息来及时提醒用户第 1 步 : 状态栏会有两种系统警报方式 : 红灯闪烁 : 当前有报警信息, 指最近一次报警检查发现有报警信息 ; 红灯 : 今天有报警信息, 指自本日零点开始到当前时间内, 系统曾有报警信息 ( 但不是最近一次检查 ), 如下图 : 图 5-84 系统警报如果没有红灯, 则说明今天没有任何报警信息 ; 如果有多种报警同时出现, 会轮换显示 ; 如果磁盘检测发现磁盘扇区或者磁道出现问题, 报告磁盘错误信息 ; 其他的磁盘问题, 报告磁盘报警信息 ; 如果检测出文件系统错误或 Web 缓存区文件系统错误, 报告文件系统错误 Web 缓存区文件系统错误信息 ; 第 2 步 : 点击系统警报, 页面会自动跳转到报警日志页面, 可以直接查看相应的报警日志第 3 步 : 如果正确配置了邮件服务器, 启用了防护报警且填写了接收报警邮件的邮箱地址, NS-ICG 会自动将磁盘文件分区系统缓存检测出错的警告发送到接收报警邮件的邮箱中 1. 系统栏的警报因为具有时效性, 所以只能提示本日的报警信息, 而之前的报警信息不会在系统栏进行提示 2. 若在全局设置中没有启用防护报警, 则即使本日或当前有报警信息, 系统第页

146 栏也不会显示红灯 NS-ICG 用户手册 5-10 提示页面用户在进行 Web 访问中, 在被某条策略阻塞后, 将无法建立连接若此时用户使用浏览器访问 Web, 则在浏览器中显示无法显示页面的错误提示信息, 如下图 : 图 5-85 无提示页面信息的反馈结果示例如果需要返回一些企业政策信息给用户, 则需要启用提示页面模板或启用提示图像模板当用户的访问行为被阻塞时, 将给用户返回适当的提示信息如下示例 : 图 5-86 有提示页面信息的反馈结果示例方法是通过策略管理提示页面进入如下图所示页面 : 第页

147 图 5-87 提示页面配置界面启用提示图像模板 : 若直接访问的 URL 为图像, 或页面中含有的 URL 为图形, 且该 URL 被阻塞时, 系统会用图像模版中的图像替换 URL 指向的图像系统设置了默认的提示图像模版, 管理员也可以通过上传新的图像对提示图像模版进行更新预览 : 该按钮只能预览提示页面模版加载默认 : 恢复默认的提示页面模版和提示图像模版设置完毕后确认即可若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 当引擎为旁路模式时, 该功能为系统内置, 无需在界面进行配置 2. 提示页面版本限额为 100k 3. 提示图象模版支持 jpg jpeg gif png bmp 五种格式的图片 4. 提示页面中宏的使用说明 : -USER-: 访问的用户 -IP-: 访问用户的 IP -URL-: 用户访问的 url -REASON-: 阻塞的原因 ( 匹配的策略 ) -DETAILED_REASON-: 策略的细节 ( 策略的设置信息 ) 5-11 策略报告查看用户或用户组都被设置了哪些策略详细操作方法如下 : 第 1 步 : 进入如下图所示主界面 : 第页

148 图 5-88 策略报告定义用户策略 : 用于过滤针对用户的策略, 包括黑白名单一般策略 ( 应用控制策略流量控制策略和网页浏览策略 ) 审计策略 ( 即时通讯策略邮件审计策略和发帖审计策略 ) 用户带宽上限全部显示 : 生成适用于全部用户的策略报告 ( 即 : 不过滤 ); 显示指定用户的策略 : 生成适用于指定用户的策略报告 ; 全部隐藏 : 不考虑用户策略这一选项 IP 用户策略 : 用于过滤针对 IP 的策略, 包括策略网段黑白名单 ( 黑白名单 Bypass 域名免监控 IP 和屏蔽 IP) 防护设置 ( 用户防护规则和系统监控规则 ) 全部显示 : 生成适用于全部 IP 的策略报告 ( 即 : 不过滤 ); 显示指定 IP 的策略 : 生成适用于指定 IP 的策略报告 ; 全部隐藏 : 不考虑 IP 用户策略这一选项第 2 步 : 设置好过滤条件后, 点击搜索按钮生成相关策略报告如果策略网段中设置了策略网段且同时勾选了阻塞不在策略网段中的 IP, 那么在策略报告的 IP 用户策略中输入不在策略网段内的 IP 进行搜索时, 在搜索结果中将同时显示策略网段详细内容第页

149 6. 用户管理用户是互联网访问的标识主体 ( 即谁在访问 ), 是 NS-ICG 互联网访问管理的目标对象除身份认证信息外, 一个完整的用户定义还包含其组织信息和访问策略每一个互联网访问都对应唯一的用户 ( 或用户组 ), 这是 NS-ICG 实现基于用户和用户组的访问控制的基础而建立完整和准确的用户信息更是保证 NS-ICG 进行有效互联网访问审计 ( 监控, 查询, 报表等 ) 的关键用户管理模块提供全面的用户管理功能, 页面如下图 : 图 6-1 用户管理用户导入通过多种方式导入用户至组织管理来建立用户信息组织管理手动构建企业组织架构和用户信息用户查询根据用户名登录名或 IP 地址查询用户, 并可进行编辑修改或删除认证管理配置用户上网的识别和认证管理方式第页

150 6-1 用户导入 NS-ICG 提供两种用户信息的建立方式其一, 可以通过已存在的用户信息数据源, 导入到 NS-ICG 系统中, 如依据 IP 地址导入用户从已建立的 LDAP 服务器中导入用户根据网康自定义格式导入用户 ; 其二, 可以通过管理界面手工管理, 该部分参考组织管理相关章节 IP NS-ICG 支持对二层 IP 用户和三层 IP 用户的导入通过用户管理用户导入 IP 进入如下图所示页面 : 图 6-2 IP 用户导入二层 IP 用户导入通过 IP 地址的方式导入二层 IP 用户数据信息以下是详细说明 : 如下图 : 第 1 步 : 选择二层 IP 用户数据的来源有两种数据来源, 可以通过 IP 扫描, 或者通过文件导入第页

151 图 6-3 二层 IP 用户导入扫描 : 根据输入的起始 IP 和终止 IP 地址进行扫描如果选择开机设备将只列出开机设备的 IP 地址和 MAC 地址文件导入 : 首先在本地新建一个文本文件, 文件的内容和格式示例如下 : :14:78:23:C6:5E :13:20:4D:AA: :36:A3:EF:82:1D 1.MAC 地址可不写 ; 2.IP 和 MAC 地址之间用一个空格隔开 ; 3. 用回车符换行如下图 : 第 2 步 : 点击扫描或者浏览本地文本文件后点击导入, 进入导入用户列表画面, 图 6-4 用户数据导入 -IP 地址导入方式 - 补充用户信息用户名 : 手动输入用户名 ; 导入选项 : 导入 IP 与 MAC: 保存用户名 IP 地址和 MAC 地址导入 MAC: 保存用户名 MAC 地址导入 IP: 保存用户名 IP 地址填充用户名 : 如果选择该项,ICG 会将相应的 IP 地址作为用户名进行自动填充 ; 选择导入位置 : 根据选择, 导入到组织管理的指定位置 ( 注 : 需提前配置好组织架构, 详细请第页

152 参照 6-2 组织管理章节 ) 用户名是必填项用户可选择手动输入或者 ICG 自动填充没有用户名的数据将不被导入第 3 步 : 用户根据需要选择和填充画面各项数据信息后, 点击右上角的导入按钮, 进行导入或者选择返回按钮, 返回到前一画面第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 ; 第 5 步 ( 可选 ): 导入完毕后, 可以进一步修改用户的信息, 详细步骤参考 6.2 组织管理相关章节注意 : 文件导入输入框不支持手写操作, 必须通过浏览方式进行文件选择三层 IP 用户导入通过 IP 地址的方式导入三层交换机下 IP 用户数据信息可以通过扫描或导入文件方式导入 ( 一 ) 通过扫描导入第 1 步 : 进入如下图所示画面 : 图 6-5 三层 IP 用户导入设置交换机 : 配置三层交换机 ; 持续扫描 : 勾选该选项后,NS-ICG 会每隔扫描间隔 ( 分钟 ) 自动扫描 IP 范围用户可以通过扫描结果来查看第 2 步 : 点击设置交换机按钮, 进入下图 : 第页

153 图 6-6 设置交换机交换机 IP: 三层交换机的 IP 地址团体名称 : 三层交换机的团体名, 即 : 三层交换机中 SNMP 的读属性第 3 步 : 点击添加按钮, 按照实际交换机配置情况设置此处交换机信息后, 点击确定, 关闭当前窗口注意 : 如果用户网络内有多个三层交换机, 则三层交换机的添加顺序为 : 距离 ICG 最近的三层交换机最先添加, 以此类推, 距离用户最近的三层交换机最后添加这样可以确保 ICG 获得的 MAC 地址是真实的用户 PC 机的 MAC 地址, 而不是交换机的第 4 步 : 勾选持续扫描, 并在 IP 范围输入栏中输入 IP 范围支持输入单个 IP 地址, 和网段及跨网段的多个 IP 地址输入, 如第 5 步 : 设置扫描间隔第 6 步 : 点击扫描按钮界面发生变化, 在扫描间隔后出现扫描结果按钮, 如下图所示 : 图 6-7 三层 IP 用户持续扫描结果第 7 步 : 点击扫描结果, 进入如下图所示页面 : 第页

154 图 6-8 三层 IP 用户导入 - 补充用户信息添加 : 添加因未开机而没被扫描到的用户删除 : 删除选定数据其他选项说明请参照二层 IP 用户导入 NS-ICG 将查找到的符合条件的所有三层交换机下的开机设备的用户的 IP 地址及其 MAC 地址都显示在扫描结果中第 8 步 : 用户根据需要选择和填充画面各项数据信息后, 点击右上角的全部导入按钮, 进行导入或者选择返回按钮, 返回到前一画面第 9 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 ; 第 10 步 ( 可选 ): 导入完毕后, 可以进一步修改用户的信息, 详细步骤参考 6-2 组织管理相关章节 ( 二 ) 通过文件导入第 1 步 : 设置交换机, 方法同上述第 2 步 : 新建 txt 文本文件, 正文格式是每行一个 IP 地址, 或一个网段 ( 同时支持跨网段 ), 如 : 第 3 步 : 点击主画面的浏览按钮, 选择该文本文件后, 点击导入按钮 ICG 会在指定的 IP 或 IP 网段间进行扫描, 将所有开机的并匹配的 PC 机的 MAC 地址找到后, 匹配显示到如上图所示画面中后续操作同方法一第页

155 注意 : 文件导入输入框不支持手写操作, 必须通过浏览方式进行文件选择 NS-ICG 用户手册 LDAP 根据已经搭建好的 LDAP 服务器导入既有用户信息支持多种 LDAP 服务器的用户导入点击用户管理用户导入 LDAP 进入如下图所示页面 : 图 6-9 用户导入 -LDAP 用户导入 - 默认界面添加 : 根据组织已建立的 LDAP 服务器, 配置信息建立和该服务器的连接, 以便将指定 LDAP 服务器中的用户信息导入至 NS-ICG 的用户组织结构中, 进行统一管理删除 : 删除指定的 LDAP 服务器更新用户 : 保留已有用户, 并更新由 LDAP 服务器中导入的用户数据信息自动更新设置 : 设置系统自动从 LDAP 服务器中更新用户数据信息的相关详细配置添加服务器注意 : 添加服务器并不是搭建 LDAP 服务器, 而是组织已经事先建立好 LDAP 服务器, 在此处根据其相关配置使 NS-ICG 和该 LDAP 服务器建立连接, 方便一次性导入大量已有用户第 1 步 : 进入 LDAP 导入主页面后, 点击右上角的添加按钮, 进入如下图所示页面 : 第页

156 图 6-10 用户导入 -LDAP 用户导入 - 添加服务器服务器链接配置 LDAP 服务器名称 : 为要添加的 LDAP 服务器命名 ; LDAP 服务器描述 : 可以为其添加描述, 以便识别 ; LDAP 服务器地址 : 运行 LDAP 服务的服务器 IP 地址 ; LDAP 服务器端口 : 默认值为 389 入口 (BaseDN)( 必填项 ): 确定导入用户数据的导入点, 由域名和用户组名组成格式为 : [ ou= 2 级用户组,ou=1 级用户组,dc=N 级域名,,dc=2 级域名,dc=1 级域名 ] 例如 :LDAP 服务器所管辖域 eng.qa2000 的 1 级用户组为 netentsec,( 即 \eng.qa2000\netentsec), 如果您想将 qatest 下的所有组及用户都导入 NS-ICG 组织管理中的根目录需要填导入入口为 : ou=qatest,dc=eng,dc=qa2000 ( 若想导入域 eng.qa2000 下面的所有用户组和用户的数据, 则填写导入入口为 :dc=eng,dc=qa2000) 注意 : 在 Active Directory LDAP 服务器中默认有类型为容器的对象 : 如果想导入容器下的用户, 请按照 : cn= 容器名,dc= N 级域名,,dc=2 级域名,dc=1 级域名的格式进行填写如果想导入容器下的某组织单位中的用户, 请按照 : ou= 组织单位名,cn= 容器名,dc= N 级域名,, dc=2 级域名, dc=1 级域名的格式进行填写如果想导入域下的所有组织单位容器和用户, 请按照 : dc=2 级域名,dc=1 级域名的格式进行填写管理员全路径 : LDAP 服务器管理员帐号在 LDAP 服务器中的全路径例如 LDAP 服务器中, 管理员 administrator 所管辖域为 eng.qa2000, 并且该帐号保存在 users 组中, 则管理员全路径应填写为 :cn=administrator,cn=users,dc=eng,dc=qa2000 在 AD LDAP 服务器中, 也支持 [email protected] 的写法口令 (Password): 为所填入用户的登录密码 ; 确认口令 (Password): 再次输入用户的登录密码 ; 第页

157 服务器高级配置 : NS-ICG 用户手册用户属性用户组属性用户名登录名和权限组属性 : 不同的 LDAP 服务器, 这五项是不一样的用户需要根据实际所使用的 LDAP 服务器进行设置权限组是无限级树形结构, 不仅子权限组可继承父权限组的策略, 且每个用户均可同时占有多个权限组选择导入位置 : 选择组织结构中的某个用户组路径, 将用户导入至组织管理中的指定位置默认 ( 按钮 ): 点击该按钮, 系统自动将用户属性用户组属性用户名登录名和权限组属性按照 AD LDAP 配置进行填写第 2 步 : 根据使用的 LDAP 服务器的类型, 正确配置相应信息后, 点击确定提示 LDAP 服务器测试成功, 确认提示信息后, 新添加的 LDAP 服务器以列表形式进行显示如下图 : 图 6-11 用户导入 -LDAP 用户导入 - 服务器连接测试成功画面点击其对应的修改链接, 可以更改配置 1. 更新多个 LDAP 服务器时, 如果某些服务器无法进行更新, 则会跳过该服务器, 更新下一台服务器 2. 最多只能添加 10 台 LDAP 服务器更新用户功能名称 : 更新用户功能描述 : 更新由 LDAP 服务器中导入的用户数据信息, 支持从多个 LDAP 服务器同时导入数据功能启动步骤 : 用户管理用户导入 LDAP 详细操作过程 : 第 1 步 : 点击用户管理用户导入 LDAP, 进入主页面后选择一个或多个 LDAP 服务器第 2 步 : 点击右上角的更新用户, 从 LDAP 服务器获取最新的用户信息成功后, 提示数据更新成功, 请检测数据正确性并进行确认, 点击确定按钮后, 进入如下画面 : 第页

158 图 6-12 用户数据导入 -LDAP 用户导入 - 获取最新用户信息 1. 如果选择多个 LDAP 服务器后点击更新用户, 系统会按照界面显示顺序从上往下逐个更新 2. 选择多个 LDAP 服务器并点击更新用户后, 则多个 LDAP 服务器的数据将都显示在如上图所示页面中, 分布显示系统会合并路径相同的用户或组如果登录名相同, 则会用后更新的 LDAP 服务器用户信息覆盖先前更新的 LDAP 服务器的用户信息第 3 步 : 页面显示目前最新的组织结构信息点击更新数据按钮后, 提示数据更新成功第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮第 5 步 :( 可选 ) 导入完毕后, 可以进一步修改用户的信息, 详细步骤参考组织管理相关章节 1. 通过 LDAP 服务器导入的用户, 其基本信息只有用户名和登录名, 且用户名同登录名如果需要补充其他基本信息, 请通过组织管理进行配置 2. 在 LDAP 服务器中建立的计算机用户不能被导入至 NS-ICG 组织管理中重新导入功能名称 : 重新导入第页

159 功能描述 : 删除组织管理中的所有组及用户, 重新从 LDAP 服务器导入数据功能启动步骤 : 用户管理用户导入 LDAP 详细操作过程 : 第 1 步 : 成功添加 LDAP 服务器后, 将以列表形式进行显示第 2 步 : 点击 LDAP 服务器名称的链接, 进入如下图所示页面 : 图 6-13 LDAP 服务器详情第 3 步 : 点击重新导入按钮, 确认提示信息后, 系统会根据 LDAP 服务器的配置, 与 LDAP 服务器连接并获取最新的用户信息数据, 成功后系统提示数据重新导入成功, 请检测数据正确性并进行确认, 确定后, 画面显示目前最新的组织结构信息画面同更新用户第 4 步 : 点击更新数据按钮, 页面提示更新成功第 5 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮第 6 步 ( 可选 ): 导入完毕后, 可以进一步修改用户的信息, 详细步骤参考组织管理相关章节注意 : 1. 重新导入 LDAP 用户时, 会首先将组织管理中所有用户及组清空后再进行导入 2. 不支持同时重新导入多台 LDAP 服务器的用户信息自动更新设置功能名称 : 自动更新配置第页

160 功能描述 : 除了手动从 LDAP 服务器上更新数据外, 也可以让 NS-ICG 定时到 LDAP 服务器更新数据功能启动步骤 : 用户管理用户导入 LDAP 详细操作过程 : 第 1 步 : 添加 LDAP 服务器后, 点击 LDAP 导入主页面右上角的自动更新设置, 进入下图 : 图 6-14 用户数据导入 -LDAP 用户导入 - 设置自动更新参数第 2 步 : 勾选启用自动更新选项, 并配置自动更新时间第 3 步 : 点击确定按钮, 系统将在指定时间自动更新用户数据启用自动更新用, 系统将在指定时间更新所有可连接的 LDAP 服务器上的用户信息网康自定义根据网康自定义数据格式导入用户信息到组织管理的指定路径中第 1 步 : 请首先本地新建一个 txt 文本文件或者 csv 文件, 内容和格式要求如下 : 内容 : 可以包含名称登录名 IP MAC 用户组和密码等五项其中, 名称项是必填项, 且同时必须从登录名 IP MAC 中任选一项密码 : 该项为加密格式, 用户在初次导入用户信息时不需输入密码, 手动输入的密码无法正确解密, 因此导入时密码无效如果需要导入用户密码, 可以通过 web 认证下的下载用户密码列表获取请参考认证管理 Web 认证相关说明用户组 : 该项是可选项导入时可以根据用户组将用户分配到不同组中, 方便用户一次导入多个组的用户如果组织管理中已有该组, 用户将被直接导入到指定组中 ; 如果没有, 则先创建组再导入用户几项的左右顺序可以互换, 但是各项的名称不能随意修改或带空格, 否则系统无法正确识别格式 : 支持 txt 文本格式和 csv 文件两种格式第页

161 Txt 文本格式 :MAC 地址每两位之间用半角冒号 : 隔开, 其他各项要求每项之间用半角逗号隔开用户组以路径名加半角斜线组成几项的左右顺序可以互换, 但是各项的名称不能随意修改或者带空格, 否则系统无法正确识别如 : 图 6-15 网康自定义格式用户导入 - 本地新建 txt 文件 Csv 文件 : 新建 Excel 文件, 保存时选择另存为 csv 文件即可内容要求 : 每一项都用一个单元格存储如下图 : 图 6-16 网康自定义格式用户导入 - 本地新建 csv 文件第 2 步 : 通过用户管理数据导入网康自定义进入如下图页面, 点击浏览按钮, 选择本地新建的 txt 文件或者 csv 文件图 6-17 网康自定义导入 - 选择文件第 3 步 : 点击导入按钮, 系统生成导入信息, 等待用户确认, 如下图 : 图 6-18 网康自定义格式用户导入 - 确认导入内容第页

162 覆盖重复数据 : 如果导入的数据中存在用户组路径和名称都重复或者登录名重复 IP 地址重复 MAC 地址重复这三种情况之一的, 如果选择覆盖重复数据, 将先从组织管理中删除重复数据, 再导入 ; 如果不选择, 则不对重复数据做任何操作, 但在导入结束时提示有重复数据第 4 步 : 核实内容是否一致后, 通过选择导入位置选择数据的导入方向后点击导入系统会分析数据的格式和重复性并显示导入摘要信息数据导入完毕后, 若想让最新的配置立即生效, 请点击右上方立即生效按钮第 5 步 ( 可选 ): 导入完毕后, 可以进一步修改用户的信息, 详细步骤参考组织管理相关章节第页

163 6-2 组织管理通过 NS-ICG 提供的 Web 管理界面, 可以添加维护用户和组的信息, 从而建立起和本单位实际组织结构相一致的组织信息用户和组的维护功能包括新建删除更新改变所属关系绑定 MAC 地址 SOCKS 代理使用默认画面如下 : 图 6-19 组织管理 - 默认画面左侧 : 组织结构一览默认包含 ROOT 第三方用户和 IP 临时用户三组右侧 : 点击左侧的全部用户后, 可以在右侧修改 ROOT 的根名称名称 ; 点击左侧的 ROOT 或 ROOT 下的组后, 在右边的列表中将显示该组织的详细, 并可以进行编辑, 如 : 新建用户 / 组修改删除更新变更所属关系绑定 IP/MAC 地址等 ROOT ROOT 是根目录, 其名称可以通过右列的操作下拉框中的根名称编辑进行修改 ROOT 是用户组织的根起点, 可以在它下方添加用户或用户组根名称编辑编辑组织的根起点的名称, 定义整个组织的名称根名称默认为 ROOT, 有两种修改方法 : 点击左列的全部用户后点击右列的 ROOT 链接 ; 或者点击左列的 ROOT 后点击右列的操作, 选择并点击根名称编辑都可以进入如下图所示页面 : 第页

164 图 6-20 根名称编辑输入新的根名称后, 点击确定按钮, 即可完成修改创建时间是指 NS-ICG 系统安装时间组组, 一般性组织单位, 组下可以包含组或用户下面以新建一个组介绍详细的操作方法 : 第 1 步 : 定位并选中操作对象, 例如选择根目录, 并从右侧的操作下拉框中选择并点击新组, 进入如下图所示画面 : 组名 : 请输入组名 ( 必填项 ); 上级组名 : 选择上级组图 6-21 新组第页

165 可选策略 : 如果有已建立的策略, 将在这里供选择否则显示为空白 NS-ICG 用户手册当前策略 : 通过添加或删除按钮调整对新建组所要采用的策上级策略 : 该用户组的上级用户组所采用的策略如果所建立的策略是面向所有用户的, 则直接显示在上级策略中上级策略中的策略是不可更改的如果需要更改, 请到策略管理中更改第 2 步 : 输入相关信息后点击确定按钮, 提示组添加成功, 确认后, 成功新建组 ; 第 3 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 IP 组按照 IP 网段建立用户组, 当该 IP 网段内的用户上网时, 将自动被添加到 IP 组中, 且用户名显示为其对应 IP 地址同时, 在建立该 IP 用户组时所设置的适用策略将自动对这些用户生效 IP 组功能方便用户一次性建立大量用户下面以新建一个 IP 组介绍详细的操作方法 : 第 1 步 : 定位并选中操作对象, 例如选择根目录, 并从右侧的操作下拉框中选择并点击新 IP 组, 进入如下图所示画面 : 图 6-22 新 IP 组起始 IP: 输入该 IP 用户组的起始 IP 地址 ; 终止 IP: 输入该 IP 用户组的终止 IP 地址 ; 第页

166 1.IP 组支持跨网段 IP 用户组的添加 2. 其他项目的说明请参考组第 2 步 : 设置好相关的信息后, 点击确定按钮若想让最新的配置立即生效, 请点击右上方立即生效按钮第 3 步 : 此时比如我们创建了一个起始 IP 为终止 IP 为的财务部, 并且选择了如阻塞 FTP 等三个策略, 那么当一个 IP 为的用户入网后便会自动的被加入到该组中, 并且自动适用该三个策略 1. 该功能只适用于 IP 身份识别下有效有关 IP 身份识别请参考 IP 身份识别章节 2. 请不要添加 IP 有交叉的 IP 用户组, 否则当用户上线时, 系统不知道该往哪个组自动添加, 因此会导致自动添加失败权限组权限组为无限级树形结构, 不仅子权限组可继承父权限组的权限, 而且每个用户或权限组均可同时隶属于多个权限组方便对一些分散在各组中的用户进行统一管理下面以新建一个权限组介绍详细的操作方法 : 第 1 步 : 定位并选中操作对象, 例如选择根目录, 并从右侧的操作下拉框中选择并点击新权限组, 进入如下图所示画面 : 第页

167 图 6-23 新权限组隶属于 : 选择该组的上级权限组在第一次新建权限组时, 由于权限组只能隶属于权限组, 所以点击选择后弹出的窗口中组织结构中显示为空白其他选项说明请参照组第 2 步 : 设置好相关的信息后, 点击确定按钮若想让最新的配置立即生效, 请点击右上方立即生效按钮权限组在组织结构中以绿色标签出现, 如下图 : 图 6-24 权限组标签第 3 步 : 从左边组织结构中点击选择权限组, 进入如下图所示窗口 : 第页

168 图 6-25 为权限组添加新成员 1 第 4 步 : 点击右边的操作 - 新成员, 可以为权限组添加新成员进入如下图所示窗口 : 图 6-26 为权限组添加新成员 2 权限组中添加新成员的方式和一般用户组的不同一般用户组中是新建成员, 而权限组是从已有组织结构中进行选择, 从而实现了一个用户可以同时属于多个组织如, 在市场部和工程部中各有一位经理, 在经理组中通过新成员选择这些经理那么在设置策略时就可以通过经理组对不同组的经理进行统一管理了 1. 权限组成员仍享有其原所属组的策略当策略产生冲突时, 按照策略优先级顺序执行 ; 第页

169 2. 一个用户或权限组可以隶属于多个权限组但是请注意权限组的隶属关系不允许产生环路如果不小心产生环路, 系统会自动将其清除 3. 权限组成员只能是用户和权限组, 不能是组在选择新成员时, 可以选择组, 但结果会以组成员的形式进行显示 4. 权限组中不能选择第三方认证用户和其他用户中的用户第 5 步 : 选择结束后点击确定按钮即可若想让最新的配置立即生效, 请点击右上方立即生效按钮普通用户用户是组织管理中的主要成员之一根据其 IP 地址又分为普通用户和网段用户本节以新建一个普通用户介绍详细的操作方法网段用户请参考下一节第 1 步 : 定位并选中操作对象, 例如选择根目录, 并从右侧的操作下拉框中选择并点击新用户, 进入如下图所示画面 : 第页

170 图 6-27 新用户基本信息 : 用户名 : 用户姓名 ( 必填 ); 用户类型 : 请选择普通用户 ; 用户组 : 选择该用户所属的上级组织 ; 隶属于 : 选择该用户所属的上级权限组 ( 权限组详细请参考权限组 ); 认证信息 : 登录名 : 用户的域登录名同时也是在 NS-ICG 开启了认证管理时, 用户在访问网页时所第页

171 使用的登录帐号 NS-ICG 用户手册 IP 地址 : 用户的 IP 地址 ; MAC 地址 : 用户网卡的 MAC 地址 ; 建立用户时, 登录名 IP 地址 MAC 地址三项中至少填写一项 IP/ 登录名绑定 :IP 地址与域的登录名绑定, 确保核实登录用户身份, 提高网络安全性 ( 详细功能介绍请参考 IP/ 登录名绑定章节 ) IP/ MAC 绑定 :IP 地址与网卡 MAC 地址绑定, 被绑定的 IP 地址将不能被别的 MAC 地址使用, 主要是为了防止 IP 地址被盗用, 但并不禁止 MAC 使用别的 IP 有两种选项, 即二层 IPMAC 绑定和三层 IPMAC 绑定二层绑定即使用 NS-ICG 绑定, 三层绑定是从三层交换机中获取 IP/MAC 的对应关系来实现绑定因此在绑定前请先确认您要绑定的用户是二层用户还是三层用户登录名过期 : 只有输入了登录名, 才可配置该属性该功能是和认证管理结合使用的详细请参考 6-4 认证管理章节密码设置 : 在 NS-ICG 开启了认证管理时, 可以通过这里设置用户在访问网页时所需提供的密码允许 SOCKS: 允许该用户使用 SOCKS 代理默认灰显, 不可选择只有当该用户同时有登录名和密码时, 才可以允许使用 SOCKS 代理 ( 关于 SOCKS 代理的开启详细请参考代理设置 ) 关于策略功能, 详细请参考组章节第 3 步 : 配置完毕后点击确定按钮, 确认新建用户第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮网段用户在组织管理中新建网段用户, 将设置的 IP 段内的所有用户看成一个单一的用户进行管理本节以新建一个网段用户介绍详细的操作方法 : 第 1 步 : 定位并选中操作对象, 例如选择根目录, 并从右侧的操作下拉框中选择并点击新用户, 页面如上图所示请从用户类型中选择网段用户, 页面如下图 : 第页

172 图 6-28 新建网段用户地址信息 : 由于网段用户是指一段 IP 内的所有用户看成一个单一的用户, 因此只需要确定网段用户的起始 IP 和终止 IP, 要求终止 IP 不小于起始 IP 其他选项说明请参照普通用户第 3 步 : 配置完毕后点击确定按钮, 确认新建用户第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮开启认证后, 网段用户将失效 IP/ 登录名绑定 NS-ICG 支持将用户 IP 地址和登录名进行绑定, 确保核实登录用户身份, 提高网络安全性具体的绑定关系分两种情况 : 当 NS-ICG 采用第三方登录认证时 ( 比如采用 Microsoft ISA 代理认证 ): 通过登录名和 IP 地址共同来识别用户当 NS-ICG 采用采取本地用户认证时 : 被绑定的登录名只能用绑定的 IP 进行登录, 主要是为了防止登录名被盗用比如, 将登录名张三, 和 IP 地址绑定后, 从 IP 第页

173 地址为的机器上用张三的登录名进行认证并访问网页时, 将被阻止但从 IP 地址为的机器上用张三的登录名进行认证并访问 Web 时, 将被允许 1. 网段用户不支持 IP/ 登录名绑定功能 ; 2. 组 IP 组权限组普通用户都支持 IP/ 登录名的绑定功能 ; 3. 选择组 IP 组或权限组后, 如果选择 IP/ 登录名绑定, 组内所有同时有 IP 和登录名的用户都将被绑定 IP/MAC 绑定 NS-ICG 支持将用户的 IP 地址和网卡 MAC 地址绑定, 被绑定的 IP 地址将不能被别的 MAC 地址使用, 主要是为了防止 IP 地址被盗用, 但并不禁止 MAC 使用别的 IP 比如 : 若设置了 :11:22:33:44:55 之间的绑定关系, 则 MAC 地址为 11:22:33:44:55:66 的计算机使用 IP 访问互联网时将被阻止 ; 但 MAC 地址为 00:11:22:33:44:55 的计算机使用 IP 访问互联网时将被允许 1. 网段用户不支持 IP/MAC 绑定功能 ; 2. 组 IP 组权限组普通用户都支持 IP/MAC 的绑定功能 ; 3. 选择组 IP 组或权限组后, 如果选择 IP/MAC 绑定, 组内所有同时有 IP 和 MAC 地址的用户都将被绑定 4. 如果既要进行 IP/MAC 的绑定, 又要进行 IP/ 登录名的绑定, 可以先进行一种绑定, 再进行另一种绑定即可 IP/MAC 绑定, 不仅适用于二层网络环境, 而且适用于三层网络环境 1. 二层绑定时, 根据 MAC 地址封堵盗用他人 IP 地址的用户 2. 三层绑定时, 根据 IP 地址封堵被盗用的 IP 地址 3. 三层用户不能选择二层 IP/MAC 绑定二层用户可以选择三层 IP/MAC 绑定, 但为达到最好的绑定效果, 建议根据实际网络拓扑结构来选择绑定类型对三层用户使用 IP/MAC 绑定功能的方法如下 : 第 1 步 : 在组织管理中将某三层用户绑定 IP/MAC 地址 ; 第 2 步 : 在策略管理防护设置全局设置中启用启用跨三层 IPMAC 绑定阻塞 ; 第 3 步 : 当其他 MAC 地址使用该 IP 地址上网时, 会被 NS-ICG 阻塞, 并放入策略管理防护设置暂时屏蔽列表中, 同时可以在系统管理日志管理被盗用 IP 列表中查看相关信息第页

174 SOCKS 代理在组织管理中同时提供 SOCKS 功能选项, 通过该功能可以允许用户或禁止用户使用 SOCKS 代理功能本节主要针对如何允许用户使用 SOCKS 代理功能在组织管理中的 SOCKS 功能主要是指将 NS-ICG 地址作为代理地址, 让用户通过 NS-ICG 这个代理服务器上网当 NS-ICG 开启 SOCKS 代理并没有开启认证的情况下, 所有用户都可以使用 SOCKS 代理, 不用在组织管理中详细配置但是当 NS-ICG 开启 SOCKS 代理而且使用认证的情况下, 配置就要稍微麻烦点操作方法如下 : 第 1 步 : 在组织管理中为用户配置登录名 ; 第 2 步 : 勾选用户信息中的 web 认证修改密码选项, 并输入密码此时允许 socks 选项呈可选状态 ; 用户密码为全局密码临时密码和空密码时都不能通过 SOCKS 代理认证第 3 步 : 勾选允许 SOCKS 选项 ; 第 4 步 : 在系统管理系统配置代理配置中开启启用 SOCKS 代理, 设置端口, 并开启认证第 5 步 :NS-ICG 下用户将浏览器中将 NS-ICG 地址作为本地代理服务器第 6 步 :NS-ICG 下用户上网, 输入正确的登录名和密码后即可上网关于 SOCKS 代理的开启, 详细请参考代理设置第三方用户和 IP 临时用户组织管理中除了 ROOT 根目录外, 还有第三方用户和 IP 临时用户两个目录这两个目录是系统内置, 不允许更改名称第三方用户 : 在 ROOT 目录中没有事先建立相关用户当此类用户通过第三方认证服务器的认证而上网时, 会被自动加入到第三方用户中选择某用户后可以移动到 ROOT 目录下指定路径中在第三方用户目录中不可更改目录下用户相关信息 IP 临时用户 : 在 ROOT 目录中没有事先建立相关 IP 用户当此类用户上网时会被自动加入到 IP 身份识别中选择某用户后可以移动到 ROOT 目录下指定路径中在 IP 临时用户目录中不可更改目录下用户相关信息第页

175 6-3 用户查询根据检索条件, 可以模糊查询用户操作方法如下 : 第 1 步 : 通过用户管理用户查询进入如下界面 : 图 6-29 输入用户查询条件用户组 : 选择用户组进行查询, 默认情况下显示为根目录 ; 用户名 : 根据用户姓名模糊查询 ; 登录名 : 根据登录名模糊查询 ; IP 地址 : 根据 IP 地址查询 ; MAC 地址 : 根据 MAC 地址查询第 2 步 : 输入查询条件后, 点击查询按钮, 会在界面下方显示查询结果, 如下图所示 : 图 6-30 显示用户查询结果第 3 步 : 可以对查询结果进行进一步操作, 如下 : 选择用户, 点击删除按钮并确认提示的信息后可以删除用户 ; 选择用户, 点击保存按钮, 可以将指定用户保存信息以 Excel 表格的形式保存到本地指定位置 ; 点击用户名, 将显示用户信息更新页面, 可以修改用户信息 ; 点击列名可以进行排序在查询结果中删除用户相当于从组织管理中删除用户, 即是彻底删除用户, 请注意第页

176 6-4 认证管理用户是 NS-ICG 互联网控制网关的主体对象, 无论是制定策略或是统计报告数据分析都是基于用户 NS-ICG 提供了多种识别和认证方式, 供企业灵活使用认证管理共包括五个模块, 如下图所示 : 图 6-31 认证管理认证配置选择用户上网时是采用不加控制只做识别还是只有通过认证才可以使用网络认证配置中还可以配置高级选项, 如帐号黑名单等混合认证针对不同的用户使用单一或多种识别认证方式登录界面开启 WEB 认证时, 用户可以自行配置 WEB 认证登录界面网页重定向用户访问网页时, 将该网页重新定向到指定的网址认证配置认证配置中包括设置用户上网时,NS-ICG 只做识别不做控制, 还是只有通过认证才可以使用网络同时可以配置当使用认证方式时, 对帐号有效期帐号是否可以多地点登录等进行详细配置认证配置的画面如下图所示 : 第页

177 图 6-32 认证配置认证类型 :NS-ICG 提供多种用户识别和认证方式包括 : 用户识别 : 是指 NS-ICG 在不影响用户访问网络的情况下, 建立 IP 和用户的对应关系, 识别出用户对用户来说,NS-ICG 完全透明用户识别包括 IP 身份识别 HTTP 代理用户识别 MAC 身份识别和透明用户识别四种客户端认证 : 要求用户必须安装客户端,AD 认证和客户端本地认证同时要求必须输入正确的用户名和密码通过认证后才允许用户访问网络客户端认证下, 如果同时开启了 QQ 审计, 则可以审计到内网用户的 QQ 聊天等详细内容客户端认证包括 AD 认证互联网准入认证和客户端本地认证三种 WEB 认证 : 是指将 NS-ICG 作为认证服务器或者使用第三方认证服务器, 不需要安装客户端, 但用户必须通过认证后才能上网 WEB 认证包括 WEB 本地认证 LDAP 认证 RADIUS 认证和邮件帐号认证四种默认认证方式 : 选择认证方式当该认证方式需要进行详细配置时, 是不可以被激活的如果需要激活, 请先点击配置列的未配置链接进行更改默认认证方式对所有用户有效, 因此只能激活一个, 如果需要变更, 请点击其他将其更改为即可不可以直接将改为状态配置 : 配置识别或认证方式详细内容高级配置 : 配置各种认证类型的共通属性下面分别详细介绍 : 第页

178 高级配置高级配置用于配置用户通过认证上网时的各种共通属性例如 : 认证帐号在访问网络一段时间后让其自动下线帐号是否可以多地点登录等等点击认证配置页面的右上角的高级配置进入如下图所示页面 : ( 一 ) 全局高级配置 : 图 6-33 高级配置第页

179 设置通过认证上网时的共通配置详细如下 : 自动下线设置 : 轮询间隔 : 系统检查用户是否处在活跃状态的间隔时间例如每 5 分钟检查一次不活跃时间 : 设置用户不活跃的时间段, 在此期间, 系统会按照轮询间隔一直检查, 如果在所设置的不活跃期间内发现用户一直都没有流量, 则使其自动下线该用户只有重新通过认证才可以继续使用网络例如如果选择半小时, 则系统在半小时的轮询期间内发现该用户一直都没有流量, 则认为该用户为不活跃用户, 就使其自动下线如果选择不过期, 则系统在轮询的时候不管用户是否有流量都认为该用户是活跃用户, 不会让其自动下线客户端认证中的 AD 认证互联网准入认证和客户端本地认证都不受自动下线的限制帐号多地点登录 : 设置是否允许帐号同时在多个 PC 机上登录如果不允许, 还可以设置是先登录者有效, 或是后登录者有效当选择先登录者有效时, 可以对同一帐号的后登录者登录时加以提醒, 提示信息在帐号重复登录的提示信息输入框中填写当选择后登录者有效时, 若两个用户先后使用同一帐号登录, 先登录的用户会自动下线提示信息在帐号重复登录的提示信息输入框中填写在不允许一个帐号同时在多 PC 机上登录时, 还可以为其添加例外帐号除了 IP 识别 MAC 识别和互联网准入认证外, 都支持帐号多地点登录功能未通过认证行为 : 当用户未通过认证时,NS-ICG 所采取的控制行为有三种 : 封堵网络应用, 重定向 http 页面 : 封堵所有应用, 网页浏览时返回至认证或客户端下载页面不封堵网络应用, 只重定向 http 页面 : 封堵网页浏览, 网页浏览时返回至认证或客户端下载页面此时 MSN QQ 等应用软件仍可使用既不封堵网络应用, 也不重定向 http 页面 : 用户即使不通过认证, 也可以继续访问网络此功能可用于在企业网络压力较大时, 减轻认证压力登录名检测 : 本地认证时, 该功能用于设置系统对用户在认证时所输入的登录名是否区分大小写第三方认证时, 由于认证的功能是第三方认证服务器,NS-ICG 只做识别因此该功能用于设置用户在通过认证后是否与组织管理中存在大小写区别的用户相匹配计算机信息 : 设置是否获取内网用户上网时所使用的计算机的名称和 MAC 地址如果选择获取机器名 MAC 地址, 在系统监控上线用户中机器名和 MAC 地址列会显示相应的计算机信息第页

180 ( 二 ) 客户端认证高级配置不弹出托盘 : 在使用客户端认证时, 设置是否在认证用户的 PC 机的右下角显示认证托盘使用管理口 IP 作为客户端通讯地址 : 当开启客户端认证时, 内网用户上网时只有在 PC 机中安装了客户端并通过认证才能上网而在上网的过程中客户端会每隔一定时间和 NS-ICG 保持联系, 通知 ICG 该用户仍在使用网络当用户下线时, 客户端和 NS-ICG 之间的通讯就会中断一般情况下客户端是和 NS-ICG 的网桥接口地址进行通讯, 但有些网络环境会使客户端和 NS-ICG 之间的通讯断开, 导致内网用户的网络使用有时会断开因此可以先配置管理口 IP 地址, 然后勾选本选项, 将管理口 IP 地址作为客户端的通讯地址下载客户端 : 点击可以下载客户端该客户端插件是网康自主研发, 用于配置 AD 域认证服务器, 以提供域自动分发等功能 ( 三 ) WEB 认证高级配置帐号黑名单 : 当 NS-ICG 开启 WEB 本地认证 LDAP 认证 RADIUS 认证邮件帐号认证时, 如果某帐号出现异常行为 ( 如流量过大 ), 可以将其设为帐号黑名单, 禁止该帐号继续访问网络管理帐号黑名单从下拉框中选择开启, 使帐号黑名单功能生效添加帐号黑名单 : 在输入框中输入帐号, 即认证时提供的登录名帐号黑名单的提示信息 : 当帐号被加入黑名单后, 使用该帐号访问网络时, 系统的提示信息登录失败的提示信息 : 可以配置认证时因为其他原因 ( 如输入的密码不正确等 ) 所造成的登录失败时的系统提示信息如果不配置, 系统自身也会有相应的内置提示信息高级配置是和认证配置结合使用的 IP 身份识别 NS-ICG 默认采用 IP 身份识别方式在静态 IP 环境中, 通过用户信息中的 IP 信息监控当前用户的相关活动和应用对应的策略 IP 身份识别方式下, 如果用户上网, 在系统监控上线用户中会被识别为 IP 身份识别如果不是组织管理中 ROOT 目录下已建立的用户, 则自动放入组织管理中的 IP 临时用户中 IP 身份识别方式不需要详细配置第页

181 HTTP 代理用户识别 HTTP 代理用户识别, 是指企业网络环境中已有第三方代理服务器存储着用户名和密码信息, 并由这些服务器进行认证而 NS-ICG 只是通过和这些服务器建立关系, 获取 IP 和用户的对应关系, 做到识别即可, 因此我们称之为 HTTP 代理用户识别 HTTP 代理用户识别支持两种认证方式 :NTLM 认证和 BASIC 认证在认证配置的主页面中点击 HTTP 代理用户识别的未配置链接弹出如下图所示窗口 : 图 6-34HTTP 代理用户识别下面介绍详细使用方法 : ( 一 ) NTLM 认证 NTLM, 是 NTLAN Manager 的缩写 NTLM 认证下,NS-ICG 局域网内所有用户都需要通过第三方代理服务器认证后才能上网 NS-ICG 可以通过提取 HTTP 请求中用于认证的用户信息, 建立起 IP 到用户的对应关系, 同时将这些信息通知给认证中心, 使其他模块也建立 IP- 用户映射表, 从而达到识别用户的效果用户是否能够通过认证由提供认证的认证服务器负责, 系统仅仅建立 IP- 用户名的对应关系它的使用方法是 : 第 1 步 : 企业已经配置了 NTLM 服务器, 且导入了用户名和密码第 2 步 : 在上图中选择 NTLM 认证, 并点击确定按钮第 3 步 : 将默认认证方式设置为 HTTP 代理用户识别此时 NS-ICG 自动开启了外部代理功能, 在系统管理系统配置系统参数中的外部代理配置为开启状态并在外部代理配置中手动将端口号与企业的 NTLM 服务器的端口号保持一致, 点击确定按钮第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮此时网内用户上网时, 需要在 IE 浏览器中设置代理, 并在弹出的 web 认证窗口输入正确的用户名和密码后才可以访问网络 1. 目前支持 ISA 代理服务器的 NTLM 认证方式 2. 通过 NTLM 认证的用户, 可以在系统监控上线用户中查看, 并被识别为 HTTP 代理用户识别第页

182 3. 如果不是组织管理中根目录下已建立的用户, 则自动放入组织管理中的第三方用户中 ( 二 ) BASIC 认证 BASIC 认证方式有两种 : 一种是使用第三方代理服务器作为认证服务器, 并开启 NS-ICG 的 BASIC 认证功能其使用方法同上述的 NTLM 认证此种方式下, 不支持 BASIC 认证的开启每连接认证功能另一种是将 NS-ICG 作为代理服务器, 并开启 BASIC 认证此时 ICG 局域网内所有用户均需通过 NS-ICG 认证后才能上网这种情况下如果同时开启 BASIC 认证的开启每连接认证, 则即使该用户通过认证能够上网时, 只要每次弹出窗口另建网页浏览连接, 都要重新通过认证才可上网, 因此该认证方式又称为代理下每连接认证它的使用方法是 : 第 1 步 : 请首先在系统管理系统配置系统参数中将引擎切换到串接模式系统引擎是旁路模式时, 不支持 NS-ICG 作为本地代理服务器因此需要做如上操作详细请参考基本设置 ; 第 2 步 : 在系统管理系统配置代理配置中开启 HTTP 代理, 并根据需要进行配置第 3 步 : 在用户管理认证管理中点击 HTTP 代理用户识别的未配置链接, 选择 BASIC 认证第 4 步 ( 可选 ): 勾选开启每连接认证第 5 步 : 将默认认证方式设置为 HTTP 代理用户识别 ; 第 6 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮此时网内用户上网时, 需要在 IE 浏览器中设置代理, 并在弹出的 web 认证窗口输入正确的用户名和密码后才可以访问网络 1. 通过 BASIC 认证的用户, 可以在系统监控上线用户中查看, 并被识别为 HTTP 代理用户识别 2. 如果不是组织管理中根目录下已建立的用户, 则自动放入组织管理中的第三方用户中第页

183 MAC 身份识别在动态 IP 环境下, 通过用户信息中的 MAC 地址信息, 把用户 MAC 和用户正在使用的 IP 正确的联系起来, 从而为策略应用和监控提供有效支持 MAC 身份识别方式下, 如果用户上网, 在系统监控上线用户中会被识别为 MAC 识别用户如果不是组织管理中 ROOT 目录下已建立的包含 MAC 地址的用户, 则默认使用 IP 身份识别方式, 并自动放入组织管理中的 IP 临时用户中 MAC 身份识别方式不需要详细配置透明用户识别透明用户识别, 可以认为是单点登录 (Single Sign On), 它是目前比较流行的企业业务整合的解决方案之一, 被定义在多个应用系统中, 用户只需要登录一次就可以访问所有相互信任的应用系统 NS-ICG 的透明用户识别功能是通过识别单点登录过程中使用的认证信息来识别用户, 因此 NS-ICG 需要在用户和认证服务器进行交互的时候, 能够取得认证信息所以, 如果 NS-ICG 工作在串接模式下, 要求用户和认证服务器交互的路线必须经过 NS-ICG 透明用户识别支持六种识别方式 :POP3 识别 Kerberos 识别 PPPOE 识别机器名识别 CAMS 触发器和 AD 嗅探器在认证配置的主页面中点击透明用户识别的已配置链接弹出如下图所示窗口 : 图 6-35 透明用户识别第页

184 下面详细介绍使用方法 : ( 一 ) POP3 识别 POP3 识别是指,NS-ICG 在用户和企业邮件服务器间进行交互的时候, 取得其使用的邮件帐号信息来识别用户详细如下 : 第 1 步 : 企业已经配置了邮件服务器, 且配置了用户名和密码第 2 步 : 进入如上图所示窗口, 勾选 POP3 识别 ; 第 3 步 : 输入邮件服务器的 IP 地址, 如 ; 或者输入邮件服务器的域名, 如 mail.sina.com; 只支持输入一个邮件服务器的 IP 地址或域名第 4 步 : 输入邮件服务器的端口号默认是 110 端口如果使用 POP3 透明识别方式, 请确保邮件服务器未使用加密协议第 5 步 : 点击确定按钮第 6 步 : 将默认认证方式设置为透明用户识别第 7 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮此时内网用户上网时, 只要使用 POP3 协议接收邮件,NS-ICG 就可以识别出其对应的邮件帐号信息, 并可以在系统监控上线用户中查看详细信息如下图所示 : 图 6-36 透明用户识别 -POP3 识别上图用户列中显示的是该用户的邮件帐号, 类型为透明用户识别 1. 如果用户上网时, 没有接收邮件, 则 NS-ICG 会因为无法找到邮件帐号而无法识别用户, 且上线用户中只有其对应的 IP 地址信息 ; 2. 如果在组织管理中 ROOT 目录下建立了用户, 但该用户没有登录名或者其登录名与邮件帐号服务器上的对应帐号不一致, 则认为 ROOT 目录中没有该用户用户被识别后, 会自动放入组织管理的第三方用户目录下方 3. 如果用户将透明用户识别和其他认证方式一起做混合认证, 请注意一定要将透明用户识别的认证服务器 IP 地址加入到免认证 IP 中, 否则, 在认证开启的情况下用户无法访问认证服务器, 而导致无法通过认证, 进而无法访问网络第页

185 ( 二 ) Kerberos 识别现有的 AD 域服务器一般都使用 Kerberos 协议 Kerberos 协议是一种计算机网络授权协议, 用在非安全网络中, 对个人通信以安全的手段进行身份认证用户只要登录域, 就能被识别 NS-ICG 在用户登录域时, 取得登录帐号信息并做识别详细如下 : 第 1 步 : 企业已经配置了域服务器, 且配置了用户的域帐号和密码 ; 如果用户的登录名以 $ 符号结尾, NS-ICG 无法正确识别第 2 步 : 在如图 6-35 透明用户识别所示的窗口中勾选 Kerberos 识别 ; 第 3 步 : 输入域服务器的 IP 地址或域名以及端口号如 : :88, 或者 eng.qa2000:88 多个之间请用半角逗号分隔如果输入如 , 则认为端口使用默认的 88 端口第 4 步 : 点击确定按钮 ; 第 5 步 : 将默认认证方式设置为透明用户识别 ; 第 6 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮此时用户只要使用域帐号登录, 则 NS-ICG 就能识别出用户帐号及其当时所使用的 IP 地址信息在系统监控上线用户中识别为透明用户识别, 同图 6-36 所示 1. 如果在组织管理中 ROOT 目录下建立了用户, 但该用户没有登录名或者其登录名与域服务器上的登录名不一致, 则认为 ROOT 目录中没有该用户用户被识别后, 会自动放入组织管理的第三方用户目录下方 2. 如果用户将透明用户识别和其他认证方式一起做混合认证, 请注意一定要将透明用户识别的认证服务器 IP 地址加入到免认证 IP 中, 否则, 在认证开启的情况下用户无法访问认证服务器, 而导致无法通过认证, 进而无法访问网络 ( 三 ) PPPOE 识别 PPPOE(Point-to-Point over Ethernet), 是以太网上的点对点协议它是将点对点协议 (PPP) 封装在以太网框架中的一种网络隧道协议由于协议中集成了 PPP 协议, 所以实现了传统以太网不能提供的身份验证加密及压缩等功能目前有一些企业或组织中利用该功能让用户上网, 为了识别这些用户, 我们提供了 PPPOE 识别它通过读取用户上网时所提供的帐号和密码来达到识别用户的目的方法如下 : 第 1 步 : 企业已经配置了 PPPOE 服务器, 且配置了用户的帐号和密码 ; 第 2 步 : 在如图 6-35 透明用户识别所示的窗口中勾选 PPPOE 识别 ; 第 3 步 : 用户上网, 弹出如下图所示窗口 : 第页

186 图 6-37 PPPOE 识别拨号第 4 步 : 输入 PPPOE 中设置的帐号和密码, 点击连接按钮 ; 第 5 步 : 将默认认证方式设置为透明用户识别 ; 第 6 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮此时用户只要使用 PPPOE 帐号登录, NS-ICG 就能识别出用户帐号及其当时所使用的 IP 地址信息, 在系统监控上线用户中识别为透明用户识别, 同图 6-36 所示 1. 如果在组织管理中 ROOT 目录下建立了用户, 但该用户没有登录名或者其登录名与 PPPOE 服务器上的登录名不一致, 则认为 ROOT 目录中没有该用户用户被识别后, 会自动放入组织管理的第三方用户目录下方 2. 如果用户将透明用户识别和其他认证方式一起做混合认证, 请注意一定要将透明用户识别的认证服务器 IP 地址加入到免认证 IP 中, 否则, 在认证开启的情况下用户无法访问认证服务器, 而导致无法通过认证, 进而无法访问网络 3. PPPOE 识别方式只支持通过常用的 PAP 和 CHAP 认证方式拨号上网的用户的识别 ( 四 ) 机器名识别机器名识别是通过识别内网用户的 PC 机机器名来识别用户, 该功能尤其适用于 DHCP 动态分配 IP 地址等 IP 地址不固定网络的环境中机器名识别功能本身对于 PC 机的命名没有任何限制, 但是为第页

187 了便于组织识别用户, 建议组织内的 PC 机按照一定的规则命名机器名识别的详细使用方法如下 : 第 1 步 : 在如图 6-35 透明用户识别所示的窗口中勾选机器名识别选项, 点击确定按钮第 2 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮此时内网用户只要上网,NS-ICG 就能识别出其使用的 PC 机的机器名信息, 在系统监控上线用户中识别为透明用户识别, 如下图所示 : 图 6-38 机器名识别 1. 如果获取不到某机器的机器名, 请检查该机器的防火墙等配置 ; 2. 通常情况下, 系统监控上线用户中用户名是以机器名 +MAC 地址的格式显示, 但有时因 PC 机环境等因素可能会导致偶尔获取不到机器的 MAC 地址, 此时用户名则是以机器名的格式显示 ( 五 ) CAMS 触发器目前有些企业是使用华三 CAMS 系统做认证的, 而其中有一些企业系统做透明用户识别, 为此 NS-ICG 提供了 CAMS 触发器插件该插件是安装在华三 CAMS 系统中, 如果 CAMS 数据库发生变化, 会主动通知 NS-ICG, 实现 CAMS 与 NS-ICG 的用户同步, 达到识别用户的功能如果想使用该功能, 请和相关的客户服务人员联系 ( 六 ) AD 嗅探器由于 Kerberos 识别不适用一些 AD 域网络环境, 因此网康公司针对这种情况开发了 AD 嗅探器插件该插件是安装在使用 AD 域服务器的 windows 系统中微软提供的 API 函数功能可以获取十秒内登录到 AD 服务器的用户信息,AD 嗅探器利用该功能并定期查询, 达到识别用户的功能如果想使用该功能, 请和相关的客户服务人员联系第页

188 AD 认证 AD 认证是和 WindowsAD 认证集成, 对用户完全透明该功能需要 NS-ICG 管理员首先从 NS-ICG 中下载客户端, 并将其配置导入所使用的 AD 域服务器中 NS-ICG 域中用户在上网时会被要求下载并安装 AD 客户端用户只有在客户端输入正确的用户名和密码通过认证后才能上网如果同时启用策略管理审计策略设置 QQ 审计中的开启客户端 QQ 审计则 NS-ICG 可以将域中用户的 QQ 聊天内容发送文件音视频行为等都进行记录详细如下 : 第 1 步 : 在域服务器上配置登录脚本 ( 详细请参考附录 7.AD 脚本配置章节 ) 第 2 步 ( 可选 ): 通过用户管理用户导入 LDAP 导入功能从 LDAP 服务器中导入 AD 域用户 AD 用户组和权限组等信息第 3 步 : 通过用户管理认证管理认证配置进入认证配置界面, 并点击 AD 认证对应的未配置链接, 进入下图 : 图 6-39 AD 认证配置第 4 步 : 点击添加按钮, 在弹出的窗口中输入域服务器的 IP 地址和域名关闭当前窗口 AD 域名查看方法 : 登录域服务器后, 打开管理您的服务器菜单, 选择管理 Active Directory 中的用户和计算机选项, 在弹出的窗口中即可查看到域名第 5 步 : 将默认认证方式设置为 AD 认证第 6 步 ( 可选 ): 点击右上角的高级配置, 在客户端认证高级配置窗口中设置是否弹出托盘第 7 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮第 8 步 : 域内用户访问网络, 就会弹出如下图所示窗口 : 第页

189 图 6-40 提示下载客户端点击下载按钮, 可以下载并安装客户端详细方法请参考附录 8 安装完毕后, 在 PC 右下角会弹出如下图所示窗口 : 图 6-41 AD 认证登录界面认证 : 输入用户名和密码后, 点击该按钮进行认证修改密码 : 点击该按钮, 在弹出的窗口中修改密码注销 : 点击该按钮, 注销当前登录的帐号信息 AD 认证目前不支持修改密码功能目前只有客户端本地认证支持该功能第 9 步 : 输入 AD 域认证服务器中设置的用户名和密码, 点击确定通过认证后, 用户即可上网并在系统监控上线用户中对应类型显示的是 AD 认证如下图所示 : 图 6-42 AD 认证时上线用户第页

190 1. 如果在组织管理中没有事先建立用户, 则上线用户中的用户显示其对应的域帐号且在组织管理中自动加入第三方用户中 2. 如果不希望在右下角显示系统托盘, 请点击认证配置右上角的高级配置, 勾选客户端认证高级配置下的不弹出托盘互联网准入认证互联网准入认证功能是一种无用户名密码的认证, 完成部分网络准入功能当内网用户上网时会被要求下载并安装客户端用户只要安装并运行客户端, 不需要输入用户名和密码, 即可通过认证如果同时启用策略管理审计策略设置 QQ 审计中的开启客户端 QQ 审计, 则 NS-ICG 可以将域中用户的 QQ 聊天内容发送文件音视频行为等都进行记录互联网准入认证的配置和 AD 认证相比要稍微简单些, 详细如下 : 第 1 步 : 通过用户管理认证管理认证配置进入认证配置界面, 点击互联网准入认证对应的默认认证方式列的将其更改为第 2 步 : 点击确定按钮, 并立即生效则用户上网时, 会弹出如附录 8-1 下载客户端界面所示画面点击下载并安装运行客户端后, 不需认证, 即可继续上网了此时系统监控上线用户中对应类型显示的是互联网准入认证, 如下图所示 : 图 6-43 互联网准入认证时上线用户 1. 如果在组织管理中没有事先建立用户, 则上线用户中的用户显示其对应的 IP 地址, 且在组织管理中自动加入 IP 临时用户中 2. 如果不希望在右下角显示系统托盘, 请点击认证配置右上角的高级配置, 勾选客户端认证高级配置下的不弹出托盘客户端本地认证客户端本地认证, 是指 NS-ICG 下内网用户上网时需要下载客户端并进行认证不过认证所使用的登录名是 NS-ICG 组织管理中所配置的登录名, 密码是客户端本地认证中设置的密码由此可第页

191 见用户认证时的登录名和密码都不是第三方认证服务器提供的, 而是由 NS-ICG 提供并作的认证, 因此我们称之为客户端本地认证如果事先在组织管理中为用户设置了密码, 则客户端本地认证登录时使用组织管理中设置的密码如果同时启用策略管理审计策略设置 QQ 审计中的开启客户端 QQ 审计, 则 NS-ICG 可以将域中用户的 QQ 聊天内容发送文件音视频行为等都进行记录详细如下 : 第 1 步 : 在用户管理组织管理中建立用户, 并配置用户的登录名第 2 步 : 通过用户管理认证管理认证配置进入认证配置界面, 点击客户端本地认证对应的未配置连接, 弹出如下图所示窗口该窗口主要用于配置用户上网初次认证时使用的密码必须且只能选择一种类型图 6-44 客户端本地认证配置窗口全局密码 : 内网所有用户初次上网进行认证时都使用此处所设置的密码临时密码 : 为了保证人员复杂的用户单位更好的完成用户登录信息保密工作, 系统自动生成, 为每个用户设定唯一的 8 位的个人密码选择临时密码后, 下载用户密码列表呈可点击状态, 点击该按钮, 将临时密码列表下载并保存到本地管理员需要将临时密码通知到每个人用户在初次上网进行认证时需要使用该密码进行认证 1. 组织管理中用户所设置的密码, 其优先级始终高于初始密码类型例如 : 如果事先在组织管理中已经为用户配置了密码 A, 而开启客户端本地认证时, 又配置了全局密码 B 或临时密码 B, 则用户在访问网络时需要输入 A 才可以通过认证 2. 客户端认证不支持用户修改密码, 如果需要修改, 可以由管理员在组织管理中进行修改 3. 如果用户信息丢失, 可通过网康自定义数据导入功能, 将保存到本地的文件导入来恢复用户信息第 3 步 : 设置密码类型后, 点击确定按钮关闭当前窗口回到认证配置界面, 点击客户端本地认证对应的默认认证方式列的将其更改为并立即生效此时如果内网用户上网, 则弹出会弹出如图 6-40 提示下载客户端所示画面点击下载并安装运行客户端后, 输入正确的登录名和密码后即可访问网络通过客户端本地认证上网的用第页

192 户, 会在系统监控上线用户中显示为客户端本地认证 WEB 本地认证 WEB 本地认证, 即 NS-ICG 认证用户使用在 NS-ICG 组织管理中设置的登录名和密码进行认证 WEB 本地认证和客户端本地认证的区别在于用户不需要安装客户端详细如下 : 第 1 步 : 手动添加或导入用户至组织管理中, 且用户必须有登录名 ( 详细请参考普通用户 ) 第 2 步 : 进入用户管理认证管理认证配置中点击 WEB 本地认证对应的配置列的未配置链接, 弹出如下图所示窗口 : 图 6-45 WEB 认证配置界面时间有效期 : 设定本地认证有效期, 到期后需重新认证登录开始 : 本地认证从用户登录开始计算一定时间后失效不活动开始 : 本地认证从无数据流量开始一定时间后失效使用该功能需要开启流量统计, 否则用户登陆后, 将一直被认为是不活动初始密码类型 : 同客户端本地认证相关部分强制用户修改初始密码 : 选择该项后, 用户在第一次登录后系统会强制用户修改密码第 3 步 : 设置完毕后, 点击确定按钮关闭当前窗口回到认证配置界面, 点击 WEB 本地认证对应的默认认证方式列的将其更改为并立即生效第 4 步 : 此时如果内网用户上网, 画面会弹出认证窗口详细请参考登录界面章节第页

193 如果需要设置用户自动下线帐号多地点登录帐号黑名单等详细配置, 请结合高级配置一起使用详细请参考高级配置章节 LDAP 认证对受 NS-ICG 访问控制的所有用户使用 LDAP 认证, 只有通过认证才允许访问网络用户在认证时所使用的登录名和密码是 LDAP 服务器中事先配置的详细如下 : 第 1 步 : 企业已经配置了 LDAP 服务器, 且设置了用户第 2 步 : 点击用户管理认证管理, 点击 LDAP 认证对应的未配置连接, 弹出如下图所示窗口 : 图 6-46 LDAP 认证基本配置导入证书导入显示证书列表 : 从证书服务器中导入证书, 用来修改 LDAP 用户密码关于证书服务器安装及配置请参考附录 6:AD 域证书服务器章节服务器 IP: 运行 LDAP 服务的服务器 IP 地址 ; 服务器端口 : 默认值为 389; 管理员全路径 :LDAP 服务器管理员帐号在 LDAP 服务器中的全路径例如 LDAP 服务器中, 管理员 administrator 所管辖域为 eng.qa2000, 并且该帐号保存在 users 组中, 则管理员全路径就应填写为 :cn=administrator,cn=users,dc=eng,dc=qa2000 在 ADLDAP 服务器中, 也支第页

194 持的写法 NS-ICG 用户手册入口 (BaseDN): 确定导入用户数据的导入点, 由域名和用户组名组成格式为 : [ ou= 2 级用户组,ou=1 级用户组,dc=N 级域名,,dc=2 级域名,dc=1 级域名 ] 例如 :LDAP 服务器所管辖域 eng.qa2000 的 1 级用户组为 netentsec,( 即 \ eng.qa2000\ netentsec), 如果您想将 netentsec 下的所有组及用户都导入 NS-ICG 组织管理中的根目录需要填导入入口为 :ou= netentsec,dc=eng,dc=qa2000 ( 若想导入域 eng.qa2000 下面的所用户组和用户的数据, 则填写导入入口为 :dc= eng,dc= qa2000); 用户属性 ( 可选 ): 用户的属性, 如 :cn uid, 当填写过滤条件时, 该参数无效 ; 过滤条件 : 如果用户数据存在多个组中时, 需要填写该参数, 以保证入口下的所有用户都能够正确认证, 格式为用户属性 =%s ; AD 域的 LDAP 服务器默认填为 :samaccountname=%s sun 的 LDAP 服务器默认填为 :uid=%s novell edirectory 的 LDAP 服务器默认填为 :uid=%s openldap 的 LDAP 服务器默认填为 :cn=%s 用户属性可以不填写如果填写, 请和过滤条件保持一致, 并去掉 s% 例如 : 用户属性中填写 samaccountname, 则过滤条件中必须填写为 samaccountname=%s 管理员密码 :LDAP 服务器管理员帐号的密码 ; LDAP 版本 : 选择所使用的 LDAP 的版本, 如版本 2 版本 3; 时间有效期 :LDAP 认证有效期计时从用户通过认证开始计算如果被认证用户认证后的时间超过设定的有效期, 用户将下线如需要继续访问互联网则要重新认证 ; 采用 TLS: 连接 LDAP 服务器时是否需要采用 TLS 加密方式, 由服务器配置决定是否需要第 3 步 : 配置完毕后, 点击确定, 保存所做配置第 4 步 : 点击 LDAP 测试按钮, 检查服务器配置是否正确, 是否能和服务器正常连接 LDAP 测试窗口如下 : 图 6-47 LDAP 测试第页

195 认证测试 : 输入用户名和原密码后点击该按钮, 可以验证 LDAP 认证服务器的配置及用户名密码是否正确修改密码测试 : 将上图所示三项均输入, 点击该按钮, 可以测试修改密码功能是否有效如果有效, 则用户在上网进行认证的窗口中可以修改密码修改密码功能仅支持 AD LDAP 认证服务器点击修改密码测试时, 请确保已经导入正确的证书第 3 步 : 设置完毕后, 点击确定按钮关闭当前窗口回到认证配置界面, 点击 LDAP 认证对应的默认认证方式列的将其更改为并立即生效第 4 步 : 此时如果内网用户上网, 画面会弹出认证窗口, 该窗口的操作同 WEB 本地认证, 此处略如果需要设置用户自动下线帐号多地点登录帐号黑名单等详细配置, 请结合高级配置一起使用详细请参考高级配置章节 RADIUS 认证受 NS-ICG 访问控制的所有用户需要通过 RADIUS 认证才允许访问网络详细如下 : 第 1 步 : 企业已经配置了 RADIUS 服务器, 且设置了用户第 2 步 : 点击用户管理认证管理, 点击 RADIUS 认证对应的未配置连接, 弹出如下图所示窗口 : 图 6-48 RADIUS 认证配置界面服务器 IP( 必填 ):RADIUS 认证服务器的 IP 地址 ; 服务器端口 : 根据 RADIUS 服务器配置的认证端口来设置不填则默认为 1812 第页

196 共享密钥 ( 必填 ): 共享密钥是 RADIUS 服务器和客户端同时使用的密钥 ; 时间有效期 : RADIUS 认证通过后的有效期默认为不过期可选择半小时一小时半天一天和一周 ; 服务器编码 : 选择服务器使用的编码,UTF-8 或者 GB2312 第 3 步 : 设置完毕后, 点击确定按钮关闭当前窗口回到认证配置界面, 点击 RADIUS 认证对应的默认认证方式列的将其更改为并立即生效第 4 步 : 此时如果内网用户上网, 画面会弹出认证窗口详细请参考登录界面章节 1. 时间有效期如果过期, 用户必须重新认证才能继续访问网络 2. 如果需要设置用户自动下线帐号多地点登录帐号黑名单等详细配置, 请结合高级配置一起使用详细请参考高级配置章节邮件帐号认证对受 NS-ICG 访问控制的所有用户或网段用户的上网行为使用邮件帐号认证认证帐号和密码即邮件服务器中建立的相关邮箱地址和密码第 1 步 : 企业已经配置了邮件服务器, 且设置了帐号信息第 2 步 : 点击用户管理认证管理, 点击邮件帐号认证对应的未配置连接, 弹出如下图所示窗口 : 图 6-49 邮件帐号认证配置界面认证方式 : POP3 认证 :Post Office Protocol3 ESMTP 认证 :ESMTP 是对 SMTP 协议 ( 即 : 简单的邮件发送协议 ) 的扩充, 会在发送邮件之前进行身份验证, 本身并无加密功能采用 SSL 加密 :Secure Socket Layer, 即 : 加密套接字协议层主要包括服务器认证客户认第页

197 证 ( 可选 ) SSL 链路上的数据完整性和 SSL 链路上的数据保密性保障数据传输的安全性如果选择该项, 则需要设置对应的认证端口认证端口 : 请和邮件服务器端口保持一致 POP3 认证 : 默认是 110 端口, 如果选择了 SSL 加密, 则默认是 995 端口如果填写, 请确保和邮件服务器端口一致 ESMTP 认证 : 默认是 25 端口, 如果选择 SSL 加密, 则默认是 465 端口如果填写, 请确保和邮件服务器端口一致邮件服务器 ( 必填项 ): 填写邮件服务器的域名或者 IP 地址例如 :mail.sina.com, 或者只支持填写一个域名或者一个 IP 地址不支持多个第 3 步 : 设置完毕后, 点击确定按钮关闭当前窗口回到认证配置界面, 点击邮件帐号认证对应的默认认证方式列的将其更改为并立即生效第 4 步 : 此时如果内网用户上网, 画面会弹出认证窗口详细请参考登录界面章节如果需要设置用户自动下线帐号多地点登录帐号黑名单等详细配置, 请结合高级配置一起使用详细请参考高级配置章节混合认证从上一节中我们可以看出,NS-ICG 支持很多种用户识别方式和用户认证方式如果单独在认证配置中设置, 则 NS-ICG 下所有用户都只能采取一种识别或认证方式但是有些网络环境需要对不同的网段使用不同的认证方式, 或者某些用户不需要进行认证就允许其上网因此我们提供了混合认证功能 NS-ICG 支持多种认证方式的混合认证, 即让一些网段使用一种认证, 而让一些网段使用另外一种认证当认证网段有交叉时, 用户只要通过其中一种认证就可以访问网络混合认证页面如下图所示 : 第页

198 图 6-50 混合认证配置界面 ( 一 ) 开启混合认证点击开启混合认证, 并点击下方的确定按钮, 激活混合认证功能当开启混合认证后, 在本页面中没有涉及到的 IP 地址都将使用认证配置模块中被设置为默认认证方式的识别或认证方式 ( 二 ) 认证网段混合认证中正是通过添加多个网段, 并为不同的网段指定不同的认证方式, 来达到混合认证的功能点击认证网段的添加按钮, 弹出如下图所示窗口 : 第页

199 图 6-51 添加认证网段起始 IP: 输入新网段的起始 IP 地址 ; 终止 IP: 输入新网段的终止 IP 地址 ; 认证类型 : 从下拉框中选择所需的认证类型只有在认证配置中经过配置并显示为已配置的认证方式才会显示在此处供选择认证配置中除了 IP 身份识别和 HTTP 代理身份识别, 其他都支持混合认证列 : 调整认证网段优先级点击, 表示提升优先级 ; 点击表示降低优先级在认证网段列表中, 最上面的认证网段将具有最高优先级如果一个用户既在认证列表中的第一行认证网段中, 又在第二行认证网段中, 则该用户上网时会首先被要求通过第一行认证方式 ( 三 ) 免认证 IP 网段将 IP 地址或者 IP 段加入免认证 IP 网段后, 在混合认证模式下, 这些用户将不需要认证就可以直接访问网络添加免认证 IP 网段只需要点击免认证 IP 网段的添加按钮, 在弹出的窗口中输入起始 IP 地址和终止 IP 地址后确定即可 1. 如果使用了透明用户识别和其他认证方式的混合认证时, 请注意一定要将透明用户识别服务器的 IP 地址加入到免认证 IP 网段中, 否则在混合认证开启的时候, 由于用户无法访问特定的服务器进行认证, 所以会导致用户无法通过认证使用网络 2. 免认证用户上线后, 在系统监控上线用户中显示为 IP 身份识别 ( 四 ) 举例说明某公司内网有如下需求, 且不允许账户唯一地点登录先登录者有效 : IP 地址认证方式认证服务器例外 ~ AD 认证无第页

200 ~ 其他所有用户 NS-ICG 用户手册 LDAP 认证 ~ 透明用户识别无 -POP 识别依据以上需求, 配置方法如下 : 第 1 步 : 认证配置中, 将透明用户识别设置为默认认证方式 ; 第 2 步 : 认证配置中, 配置 LDAP 认证以及 AD 认证和透明用户识别下的 POP3 识别第 3 步 : 认证配置中, 点击右上角的高级配置, 并选择唯一地点登录, 先登录者有效, 点击确定第 4 步 : 混合认证中, 在认证网段中添加 IP 地址为 ~ , 且认证类型选择 AD 认证 ; 第 5 步 : 混合认证中, 在认证网段中添加 IP 地址为 ~ , 且认证类型选择 LDAP 认证 ; 第 6 步 : 混合认证中, 将 ~ 都加入到免认证 IP 网段中 ; 第 7 步 : 混合认证中勾选开启混合认证, 点击下方确定按钮立即生效配置后, 内网用户上网结果是 : ~ : 必须通过 AD 认证才可以上网, 且帐号只允许在一个地点登录, 前登录者有效 ~ : 通过 AD 认证或者 LDAP 认证中的一个就可以上网 ~ : 必须通过 LDAP 认证才能上网, 且帐号只允许在一个地点登录, 前登录者有效 ~ : 无障碍上网, 且上线用户中显示为 IP 身份识别其他用户 : 无需认证就可上网, 且只要收一次邮件就可以被识别并显示在上线用户中登录界面开启认证管理后, 网内用户需要通过认证才可以上网 NS-ICG 提供的认证方式中 WEB 认证是在用户访问网络时, 在浏览器中显示登录界面, 用户只有输入正确的登录名和密码后才允许上网 NS-ICG 提供用户自定义该认证管理登录界面的功能, 这样每个使用 ICG 的公司或单位可以根据自己的需要来设计认证登录窗口详细如下 : 第页

201 第 1 步 : 通过用户管理认证管理登录界面进入如下图所示页面 : NS-ICG 用户手册图 6-52 认证窗口自定义更新 LOGO: 选择图片取代上述图片中的用户认证系统的内容更新背景图片 : 选择图片作为认证的背景图片隐藏修改密码部分 : 选择后将只显示用户名和密码部分, 隐藏了修改密码的部分启用登录界面提示信息 : 该项用来为登录界面增加提示信息, 勾选该项后即可在下面几项填写相应的内容预览 : 预览设置后的效果加载默认 : 认证窗口恢复初始的设置为了用户能够更好的使用 Web 认证,NS-ICG 提供了用户自主登录登出的功能当开启用户认第页

202 证后, 需要认证的用户访问外部网页时将弹出用户认证界面如下图 : 图 6-53 用户登录认证界面如果在配置中选择了隐藏修改密码部分, 则登录界面如下图 : 图 6-54 用户登录认证界面 - 隐藏了修改密码部分如果启用了登录界面提示信息, 则登录界面如下图 ( 界面中的信息由管理员设置 ): 第页

203 图 6-55 用户登录认证界面 - 启用界面提示信息在用户通过认证后, 进入 Web 认证提示页面, 如下图 : 图 6-56 用户登录提示界面第一段 : 显示用户名并提示用户已经成功登录第二段 : 提示用户可以点击该链接访问正要进行访问的页面第三段 : 提示用户如果需要退出认证, 可以点击该链接地址进行登出在代理模式下, 可以在系统管理系统配置代理配置中通过修改认证下线地址来使用户从代理服务器下线第四段 : 提示用户可以将登出地址保存到浏览器收藏夹中或者保存到文件中, 方便使用第五段 : 显示用户此次登录详细信息第六段 : 显示用户此次登录的在线时长用户点击登出链接后, 进入 Web 认证登出页面, 页面如下图 : 第页

204 图 6-57 用户自主登出提示界面点击登出即可成功登出, 登出时 NS-ICG 会将该用户的所有已登录 IP 执行下线操作网页重定向 NS-ICG 提供网页重定向的功能, 在设置网页重定向后, 所有经过 ICG 的用户在打开一个新的浏览器窗口访问站点时, 第一次访问的网页都会被重定向到所设置的 URL 页面第 1 步 : 进入用户管理认证管理在页面重定向输入栏中输入希望重定向到页面的 URL 如下图 : 图 6-58 重定向设置第 2 步 : 点击确定, 即可成功设置重定向功能 1. 页面重定向功能三分钟定位一次 2. 网址应去掉 3. 开启认证的情况下, 只有通过认证后才能定向到指定页面第页

205 7. 查询统计在第四章系统监控中我们介绍了如何查询 NS-ICG 下内网用户当天的网络访问情况带宽资源的利用情况策略的审计结果等在本章中我们将介绍如何查询 NS-ICG 下内网用户当天以及历史访问日志等信息, 同时还可以进行统计生成报表, 为网络管理员的决策和管理提供重要的数据依据查询统计的页面如下图所示 : 图 7-1 查询统计查询查询当天以及历史日志信息统计将当天以及历史日志信息按照类别关注重点等的不同进行统计报告将当天以及历史日志信息按照类别关注重点等的不同生成报告, 并分别可以以饼状图柱状图或表格的形式显示并发送到指定电子邮箱第页

206 7-1 查询基于整个网络的访问日志, 提供当天及历史日志信息的查询功能查询功能中提供多种日志信息的查询功能以下详细介绍由于查询模块的过滤条件页面设置等基本是和系统监控中相同, 因此我们在本章节中只介绍系统监控中没有的模块的功能使用, 如用户查询应用流量上线历史上网时长等以及模块相同但功能有所不同的模块的功能使用, 如文件审计等用户查询可以根据相关的查询条件, 一览特定用户的主要网络活动状况, 如应用流量网站访问邮件收发在线聊天论坛发帖上线历史等能够设置过滤条件查看所选用户在一定时间段内的主要网络使用情况有关各部分的详细介绍, 请参考各小节本节中主要介绍对查询结果的处理方法, 如保存查询结果发送查询结果等 NS-ICG 支持将查询结果以 EXCEL 表格形式发送到指定电子信箱或者保存到指定位置方法是选择查询结果后, 点击右上角的保存或发送按钮由于查询结果较多, 而画面可显示内容有限, 因此当通过如下图所示的全选按钮选择所有查询结果后, 再点击保存按钮将弹出如图 7-3 保存查询结果所示窗口 : 图 7-2 全选按钮第页

207 图 7-3 保存查询结果 NS-ICG 用户手册保存选中项目 : 保存当前页显示的所有选中查询结果保存所有项目 : 保存所有查询结果, 包括未能在当前页显示的所有查询结果当点击发送按钮时, 弹出如下窗口 : 图 7-4 发送查询结果发送选中项目 : 发送当前页显示的所有选中查询结果到指定邮箱发送所有项目 : 发送所有查询结果, 包括未能在当前页显示的所有查询结果到指定邮箱结果至 : 将选择的查询结果发送到指定电子信箱的地址对于如网站访问邮件收发在线聊天论坛发帖和文件审计模块还提供删除查询结果的功能方法是首先选择查询结果, 再点击右上角的删除按钮, 确认提示信息即可删除但是由于查询结果较多, 而画面可显示内容有限, 因此当通过全选按钮选择所有查询结果后, 再点击删除按钮将弹出如下图所示窗口根据所需选择后点击确定按钮即可图 7-5 删除查询结果删除选中项目 : 删除当前页显示的所有选中查询结果删除所有项目 : 删除所有查询结果, 包括未能在当前页显示的所有查询结果 1. 发送查询结果时, 请先配置好邮件服务器, 否则不能正常发送有关配置邮件服务器功能请参考邮件服务器章节 2. 属于免监控的 IP 地址, 某种程度上属于特权 IP 地址, 不能被阻塞监控第页

208 记录故所有查询的对象不包含免监控的 IP 地址 3. 删除指定查询结果是彻底删除, 删除后将无法恢复, 请慎重操作 NS-ICG 用户手册应用流量应用流量界面主要显示 NS-ICG 下用户对各种应用协议的当前以及历史使用情况同时提供对应用控制策略的审计结果的查询, 并设置过滤条件快速查找所需查询结果查询结果界面如下图所示 : 图 7-6 应用流量查询结果刚进入应用流量界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称时间 : 根据选择的流量显示方法不同汇总流量时显示为时间段, 即从某用户第一次使用某应用协议为时段起点, 至用户最后一次使用某应用协议为时段终点小时流量时为每小时 ; 细节流量时为该次网络应用连接建立的时间 ; 上传 / 下载流量 : 是根据时间汇总的各网络应用的流量 ; 访问控制匹配阻塞策略阻塞包数阻塞流量 : 是应用控制策略的审计结果第页

209 设置过滤条件 NS-ICG 用户手册点击选择操作配置过滤条件, 弹出配置窗口应用流量查询的过滤条件设置, 大致与 4-4 上线用户相同, 不同是的它增加了网络应用设置, 详细如下 : 选择网络应用 : 选择所要查询的网络应用 ; 选择匹配策略 : 选择所要匹配的策略项, 从已经建立的应用控制策略中选择 ; 选择访问控制 : 选择访问控制的策略方案, 如允许获阻塞翻页及显示在查询结果页面的最下方有如下图所示的翻页及显示设置 : 图 7-7 应用流量翻页与刷新该部分大致与 4-4 上线用户章节相同, 不同的是此处增加了流量显示选项, 用于设置查询结果的显示方式 : 汇总流量 : 在查询条件中设置的期间内, 用户第一次使用某应用协议至最后一次使用该协议止的流量汇总显示 ; 小时流量 : 在查询条件中设置的期间内, 以小时为单位显示用户使用某应用协议的流量 ; 细节流量 : 在查询条件中设置的期间内, 实时显示某用户使用某应用协议的流量开启系统管理系统配置系统参数中的流量统计功能后,NS-ICG 才统计网络应用流量信息网站访问本章节使用方法同系统监控章节, 详细请参考 4-8 网站访问搜索引擎本章节使用方法同系统监控章节, 详细请参考 4-9 搜索引擎第页

210 7-1-5 邮件收发本章节使用方法同系统监控章节, 详细请参考 4-10 邮件收发在线聊天本章节使用方法同系统监控章节, 详细请参考 4-11 在线聊天论坛发帖本章节使用方法同系统监控章节, 详细请参考 4-12 论坛发帖上线历史用户上网后都会在系统监控上线用户中显示 ( 除特殊情况如免认证免监控等 ) 而如果用户上网后被强制下线或者认证后超过认证有效期等都会形成一个完整的上线过程 NS-ICG 会将这个完整的上网过程记录到上线历史中而那些正在上网的用户则不显示在此处上线历史的查询结果如下图所示 : 图 7-8 上线历史 - 查询结果查询结果刚进入上线历史界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称设置过滤条件点击选择操作配置过滤条件, 弹出配置窗口上线历史的过滤条件设置, 大致与 4-4 上第页

211 线用户相同, 不同是的它增加了时间, 可以针对用户的上线时间和下线时间来设置过滤条件如果对上线时间单独进行过滤, 必须设置起始时间和终止时间得到的查询结果中将只显示在设置的时间段内的上线时间, 和下线时间无关反之下线时间的单独过滤也是如此翻页及显示详细请参考 4-4 上线用户章节正在上线的用户在此处不会显示, 只有当其下线后, 才会在此显示应用明细应用明细默认情况下是空白的, 只有在系统监控系统配置系统参数的流量及连接信息设置的开启后将记录应用连接信息功能, 应用明细中才开始记录数据该部分负责记录 NS-ICG 下用户对各种应用协议的使用情况, 并可查询历史信息它的使用方法和系统监控应用监控是完全相同的详细请参考该章节当有大量并发连接存在, 而且连接更新较快的环境中, 如学校或者允许 P2P 下载的单位, 建议关闭此项功能因这样会导致占用系统资源较多, 引起性能下降上网时长上网时长中会记录 NS-ICG 下所有用户的上网时长发生的上传 / 下载流量信息, 以及时长限额策略的审计结果可以按照用户应用明细等不同的角度来显示查询结果上网时长的查询结果页面如下 : 第页

212 图 7-9 上网时长查询结果查询结果刚进入上线时长界面时, 此时系统采用的是默认过滤条件该条件是系统内建条件, 默认选择所有用户, 且不可以被更改和删除如果设置了过滤条件, 则对应显示该过滤条件的名称设置过滤条件点击选择操作配置过滤条件, 弹出配置窗口, 如下图所示 : 第页

213 图 7-10 设置过滤条件上线时长的过滤条件设置和其他模块不同的是, 它增加了统计方式设置, 有以下几种选项 : 按用户 : 不关注应用, 仅关注各用户的在线时长和上传下载流量按应用 : 不关注用户, 仅关注各应用的在线时长和上传下载流量按策略 : 关注时长限额策略按上网详细信息 : 各用户所使用的所有应用的上传下载流量详细 1. 上网时长中的记录, 时间是累加的同一用户的同一应用不会重复显示如 : 某用户 A, 9: 00-10: 00 登陆了 MSN, 13: 00 16: 00 再次登陆 MSN, 则在上网时长中会显示为 A 用户 9: 00-16: 00 使用 MSN 的记录 2. NS-ICG 同时支持对指定查询结果保存或发送详细请参考用户查询第页

214 FTP 审计本章节使用方法同系统监控章节, 详细请参考 4-13 FTP 审计 TELNET 审计本章节使用方法同系统监控章节, 详细请参考 4-14 TELNET 审计 HTTPS 审计本章节使用方法同系统监控章节, 详细请参考 4-15 HTTPS 审计文件审计记录并显示匹配了文件审计策略 ( 如 MSN 的文件审计 FTP 的文件审计外发邮件的附件审计 HTTP 文件审计等 ) 的监控结果, 并可建立过滤条件从结果中迅速定位并显示本部分着重讲述和其他章节不同的分片信息功能文件审计页面如下图所示 : 图 7-11 文件审计本部分和其他查询模块相比, 多了分片信息选项这是因为对于如 flashget 迅雷等多线程 http 下载,NS-ICG 采取的是分段记录点击分片信息, 进入下图 : 第页

215 图 7-12 分片信息选择对象后, 点击合并上图中有四个分片信息, 其中有三个是 exe 文件, 且其文件名都是关于 qq, 另外一个是 jpg 文件在进行分片信息合并的时候, 其合并对象要求后缀名必须保持一致, 而且分片信息的大小要匹配如有三个分片信息, 一个是 0~500, 一个是 501~1000, 一个是 1001~1500 那么说明此三个分片信息是属于同一个文件的, 选择并点击合并后, 即可成功合并成功时, 界面直接弹出窗口, 提示用户将合并完毕的文件保存或者直接打开 1. 由于本章节的过滤条件设置是和 4-4 上线用户相同的, 此处省略 2. 由于文件合并需要相对应的分片信息, 因此, 如果删除了分片信息, 则相关文件的合并将失效第页

216 7-2 统计基于整个网络的访问日志, 除了可以实时监控和查询外, 还支持递进式 (Drill-down) 统计功能 ICG 支持对多种日志类型的统计, 如用户网络应用网站访问以及外发信息 ( 包括邮件聊天发帖 ) 等为依据进行统计操作的完整步骤为 : 首先设置时间范围和关注内容, 然后通过结果显示列表查看统计数据, 最后可以将统计结果生成统计报告或将结果保存打印或邮送统计类型说明 : 统计类型关注内容说明用户统计对用户的 Web/ 应用 / 外发信息情况进行统计应用流量用户 / 应用对 ICG 支持的应用进行流量统计网站访问用户 / 网站分类 / 站点 / 策略对 Web 的分类 / 站点数进行统计搜索引擎用户 / 搜索类别 / 搜索引擎 / 对搜索引擎使用的情况进行统计策略 / 关键字邮件收发用户 / 邮件类型对 SMTP/Webmail/POP3 的收发情况进行统计在线聊天用户 / 聊天工具对在线聊天的情况进行统计论坛发帖用户 / 发帖地址对论坛发帖的情况进行统计上网时长用户 / 应用 / 详细信息对上网时长进行统计文件审计用户 / 应用对文件传输进行统计递进式 (Drill-down) 的统计结果图 : 第页

217 图 7-13 递进式统计结果图统计条件各统计类型的统计设置界面相似, 用于控制统计内容, 如显示何时的何种类型的统计结果, 对时间和关注内容进行修改将直接影响统计结果, 显示都由两部分组成 : 统计条件设置区和统计结果显示区首先设置统计的条件, 共通的统计条件为 : 指定关注对象 : 调整统计结果的显示核心指定用户 : 调整统计数据所选择的用户范围, 也可以具体到每个用户指定日期 : 调整统计数据的时间跨度, 可选择日周月或自定义时间跨度指定时间 : 调整统计结果的时间段, 可以通过设定时间段仅统计每日的某些时间, 例如上班时间隐藏过滤条件 : 点击统计设置界面右上角的隐藏过滤条件按钮, 可隐藏统计条件设置界面, 以便完整显示统计结果列表部分, 再次点击可恢复显示设置界面第页

218 在特定的统计中, 还可以指定相关的统计条件, 同时, 一些统计还可以指定关注内容 : 选择不同的关注内容, 会决定统计以当前统计中的何种小类为方向执行操作具体的说明请参阅相应条件设定章节 ( 一 ) 关注对象在统计画面的右上角都有一个关注对象下拉框, 根据所选择的关注对象显示的统计显示形式不同如应用流量统计画面有 : 图 7-14 统计条件 - 关注对象 ( 二 ) 指定用户方法同 4-4 上线用户, 不同之处在于增加了一个统计条件, 即 : 具体到用户选择该项, 则按照组用户内部横向对比, 即以用户为单位进行统计 ; 不选择该项, 则按照组之间纵向对比, 即以用户组为单位进行统计 ( 三 ) 指定日期与时间在统计条件中, 可以设置统计的日期与时间, 包括时间跨度和时间段设置, 如下图 : 图 7-15 统计条件 - 指定日期与时间指定日期 : 统计条件的时间期间 ; 指定时间 : 统计条件的时间段期间如 : 只需要查询上班时间的数据, 可以指定时段一为 9:00-12:00, 时段二为 13:00-18:00 对于各模块统计条件中涉及的独立统计条件, 如网站访问中的指定网站分类, 搜索监控中的指定搜索类别等, 请参考系统监控章节对应模块第页

219 7-2-2 统计结果 ( 一 ) 统计结果的显示层设置好条件之后, 点击确定, 即可生成相应的统计结果, 统计结果从上至下分为以下几层, 说明和图片如下 : 查看详细信息 ( 以下简称 Drill-down) 方式选择 : 选择详细信息打开的方式标签页层 : 统计结果支持标签式查看, 不同的统计结果显示在不同的标签页上, 方便管理员切换查看统计结果结果导航层 : 左部显示当前标签页所处的位置, 管理员可点击以返回任意统计结果右部是保存和发送按钮结果显示 : 以表格方式显示统计的结果及表格的功能, 包括翻页功能刷新功能设置每页显示条目数功能表格数据统计图 7-16 统计结果说明 ( 二 ) 统计结果的打开方式 -Drill-down 方式开方式统计结果支持 Drill-down 方式查看, 如下图, 在统计结果的最右上方, 可以选择详细信息打图 7-17 统计结果递进方式说明从新标签页打开 : 打开的详细信息在新的标签页显示 ; 从当前标签也打开 : 打开的详细信息在当前的标签页打开 ; ( 三 ) 统计结果各部详细说明第页

220 分为列标题, 条目 ( 表格中实际统计数据 ) 和页尾 ( 表格底部一行 ) 三部分如下图 : 图 7-18 统计结果显示说明列标题 : 每列的标题表明其下各行中数据的意义, 点击列标题支持数据排序, 列的宽度可以通过拖动进行调整, 列之间可以通过拖动互换位置, 在某些表格中, 点击列标题右侧的三角符号, 可以隐藏 / 显示该列条目 : 分为若干列, 列数与标题列数对应, 显示具体的统计结果, 带下划线格式显示的数据表明支持 Drill-down, 可点击进入下一层细节页尾 : 统计结果的页尾, 包括翻页功能刷新功能设置每页显示条目数功能表格数据统计功能, 部分界面中支持搜索功能, 可按条目名称搜索条目总条目数 : 显示总共的条目数, 如果是基于用户的查询, 则为用户数翻页功能 : 用户多页之间进行切换 ; 刷新功能 : 刷新结果显示列表, 点击能更新统计结果 ; 每页显示 : 根据统计结果的情况, 设置每页显示的条目个数 ; 表格数据统计功能 : 显示当前页包含那些条目以及统计结果的总条目数 ; 搜索 : 对于统计结果显示列表中当前页面最左列的内容进行搜索, 可以进行模糊搜索统计结果显示列表中最左列的标题为站点分类应用时间的情况下不支持搜索功能如应用流量关注应用的统计结果显示列表界面不支持搜索功能 ( 四 ) 保存统计结果可以将用户选中的统计结果显示列表中的条目存放到 Excel 文档中方法是 : 第 1 步 : 在统计结果显示列表中选择要保存的记录, 如下图 : 图 7-19 统计结果保存第 2 步 : 点击右上角的保存按钮后, 页面提示打开或是保存该 Excel 文件选择并点击确定后,NS-ICG 将把选择的条目保存到 Excel 文档中内容如下图 : 第页

221 图 7-20 统计结果保存为 Excel 格式 ( 五 ) 发送统计结果将用户选中的结果显示列表中的条目内容以 Excel 格式附件发送到指定邮箱中如下图 : 图 7-21 发送统计结果 1. 发送统计结果前请提前进行正确的邮件配置, 参考邮件服务器章节 2. 支持以, 隔开填写多个收件地址,, 但必须保证邮件地址的正确性, 否则邮件将全部无法发送下面以应用流量模块举例说明 : 功能名称 : 统计应用流量功能描述 : 通过数据 Drill-down 的方式对 ICG 支持的所有应用的上传流量下载流量总流量及访问用户数进行统计功能启动步骤 : 查询统计统计应用流量详细操作过程 : 第 1 步 : 设置统计条件, 包括设置关注对象指定用户时间指定联网应用等统计条件的配置方法请参考统计条件 ; 第页

222 图 7-22 应用流量统计 - 统计条件应用流量统计条件中, 增加了指定联网应用, 关于该部分设置, 请参考 4-6 流量监控章节 ; 如果统计条件中选择了关注用户后点击确定, 页面将会显示以用户为关注对象, 相应的统计结果, 统计出用户及用户组所选日期所选应用的流量信息, 如下图 : 图 7-23 应用流量统计结果 - 关注用户如果选择关注应用, 页面将会显示以应用为关注对象的相应统计结果, 统计出每个应用类的流量信息第 2 步 : 关于统计信息的结果操作请参考统计结果策略网段外的用户, 只能看到总流量, 无法进一步 Drilldown 查看详细的流量信息第页

223 7-3 报告系统支持将 NS-ICG 内网用户的各种上网行为网络流量等根据需要生成各种报告, 并可以订阅报告, 系统会按照需要定期发送到指定信息 NS-ICG 可以生成的报告主要有四大类 : 用户活动摘要用户行为统计带宽资源使用和上网时长统计报告订阅中心报告订阅中心主要提供订阅各种报告的功能, 而对于报告的形式或内容都可以进行设置例如企业领导希望知道每周企业各部门员工的论坛发帖的情况, 那么 NS-ICG 管理员就可以在此处配置相应的报告条件,NS-ICG 会根据报告条件定期生成报告并发送到企业领导的电子信箱中下面以如何订阅用户活动摘要报告为例说明操作方法 : 用户活动摘要报告主要是将指定期间内 NS-ICG 的硬盘空间使用情况行为汇总 ( 即内网用户的网络请求数量及被阻塞数量 ) 流量汇总 ( 总流量及阻塞流量 ) 等以用户组或用户的形式生成报告, 并发送到指定电子邮箱方法如下 : 第 1 步 : 点击查询统计报告报告订阅中心, 进入如下图所示页面 : 第页

224 图 7-24 报告订阅中心 NS-ICG 用户手册指定用户 : 从组织结构中选择某用户并将其作为报告条件详细请参考 4-4 上线用户章节报告名称 : 为订阅的报告命名注意唯一性邮件地址 : 请输入正确的邮件地址, 多个邮件地址之间请用英文半角逗号, 分隔报告将定期发送到此处设置的邮件地址中生成周期 : 设置报告生成的周期, 如每天每周或每个月指定时间 : 设置生成每天指定时间段的报告 ; TOP: 生成排名前多少名用户的报告默认条件为前 100 位用户 TOP 值最大可输入的数字为 100 分图基数 : 所谓分图, 是指将报告拆分成若干张图进行显示而每张图显示多少位用户或多少网站等的信息, 就是基数由于 NS-ICG 统计到的数据较多, 当选择的 TOP 值较大时, 无法将统计结果显示在同一张图中, 为了方便用户查看, 因此提供该功能 1. 分图基数只支持柱状图, 不支持饼图和表格 2. 饼状图最多只显示排名前 20 名的数据信息, 柱状图最多只显示排名前 100 项的数据信息但如果 TOP 值中设置了 100 以下的值, 如 50, 则柱状图中只显示排名前 50 项的数据信息详细排名 : 设置表格形式的报告中所显示的详细排名数量, 例如设置为 5, 则报告结果如下图所示, 在详细列中将主要显示排名前 5 位的数据 : 图 7-25 表格形式的报告结果报告形式 : 设置订阅的报告的格式, 如 PDF 或 DOC 格式第页

225 详细订阅信息选择 : 选择所要订阅的报告详细信息可以通过全选选项, 来订阅各种用户行为的报告, 也可以根据所需分别订阅, 如用户行为统计等第 2 步 : 配置以上各项后, 勾选用户活动摘要, 界面如下图所示 : 图 7-26 订阅用户活动摘要报告排名信息 : 行为汇总 : 即内网用户的网络请求数量及被阻塞数量流量汇总 : 即内网用户的流量汇总 ( 总流量及阻塞流量 ) 摘要信息 : 用户组 : 以用户组的形式生成报告, 如组织内有市场部研发部, 则以组为单位生成报告用户详细 : 以单个用户的形式生成报告, 不考虑用户组如市场部的李某研发部的黄某第 3 步 : 根据需要选择用户活动摘要的项目后, 点击确定按钮在本页面下方的订阅结果中会显示该报告信息由于要发送报告到指定邮箱, 因此请确保您已经正确配置了服务器, 详细请参考邮件服务器章节 NS-ICG 的邮件历史报告管理在历史报告管理中可以查询下载发送在报告订阅中心中订阅的并且已经发送的第页

226 报告方法如下 : 第 1 步 : 点击查询统计报告历史报告管理, 进入如下图所示页面 : 图 7-27 历史报告管理时间范围 : 选择要查询的报告生成的时间生成周期 : 设置要查询的报告生成的周期, 如全部每天每周或每个月报告名称 : 输入要查询的报告的名称第 2 步 : 设置完报告条件后, 点击开始查询按钮, 系统将把查询到的报告显示在页面下方的报告列表中在未设置报告条件时, 报告列表中只显示当天发送的报告信息如下图 : 图 7-28 历史报告管理 - 报告列表 PDF 下载 : 点击相关报告的该链接, 可以下载该报告的 PDF 版本 DOC 下载 : 点击相关报告的该链接, 可以下载该报告的 DOC 版本第页

227 发送 : 点击相关报告的该链接, 在弹出的窗口中选择版本并输入电子邮箱, 则可以将指定报告立即发送到该电子邮箱中历史报告管理是对已经发送的报告的查询查看发送等管理, 因此如果没有订阅并发送过报告, 则历史报告管理中显示为空用户活动摘要用户活动摘要报告主要是将指定期间内 NS-ICG 的硬盘空间使用情况行为汇总 ( 即内网用户的网络请求数量及被阻塞数量 ) 流量汇总 ( 总流量及阻塞流量 ) 等以用户组或用户的形式生成报告方法如下 : 第 1 步 : 点击查询统计报告用户活动摘要, 进入如下图所示页面 : 图 7-29 用户活动摘要指定用户 : 从组织结构中选择某用户并将其作为报告条件详细请参考 4-4 上线用户章节指定日期 : 生成指定的日周月或者自定义日期区间的报告指定时间 : 设置生成每天指定时间段的报告排名信息 : 设置报告生成的依据 : 行为汇总 : 依据内网用户的网络请求数量和被阻塞数量 ; 流量汇总 : 依据内网用户的网络总流量和被阻塞流量 ; 摘要信息 : 用户组 : 在生成的报告中主要用户列是以用户组为单位进行排名用户详细 : 在生成的报告中主要用户列是以用户组中的用户为单位进行排名详细排名 : 在生成的报告中主要用户列显示排名数量, 如默认是 5, 即显示排名前五位的用户或用户组第 2 步 : 配置完毕后, 点击确定按钮, 报告会出现在下方用户活动摘要中可以生成的报告有 : 第页

228 报告分类报告名称报告依据用户活动摘要硬盘空间行为汇总流量汇总依据请求数阻塞数依据总流量阻塞流量如果在报告中显示无, 表示相关的策略没有激活, 如论坛发帖审计功能等如果在报告中显示本日无数据, 表示相关的策略虽然被激活, 但是在报告条件中所设置的期间内没有数据用户行为统计在用户行为统计中可以生成指定条件的网站访问报告邮件收发报告在线聊天报告论坛发帖报告搜索引擎报告文件审计报告用户行为统计是从用户行为的角度来生成报告的网站访问报告网站访问中可以生成的报告有 : 报告分类报告名称报告依据用户行为统计网站网站访问请求数最多的用户排名请求数最多的站点类别排名请求数最多的站点排名阻塞数最多的用户排名阻断数最多的站点类别排名阻塞数最多的站点排名依据请求数依据请求数依据请求数依据阻塞数依据阻塞数依据阻塞数 ( 一 ) 报告条件根据需要设置生成报告的条件, 如选择用户日期时刻和排名等报告条件依据所选择的报告种类而不同, 以网站为例, 进入如下图所示画面 : 第页

229 图 7-30 报告条件指定用户 : 生成指定用户的报告默认为所有用户 ; 指定日期 : 生成指定的日周月或者自定义日期区间的报告 ; 指定网站分类 : 根据所选择报告类型不同, 此处显示的不同在网站报告中, 涉及到不同的网站分类, 因此提供该项条件根据需要选择即可指定时间 : 生成指定时间段的报告 ; 排名依据 : 选择排名是依据请求数还是阻塞数, 也可以都选排名信息 : 用户组 : 在生成的报告中主要用户列是以用户组为单位进行排名用户详细 : 在生成的报告中主要用户列是以用户组中的用户为单位进行排名网站分类 : 显示请求数或阻塞数最多的站点类别排名访问站点 : 显示请求数或阻塞数最多的站点排名 TOP: 生成排名前多少名用户的报告默认条件为前 100 位用户 1. TOP 值最大可输入的数字为 TOP 值对饼状图柱状图表格都有效, 但是在显示时受各自的极限值影响饼状图最多显示排名前 20 位柱状图最多显示排名前 100 位表格最多显示排名前 100 位分图基数 : 所谓分图, 是指将报告拆分呈若干张图进行显示而每张图显示多少位用户的信息, 就是基数由于 NS-ICG 统计到的数据较多, 当选择的 TOP 值较大时, 无法将统计结果显示在同一张图中, 为了方便用户查看, 因此提供该功能 1. 分图基数只支持柱状图, 不支持饼图和表格 2. 饼状图最多只显示排名前 20 名的数据信息, 柱状图最多只显示排名前 100 项的数据信息, 不受所设置的 TOP 值限制第页

230 详细排名 : 在生成的表格类型的报告中详细列所显示的排名数量, 如默认是 5, 即显示排名前五位详细排名只是针对表格形式的报告中的详细列而言详细排名最多显示 10 个隐藏 / 显示过滤条件 : 点击右上角的隐藏过滤条件或显示过滤条件可以对过滤条件的显示进行控制 ( 二 ) 报告结果根据设置的报告条件, 生成报告在报告结果中都会显示如下图这样的标题 : 图 7-31 设置报告结果的显示形式及如何处理报告结果 : 以饼状图形式显示报告结果如下图 : 图 7-32 饼状图 : 以柱状图形式显示报告结果只有柱状图支持分图显示如下图 : 第页

231 图 7-33 柱状图柱状图中同时提供了平均线, 以供参考 : 以表格形式显示报告结果如下图 : 图 7-34 表格保存 : 将报告以 PDF 或 DOC 格式保存到指定位置发送 : 将报告以 PDF 或 DOC 格式发送到指定电子信箱订阅 : 订阅报告, 定期将报告发送到指定电子信箱点击该按钮后, 页面将直接跳转至报告订阅中心, 且条件和当天设置的保持一致, 只需要填写报告名称邮件地址, 并选择第页

232 生成周期等后点击确定按钮, 就可以完成该报告的订阅 NS-ICG 用户手册邮件收发报告邮件收发中可以生成的报告有 : 报告分类报告名称报告依据用户行为统计邮件邮件收发请求数最多的用户排名请求数最多的类型排名请求数最多的 Mail 服务器排名阻塞数最多的用户排名阻断数最多的类型排名阻塞数最多的 Mail 服务器排名依据请求数依据请求数依据请求数依据阻塞数依据阻塞数依据阻塞数关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考上一节网站访问报告在线聊天报告在线聊天中可以生成的报告有 : 报告分类报告名称报告依据用户行为统计聊天在线聊天请求数最多的用户排名请求数最多的聊天工具排名请求数最多的聊天账号排名阻塞数最多的用户排名阻断数最多的聊天工具排名阻塞数最多的聊天账号排名依据请求数依据请求数依据请求数依据阻塞数依据阻塞数依据阻塞数第页

233 关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节论坛发帖报告论坛发帖中可以生成的报告有 : 报告分类报告名称报告依据用户行为统计发帖论坛发帖请求数最多的用户排名请求数最多的站点排名阻塞数最多的用户排名阻塞数最多的站点排名依据请求数依据请求数依据阻塞数依据阻塞数关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节搜索引擎报告搜索引擎中可以生成的报告有 : 报告分类报告名称报告依据用户行为统计搜索搜索引擎请求数最多的用户排名请求数最多的搜索类别排名请求数最多的站点排名阻塞数最多的用户排名阻塞数最多的关键字排名阻塞数最多的搜索类别排名阻塞数最多的站点排名依据请求数依据请求数依据请求数依据阻塞数依据阻塞数依据阻塞数依据阻塞数第页

234 关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节文件审计报告搜索引擎中可以生成的报告有 : 报告分类报告名称报告依据用户行为统计文件文件审计请求数最多的用户排名请求数最多的传输工具排名请求数最多的文件类型排名阻塞数最多的用户排名阻塞数最多的传输工具排名阻塞数最多的文件类型排名依据请求数依据请求数依据请求数依据阻塞数依据阻塞数依据阻塞数关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节带宽资源使用在带宽资源使用中可以生成指定条件的带宽资源报告网站访问报告邮件收发报告论坛发帖报告文件审计报告是从用户行为对带宽资源的占用来生成报告的带宽资源报告带宽资源报告中可以生成的报告有 : 报告分类报告名称报告依据带宽资源使用总流量走势报告第页

235 报告分类报告名称报告依据带宽带宽资源占用最多的用户排名总流量上传流量下载流量阻塞流量累积流量最大的应用排名总流量上传流量下载流量阻塞流量以总流量走势报告为例介绍一下图形查看方法 : 通过总流量走势报告, 可以观察总流量阻塞流量上传流量下载流量随时间变化的情况, 如下图, 上部是该报告的名称, 中部使用不同颜色的线条分别表示不同的流量类型, 并在下部注明了报告图片生成的期间图 7-35 总流量走势报告关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节网站访问报告网站访问报告中可以生成的报告有 : 报告分类报告名称报告依据带宽资源使用网站网站访问带宽资源占用最多的用户排名带宽资源占用最多的网站分类排名带宽资源占用最多的站点排名总流量上传流量下载流量阻塞流量总流量上传流量下载流量阻塞流量总流量上传流量下载流量阻塞流量第页

236 关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节邮件收发报告邮件收发报告中可以生成的报告有 : 报告分类报告名称报告依据带宽资源使用邮件邮件收发带宽资源占用最多的用户排名带宽资源占用最多的类型排名带宽资源占用最多的 Mail 服务器排名总流量阻塞流量总流量阻塞流量总流量阻塞流量关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节论坛发帖报告论坛发帖报告中可以生成的报告有 : 报告分类报告名称报告依据带宽资源使用发帖论坛发帖带宽资源占用最多的用户排名总流量累积流量最大的网站排名阻塞数最多的用户排名总流量阻塞流量阻塞流量关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节第页

237 文件审计报告文件审计报告中可以生成的报告有 : 报告分类报告名称报告依据带宽资源使用文件文件审计带宽资源占用最多的用户排名带宽资源占用最多的传输工具排名带宽资源占用最多的文件类型排名总流量阻塞流量总流量阻塞流量总流量阻塞流量关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节上网时长统计上网时长统计报告主要是将指定期间内 NS-ICG 下内网用户中累积上网最长的用户排名报告累积上网最长的应用排名报告方法如下 : 第 1 步 : 点击查询统计报告上网时长统计, 进入如下图所示页面 : 图 7-36 上网时长统计第 2 步 : 配置报告条件第 3 步 : 点击确定按钮后系统将把相关的报告显示在页面下方的报告结果中关于报告条件的设置和报告结果的显示形式及处理方法, 详细请参考网站访问报告章节第页

238 8. 系统管理系统管理章节主要用于系统的管理维护运行监控故障辅助分析和诊断系统管理包含如下图所示 6 大模块 : 图 8-1 系统管理系统状态显示当前 NS-ICG 系统一些主要参数的运行状态, 如引擎是否启动系统引擎的工作模式等 ; 权限配置用于配置 NS-ICG 系统的管理账户 ; 网络配置配置 NS-ICG 系统的工作环境, 如网桥模式网关模式等, 同时为不熟悉网络配置的管理人员提供网络配置向导 ; 系统配置配置 NS-ICG 的主要参数如开启流量统计启动引擎配置邮件服务器等 ; 日志管理显示与 NS-ICG 系统相关的操作日志报警日志等 ; 日志中心配置网康日志中心, 将历史日志存储于外置存储设备中支持离线查询, 便于海量存储第页

239 8-1 系统状态系统状态主要用于显示系统状态的摘要信息, 通过系统管理系统状态进入如下图所示页面 : 图 8-2 系统状态产品序列号 : 每台 NS-ICG 产品唯一的编号 ; 系统版本 : 当前安装的系统版本号 ; 引擎状态 : 显示当前过滤引擎是否启动 ; DHCP 状态 : 显示当前 DHCP 服务是否启动 ; HTTP 代理状态 : 显示当前本地 HTTP 代理是否开启 ; SOCKS 代理状态 : 显示当前本地 SOCKS 代理是否开启 ; 高速缓存状态 : 显示当前高速缓存服务是否启动 ; URL 数据库最后检查时间 : 显示 URL 数据库最近一次更新的时间 ; URL 数据库版本 : 显示当前 URL 数据库的版本号 ; 应用协议数据库最后更新时间 : 显示应用协议数据库最近一次更新的时间 ; 应用协议数据库版本 : 显示当前应用协议数据库的版本号 ; 第页

240 系统工作模式 : 显示当前系统的工作模式, 如串接模式镜像模式 NS-ICG 用户手册 8-2 权限配置权限配置模块用于配置 NS-ICG 的系统操作人员 NS-ICG 内置了三种不同权限的系统操作人员即 : 超级管理员管理员和审计员系统默认情况下已经创建了超级管理员, 即 ns25000 添加管理员或审计员的方法是相同的, 下面以添加一位管理员为例介绍操作方法 : 第 1 步 : 通过系统管理权限配置进入如下图所示页面 : 图 8-3 权限配置 - 管理员列表第 2 步 : 点击右上角的添加按钮, 进入如下图所示页面 : 图 8-4 增加系统管理员登录名 / 密码 : 用于登录 NS-ICG 管理界面时使用设置密码时请注意不要设置六位以下过于简单或完全相同的密码类型描述 : 可以增加对管理员的描述信息 ; 用户姓名 : 管理员的姓名 ; 电子邮件 : 该管理员的电子邮件, 用于邮件通知, 如在丢失密码时需要通过邮件方式找回时使用请正确配置该项 ; 用户组 : 超级管理员 : 系统默认已经建立了 ns25000 用户, 拥有最高权限, 无法删除, 可以使用全部功能超级管理员可以对各种控制策略和审计策略的用户对象设置是否共享, 如果设置为共享, 则只要有策略管理权限的管理员都可以编辑策略的用户对象 ; 如果设置为不共享, 则即使有策略管理权限的管理员也不可以编辑策略的用户对象如下图 : 第页

241 图 8-5 设置管理员是否有权编辑用户对象管理员 : 由超级管理员建立账号分配权限分配可管控的用户组和用户最多可以拥有所有模块的管理权限如果有权限配置的权限, 管理员在登录时可以看到权限配置模块, 但是只能看到自身的账号信息如果超级管理员允许某管理员管理某个用户组的全体成员, 则该管理员可以对该组用户进行新建修改和删除的操作 ; 如果不是某用户组的全体, 而是部分用户, 则该管理员对改组不能进行新建修改删除等操作审计员 : 由超级管理员建立账号分配权限分配可管控的用户组和用户最多可以拥有系统监控查询统计两个模块的管理权限管理员和审计员之间不存在上下级关系第 3 步 : 填写并确定所创建的用户的权限级别后, 点击确定按钮, 添加成功如下图所示 : 图 8-6 管理员列表权限列表 : 点击设置权限链接, 在弹出的权限分配窗口中为管理员或审计员分配权限管控用户范围 : 点击设置管控范围, 在弹出的选择用户窗口中为管理员或审计员分配可以管理的用户组或用户权限的设置只能由超级管理员更改并设定删除 : 点击该链接, 删除对应的管理员或审计员 1. ns25000 是系统内建的管理员帐号, 不可以被删除 2. 在新建管理员时, 密码不允许为空 ; 在更新用户时, 如果密码项为空, 第页

242 系统会保留用户原有密码 3. 请注意区分与 NS-ICG 有关的两类用户其一, NS-ICG 的管理和维护人员, 称为管理员 ; 其二, 受 NS-ICG 访问控制管理的普通互联网使用用户, 称为用户或员工用户管理的功能参考 6. 用户管理章节 4. 登录成功后请及时修改管理员的密码 5. 请及时配置邮件服务器, 设置正确的邮箱地址及便在忘记密码时找回密码 6. 如果累积五次输入用户名和密码错误, 该 IP 的用户 15 分钟内将不允许登录 NS-ICG 7. 只有超级管理员可以建立修改管理员和审计员, 以及分配权限 8-3 网络配置网络配置是 NS-ICG 重要配置项之一, 配置网络是配置 NS-ICG 的第一步在进行网络配置之前, 请首先了解清楚本单位的基础网络环境与拓扑结构, 并选择恰当的 NS-ICG 网络部署模式 ( 详情参考前文 NS-ICG 的工作环境章节 ) 如果是第一次进行网络配置, 建议使用网络配置向导功能进行配置 ; 如果在网络已经配置好后, 仅做某些网络配置的修改, 建议直接使用网络配置功能修改相应的配置即可管理口设置配置管理接口, 可以使 NS-ICG 只能通过特定的网络接口进行访问和配置方法是通过系统管理网络配置管理口设置, 进入如下配置界面 : 启用管理口 : 设定是否启用管理接口功能图 8-7 基本设置 - 管理接口 IP 地址 : 设定管理接口的 IP 地址, 根据实际情况设定第页

243 子网掩码 : 根据实际情况设定, 如 NS-ICG 用户手册选择接口 : 选择作为管理接口的网卡, 如配置了多块网卡, 则可能有 eth2 eth3 等选项, 请根据实际情况设定访问限制 : 不限制 : 此时通过管理接口外接口和内接口等都可访问 NS-ICG 只允许管理接口访问本机 : 此时只允许从管理接口访问 NS-ICG 在各项参数配置完毕后, 点击确认, 使配置生效配置管理接口的 IP 地址时, 请不要分配与网桥网关同一网段的 IP 网络配置向导如果是第一次进行网络配置, 建议使用网络配置向导功能进行配置通过系统管理网络配置网络配置向导, 进入如下图所示界面 : 图 8-8 网络配置向导网络配置向导共有五步, 只有完成了前一步才能进入下一步而每一步的详细设置请参考网络基本配置中的具体说明网络基本配置 NS-ICG 系统刚刚安装完毕时的默认 IP 地址是在浏览器中输入该地址后登录系统并通过系统管理网络配置网络配置进入到如下图所示页面 : 第页

244 图 8-9 网络配置模式选择中说明了 NS-ICG 支持的模式, 如 : 网关模式网桥模式 ( 单网桥模式和双入双出模式 ) 镜像模式关于这几种网络模式适用的网络环境是怎样的? 如何选择适合本企业的网络环境, 请参考 2. NS-ICG 的工作环境章节本节主要介绍各种网络模式的配置方法单网桥模式如上图所示, 刚进入网络配置界面时, 系统默认的是网桥模式配置方法如下 : 第 1 步 : 输入 NS-ICG 的基本网络配置 : IP 地址 : 用于访问 NS-ICG 可设为企业内网上的任意 IP, 比如 IP 掩码 : 根据根据企业实际网络环境设置, 如缺省网关 : 请将 NS-ICG 的默认网关指向该企业所使用的网关 ( 即防火墙 / 路由器内部 IP), 如外网口 : 选择连接外网的接口当鼠标停留在网口上时, 将显示该网口的详细信息, 如接口类型接口速率等内网口 : 选择连接内网用户的接口请确保 NS-ICG 设备上的内外网口的接线和配置一致内外网口都接线后, 会显示网口状态第页

245 第 2 步 : 设置 DNS 的地址主 DNS 服务器地址必填, 且需格式正确真实无误辅 DNS 服务器地址为非必填项第 3 步 : 配置高级配置, 如路由 Trunk 或多 IP 等详细请参考网络高级配置章节第 4 步 : 配置完毕后, 点击确定若想让最新的配置立即生效, 请点击右上方的立即生效按钮 1. 网络参数配置生效后, 可以重新登录 NS-ICG, 查看设置是否有效, 如若 NS-ICG 配置的网络地址为 , 则可以重新开启浏览器, 通过访问 NS-ICG 2. ICG 设备不能直接与 HUB 连接, 否则可能会过滤额外的数据流, 影响网络的正常功能, 造成用户访问故障 3. 网络部署模式请参考 2-1 单网桥模式章节双入双出模式第 1 步 : 进入如图 8-9 网络配置页面后, 勾选双入双出选项, 页面变更为 : 第页

246 图 8-10 双入双出模式线路 : 分别配置双入双出模式下两个线路的详细信息, 如 IP 地址网口等内外网口 : 双入双出模式下的网口配对规则默认是线路 1 是 eth0 为外网口 eth1 是内网口 ; 线路 2 是 eth2 为外网口 eth3 是内网口也可以根据需要手动更改第 2 步 : 其他配置步骤可参见单网桥相关配置步骤切换至双入双出模式的前提条件 : 1. HTTP 引擎为旁路模式 ; 2. NS-ICG 未开启 TRUNK 功能 ; 3. 可用网口不少于四个 ; 4. 两条线路的 IP 地址不能在同一网段, 且管理口地址也不能与双桥地址在同一网段双入双出的网关设置 : 因为在双入双出模式下,HTTP 引擎为旁路模式, 所以设置网关的目的只是为了 NS-ICG 本身访问外网, 对内网用户经过 NS-ICG 设备访问外网没有影响建议设置为双入双出任意出口的下一跳地址第页

247 网关模式 NS-ICG 在网关模式下支持一入多出部署随着互联网的发展, 很多组织拥有多个互联网出口 NS-ICG 作为互联网行为管理产品不仅可以合理有效的管理多个互联网出口, 且 NS-ICG 从应用内容层控制链路的选择相比传统的路由器有非常明显的优势, 因此可以替代网络中的路由器, 实现一入多出部署以下是详细使用方法 : 第 1 步 : 进入如图 8-9 网络配置页面后, 勾选网关模式选项, 页面变更为 : 图 8-11 网关模式第 2 步 : 配置内外网口及其相关属性方法是点击内外网口设定右上角的添加按钮, 弹出如下图所示窗口 : 第页

248 图 8-12 新建接口 - 静态地址描述 : 输入对该接口的描述信息 ; 选择接口 : 接口数量会根据设备的实际接口数量显示可选择项接入方式 : 选择接入方式静态地址 : 当选择静态地址时, 需要同时填写静态网口的相关参数, 如 IP 地址 IP 掩码和网关地址网关地址是指默认路由地址 ADSL 拨号 : 当选择 ADSL 时, 需要同时填写相关的用户名和密码权重 : 在多个路由转发时,NS-ICG 根据所设置的权重值决定由哪个接口转发数据权重高的接口将承受相对较高的流量权重值要求输入 0~256 之间的任意一个整数如果输入 0, 则意味着该接口不会被加入到默认路由中, 需要手动配置静态路由来指定哪些数据包通过该接口发送第 3 步 : 点击确定按钮, 关闭该弹出窗口第 4 步 : 配置 DNS 服务器第 5 步 : 配置相关的高级配置, 详细请参考网络高级配置章节第 6 步 : 点击确定按钮第 7 步 : 若想让最新的配置立即生效, 请点击右上方的立即生效按钮 1. 在 NS-ICG 配置成网关模式下后, 受 NS-ICG 访问控制的内网客户需修改其网络配置, 把默认网关指向 NS-ICG 内网口 IP 地址 2. 网关模式下, 内网 IP 和外网 IP 不能在同一网段 3. 网络参数配置生效后, 可以重新登录 NS-ICG, 试验设置是否有效, 如若第页

249 NS-ICG 配置的网络地址为 , 则可以重新开启浏览器, 通过访问 NS-ICG 4. ICG 设备不能直接与 HUB 连接, 否则可能会过滤额外的数据流, 影响网络的正常功能, 造成用户访问故障 5. 网络部署模式请参考 2-3 网关模式章节镜像模式镜像模式比较适合网络流量较大更关注于信息的审计的大型单位配置方法如下 : 第 1 步 : 在系统管理系统配置管理口设置中配置管理口, 将内网口的线接入管理口后, 并在 IE 中输入在管理口中设置的 IP 地址访问 ICG, 进入如下图所示画面此时镜像模式按钮呈可选状态, 并且在上图的接口图中管理口呈启用状态 : 图 8-13 配置了管理口并接入后的网络配置界面第 2 步 : 点击镜像模式, 确认提示信息确认切换到镜像模式, 进入如下图 : 第页

250 图 8-14 网络基本配置 - 镜像模式 NS-ICG 用户手册立即备份 : 由于切换到镜像模式后, 原有的策略等设置都将被清除, 因此提供备份功能, 用户可根据需要进行备份处理 ; 立即配置策略网段 : 该项不是必须选项, 如果不配置策略网段, 则默认使用以下 /8( ); /12( ); /16( ) 作为内网 IP 如果配置了策略网段, 则使用策略网段内用户为内网 IP 切换模式 : 配置相关参数, 切换到镜像模式 ; 取消 : 取消所做的选择, 回到原 NS-ICG 网络部署方式第 3 步 ( 可选 ): 点击立即备份按钮, 进入备份 / 恢复画面, 详细请参考备份与恢复章节 ; 第 4 步 ( 可选 ): 点击立即配置策略网段按钮, 进入配置策略网段画面, 详细请参考 5-2 策略网段章节 ; 第 5 步 : 点击切换模式按钮, 进入下图 : 图 8-15 镜像模式 - 配置控制口启用控制口 : 主要用于阻断 web 访问 IP 地址需设为和网关内部 IP 地址同一网段的任意 IP 当启用控制口时, 默认路由应设置在控制口该项不是必须选项, 当控制口没有启用时, 默认使用管理口第 6 步 : 点击确认切换按钮, 切换到镜像模式其网络配置界面变化如下图 : 第页

251 图 8-16 镜像模式第 7 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮 1. 镜像模式比较适合网络流量较大更关注于信息审计的大型单位 2. 镜像模式下一些功能无法使用, 如应用控制策略流量控制策略时长限额策略阻塞策略网段外用户免监控 IP 的针对带宽通道选项用户认证 VLAN 功能透明模式代理功能带宽控制等 3. 从镜像模式切换到串联模式时, 不保存镜像模式下的网络配置, 同时将串联模式下的网络模式改为桥模式, IP 地址为默认地址如果用户在网桥模式中设置过其他的 IP 地址, 则恢复为用户所设置的地址 4. 镜像模式和串联模式的系统备份文件不能通用镜像模式下只显示镜像模式的备份文件串联模式下只显示串联模式下的备份文件 5. 网络部署模式请参考 2-4 镜像模式章节网络高级配置网络高级配置中主要是配置如 VLAN NS-ICG 多 IP 地址路由 TRUNK 静态域名解析等根据网络节本配置的不同, 界面上提供的高级配置项也有所不同详细如下 : 第页

252 多 IP 配置多 IP 配置用于为 NS-ICG 配置多个 IP 地址, 便于从多个 IP 地址访问 ICG 方法如下 : 进入如图 8-9 网络配置页面后, 点击多 IP 配置按钮, 进入下图 : 图 8-17 网络高级配置 - 多 IP 配置多 IP 配置 : IP 地址 : 设置其他 IP 地址, 如 , 设置后可以通过添加的地址访问 ICG IP 掩码 : 根据实际情况设置, 如接口 : 选择需要绑定其他 IP 的网络设备, 网桥模式下只能为网桥接口根据实际情况输入上述内容, 点击添加按钮后, 输入的信息将对应显示在画面下方区域路由配置为 NS-ICG 配置路由方法如下 : 进入如图 8-9 网络配置页面后, 点击路由配置按钮, 进入下图 : 第页

253 图 8-18 网络高级配置 - 路由配置路由配置 : 静态路由 : 设置路由, 将发往某个 IP( 目的 IP) 的数据全部发往指定地址 ( 下一跳 ) 默认路由 : 将所有数据 ( 如果未匹配其他路由策略 ) 全部发往指定地址 ( 下一跳 ) 接口 : 选择路由策略在哪一个网络接口上实现, 网桥模式下可选择网桥接口或 VLAN( 如果设置了 VLAN), 路由接口还可以选择管理口 ( 需启用管理口 ) 添加静态路由和添加默认路由时, 设置的下一跳的 IP 地址会影响可使用的网络接口, 如果下一跳地址设置为 , 而实际选择的网络接口并没有该网段的 IP 地址, 则路由不能成功添加添加静态路由和添加默认路由时, 设置的下一跳的 IP 地址会影响可使用的网络接口, 如果下一跳地址设置为 , 而实际选择的网络接口并没有该网段的 IP 地址, 则路由不能成功添加 ; 例如配置某路由, 要求实现 : 发往的数据包必须从 ( 下一跳 ) 经过其配置为 : 添加静态路由 : 目的 IP : , 下一跳 : , 接口 : 网桥接口 ; 不设置默认路由时, 默认路由即为网关地址 TRUNK 配置该功能用于将 ICG 设备部署在 VLAN 交换机级联的 Trunk 端口之间, 对通过 Trunk 端口传输带有 VLAN 标签 (Tag) 的不同 VLAN 中的数据进行监控管理和透传第页

254 802.1Q VLAN Trunk Protocol:VLAN Trunk 是一个在一个或多个交换端口与另一个网络设备 ( 例如路由器或交换机 ) 之间的点到点连接 (Point-To-Point Link) Trunk 通过一个单独的物理线路负载多个 VLAN 的数据通信, 并允许你在整个网络内扩展多个 VLAN 图 8-19 VLAN Trunk 说明通过在 TRUNK 配置页面中配置属于不同 VLAN 的 IP 地址和 VLAN ID,ICG 将能够对这些 VLAN 的数据进行监控方法如下 : 进入如图 8-9 网络配置页面后, 点击 Trunk 按钮, 进入下图 : 图 8-20 Trunk 配置添加 VLAN: 进入如下主界面, 添加需要控制的 VLAN 的 IP 地址子网掩码和 VLAN ID, 第页

255 添加的 IP 地址不要与同一 VLAN 中的其它 IP 冲突 NS-ICG 用户手册启用 Trunk: 选择启用 Trunk 第 2 步 : 点击确定按钮, 系统会添加对 TRUNK 下数据的识别和透传功能 1. 只有单网桥模式支持 Trunk 双入双出不支持 2. VLAN IP 地址不能和 ICG 接入模式中配置的网桥 IP 地址在同一网段 3. 安装系统时, 先改网桥的工作网口 ( 需要支持 Trunk 通讯的网口 ), 再配 VLAN IP 否则可能导致 ICG 无法正常工作 4. 对于没有配置的 Trunk 的通讯, 须配置一不受控制的 VLAN id, 这样才能访问网络 5. NS150 机型不支持 Trunk 配置 6. NS250/NS550 机型的百兆口不支持 Trunk 配置用户可以根据具体情况设置 IP 地址查看企业已有的防火墙 / 路由器内部 IP 地址假设为 , 根据企业网络环境设定 NS-ICG 的 IP 地址以及其他网络参数 VPN 配置网康公司除了互联网控制网关 (NS-ICG) 产品外, 同时还有集中管理平台 (NS-CMP) 产品对于分布式部署多台上网行为管理产品的集团用户, 集中管理平台可以帮助管理员随时了解各分支结构的设备运行状态, 统一制定下发上网行为管理的策略, 并定期收集各分支结构用户上网行为日志集中管理使管理员能够统揽全局统一设置策略, 极大的提高了管理效率但是 NS-ICG 在各个组织企业中的部署方式是不同的有的组织中 NS-ICG 设备并没有互联网 IP 地址, 也不能通过端口映射等方式将 NS-ICG 的相应端口映射到互联网中而集中管理平台需要能够访问 NS-ICG 设备以实现集中控管的功能通过 VPN 配置功能, 可以保证集中管理平台的正常运行使用方法如下 : 第 1 步 : 确认该 NS-ICG 是被集中管理如果该 NS-ICG 是独立工作, 请不要使用该功能第 2 步 : 确认其上级集中管理平台配置了公网 IP 地址, 且开启了 VPN 配置详细请参考集中管理用户手册第 3 步 : 在 NS-ICG 中点击系统管理网络配置 VPN 配置 ( 按钮 ), 进入如下图所示页面 : 第页

256 图 8-21 VPN 配置第 4 步 : 勾选开启 VPN 服务选项, 并填写集中管理端公网 IP 地址第 5 步 : 点击保存按钮系统自动和集中管理端尝试连接, 连接成功后, 将当前 VPN 状态显示在上图上方集中管理端会为该 NS-ICG 分配一个 VPN IP 地址, 也会显示在上方第 6 步 ( 可选 ): 如果发现 VPN 状态为已开启, 但是并未分配到 VPN IP, 可以点击连接按钮来重新建立 VPN 连接静态域名解析所谓静态域名解析, 就是手工配置域名到 IP 地址的映射方法如下 : 第 1 步 : 点击系统管理网络配置静态域名解析, 进入如下图所示页面 : 第页

257 图 8-22 系统配置界面第 2 步 : 在 IP 地址中输入 IP 地址, 并在域名中输入相应的域名, 点击添加按钮即可 8-4 系统配置系统配置包含基本设置系统设置授权与更新备份与恢复系统工具帮助信息六个大类, 每个大类下又包含若干小类, 其中, 基本设置和系统设置需要用户在首次使用的时候优先进行配置第页

258 图 8-23 系统配置界面基本设置系统参数设置 NS-ICG 系统的多种配置参数, 如 : HTTP 引擎 WEB 记录等级透明模式流量及连接信息设置外部代理配置 DHCP 配置硬件 Bypass 设置 STP 配置 URL 过滤 SNMP 配置以下是详细介绍 : ( 一 ) HTTP 引擎配置引擎是 NS-ICG 的核心部分, 所有策略匹配和执行都是由引擎来执行的第页

259 图 8-24 基本设置 - 系统参数 -HTTP 引擎配置启动过滤 : 系统默认状态, 所有的网络应用将根据设置的策略进行过滤停止过滤 : 停止引擎将停止所有应有的过滤重新载入配置文件 : 相当于立即生效重新载入并生效的配置包括 : 策略管理员信息和引擎运行所需要的一些基本配置高级配置 : 可以切换引擎的工作模式点击该按钮, 进入下图 : 图 8-25 基本设置 - 系统参数 -HTTP 引擎高级配置串接模式 : 引擎对所有的数据包都进行分析和识别, 可以实现所有正常功能审计完备性好但是在大吞吐量数据流的情况下, 引擎的压力较高旁路模式 : 引擎通过旁路模式抓包进行分析, 可以负担较大的数据吞吐量, 但是部分控制功能有所弱化 1. 切换引擎工作方式可能引起网络暂时中断 2. 引擎默认是旁路模式 ; ( 二 ) WEB 记录等级详细设置 WEB 访问记录的等级第页

260 图 8-26 基本设置 - 系统参数 -WEB 记录等级无记录 : 不记录 web 访问日志优化访问记录 : 只记录实际访问的 web URL 地址, 而不记录图片脚本等信息全部访问信息 : 记录所有访问 web 信息开启 : 开启后在系统监控网站访问中会记录下所访问的 web URL 的完整地址关闭 : 不记录所访问的 web URL 的完整地址, 只记录从开始到第一个问号? 为止的部分 url, 以保护用户隐私注意 : 开启全部访问信息功能后,NS-ICG 会对局域网内每个用户所访问的每个连接都进行记录, 包括图片脚本等例如 sohu 页面下的图片脚本等内容信息就有上百个, 因此一旦开启本功能, 将消耗较多的系统资源, 从而导致网页访问速度降低请谨慎选择该项功能 ( 三 ) 透明模式透明模式只在网桥下适用, 在网关模式下虽然可以将之开启 / 关闭, 但实际是无效的图 8-27 基本设置 - 系统参数 - 透明模式开启透明模式 : 包的源地址全部 ( 大部分 ) 为内网 IP 关闭透明模式 : 包的源地址全部 ( 大部分 ) 为 ICG 的 IP 地址当开启本地代理且缓存开启时, 透明模式设置被屏蔽, 且处在关闭状态第页

261 ( 四 ) 流量及连接信息设置设置流量统计开关状态图 8-28 基本设置 - 系统参数 - 流量统计开启后将统计各种应用协议的流量信息 : 对于 ICG 支持的应用 ( 参考附录 ) 和自定义应用, 是否开启流量统计只有开启时, 系统监控查询统计中的流量监控中才有数据开启后将记录应用连接信息 : 对于 ICG 支持的应用 ( 参考附录 ) 和自定义应用, 是否记录每条应用连接信息只有开启时, 查询统计的应用监控中才有数据当有大量并发连接存在, 而且连接更新较快的环境中, 如学校或者允许 P2P 下载的单位, 建议关闭此项功能因这样会导致占用系统资源较多, 引起性能下降 ( 五 ) 外部代理配置配置外部代理, 使得 NS-ICG 通过第三方代理访问互联网当输入多个端口时, 请用半角逗号分隔默认为 80 端口图 8-29 基本设置 - 系统参数 - 外部代理配置 1. 在用户管理认证管理中开启 NTLM 认证后, 外部代理将自动被启动需要手动在此处配置相应的端口号 2. 在用户管理认证管理中如果使用外部代理服务器并开启 BASIC 第页

262 认证, 外部代理将自动被启动也需要手动在此处配置相应的端口号 3. 启用代理后, Bypass 域名功能无效 NS-ICG 用户手册功能 ( 六 ) DHCP 配置启用或关闭动态分配 IP 功能开启该服务后,NS-ICG 将作为 DHCP 服务器并提供动态 IP 分配的图 8-30 基本设置 - 系统参数 -DHCP 配置点击 DHCP 配置按钮, 可以详细配置 DHCP 如下图 : 图 8-31 基本设置 - 系统参数 -DHCP 高级配置 DHCP 起始地址 DHCP 结束地址必须在内网有效 IP 地址范围内, 否则无法启动服务 ( 七 ) 硬件 Bypass 配置第页

263 硬件 Bypass, 又称 Lanbypss 或内置电口 Bypass 在 NS-ICG 以串接方式部署时, 为了避免产品的单点故障, 当设备出现宕机断电或死机时, 会触发硬件 Bypass 功能让内外两个网络端口物理连通, 相当于一根直通网线此时用户的数据流会直接绕过 NS-ICG 设备, 从而达到保障网络畅通的目的图 8-32 基本设置 - 系统参数 - 硬件 Bypass 设置启用硬件 Bypass: 系统宕机后, 会自动触发硬件 Bypass 功能禁用硬件 Bypass: 系统即使宕机也不会自动启动硬件 Bypass 功能重启后 Bypass:OFF: 重新启动 NS-ICG 后, 硬件 Bypass 状态关闭重启后 Bypass:ON: 重新启动 NS-ICG 后, 硬件 Bypass 状态开启 1. 只能通过管理口设置 2. 只有当设备不仅支持硬件 Bypass, 而且网络模式是网桥模式时, 才可以正常使用 Bypass 功能 3. 在双入双出模式下, 如果只有一对网口支持硬件 bypass, 硬件 bypass 功能可以正常使用, 但是当设备出现死机等情况下, 硬件 bypass 会发生在支持硬件 bypass 功能的网口上如果设定了启用硬件 Bypass, 在系统主界面的右上方, 会显示如下图最左部的 Bypass 功能按钮 : 图 8-33 硬件 Bypass 提示没有按钮 : 说明该设备当前使用的网桥接口不支持硬件 Bypass 功能有按钮但呈灰色状态 : 说明该设备支持 Bypass 功能, 且目前系统运行正常管理员没有通过管理口登录或者硬件 bypass 功能被禁用按钮呈绿色状态 : 说明该设备支持 Bypass 功能, 且目前系统运行正常管理员是通过管理口登录设备的点击该按钮可以使设备处于硬件 Bypass 状态有按钮且呈红色状态 : 说明该设备当前正处在硬件 Bypass 状态点击该按钮可以关闭硬件 Bypass 状态第页

264 ( 八 ) STP 配置开启或关闭 STP 功能默认关闭 STP 功能该功能只在网桥模式下有效图 8-34 STP 配置 ( 九 ) URL 过滤开启或关闭网站访问排名信息中对非网页浏览内容 ( 如图片广告脚本等 ) 的统计功能默认关闭 URL 过滤功能如下图 : 图 8-35 URL 过滤 1. 网康 URL 数据库升级到版本以上后, 在数据库分类中会有网络资源类, 主要包括非网页浏览内容, 如图片广告脚本等 URL 过滤功能是和该功能结合运作的, 因此如果想使用 URL 过滤功能, 请首先将 URL 数据库升级至或更高版本 2. 关闭 URL 过滤时, 如果内网用户在访问网站时产生了非网页浏览内容会在系统监控网站访问中 ( 十 ) SNMP 配置 SNMP(Simple Network Management Protocol), 即简单网络管理协议目前 SNMP 服务应用在很多网络硬件设备中, 如交换机路由器等 NS-ICG 也提供了 SNMP 服务, 以便通过网管软件查看 NS-ICG 的部分网络状态信息, 如网络接口流量状态 IP 地址数据包等信息默认关闭 SNMP 第页

265 服务, 如下图 : 图 8-36 SNMP 服务代理设置在系统管理系统配置下方, 标签页代理配置是指将 NS-ICG 作为本地代理服务器来使用 NS-ICG 可以作为本地 HTTP 代理服务器和本地 SOCKS 代理服务器两种它的界面如下图所示 : 第页

266 图 8-37 基本设置 - 本地代理配置 ( 一 ) HTTP 代理启用 HTTP 代理 : 将 NS-ICG 地址作为代理地址使用 HTTP 代理端口 : 配置 HTTP 代理侦听的端口, 端口可以有多个 ( 总长度 90 个字符, 最多 15 个端口 ), 以逗号分隔, 端口号为之间默认为 80 端口 ; 缓存配置 : 数据的缓存功能可以把一些在相对一段时间内不发生改变的页面放在缓存中, 当某个页面被存储后, 后续在某个时段内访问该站点, 系统就不必要访问远程的服务器, 而直接从缓存中获得数据缓存有效地节省网络带宽, 使网络更有效地被利用需要注意的是 : 当缓存关闭时, 下面的高级配置中除了安全端口选项之外的其他选项都将失效 ( 可以配置, 但不起作用 ) 高级配置 : 安全端口 :HTTP 代理是利用 HTTP 协议通讯的方式代理用户的请求, 分为 HTTP(GET/POST) 和 HTTP(CONNECT) 代理两种方式其中,HTTP CONNECT 代理服务器是一种能够允许用户建立 TCP 连接到任何端口的代理服务器, 这意味着这种代理不仅可用于 HTTP, 还包括 FTP IRC RM 流服务等, 甚至扫描攻击因此在第页

267 HTTP 代理中对这种 CONNECT 代理可以使用的端口进行了限制, 默认只开启 443 和 563 端口, 即 SSL 最经常使用的 2 个端口, 这使得用户能够访问那些 Https 开头的网站, 如网上银行等但在有些情况下, 默认的端口可能不能满足需要, 可以在这里进行配置来开放这些端口安全端口可以配置多个, 以用半角逗号分隔, 端口号为 1~65535 之间的整数虽然对端口数没有限制, 但是输入框内容总长度不能超过 128 字节不缓存网页列表 : 在开启缓存的情况下, 可以指定对某些资源不做缓存, 即每次都从远程服务器上获取内容, 不在本地进行缓存当对一些网页的刷新频率要求比较高时, 可以将该网页列入不缓存网页列表以回车换行缓存有效时间 : 在开启缓存的情况下, 设置缓存在代理服务器上的对象的最长有效缓存时间超过这个时间后, 如果再有请求则直接去远程服务器上获取资源并更新本地缓存以分钟为单位, 默认保存 4320 分钟, 即 3 天缓存占用的最大内存 : 在开启缓存的情况下, 设置多少内存用于缓存对象取值范围 : 96MB-( 机器内存值的 1/8) 允许磁盘存储的最大页面 : 在开启缓存的情况下, 设置允许缓存在本地磁盘的对象的最大尺寸, 即超过该值的对象将不会被缓存到本地磁盘取值范围 :1024KB~10240KB 允许内存存储的最大页面 : 在开启缓存的情况下, 设置允许缓存在内存中的对象的最大尺寸, 即超过该值的对象不会被缓存在内存中取值范围 :8KB~1024KB 清除缓存 : 根据代理工作的繁忙程度和设备的负载, 清除工作会持续 30 秒到 1 分钟, 这段时间用户将无法使用代理功能如果管理员通过代理方式连接到 ICG 界面, 连接会中断认证下线地址 : 通过代理进行认证上网时, 请将认证下线地址设置为代理服务器的地址, 以便用户下线时通过代理服务器下线单臂模式 : 单臂模式是 NS-ICG 实现 HTTP 代理方式的一种拓扑环境在这种环境下, NS-ICG 不串接入企业网络, 而是以旁路模式接入此时只需要将 NS-ICG 的内网口接入企业网络, 内网用户需要将代理服务器地址设置为 NS-ICG 的 IP 地址实现单臂代理模式访问网络 ( 二 ) SOCKS 代理启用 SOCKS 代理 : 将 NS-ICG 地址作为代理地址使用 SOCKS 代理端口 : 配置 SOCKS 代理侦听的端口, 端口只能有 1 个默认为 1080 端口支持端口范围是 1024~65535 认证方式 - 无 : 开启 SOCKS 代理时, 默认认证为无此时所有用户都可以使用 SOCKS 代理认证方式 - 认证 : 开启 SOCKS 代理, 且开启认证时, 使用 SOCKS 代理必须提供用户名和密码注意 : 开启认证后, 不是所有有登录名和密码的用户都可以使用 SOCKS 代理功能, 只有在用户组织管理界面中启用 SOCKS 代理的的用户才可以使用 SOCKS 代理而且用户密码为全局密码临时密码和空密码时都不能通过 SOCKS 代理认证第页

268 ( 三 ) 启用代理后 NS-ICG 界面代理状态查询启用代理后,NS-ICG 同时提供代理状态查询功能方法是进入系统管理系统状态, 此时在该页面下方显示如下图所示数据 : 图 8-38 代理状态信息收到的 HTTP 请求数量 : 指自上次代理启动到现在共处理的 HTTP 请求数量代理启动后每分钟平均 HTTP 请求数 : 指自上次代理启动到现在平均每分钟 HTTP 的请求数请求命中率 : 客户端请求的对象在本地缓存中找到, 并直接返回给客户端, 我们称之为请求命中请求命中的数量 / 总的请求数 = 请求命中率该功能仅在开启缓存时才有意义字节命中率 : 与请求命中率类似该功能仅在开启缓存时才有意义缓存对象平均大小 : 缓存在本地的对象的平均大小该功能仅在开启缓存时才有意义 HTTP 请求平均响应时间 : 对客户端请求作出响应的平均时间缓存未命中响应时间 : 本地缓存未命中, 去远程服务器上取回内容并返回给客户端的时间缓存命中响应时间 : 在本地缓存中找到命中的缓存对象返回给客户端的时间该功能仅在开启缓存时才有意义 DNS 查询响应时间 : 代理服务器 DNS 查询的响应时间 1. 不能同时开启本地代理和外部代理 ; 第页

269 升级代理配置 NS-ICG 提供 URL 数据库和应用协议数据库的代理升级功能, 支持用户在代理环境下可以正常升级 URL 数据库和应用协议数据库方法如下 : 第 1 步 : 在系统管理系统配置中点击标签页升级代理配置, 进入如下图所示页面 : 图 8-39 升级代理配置启用代理配置 : 开启代理配置, 只有选择该项, 以下的各项方可使用 ; 代理类型 : 支持 HTTP 和 SOCKS5 两种代理方式在 HTTP 代理模式下支持无认证 BASIC 认证 NTLM 认证 SOCKS5 代理模式下不支持认证代理服务器地址和代理服务器端口是必填项 ; 测试 : 该按钮用于测试代理服务器是否正常工作或连接 ; 第 2 步 : 输入相关信息后点击确定按钮 ; 第 3 步 : 进入系统管理系统配置 URL 数据库更新或者应用协议库更新画面, 进行升级详细请参考 9. 数据库在线升级或 10. 软件升级章节第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮界面设置通过本界面可以设置 NS-ICG 界面的语言界面超时时间等方法是在系统管理系统配置中点击界面设置标签页, 进入如下图所示页面, 根据需要进行相关配置即可第页

270 图 8-40 界面设置语言设置 : 选择所需要的界面显示语言界面超时时间 : 如上图所述, 该时间是用来设置登录管理界面后一段时间内, 如果该管理员的未活动时间超过所设置的时间, 则浏览器自动退出 NS-ICG 的 WEB 管理界面如果管理员想继续访问, 需要重新登录只有系统安装了多种语言之后, 才会显示在此处供选择系统设置日期和时间设置 NS-ICG 系统日期和系统时间在系统管理系统配置中点击标签页日期与时间, 进入如下图所示页面 : 图 8-41 系统设置 - 日期和时间第页

271 NS-ICG 为管理者提供了两种系统时间设定方式 : 时间 : 手工设置日期和时间时区 : 用户根据自己的所在地, 选择对应的时区当系统通过网络与 Internet 时间服务器同步的时候, 会根据设置的时区, 对时间进行更新 Internet 时间同步 : 选择自动与 Internet 时间服务器同步, 在下拉菜单中选择时间服务器, 点击确定系统每天凌晨 4:02 分会自动与选定的时间服务器同步一次, 保证系统时间的正确没有时间同步服务器的情况下, 不能使用该功能时间服务器 : 用户可以根据实际情况添加和删除 Internet 时间同步服务器在没有时间服务器的情况下, 不可以进行 Internet 时间同步更新操作, 也不能开启自动同步时间功能立即更新 : 使用当前选择的时间同步服务器和设置的时区, 进行时间同步更新操作没有时间同步服务器的情况下, 不能使用该功能 1. 请确定时间服务器可用如果发现时间服务器不能更新的情况, 请更换时间服务器 2. 更新时间后, 已经记录在数据库的时间不会发生变化, 可能会导致某些与时间相关的查询结果有误邮件服务器正确配置邮件服务器, 是确保 NS-ICG 邮件通知功能可以正确运行例如 : 忘记登录密码时需要发送邮件取回密码论坛发帖报警邮件的正常发送订阅的报告的正常发送等都需要首先正确的配置邮件服务器方法是 : 第 1 步 : 在系统管理系统配置中点击标签页邮件服务器进入如下图所示页面 : 第页

272 图 8-42 系统设置 - 邮件服务器发件人信息 : 发送信件时使用的电子邮件地址, 即发件人该信息可以任意填写服务器信息 : 输入邮件服务器的域名或 IP 地址, 以及端口号端口号默认为 25 登陆信息 : 要求使用密码验证进行登陆 : 如果 smtp 服务器需要用户认证时就勾选该项 ; 邮箱帐号 : 正确的邮箱帐号, 用于用户认证, 不需要认证时可以不填密码 : 对应上面帐号的密码第 2 步 : 设置并保存后, 可以发送测试邮件来测试是否正确配置了邮件服务器邮件服务器是否能正常工作收信地址中, 填写正确的邮件地址, 之后点击测试邮件设置按钮, 系统将发送测试邮件到填写的邮箱配置密码认证后 NS-ICG 可以向与服务器信息中所填写的不同的邮件服务器发送邮件, 否则不可以界面访问限制配置允许或禁止访问 NS-ICG 的 web 管理界面的 IP 地址范围方法是 : 第 1 步 : 在系统管理系统配置中点击标签页界面访问限制, 进入如下图所示页面 : 第页

273 图 8-43 界面访问限制激活 : 勾选激活后, 可以选择限制方式限制方式 : 只允许以下列表中的 IP 访问 : 禁止以下列表中的 IP 访问 : IP 列表 : 添加单个 IP 或 IP 网段或 IP 掩码第 2 步 : 添加 IP 地址第 3 步 : 点击激活, 并选择限制方式, 点击保存按钮保存所做更改第 4 步 : 若想让最新的配置立即生效, 请点击右上方立即生效按钮如果选择的限制方式是允许, 则除了 IP 列表中的用户外, 其他用户都不可以访问 NS-ICG 界面反之亦然 1. 请在保存前确定当前访问 NS-ICG 管理界面的 IP 地址没有被限制, 否则该 IP 地址将无法访问管理界面 2. 对 IP IP 网段 IP 掩码各类型的规则最多添加 10 条 3. 三种类型之间, IP 可以重复或重叠第页

274 8-4-3 授权与更新产品授权信息系统在运行时会自动检测产品授权信息如果没有检测到产品授权信息或者发现授权信息已经过期, 则不会加载协议分析模块, 导致所有的数据包都不会被识别, 直接导致策略无法正常使用因此, 请确保您的产品授权有效操作方法如下 : 第 1 步 : 在系统管理系统配置中点击标签页产品授权信息, 进入如下图所示页面 : 图 8-44 产品授权信息第 2 步 : 点击获取硬件信息, 弹出文件下载窗口, 保存该 request_license 文件, 并将其发送给网康客户服务人员网康据此生成产品授权信息并发送给您第 3 步 : 收到产品授权信息后, 需要将其上传到 NS-ICG 中如上图所示, 有两种方法 : 上传或直接粘贴 ( 一 ) 上传产品授权信息点击浏览按钮, 找到产品授权信息后, 点击立即更新按钮, 确认提示信息后, 上传成功根据产品授权的权限分为试用授权和正式授权, 界面基本相同不同在于试用授权限制了有效第页

275 期, 正式授权有效期是永久有效如下图所示 : 图 8-45 产品授权信息 - 正式授权 ( 二 ) 直接粘贴用记事本打开收到的产品授权信息后复制内容界面中选择方式二, 并粘贴至文本框中, 点击立即更新按钮确认提示信息即可完成上传 1. 两种上传方式效果相同 ; 2. 请务必确保所上传的授权信息的真实性不要进行私自修改, 一切改动都会导致认证失败升级授权信息 NS-ICG 提供网站数据库在线更新功能和软件补丁更新功能, 使 NS-ICG 访问控制的功能获得实时增强但只有经过授权, 并正确设置后,NS-ICG 才有可能启动数据库自动更新功能, 以及提供软件补丁升级功能方法是 : 第页

276 第 1 步 : 在系统管理系统配置中点击标签页升级授权信息, 进入如下图所示页面 : 图 8-46 升级授权信息第 2 步 : 更新授权方法有两种 : 即上传或者直接粘贴详细请参考上一节更新升级授权信息后, 画面如下图所示 : 图 8-47 升级授权信息 - 正式授权请务必保证上传授权的真实性不要进行私自修改, 一切改动都会认证失败第页

277 URL 数据库更新 NS-ICG 提供 URL 数据库在线更新功能, 使得 NS-ICG 的访问控制功能可以实时增强只有经过授权, 并正确设置后,NS-ICG 才有可能启动 URL 数据库自动更新功能详情参考 9. 数据库在线升级应用协议库更新 NS-ICG 提供应用协议数据库在线更新功能, 使得 NS-ICG 的访问控制功能可以实时增强只有经过授权, 并正确设置后,NS-ICG 才有可能启动应用协议数据库自动更新功能详情参考 9. 数据库在线升级备份与恢复备份备份系统的配置信息, 包括系统配置文件用户信息已有策略系统日志等详细方法是 : 第 1 步 : 在系统管理系统配置中点击标签页备份 / 恢复, 进入如下图所示页面 : 图 8-48 默认界面第 2 步 : 点击备份, 并选择备份文件存储方式 : 存于服务器 : 将备份文件存在服务器上选择存于服务器后, 并输入备份说明, 点击确定按钮, 系统备份将被存储在服务器上, 并在恢复数据下方以列表形式显示, 包含第页

278 备份时间备份版本可以删除如下图所示 : NS-ICG 用户手册图 8-49 备份 - 存于服务器导出文件 : 将备份文件导出到指定位置选择导出文件后, 并输入备份说明, 点击确定按钮弹出文件下载窗口, 点击保存, 系统备份文件将被导出到指定位置恢复恢复系统的配置信息, 包括系统配置文件用户信息已有策略系统日志等详细方法是 : 第 1 步 : 在系统管理系统配置中点击标签页备份 / 恢复, 选择恢复, 如下图 : 图 8-50 恢复选择恢复的数据 : 全部数据 : 默认为恢复所有备份过的数据用户列表 : 只恢复用户数据第页

279 策略配置 : 恢复策略, 免监控用户数据 NS-ICG 用户手册管理员配置 : 恢复管理员用户信息 ( 在权限配置页面建立的用户信息 ) 恢复文件的位置 : 浏览 : 如果已导出的文件, 请点击浏览 ; 选择 : 如果已存于服务器, 请在列表中进行选择第 2 步 : 选择恢复途径后, 点击确定, 提示数据恢复成功即可画面如下图 : 图 8-51 恢复 - 自动备份文件每次恢复前, 系统会自动备份当前的配置信息, 以便用户进行还原回复 ; 该备份文件不能被删除, 并且每次恢复时都会重新覆盖该文件为了避免不同版本备份文件的兼容性问题, 仅支持对同一版本和补丁备份出的文件进行恢复归档设置设置历史数据保留的最大期限在系统管理系统配置中点击标签页归档设置, 进入如下图所示页面输入天数后, 点击确定按钮即可第页

280 图 8-52 归档设置 1. 历史归档数据不包括当天的数据, 当天的数据在其后的第二天凌晨 5 点进行归档 2. 当系统中保存的历史数据的天数超过设置值时, 最老的数据会被自动删除 3. 默认的保留天数为 30 天, 且用户输入的天数必须大于等于 10 天小于等于 3650 天 FTP 导出通过 FTP 服务器上传数据的形式, 自动地定期地导出网站访问邮件收发论坛发帖在线聊天搜索引擎文件审计 FTP 审计 TELNET 审计 HTTPS 审计等记录的历史数据, 以便用户离线查看或备份详细方法如下 : 第 1 步 : 在系统管理系统配置中点击标签页 FTP 导出, 进入如下图所示页面 : 图 8-53 FTP 导出设置启用自动导出 : 勾选此项后, 系统将按照下面的详细设置来自动将数据导出到指定 FTP 服第页

281 务器中 NS-ICG 用户手册自动导出时间设置 :FTP 自动导出时间设置, 如每隔多少天, 在什么时刻导出 FTP 参数 : 登录 FTP 服务器参数设置, 如主机地址端口号用户名和密码等 1. 通过原始数据方式导出的数据采用压缩加密加密密码请从网康公司获取 2. 在通过 FTP 服务器进行数据备份的情况下, 确保 FTP 服务器有写权限, 而且有足够的磁盘空间, 否则将不能上传历史数据 USB 导出通过 USB 存储设备导出网站访问邮件收发论坛发帖在线聊天等记录的历史数据详细方法如下 : 第 1 步 : 把 USB 存储设备连接到 NS-ICG 的 USB 端口上第 2 步 ( 可选 ): 若 USB 设备尚未插入, 或连接不正常, 系统先是进入如下界面, 可以点击重试的链接, 重新尝试图 8-54 USB 导出 - 设备工作不正常第 3 步 : 若 USB 设备连接正常, 系统进入如下界面 : 第页

282 图 8-55 USB 导出 - 设备工作正常 - 配置参数数据类型 : 选择要导出的数据类型访问记录列表 : 列表中将列出数据库中已保存的每日访问记录 ; 导出数据类型 : 包括原始数据和简明数据区别在于原始数据采用了压缩加密将导出文件存储到 USB 分区 : 选择指定的 USB 存储设备的分区 ; 导出完成后删除系统中相应的访问记录 : 选择该项后, 系统将在导出数据的同时删除 NS-ICG 中的原有数据 1. 列表中每条记录对应一天的数据, 日期最近的可导出记录是当前操作时间的前一天的汇总记录 2. 数据导出操作需要耗用较长的执行时间和较多的系统资源, 所以请不要太频繁的执行该操作, 而且每次不要导出太多的访问记录由于设备响应需要一定的时间, 所以在拔插设备或执行导出操作时都不要太快, 确保整个过程流畅进行 3. 导出的简明数据中的.xls 文件可以通过 Excel 软件打开, 其中邮件的正文和附件为压缩文件, 需要解压缩后才能查看 4. 通过原始数据方式导出的数据采用压缩加密加密密码请从网康公司获取在 USB 设备的导出分区上的 Accesslog 目录下, 可以看到导出结果, 原始数据类似如下 : 第页

283 图 8-56 USB 导出结果 - 原始数据简明数据类似如下 : 图 8-57 USB 导出结果 - 简明数据系统工具网络工具提供 IP/MAC 转换功能以及 PING 命令 Traceroute 命令 TCPDUMP 命令 CURL 命令和 NSLOOKUP 命令详细说明如下 : 第 1 步 : 在系统管理系统配置中点击标签页网络工具进入如下图所示页面 : 第页

284 图 8-58 网络工具主界面第 2 步 : 根据需要选择不同的工具, 在输入框输入对应的数据, 点击查询确定导出等按钮即可 ( 运行完毕后点击页面右上的关闭链接可以返回主界面 ) 下面是各个功能的具体描述 : IP/MAC 转换查询 : 用于检测与目标主机 ( 地址 )IP 级连接响应时间和名称解析正确性的工具 ; 在 IP 地址栏输入地址后, 点击查询, 会将其对应的 MAC 地址显示在 MAC 地址栏同理可以输入 MAC 地址查询其对应的 IP 地址 PING 命令 : 用于检测与目标主机 ( 地址 )IP 级连接响应时间和名称解析正确性的工具输入对应 IP 地址, 点击确定即可在下方看到对应的测试结果 Traceroute 命令 : 用于显示数据包到达目标主机所经过的路径, 并显示到达每个节点的时间功能同 Ping 类似, 但它所获得的信息要比 Ping 命令详细得多, 它把数据包所走的全部路径节点的 IP 以及花费的时间都显示出来另外, 可以输入 IP 或 MAC 地址可以查找到对应的 MAC 或 IP 地址 CURL 命令 : 是一个使用 URL 语法来传送文件的工具, 支持 HTTP/HTTPS/FTP/FTPS/DICT/TELNET/LDAP/FILE 和 GOPHER 等协议, 本功能利用 Curl 命令来用来获取指定 URL 页面的内容 NSLOOK 命令 : 用于检测 DNS 是否正常 TCPDUMP 命令 : 用于获取指定 IP 和端口号上的数据包, 不指定 IP 和端口则默认获取所有 IP 和端口上数据包, 方便用户进行分析第页

285 使用 Tcpdump 命令时, 先选择内接口或外接口 ( 即网卡 ), 之后可以填写希望获取数据包的 IP 和端口, 不填则获取内接口上所有 IP 和端口上数据包, 还可以填写需要抓包的个数 ( 个 ), 点击确定则在界面显示获取的数据包的信息点击导出到文件按钮, 界面显示 Tcpdump 的结果, 点击下方的点击此处终止并保存结果, 可将结果导出为 pcap 文件, 如下图 : 图 8-59 Tcpdump 导出到文件结果示例关机 / 重启关毕或重启 NS-ICG 设备方法是在系统管理系统配置中点击标签页关机 / 重启进入如下图所示页面, 根据需要点击相应的确定按钮即可图 8-60 系统工具 - 关机 / 重启第页

286 网络地址转换 NS-ICG 支持反向地址转换功能在网关模式下利用网络地址转换功能, 将内网某台主机 IP 或其端口映射到公网的某台主机 IP 或其端口上, 实现公网主机连接内网服务器例如 : 图 8-61 环境如上图所示,NS-ICG 设备采用网关模式, 在 NS-ICG 内网中有一台 FTP 服务器 , 此时如果想让外网 PC 机可以访问该 FTP 服务器, 该如何操作呢? 有两种办法, 一种是 IP 映射, 一种是 TCP 端口映射下面分别详细阐述操作方法 : ( 一 ) IP 映射 IP 映射是指将内网服务器的 IP 地址映射到 NS-ICG 的指定 IP 地址, 实现公网主机可以访问内网服务器方法如下 : 第 1 步 : 由于 NS-ICG 的外网 IP 地址是 , 该地址需要做主要的审计工作需要为其再配置一个 IP 地址用于做 IP 映射因此请首先在系统管理网络配置网络配置中点击多 IP 配置, 为其添加一个 IP 地址, 如 , 填写 IP 掩码地址且选择外接口请确保所配置的多 IP 为空闲 IP 地址第 2 步 : 在系统管理系统配置中点击标签页网络地址转换, 进入如下图所示页面 : 第页

287 图 8-62 网络地址转换 - 默认界面第 3 步 : 点击添加按钮, 弹出如下图所示窗口 : 图 8-63 网络地址转换 -IP 映射规则由于外网机器访问 FTP 服务器的包都要通过 NS-ICG 的映射 IP 地址映射到该 FTP 服务器上, 因此请按上图所示配置映射规则第 4 步 : 点击确定按钮, 关闭当前窗口第 5 步 : 点击映射规则列表中的保存按钮, 保存该映射规则此时, 外网用户就可以访问该内网 FTP 服务器了如果希望允许内网 PC 机访问该 FTP 服务器, 则需要在上图中填写内网网关地址和掩码 / ( 二 ) 端口映射端口映射是指将内网服务器的端口映射到 NS-ICG 的指定端口, 实现公网主机可以访问内网服务器方法如下 : 第页

288 第 1 步 : 进入网络地址转换窗口, 点击添加按钮, 弹出如上图所示窗口, 并配置为如下 : 图 8-64 网络地址转换 -TCP 端口映射规则这么配置的原因是我们使用的是端口映射, 也就是将发往内网 FTP 服务器的数据包都先发到 NS-ICG 的指定端口, 如 1998, 然后由该端口再映射到内网 FTP 服务器的已经设置的 21 端口在上图中我们同时配置了内网网关和内网掩码地址, 配置了这两项后, 内网 PC 机也可以访问该 FTP 服务器在 IP 映射中也是如此第 2 步 : 配置完毕后点击确定按钮关闭该窗口第 3 步 : 点击映射规则列表中的保存按钮, 保存该映射规则此时, 外网用户就可以访问该内网 FTP 服务器了 1. 最多配置 20 条转换规则 2. 若配置规则后没有保存, 则规则不能生效第页

289 8-4-6 帮助信息远程协助利用远程协助功能, 当 NS-ICG 设备出现故障时, 使 NS-ICG 主动和网康公司指定的公网服务器发起并建立连接, 以便网康工程师远程查看 NS-ICG 设备状况并解决问题该功能需要在网康技术支持人员的协助下使用操作方法如下 : 第 1 步 : 在系统管理系统配置中点击标签页远程协助, 进入如下图所示页面 : 图 8-65 远程协助远程协助状态 : 实时显示远程协助的连接状态远程协助服务号 : 即远程协助端口号如果企业没有使用代理上网, 则在配置远程协助时, 只需要填写由网康技术支持人员分配的端口号即可 HTTP 代理连接 : 如果企业使用代理上网, 则需要勾选使用 HTTP 代理连接, 并填写该代理服务器的地址端口号用户名和密码第页

290 自动重新连接 : 如果设置自动重新连接, 则需要同时设置自动重新连接的时间间隔该时间间隔要求输入 2 至 50 之间的整数数字, 建议配置为 20 分钟以上第 2 步 : 配置完毕后, 点击保存按钮, 保存所做更改第 3 步 : 点击连接按钮, 建立远程协助连接第 4 步 ( 可选 ): 如果需要中断已建立的远程协助连接, 请点击断开远程协助按钮如果配置正确但仍无法建立连接, 请和网康技术支持人员联系帮助文档在系统管理系统配置中点击标签页帮助文档可以打开系统的在线帮助帮助文档用户也可以通过点击界面右上角的? 按钮打开在线帮助文档 URL 分类说明在系统管理系统配置中点击标签页 URL 分类说明可以进入系统的 URL 分类说明, 列出了 URL 的分类描述和备注信息支持协议列表在系统管理系统配置中点击标签页支持协议列表可以查看系统支持的所有协议列表, 列出了协议的名称分类和解释第页

291 8-5 日志管理为了便于监控系统运行,NS-ICG 提供了系统日志日志记录了系统主要的操作和事件, 以及系统的各项信息, 辅助技术支持人员进行系统维护和故障诊断日志管理中提供多种日志查询 : 图 8-66 日志管理操作日志操作日志功能为网康技术支持人员所用, 主要用于跟踪系统运行状态查看策略变更情况查看系统的操作行为等通过系统管理日志管理操作日志进入如下图所示页面 : 第页

292 图 8-67 系统操作日志时段 : 设置过滤时间段 ; 从中 : 设置过滤对象, 可以指定过滤是从用户列还是描述列 ; 查找 : 设置查找关键字 ; : 搜索按钮导出 : 点击该按钮可以将当前页面的所有日志都导出到 excel 格式的文件中设置好相关查找条件后, 点击搜索按钮即可如果日志数量比较多, 点击画面下方的按钮可以进行翻页, 点击按钮, 可以刷新当前画面系统报警日志系统报警日志是对系统服务运行状况进行检测并在页面报警此项功能一般只用于系统调试, 供技术支持人员使用, 便于用户日常查询维护, 以及系统的自我保护通过系统管理日志管理系统报警日志进入如下图所示页面 : 第页

293 图 8-68 系统报警日志系统会自动对网络情况引擎情况系统负载等服务进行检测, 并在本页面记录相关的报警信息系统报警日志分为三级报警, 即红色 1 级橙色 2 级和蓝色 3 级 1 级是最高级别报警当系统某服务的状态检测超过符合系统内设的错误参数级别时, 显示相应级别的报警信息, 同时会在短时间内累计进行 4 次检测, 并产生相应的报警信息在下次检测时该服务状态依然不正常的情况下, 将不再进行报警当系统某服务的状态在最近的一次检测中, 某服务恢复正常, 会产生提示该服务正常运行的信息, 图标为绿色 ok 可以设置查询日期或关键字后点击按钮从描述中快速查找 1. 大多数的服务的检测时间为 5 分钟, 这样能够更快的发现系统服务的错误如果检测到错误会继续检测, 当错误 4 次后, 不再进行相同的检测 ( 除非正确 ); 2. 只对 NS-ICG 本身的服务运行状况进行检测, 所以 Host 只有 NS-ICG 自身用户防护日志显示匹配用户防护规则的报警日志详细使用方法请参考用户防护规则章节第页

294 8-5-4 系统监控日志显示匹配系统监控规则的报警日志详细使用方法请参考系统监控规则章节 Web 记录日志为保障设备运行正常, 根据机型设定了 web 记录条数和报警间隔时间当每天的 web 记录数超过该机型设定的 web 记录条数上限值时将产生报警, 并记入系统管理日志管理 Web 记录日志中, 如下图所示 : 图 8-69 Web 记录日志点击每天的最后一条记录的详细按钮, 可以查看当天访问 Web 的用户 IP 地址和该用户的总 Web 请求数当天 Web 请求数达到该机型设定的记录上限后, 才允许对用户的 Web 记录进行删除每日详情如下图所示 : 第页

295 图 8-70 Web 记录日志 - 报警详情点击列表中的任意 IP 地址, 在弹出的页面中用日志方式列出该 IP 当天访问的所有 URL, 方便定位问题所在如下图, 图 8-71 Web 记录日志 -IP 访问详情第页

296 1. Web 报警规则是系统内置的, 与 NS-ICG 的机型有关, 用户无法进行更改一方面 NS-ICG 会对 Web 访问过多的情况来做出自我保护的调整, 另一方面 NS-ICG 会在该页面报告用户, 方便用户及时得到反馈来进行调整 2. Web 记录达到上限后产生的 Web 记录将不再记录到数据库中, 也不能对之后的数据进行监控查询和统计 3. NS-ICG 会记录 7 天之内的 Web 报警记录, 之前的信息将自动删除 ARP 报警日志在策略管理防护设置全局设置中如果开启了防护报警和 ARP 报警, 如果内网用户中有 ARP 攻击行为, 则其对应的 IP 将被记录在系统管理日志管理 ARP 报警日志中, 如下图 : 图 8-72 ARP 报警日志日期选择 : 选择日期后, 页面将显示指定日期的所有 ARP 报警日志在日志中记录了每个 IP 地址在报警间隔时间内 MAC 地址的变换次数免 ARP 报警 IP/MAC 列表 :NS-ICG 会记录下所有进行 MAC 变换的 IP 地址, 某些网络设备允许一个 IP 地址对应多个 MAC 或者其他原因造成的 MAC 地址变换也会记录, 但是可能并不是 ARP 攻击此时用户可以点击 MAC 地址的链接,NS-ICG 将把该 IP-MAC 配对的放入免 ARP 报警 IP/MAC 列表中点击某个用户 IP 的链接, 可以查看详细, 如下图所示 : 第页

297 图 8-73 ARP 报警详细信息点击某个 MAC 地址连接, 可以将其加入免 ARP 报警 IP/MAC 列表点击页面上方的免 ARP 报警 IP/MAC 列表, 在打开的页面中会列出所有免 ARP 报警的 IP/MAC 列表, 即使在该列表中的 IP/MAC 地址再次配对出现, 系统也不会认为是 ARP 攻击, 但是如果该 IP 和其他不再免 ARP 报警列表中的 MAC 配对出现的时候, 系统仍然会进行报警点击移出链接可以将指定的 IP-MAC 移出免 ARP 报警列表图 8-74 免 ARP 报警 IP/MAC 列表 1.NS-ICG 会将可能进行 ARP 攻击的 IP 列出, 并在页面显示警告, 但是并不自动进行阻塞等动作, 需要现场判断问题原因, 一般说来,MAC 地址变换较频繁的大多数是 ARP 攻击 2. NS-ICG 会记录 7 天之内 ARP 攻击的信息, 之前的信息将自动删除超出阀值日志在策略管理防护设置用户防护规则中如果在某规则中勾选了记录超出阀值的数据包信息选项, 则系统在运行过程中, 如果检测到内网用户匹配了该规则, 则超出阀值的数据包信息会在本页面中以日志的方式呈现出来, 方便及时找到原因详细使用方法请参考用第页

298 户防护规则章节网络状态监控在系统管理日志管理网络状态监控中用图表的方式显示通过 NS-ICG 的网络状态, 包括 IP 个数连接个数包速率和上传速率如果需要启用该功能, 请首先在策略管理防护设置全局设置中开启防护报警在下拉框中选择需要查看的日期的, 页面将显示如下的四个图表 : IP 个数信息 :NS-ICG 监测到的活跃 IP 个数 ; 图 8-75 网络状态监控图 - 活跃 IP 数连接个数信息 :NS-ICG 监测到的内部网络与外部网络建立的 TCP 连接的个数 ; 第页

299 图 8-76 网络状态监控图 - 连接个数包速率信息 : 内部网络通过 NS-ICG 发送到外部网络数据包的速率 ; 图 8-77 网络状态监控图 - 包速率信息上传速率信息 : 内部网络通过 NS-ICG 发送到外部网络的上传速度 ; 第页

300 图 8-78 网络状态监控图 - 上传速率信息下拉框中的列表日期为最近有数据的 30 天用户防护指标在策略管理防护设置全局设置中开启防护报警后, 可以在系统管理日志管理用户防护指标中获取每个间隔时间内, 全局网络中通过 NS-ICG 的小包速率新建连接速率上传速率和上传 / 下载包速率的详细数值并可以作为制定用户防护报警的参考指标用户防护指标的默认界面如下图 : 图 8-79 用户防护指标 - 开启防护报警前开启防护报警后, 页面如下图所示 : 第页

301 图 8-80 用户防护指标 - 开启防护报警后勾选获取用户防护指标后点击确定按钮, 并立即生效系统开始记录相关的指标信息如下图 : 图 8-81 用户防护指标在每个间隔时间段结束后, 系统将间隔监测时间段的数据进行汇总计算, 并将结果显示在如上图的表格中, 包括时间段类型总数 IP 总数平均值和详细信息, 这里的平均值是所有用户数值的平均点击表格右侧的详细按钮, 在弹出的表格中会列出所有用户的 IP 列表 ( 最多 100 个 ) 的该速率数值 ( 由高到低排列 ) 1. 用户防护指标可直接参考平均值, 系统监控指标可参考总数 2. 获取可供参考的指标需要较长的时间, 在获取到需要的指标后, 建议关闭获取用户防护指标功能, 已获取的数据将保留两天 3. 必须勾选全局设置中的启用防护报警, 本功能才可使用第页

302 被盗用 IP 列表如果 NS-ICG 启用了跨三层 IP/MAC 地址绑定功能, 则如果内网某用户盗用了他人 IP 地址, 则该用户将显示在系统管理日志管理被盗用 IP 列表中, 并且同时被暂时屏蔽方法如下 : 第 1 步 : 对三层用户开启 IP/MAC 绑定功能, 方法请参考 IP/MAC 绑定第 2 步 : 在策略管理防护设置全局设置中开启启用防护报警第 3 步 : 在策略管理防护设置全局设置中开启启用跨三层 IPMAC 绑定阻塞并立即生效此时, 内网已被绑定 IP/MAC 地址的用户如果盗用他人 IP 地址, 则被盗用的 IP 地址将被显示在被盗用 IP 列表中, 同时被禁止上网, 如下图 : 图 8-82 被盗用 IP 列表 1. 从该表中删除用户, 该用户仍不能上网只有从策略管理 - 防护设置 - 暂时屏蔽用户中将该用户删除后该用户才能上网但由于暂时屏蔽列表中的用户会在次日凌晨被系统自动清空, 因此即使不从该表中手动删除该用户, 该用户在次日凌晨后也仍然可以继续上网 2. 系统不会自动清空被盗用 IP 列表被盗用 IP 在次日凌晨可以上网, 如果其继续盗用 IP 地址, 由于被盗用 IP 列表中已经有了该 IP 地址, 因此无法再次添加所以不会阻塞该用户继续上网因此为防止此现象发生, 需要手动清空被盗用 IP 列表 8-6 日志中心日志中心主要功能是将历史日志存储于外置存储设备中支持离线查询优点在于 : 1. 海量存储, 保持日志数据完整性外置的存储容量只受限于用户的外置设备存储空间第页

303 用户可以灵活的增加存储容量以便存储更长时间的日志 NS-ICG 用户手册 2. 支持离线查询, 降低网康 ICG 运算负载, 提升查询效率日志中心在 NS-ICG 端的配置界面如下图所示 : 图 8-83 日志中心日志中心 IP: 安装了日志中心客户端的 IP 地址, 即日志中心 windows 端 IP 地址日志中心认证账户名 : 设置 NS-ICG 访问日志中心数据库时所使用的帐号默认是 icg, 可以通过日志中心服务器端进行自定义日志中心认证密码 : 设置 NS-ICG 访问日志中心数据库时所使用的密码 ; 默认是 netentsec, 可以通过日志中心服务器端进行自定义日志中心监听端口 : 设置日志中心接收 NS-ICG 日志数据的传送端口默认是 9001 可以通过日志中心服务器端进行自定义远程共享目录 :windows 端共享目录的名称远程目录用户 :windows 端共享目录的远程访问帐号远程目录用户密码 :windows 端共享目录的远程访问密码以上各项详细配置请参考日志中心用户手册第页

304 9. 数据库在线升级 9-1 关于数据库网康核心 URL 分类数据库 ( 简称 URL 数据库 ) 是业界领先的 URL 数据库之一, 共包含 42 个一级分类和 8 个二级分类为提供最准确且符合中国国情的 Web 访问内容过滤, 提供强大的技术保障网康科技根据 Web 内容危害级别, 对 Web 内容分类成如下保护群组 : 高风险法律责任生产力带宽信息泄漏敏感话题同时, 网康科技提供 URL 数据库在线更新功能用户部署的 NS-ICG 可以根据其设置的自动更新频率和时机, 自动接收并应用由网康核心数据库提供的最新 URL 数据更新网康应用协议数据库同样是是业界领先的应用数据库之一, 可识别近百种互联网协议和应用软件, 同时, 对于在中国使用较为广泛的炒股软件网络游戏 P2P 软件等有很高的识别和封堵能力详细情况请参考网康科技网站上的相关内容 ( 9-2 URL 数据库在线升级步骤第 1 步 : 获得授权信息 1. 只有经过授权设置之后, NS-ICG 才有可能启动 URL 数据库更新功能关于如何获得授权, 请联系网康科技市场销售相关人员 2. URL 数据库在线更新和软件补丁更新使用相同的授权只需配置一次就可以第 2 步 : 配置授权详细请参考升级授权信息第 3 步 : 设置 URL 数据库更新选项以具有管理员权限的用户 ( 如 ns25000) 登录 NS-ICG 的管第页

305 理界面, 点击链接系统管理系统配置 URL 数据库更新, 如下图 : NS-ICG 用户手册图 9-1 设置 URL 数据库更新选项 URL 数据库信息 : 显示 URL 数据库最后的更新时间立即更新 : 手动更新数据库, 点击后立刻从更新服务器上下载新的数据库文件自动更新数据库 : 设置数据库的自动更新自动更新时间选择 : 根据不同的需要, 用户可以选择每日或每周的某一时间由系统自动进行数据更新, 建议选择网络比较空闲的时间段进行更新用户需要确保自己的数据更新授权真实有效未分类数据上传 : 自动回传用户端未分类的 URL 地址到网康数据库中心, 及时定位 URL 类别, 更新到数据库中允许自动上传 : 允许未分类数据的自动上传在启用自动更新进行数据库更新后一小时, 进行未分类数据库上传, 建议打开该功能禁止自动上传 : 不允许未分类数据的自动上传立即上传 : 立刻上传未分类的 URL 数据用户可将实际上网过程中出现的未分类网址数据报告给网康的服务器服务器分类系统会根据实际情况将数据进行分类, 在以后的数据更新中返回给用户建议用户将系统设置成自动上传, 以便用户能根据自己的使用需要得到最新的数据信息用户也可以点击 " 立即上传 ", 随时将未分类数据上传到服务器中, 以便网康科技提供技术支持第页

306 9-3 应用协议数据库在线升级步骤 NS-ICG 提供应用协议数据库在线更新功能, 使用方法与 URL 数据库在线升级步骤大致相同, 请参考上一节 URL 数据库在线升级步骤第页

307 10. 软件升级 10-1 关于软件升级说明 NS-ICG 提供软件补丁更新功能, 使得 NS-ICG 的访问控制功能可以实时增强只有经过授权, 并正确设置后,NS-ICG 才提供软件补丁升级功能 10-2 软件在线升级第 1 步 : 获得授权信息 1. 关于如何获得授权, 请联系网康科技市场销售相关人员 2. URL 数据库在线更新和软件补丁更新使用相同的授权只需配置一次就可以第 2 步 : 配置授权详细请参考升级授权信息第 3 步 : 打开浏览器, 在地址栏中输入的 IP 地址 /liveupdate 例如 : 输入如下图图 10-1 输入在线更新地址在线升级的 Web 管理界面地址以 https 开始, 而非以 http 开始第 4 步 : 连接成功后, 出现登录页面如下 : 第页

308 图 10-2 在线升级系统登录界面第 5 步 : 输入登录帐号和密码 ( 在线升级默认的帐号为 ns25000, 密码为 ns25000), 点击登录按钮进入如下图所示页面 : 图 10-3 在线更新 - 显示补丁状态当前版本和补丁信息 : 此处显示当前系统的版本号以及所有打过的补丁及其补丁号在线获取更新列表 : 点击该链接可以查看网康公司提供的所有最新补丁注销 : 从在线更新中注销修改密码 : 修改在线帮助的登录密码第页

309 帮助 : 查看在线更新的帮助信息第 6 步 : 点击在线获取更新列表链接, 进入如下图所示页面 : NS-ICG 用户手册图 10-4 在线更新 - 显示补丁列表可供更新补丁 : 显示当前所有可供更新的补丁版本号, 及其大小第 7 步 : 点击确定, 系统开始下载并安装更新补丁根据网络速度的不同, 请稍后一段时间, 当系统提示如下图所示页面时, 表明升级成功图 10-5 在线更新 - 升级成功提示信息第 8 步 ( 可选 ): 如果有多个补丁, 请重复上述操作即可若授权认证检查失败, 或升级服务器上没有最新的更新补丁可用, 则给出用户提示信息无可用更新, 如下所示第页

310 图 10-6 在线更新 - 错误提示 1. 同一时刻只允许一个用户进行升级操作 2. 在补丁升级过程中因网络问题造成升级失败, 请等待一小时后再次执行升级操作第页

311 10-3 软件 USB 存储设备升级 NS-ICG 还提供了 USB 存储设备的补丁升级功能, 当 ICG 设备在无法连接网络的情况下可以通过移动存储设备进行补丁升级同样, 只有经过授权, 并正确设置后才能使用补丁升级功能详细操作如下 : 第 1 步 ~ 第 5 步 : 同上一节打开的界面如下图所示 : 图 10-7 通过 USB 升级 - 显示补丁状态第 6 步 : 和在线升级不同的是界面中增加了本地更新, 多个补丁时按由低到高的顺序依次排列, 请首先点击低版本的补丁连接进行更新升级成功后再继续高版本的升级后续的过程和上一节相同, 此处不再赘述 1. 同一时刻只允许一个用户进行升级操作 2. 在补丁升级过程中因网络问题造成升级失败, 请等待一小时后再次执行升级操作第页

312 第三部分 : 附录本部分包含 : NS-ICG 系统默认设置 NS-ICG 支持的网络应用 URL 数据库分类表正则表达式 MIME 与文件类型对照表 AD 域证书服务器 AD 脚本配置认证客户端的安装与卸载术语说明第页

313 1.NS-ICG 系统默认设置 1. 系统管理功能与参数模块的默认配置项目名称默认值 Web 管理地址权限配置 - 管理员帐号用户名 :ns25000 密码 :ns25000 网络配置 - 默认的网络部署模式透明网桥模式 - 单网桥模式 ( 网桥模式下 )IP 地址 / ( 网桥模式下 ) 缺省网关网络配置 - 主 DNS 服务器系统配置 - 系统参数 -HTTP 过滤引擎旁路模式启动系统配置 - 系统参数 -WEB 记录等级优化访问记录系统配置 - 系统参数 - 透明模式关闭系统配置 - 系统参数 - 流量统计开启系统配置 - 系统参数 - 缓存开启系统配置 - 系统参数 -DHCP 服务关闭系统配置 - 系统参数 - 硬件 Bypass 显示 Bypass 功能按钮, 重启后 Bypass:OFF 系统配置 - 代理配置无代理系统配置 - 管理接口不启用管理口系统配置 - 日期与时间不启用自动与 Internet 时间服务器同步系统配置 - 邮件服务器未配置系统配置 -URL 数据库更新启用自动更新, 并允许自动上传未分类数据系统配置 - 应用协议数据库更新未启用自动更新系统配置 - 归档天数数据保留 30 天网络配置 - 是否开启 Trunk 配置否系统日志 - 监控指标不启用获取监控指标 2. 用户管理功能与参数模块的默认配置项目名称用户管理 - 组织管理 - 组织根名称用户管理 - 认证管理默认为 ROOT 默认为 IP 识别默认值 3. 策略管理功能与参数模块的默认配置项目名称默认值策略网段系统默认管理所有网段 ( 策略网段为空 ) 黑白名单 - 网址黑白名单默认为空且不激活黑白名单 -Bypass 域名默认激活系统内置的 Bypass 域名第页

314 对象管理 - 时间对象对象管理 - 网站匹配对象对象管理 - 文件类型对象策略管理 - 是否启用 QQ MSN YAHOO 邮件 FTP HTTPS TELENT 发帖审计策略管理 - 是否启用审计策略设置策略管理 - 防护设置 - 是否启用防护报警策略管理 - 提示页面 - 是否启用提示页面模板策略管理 - 提示页面 - 是否启用提示图象模板 NS-ICG 用户手册系统内建所有时间及工作时间对象系统内建聊天室对象 ( 用于控制聊天室应用访问 ) 系统内建文件下载对象 ( 用于控制文件下载与访问 ) 否否否否否 4. 系统监控功能与参数模块的默认配置项目名称系统状态 - 设备 24 小时流量网络活动 - 当前设备带宽网络活动 - 本日应用排名网络活动 - 本日活跃用户排名网络活动 - 本日访问站点排名活跃用户默认值默认显示全部通道, 全部数据默认显示 60 分钟的流量走势默认显示 TOP 5 的应用协议默认显示 TOP 10 的用户默认显示 TOP 10 的站点默认显示 5 分钟内有流量的用户 5. 查询统计功能与参数模块的默认配置项目名称查询查询 - 应用流量查询 - 网站访问统计统计结果报告报告结果默认值默认查询条件为今日所有用户默认显示汇总流量默认显示网址全链接默认统计条件为今日所有用户默认 Drilldown 方式为在新标签页打开默认排名报告显示 TOP10 默认显示为饼状图第页

315 2.ICG 支持的网络应用协议类别传统协议 VoIP 办公和自动化协议解释 FTP 控制连接协商数据传输的连接数据连接进行数据传输的连接 DNS DNS HTTPS HTTPS IRC IRC ICMP ICMP TFTP TFTP DHCP 动态主机配置协议 NTP NTP RTSP RTSP MMS 微软流媒体传输协议 ( 不使用 HTTP 承载 ) FTPS 控制连接协商数据传输的连接数据连接进行数据传输的连接 FINGER Finger user information protocol GOPHER Gopher WHOIS a query/response protocol MIP Mobile IP Q.931 Q.931 H.245 H.245 H.323 RTP RTP RTCP RTCP T.120 T.120 SDP SDP G SIP 音频传输 SIP H.263 SIP 视频传输 RTCP SIP 流媒体控制协议其它应用数据 SIP 其它应用数据 ( 聊天共享等 ) 登录 V2 Conference 登录 V2 Conference 文字聊天 V2 Conference 文字聊天音视频 V2 conference 音视频 MGCP Media Gateway Control Protocol T.120 Data protocols for multimedia conferencing SMTP SMTP SMTP SMTPs SMTPs Message Submission Message Submission POP3 POP3 POP3 POP3s POP3s 第页

316 协议类别 Session Games IMAP4 IMAP4 IMAP4s LotusNotes LotusNotes 协议解释 NS-ICG 用户手册 IMAP4 IMAP4s MS-Exchange MAPI MAPI GIOP General Inter-ORB Protocol FileMaker 网络主机响应从网络主机获取可用数据库列表 PostgreSQL 远程数据库管理工具 MSSQL 服务数据流客户端与服务间的数据流 TNS 客户端与服务间的通讯数据流 ORACLE OEM Oracle Enterprise Manager isqlplus isqlplus Data Citrix-IMA Independent Management Architecture Citrix Citrix-ICA Independent Computing Architecture 服务器浏览用于查找服务器的 UDP 数据流 TCP 代理服务基于 ICA 的 TCP 代理服务 DCOM Microsoft Distributed Component Object Model NNTP 网络新闻传输协议 Telnet Telnet ssh ssh 远程桌面 Windows Remote Desktop Protocol (RDP) PCAnywhere PCAnywhere CVS 登录登录文件签出文件签出 VNC 优秀的远程桌面软件 RTelnet Remote TELNET Service protocol 联众游戏联众游戏魔兽世界魔兽世界梦幻西游梦幻西游泡泡堂泡泡堂浩方游戏平台浩方游戏平台跑跑卡丁车跑跑卡丁车新浪 UT Game 新浪 UT Game 中国游戏中心中国游戏中心热血江湖热血江湖劲舞团劲舞团街头篮球街头篮球远航游戏远航游戏大话西游大话西游搜狐游戏搜狐游戏边锋游戏边锋游戏刀剑游戏刀剑游戏第页

317 协议类别完美世界征服游戏征途游戏茶苑完美世界征服游戏征途游戏游戏茶苑协议解释 NS-ICG 用户手册三国群英传 online 三国群英传 online 娱网棋牌登录登录 HTTP 代理登录 HTTP 代理登录绍兴同城游绍兴同城游 VS 对战平台 VS 对战平台问道问道热血传奇热血传奇冒险岛冒险岛彩虹岛彩虹岛魔域魔域超级舞者超级舞者面对面视频游戏面对面视频游戏永恒之塔永恒之塔 QQ 游戏对战平台登录和游戏数据登录和游戏数据获取游戏列表获取游戏列表反恐精英 Online 反恐精英 Online 穿越火线登录穿越火线游戏登陆游戏数据穿越火线游戏数据传输地下城与勇士流行的格斗网游寻仙腾讯首款 3D 网游天龙八部登录登录数据数据新奇迹世界数据 ( 奇迹世界 ) 数据传输登陆登陆游戏地下城与勇士数据数据 QQ 炫舞数据数据新武林外传登陆新武林外传登陆绿色征途登录登录数据数据 QQ 游戏登陆登陆 QQ 游戏名将三国登陆登陆名将三国露娜登陆登陆游戏露娜 _ 数据露娜 _ 数据传输弹头奇兵弹头奇兵登陆登陆弹头奇兵 qq 农场 qq 农场新热血英豪登陆新热血英豪新热血英豪热血英豪数据数据传输第页

318 协议类别 IM qq 幻想 qq 幻想登录魔域数据协议解释 NS-ICG 用户手册登录数据千年登陆登陆千年巨人巨人武易登录登录数据数据传输梦幻古龙梦幻古龙龙 Online 新英雄年代登录登录数据数据浪漫庄园登陆登陆浪漫庄园机战登录登录数据数据凤舞天骄登录登录数据数据传输投名状登录登录数据数据 QQ 飞车登录登录数据数据传输 QQ 自由幻想登录登录数据数据传输功夫世界登录登录数据数据传输星尘传说登陆登陆星尘传说数据星尘传说数据众神之战登陆登陆众神之战数据众神之战数据乱世枭雄登陆登陆乱世枭雄文件传输文件传输网络硬盘网络硬盘游戏 QQ 游戏 QQ 音速 QQ 三国等远程协助远程协助 QQ 音视频音视频群共享 2008 QQ2008 及之前版本的群共享功能群共享 2009 QQ2009 及之后版本的群共享功能离线文件传输 2008 QQ2008 及之前版本的离线文件传输功能离线文件传输 2009 QQ2009 及之后版本的离线文件传输功能聊天文件传输聊天文件传输 MSN 音视频音视频游戏游戏 HTTP 代理登录 HTTP 代理登录第页

319 协议类别 P2P 文件传输 Yahoo 视频 HTTP 代理登录文件传输音视频 ICQ/AIM 游戏 HTTP 代理登录协议解释 NS-ICG 用户手册文件传输视频 HTTP 代理登录文件传输音视频游戏 HTTP 代理登录网易泡泡游戏游戏新浪 UC 登录登录搜 Q 搜 Q Skype 登录和聊天登录和聊天淘宝旺旺淘宝旺旺 / 阿里旺旺淘宝版飞信登录和聊天登录和聊天文件传输飞信的点对点文件传输 Google Talk 登录登录 HTTP 代理登录 HTTP 代理登录 Lava-Lava Lava-Lava 百度 Hi 百度 Hi 校内通校内通普通下载普通下载 DHT DHT Tracker Tracker BitTorrent BitComet BitComet 比特精灵扩展比特精灵对 BitTorrent 协议所做的扩展 DHEv1 DHEv1 DHEv2 DHEv2 MSE MSE 普通下载普通下载 edonkey/emule KAD KAD VeryCD VeryCD 加密流量加密流量 Gnutella Gnutella KaZaA(FastTrack) POCO Kugoo Vagaa 迅雷 KaZaA(FastTrack) POCO2006 POCO2007 Kugoo HTTP 下载加密流量 UDP 下载 P2P 下载 HTTP 下载 POCO2006 POCO2007 HTTP 方式下载流量加密方式下载流量 UDP 方式下载流量 P2P 下载 HTTP 下载第页

320 协议类别百度下吧 WinMX Winny Share QQ 旋风脱兔百宝 Maze 酷我音乐盒搜娱看天下 PP 点点通 FrostWire Shareaza FlashGet 360 软件下载汉魅 Pando SoulSeek QQ 音乐 RaySource 大智慧行情分析系统 ( 行情 ) 协议解释其他流量 Web 迅雷加密流量 V2 V3 WinMX Winny Share QQ 旋风脱兔百宝 Maze 酷我音乐盒搜娱看天下阅读器 V2006 V2008 普通下载 LimeWire 变体登录 P2P 下载 TCP 下载 UDP 下载资源搜索 TCP 下载 UDP 下载 HTTP 下载网络共享文件下载 Pando SoulSeek 流行的网络音乐平台 RaySource 大智慧行情分析系统其他流量 Web 迅雷迅雷加密流量 V2 V3 V2006 V2008 普通下载 LimeWire 变体登录 P2P 下载 TCP 下载 UDP 下载资源搜索 TCP 下载 UDP 下载 HTTP 下载用户间传输共享信息汉魅 P2P 文件下载 NS-ICG 用户手册股票软件指南针 ( 行情 ) 同花顺行情分析 ( 行情 ) 登录登录 HTTP 代理登录 HTTP 代理登录同花顺行情分析 / 银河证券双子星证券之星 ( 行情 ) 钱龙 ( 行情 ) 证券之星股票分析软件登录 HTTP 代理登录登录 HTTP 代理登录第页

321 协议类别胜龙 ( 行情 ) 大策略 ( 行情 ) 和讯股道 ( 行情 ) 协议解释胜龙系列股票分析软件大策略股票信息快车免费的实时行情分析系统 NS-ICG 用户手册通达信行情分析 ( 行情 ) 通达信提供的证券行情分析软件. 大福星行情分析 ( 行情 ) 富贵满堂 ( 行情 ) 未来趋势 ( 行情 ) 分析家 2006( 行情 ) 恒生行情客户端 ( 行情 ) 恒生电子提供的证券行情分析软件富贵满堂是证券分析及智能选股软件未来趋势证券分析系统分析家 2006 证券行情 / 分析软件华安证券等券商使用该类客户端富易交易客户端 ( 交易 ) 国泰君安等券商使用该类客户端. 股票悄悄看 ( 行情 ) 小巧的办公室行情软件投资通 ( 行情 ) 投资通股票行情分析软件. 通达信交易客户端 ( 交易 ) 通达信提供的客户端是目前使用最多的交易客户端. 网络电视恒生交易客户端 ( 交易 ) 同花顺 ( 核新 ) 交易客户端 ( 交易 ) 财富通 ( 交易 ) 易发交易 ( 交易 ) 神网 e 通 ( 交易 ) 东海证券博易大师 ( 交易 ) 第一创业证券 ( 行情 ) 第一创业证券 ( 交易 ) 金阳光投资决策支持系统 ( 交易 ) 交东海证券新一代交易系统 ( 交易 ) 安信证券 ( 交易 ) 安信证券 ( 行情 ) 钱龙交易 ( 交易 ) 西南证券交易 ( 交易 ) PPStream PPLive QQLive 沸点由恒生电子 OEM 的证券交易客户端由同花顺 ( 核新 )OEM 的证券交易客户端财富通网上交易系统联合证券的交易客户端申银万国使用的交易客户端东海证券博易大师第一创业行情第一创业证券独立委托金阳光投资决策支持系统交东海证券新一代交易系统安信证券交易分析安信证券行情分析诚浩证券钱龙合一版西南证券网上交易 PPStream 网络电视 PPLive 网络电视 QQ 直播沸点网络电视第页

322 协议类别文件和数据库协议解释 UUsee UUsee 网络电视磊客磊客网络电视 Mysee Mysee 网络电视 BBsee BBsee 网络电视 Sopcast Sopcast 网络电视 TVKoo TVKoo 网络电视 PPMate PPMate 网络电视 TVAnts TVAnts 网络电视 51TV 51TV 网络电视 5TTK 5TTK 网络电视 MOP MOP 网络电视 TTlive TTlive 网络电视 TVUPlayer TVUPlayer 网络电视新浪 TV 新浪 TV 迅雷看看迅雷在线观看 QVod QVod 网络电视 PPGOU PPGOU 网络电视搜狐 TV 搜狐 TV 土豆视频土豆视频优酷优酷六间房六间房酷 6 酷 6 皮皮影视皮皮影视风行风行网络电视 YouTube YouTube 飞速土豆土豆视频下载加速器暴风影音 5670 暴风影音 5670 NBA 中文网 NBA 中文网 pp 加速器视频加速辅助工具 cctvlive cctvlive in cctvbox WebPlayer9 WebPlayer9 视频点播系统 iv 影音加速器网络音视频辅助工具乐鱼影音盒乐鱼影音盒网络电视顶悦视听盒登录顶悦视听盒节登录数据下载顶悦视听盒节数据下载新浪大片新浪大片 NETBIOS 名称服务 NETBIOS 名称服务 Windows 文件共享 NETBIOS 数据报服务 NETBIOS 数据报服务 NETBIOS 会话服务 NETBIOS 会话服务 Microsoft-DS 服务 Microsoft-DS 服务基于 RPC 协议的若干服务终端位置服务终端位置服务 NS-ICG 用户手册第页

323 协议类别 HTTP 应用 MS SQL NFS RSYNC RCP HTTP POST HTTP PROXY HTTP 多线程下载 HTTP 流媒体 HTTP 音频开屏娱乐 MJBOX 开心网校内网 HTTP 压缩文件下载 HTTP 可执行文件下载 HTTP 电影下载 HTTP 音乐下载 HTTP 文本文件下载 NS-ICG 用户手册协议解释基于 HTTP 的 RPC 服务基于 HTTP 的 RPC 服务远程文件共享远程文件共享 MS SQL NFS RSYNC Radio Control Protocol HTTP POST HTTP PROXY Fresh Download Fresh Download Speed Bit Speed Bit 普通多线程下载普通多线程下载 Windows 流媒体 Windows 流媒体 ( 使用 HTTP 承载 ) 普通 HTTP 流媒体普通 HTTP 流媒体 itunes itunes(apple 音乐下载 ) 普通 HTTP 音频普通 HTTP 音频下载开屏娱乐登录网页登录上传数据上传下载数据下载登录登录游戏游戏登录登录游戏游戏 HTTP 压缩文件下载 HTTP 可执行文件下载 HTTP 电影下载 HTTP 音乐下载 HTTP 文本文件下载代理和隧道人人网麻子面馆麻子面馆普通 HTTP 普通 HTTP 流量 socks4/5 TCP socks TCP socks UDP socks UDP socks Waysonline/SocksOnline 网联在线出品的用于突破网络限制的代理软件安全 GRE ESP AH RADIUS IKE Generic Routing Encapsulation Encapsulation Security Payload protocol Authentication Header protocol Authentication RADIUS Authentication Accounting RADIUS Accounting Internet Key Exchange 第页

324 协议类别网络层协议网络管理协议解释 CMP Certificate Management Protocol Kerberos a computer network authentication protocol L2TP Layer 2 Tunneling Protocol PPTP Point-to-point tunneling protocol ARP Address Resolution Protocol RARP Reverse Address Resolution Protocol IPv6 Internet Protocol Version 6 MPLS MPLS_UC MPLS Unicast traffic MPLS_MC MPLS Multicast traffic PPPoE PPP_DISC PPPoE discovery messages PPP_SES PPPoE session messages IGMP Internet Group Management Protocol EGP Exterior Gateway Protocol RSVP Resource ReSerVation Protocol TimeServer TimeServer BGP Border Gateway Protocol RIP Routing Information Protocol SNMP Agent SNMP Agent Manager SNMP Manager OSPF Open Shortest Path First DAYTIME Networks testing and measurement protocol 数据传输数据传输系统服务系统服务 NS-ICG 用户手册其它应用用户自定义超出防护阀值流量其他 IP 协议 IP 广播 IP 多播其他 P2P 应用其它以太网协议其他交互式应用用户自定义超出防护阀值流量 TCP/UDP/ICMP 之外的 IP 协议 IP 广播流量 IP 多播流量其他具有 p2p 行为特征的应用其它以太网协议其他具有交互行为特征的应用第页

325 3.URL 数据库分类表一级分类表 : BBS 站点违反法律娱乐 Web 通信病毒机动车在线聊天医疗健康参考游戏广告旅游计算机与互联网财经体育网上交易商业儿童色情社会生活政治成人新闻媒体军事赌博宗教与信仰法律博彩远程代理艺术毒品房地产教育暴力求职招聘科学违反道德文学非盈利组织犯罪技能门户网站与搜索引擎木马病毒网络资源二级分类表 : 旅游和财经又有以下二级分类 : 财经股票基金外汇期货银行其他财经证券公司在线股票交易旅游交通住宿预定其他旅游每个分类下面所涵盖网站的性质描述 : 参考网康网站上的相关信息 ( 第页

326 4. 正则表达式 NS-ICG 用户手册正则表达式 (regular expression) 是一种字符串匹配的模式, 用来检查一个字符串中是否包含有某种子串, 将匹配的子串替换, 或者从某个串中取出符合某个条件的子串正则表达式由以下组成 : 由普通字符 (0-9 a-z A-Z 标点符号 ) 和特殊字符 ( 含有特殊含义的字符 ) 组成的文字模式, 它将某个字符模式与所搜索的字符串进行匹配正则表达式的详细使用方法说明如下 : 字符说明 \ 将下一字符标记为特殊字符文本反向引用或八进制转义符例如, n 匹配字符 n \n 匹配换行符序列 \\ 匹配 \, \( 匹配 ( ^ 匹配输入字符串开始的位置如果设置了 RegExp 对象的 Multiline 属性, ^ 还会与 \n 或 \r 之后的位置匹配 $ 匹配输入字符串结尾的位置如果设置了 RegExp 对象的 Multiline 属性, $ 还会与 \n 或 \r 之前的位置匹配 * 零次或多次匹配前面的字符或子表达式例如,zo* 匹配 zo 和 zoo * 等效于 {0,} + 一次或多次匹配前面的字符或子表达式例如, zo+ 与 zo 和 zoo 匹配, 但与 z 不匹配 + 等效于 {1,}? 零次或一次匹配前面的字符或子表达式例如, do(es)? 匹配 do 或 does 中的 do? 等效于 {0,1} {n} n 是非负整数正好匹配 n 次例如, o{2} 与 Bob 中的 o 不匹配, 但与 food 中的两个 o 匹配 {n,} n 是非负整数至少匹配 n 次例如, o{2,} 不匹配 Bob 中的 o, 而匹配 foooood 中的所有 o 'o{1,}' 等效于 'o+' 'o{0,}' 等效于 'o*' {n,m} m 和 n 是非负整数, 其中 n <= m 至少匹配 n 次, 至多匹配 m 次例如, o{1,3} 匹配 fooooood 中的头三个 o 'o{0,1}' 等效于 'o?' 注意 : 您不能将空格插入逗号和数字之间第页

327 ? 当此字符紧随任何其他限定符 (* +? {n} {n,} {n,m}) 之后时, 匹配模式是非贪心的非贪心的模式匹配搜索到的尽可能短的字符串, 而默认的贪心的模式匹配搜索到的尽可能长的字符串例如, 在字符串 oooo 中, o+? 只匹配单个 o, 而 o+ 匹配所有 o. 匹配除 \n 之外的任何单个字符若要匹配包括 \n 在内的任意字符, 请使用诸如 [\s\s] 之类的模式 (pattern) 匹配 pattern 并捕获该匹配的子表达式可以使用 $0...$9 属性从结果匹配集合中检索捕获的匹配若要匹配括号字符 ( ), 请使用 $ 或者 $ (?: pattern) 匹配 pattern 但不捕获该匹配的子表达式, 即它是一个非捕获匹配, 不存储供以后使用的匹配这对于用或字符 ( ) 组合模式部件的情况很有用例如, 与 industry industries 相比, industr(?: y ies) 是一个更加经济的表达式 (?=pattern) 执行正向预测先行搜索的子表达式, 该表达式匹配处于匹配 pattern 的字符串的起始点的字符串它是一个非捕获匹配, 即不能捕获供以后使用的匹配例如, Windows (?=95 98 NT 2000) 与 Windows 2000 中的 Windows 匹配, 但不与 Windows 3.1 中的 Windows 匹配预测先行不占用字符, 即发生匹配后, 下一匹配的搜索紧随上一匹配之后, 而不是在组成预测先行的字符后 (?!pattern) 执行反向预测先行搜索的子表达式, 该表达式匹配不处于匹配 pattern 的字符串的起始点的搜索字符串它是一个非捕获匹配, 即不能捕获供以后使用的匹配例如, Windows (?!95 98 NT 2000) 与 Windows 3.1 中的 Windows 匹配, 但不与 Windows 2000 中的 Windows 匹配预测先行不占用字符, 即发生匹配后, 下一匹配的搜索紧随上一匹配之后, 而不是在组成预测先行的字符后 x y 与 x 或 y 匹配例如, z food 与 z 或 food 匹配 (z f)ood 与 zood 或 food 匹配 [xyz] [^xyz] [a-z] 字符集匹配包含的任一字符例如, [abc] 匹配 plain 中的 a 反向字符集匹配未包含的任何字符例如, [^abc] 匹配 plain 中的 p 字符范围匹配指定范围内的任何字符例如, [a-z] 匹配 a 到 z 范围内的第页

328 任何小写字母 [^a-z] 反向范围字符匹配不在指定的范围内的任何字符例如, [^a-z] 匹配任何不在 a 到 z 范围内的任何字符 \b 匹配一个字边界, 即字与空格间的位置例如, er\b 匹配 never 中的 er, 但不匹配 verb 中的 er \B 非字边界匹配 er\b 匹配 verb 中的 er, 但不匹配 never 中的 er \cx 匹配由 x 指示的控制字符例如,\cM 匹配一个 Control-M 或回车符 x 的值必须在 A-Z 或 a-z 之间如果不是这样, 则假定 c 就是 c 字符本身 \d 数字字符匹配等效于 [0-9] \D 非数字字符匹配等效于 [^0-9] \f 换页符匹配等效于 \x0c 和 \cl \n 换行符匹配等效于 \x0a 和 \cj \r 匹配一个回车符等效于 \x0d 和 \cm \s 匹配任何空白字符, 包括空格制表符换页符等与 [ \f\n\r\t\v] 等效 \S 匹配任何非空白字符等价于 [^ \f\n\r\t\v] \t 制表符匹配与 \x09 和 \ci 等效 \v 垂直制表符匹配与 \x0b 和 \ck 等效 \w 匹配任何字类字符, 包括下划线与 [A-Za-z0-9_] 等效 \W 任何非字字符匹配与 [^A-Za-z0-9_] 等效 \xn 匹配 n, 此处的 n 是一个十六进制转义码十六进制转义码必须正好是两位数长例如, \x41 匹配 A \x041 与 \x04 & 1 等效允许在正则表达式中使用 ASCII 代码 \num 匹配 num, 此处的 num 是一个正整数到捕获匹配的反向引用例如, (.)\1 匹配两个连续的相同字符第页

329 \n 标识一个八进制转义码或反向引用如果 \n 前面至少有 n 个捕获子表达式, 那么 n 是反向引用否则, 如果 n 是八进制数 (0-7), 那么 n 是八进制转义码 \nm 标识一个八进制转义码或反向引用如果 \nm 前面至少有 nm 个捕获子表达式, 那么 nm 是反向引用如果 \nm 前面至少有 n 个捕获, 那么 n 是反向引用, 后面跟 m 如果前面的条件均不存在, 那么当 n 和 m 是八进制数 (0-7) 时,\nm 匹配八进制转义码 nm \nml 当 n 是八进制数 (0-3),m 和 l 是八进制数 (0-7) 时, 匹配八进制转义码 nml \un 匹配 n, 其中 n 是以四位十六进制数表示的 Unicode 字符例如,\u00A9 匹配版权符号 ( ) 第页

330 5.MIME 与文件类型对照表文件扩展名.hta.isp.crd.pmc.spc.sv4crc.bin.clp.mny.p7r.evy.p7s.eps.setreg.xlm.cpio.dvi.p7b.doc.dot.p7c.ps.wps.csh.iii MIME 类型 application/hta application/x-internet-signup application/x-mscardfile application/x-perfmon application/x-pkcs7-certificates application/x-sv4crc application/octet-stream application/x-msclip application/x-msmoney application/x-pkcs7-certreqresp application/envoy application/pkcs7-signature application/postscript application/set-registration-initiation application/vnd.ms-excel application/x-cpio application/x-dvi application/x-pkcs7-certificates application/msword application/msword application/pkcs7-mime application/postscript application/vnd.ms-works application/x-csh application/x-iphone 第页

331 .pmw.man.hdf.mvb.texi.setpay.stl.mdb.oda.hlp.nc.sh.shar.tcl.ms.ods.axs.xla.mpp.dir.sit application/x-perfmon application/x-troff-man application/x-hdf application/x-msmediaview application/x-texinfo application/set-payment-initiation application/vndms-pkistl application/x-msaccess application/oda application/winhlp application/x-netcdf application/x-sh application/x-shar application/x-tcl application/x-troff-ms application/oleobject application/olescript application/vnd.ms-excel application/vnd.ms-project application/x-director application/x-stuffit.* application/octet-stream.crl.ai.xls.wks.ins.pub application/pkix-crl application/postscript application/vnd.ms-excel application/vnd.ms-works application/x-internet-signup application/x-mspublisher 第页

332 .wri.spl.hqx application/x-mswrite application/futuresplash application/mac-binhex40.p10 application/pkcs10.xlc.xlt.dxr.js application/vnd.ms-excel application/vnd.ms-excel application/x-director application/x-javascript.m13 application/x-msmediaview.trm.pml.me.wcm.latex application/x-msterminal application/x-perfmon application/x-troff-me application/vnd.ms-works application/x-latex.m14 application/x-msmediaview.wmf.cer.zip application/x-msmetafile application/x-x509-ca-cert application/x-zip-compressed.p12 application/x-pkcs12.pfx.der.pdf.xlw.texinfo.p7m.pps.dcr.gtar application/x-pkcs12 application/x-x509-ca-cert application/pdf application/vnd.ms-excel application/x-texinfo application/pkcs7-mime application/vnd.ms-powerpoint application/x-director application/x-gtar 第页

333 .sct.fif.exe.ppt.sst.pko.scd.tar.roff text/scriptlet application/fractals application/octet-stream application/vnd.ms-powerpoint application/vndms-pkicertstore application/vndms-pkipko application/x-msschedule application/x-tar application/x-troff.t application/x-troff.prf.rtf.pot.wdb.bcpio.dll.pma.pmr.tr.src.acx.cat.cdf.tgz.sv4cpio.tex.ustar.crt application/pics-rules application/rtf application/vnd.ms-powerpoint application/vnd.ms-works application/x-bcpio application/x-msdownload application/x-perfmon application/x-perfmon application/x-troff application/x-wais-source application/internet-property-stream application/vndms-pkiseccat application/x-cdf application/x-compressed application/x-sv4cpio application/x-tex application/x-ustar application/x-x509-ca-cert 第页

334 .ra.mid.au.snd.wav.aifc.m3u.ram.aiff.rmi.aif.mp3.gz audio/x-pn-realaudio audio/mid audio/basic audio/basic audio/wav audio/aiff audio/x-mpegurl audio/x-pn-realaudio audio/aiff audio/mid audio/x-aiff audio/mpeg application/x-gzip.z application/x-compress.tsv.xml text/tab-separated-values text/xml.323 text/h323.htt.stm.html.xsl.htm.cod.ief.pbm.tiff.ppm.rgb text/webviewhtml text/html text/html text/xml text/html image/cis-cod image/ief image/x-portable-bitmap image/tiff image/x-portable-pixmap image/x-rgb 第页

335 .dib.jpeg.cmx.pnm.jpe.jfif.tif.jpg.xbm.ras.gif image/bmp image/jpeg image/x-cmx image/x-portable-anymap image/jpeg image/pjpeg image/tiff image/jpeg image/x-xbitmap image/x-cmu-raster image/gif 第页

336 6.AD 域证书服务器功能名称 : 证书服务器功能描述 : 只有首先安装证书服务器, 并做相关的设置才可以正常使用 LDAP 修改密码的功能详细操作过程 : 第 1 步 : 在 AD 域服务器上, 将计算机系统版本的安装光盘放入光驱, 并在选择添加 windows 组件中选择证书, 安装证书服务器附录 6-1 证书安装注意事项安装前需要配置了正确的计算机名和域成员身份安装证书服务后, 计算机名和域成员身份都不能更改, 因为计算机名到 CA 信息的绑定存储在 Active Directory 中更改计算机名或域成员身份将使此 CA 颁发的证书无效如上图提示第 2 步 : 确认上述提示信息后, 请点击下一步, 在 CA 类型中选择企业根, 点击下一步进入 CA 识别信息画面 : 第页

337 附录 6-2 CA 识别信息此 CA 的公用名称 : 管理员详细设置如设置为 test 可分辨名称后缀 : 该项必须设置为本地 AD 的域名如 : 本地 AD 域名为 qa.netentsec, 则此处设置为 DC=qa,DC=netentsec 第 3 步 : 设置完毕后, 继续点击下一步完成证书服务器的安装, 并重启计算机第 4 步 : 在开始运行中输入 mmc, 启动控制台, 如下图 : 第页

338 附录 6-3 控制台第 5 步 : 从文件中选择添加 / 删除管理单元, 进入下图 : 第页

339 附录 6-4 添加管理单元第 6 步 : 点击添加, 在弹出的窗口中选择证书并点击添加, 进入下图 : 第页

340 附录 6-5 证书管理单元第 6 步 : 选择计算机账户, 点击下一步后选择本地计算机后, 完成配置此时进入控制台中可以找到您所建立的证书, 如刚刚我们建立的是下图中的第二个 test 证书, 它的证书模板是根证书颁发机构请注意下图中第一个是域控制器的证书两者的颁发者要保持一致如果不满足该条件, 请卸载证书组件, 重启计算机, 并重新安装证书服务器附录 6-6 控制台证书服务器安装好后我们就可以导出证书, 以供在 LDAP 认证中导入证书使用方法是右键单击如上图中的八法机构为根证书颁发机构的证书, 后续的选择中依次选择不导出私钥 DER 编码 2 进制后, 将该证书保存到一个本地路径至此, 证书建立成功第页

341 如果已经安装了证书服务器, 且证书服务器和 AD 控制器的证书颁发者相同, 则只需导出根颁发证书机构的证书就可以, 之后步骤和上述相同第页

342 7.AD 脚本配置只有正确在 AD 服务器上配置好登录脚本, 才能使用 AD 认证功能, 获得该脚本的方法如下 : 在域控制器, 登录 NS-ICG 管理页面, 点击用户管理认证管理, 点击下载客户端按钮, 将软件包 AuthClient_Installer.msi 文件保存到本地 AD 认证软件本在域服务器上配置详细过程如下 ( 以 WINDOWS2003 版本为例 ): 第 1 步 : 登录域服务器, 打开管理您的服务器菜单, 点击管理 Active Directory 中的用户和计算机选项, 在弹出的页面中, 右键点击所要监控的域或者域下某个组织单位, 选择属性菜单, 在弹出的窗口中, 点击组策略选项卡如下图所示 : 附录 7-1 打开组策略编辑器第页

343 第 2 步 : 点击新建, 输入组策略名称后, 双击该名称, 进入下图 : 附录 7-2 编辑组策略编辑器第 3 步 : 点击用户配置软件设置软件安装, 在右边的空白窗口中, 右键单击并选择新建程序包将之前保存的 NetentSec_TAA_Installer.msi 软件包放入此处此处是 AD 域服务器的网络共享空间目录如下图 : 第页

344 附录 7-3 放置并选择软件包第 4 步 : 选择该软件包后点击打开, 进入下图 : 附录 7-4 部署软件已发布 : 只将软件包发布给用户, 不能发布给计算机不会自动安装软件的所有内容只有当用户手工点击控制面板添加 / 删除程序添加程序才会触发软件的实质第页

345 安装操作, 或者通过文件启动功能触发安装操作已指派 : 能把软件包指派给用户和计算机, 当选择该项时, 该软件会在计算机启动的时候自动的安装在目标计算机上高级 :AD 域服务器功能很强大, 此处就不再一一详解第 5 步 : 根据实际网络需要, 进行选择, 并点击确定第 6 步 : 配置完后, 依次点击桌面左下角的开始, 点击运行, 在弹出的运行窗口中输入 : gpupdate 并点击确定, 生效配置完的组策略然后在 NS-ICG 管理页面中打开 AD 认证并生效, 就可以使用 NS-ICG 所提供的 AD 认证管理功能了 Windows2000 操作系统配置方法 : 需要首先在自动弹出的配置服务器页面中, 选择 Active Directory 选项, 打开管理用户账户和组设置功能, 或者依次点击桌面左下角的开始 - 程序 - 管理工具 -Active Dictory 用户和计算机, 然后操作与服务器为 windows2003 版本的情况相同 1. 提供的 AD 用户认证功能只支持单个域, 多个域的情况, 只有所监控的域内用户可以通过认证访问互联网 ; 但是支持单个域多台 DC 服务器的情况 2. 当由于网络故障或其它意外原因, 用户没有能够成功通过认证的情况下, 将不能访问互联网 ; 当网络恢复通过 AD 认证后用户有可能隔一小段时间才能继续访问互联网 ( 默认时间为 1 分钟 ) 3. 目前 AD 用户认证管理功能支持的服务器端和客户端版本如下 : a) 服务器版本 :2K, 2003 b) 客户端版本 :2K, XP, 所要管理的域必须支持 NTLM 认证协议 5. 进行 AD 认证的时候按照域服务器列表进行认证, 当列表中有域服务器未开机或者故障时, 会增加通过认证所需的时间, 甚至不能通过认证, 所以应该尽量确保位于列表中的域服务器有效和正确 6. 用户使用虚拟机软件, 只有虚拟机采用网络类型为 NAT 的情况下虚拟机才可以通过认证访问 WEB, 网桥和网关模式都不能访问 Web 7. 当用户单台计算机拥有多个 IP 的情况下, 只能确保当该计算机使用的 IP 数小于 10 的情况下访问互联网的稳定性 8. 必须保证 NS-ICG 设备可以连接到域服务器以及认证用户的计算机才能正常使用该功能第页

346 8. 认证客户端的安装与卸载 NS-ICG 用户手册 ( 一 ) 安装认证客户端 : 第 1 步 :NS-ICG 中开启了客户端认证时, 当用户使用 IE 等浏览器访问网页, 会首先进入如下图所示页面 : 附录 8-1 下载客户端界面第 2 步 : 点击下载按钮, 并在后续弹出的窗口中, 点击运行, 进入如下图所示画面 : 第页

347 附录 8-2 安装客户端第 3 步 : 点击下一步后选择安装路径执行安装安装完毕后, 弹出如下窗口 : 附录 8-2 安装客户端 2 第 4 步 : 选择启动 Authenticate Client 2.2 选项, 并点击完成按钮, 安装结束安装结束第页

348 后, 会在开始菜单中增加相应的菜单 Authenticate Client, 并且会自动将认证客户端添加到启动菜单中, 使每次用户登录时, 认证客户端的登录脚本自动在后台运行, 无需用户手动操作第 5 步 : 认证成功后, 即可上网程序运行后, 根据在认证配置高级配置中的配置决定在右下角的系统托盘中是否显示图标, 右键图标弹出菜单的选项说明如下 : 打开认证窗口 : 输入认证用户名和密码进行认证, 也可以切换认证用户退出 : 退出客户端程序 1. 有关安全警告 : 出现安全警告对话框是由于 Authenticate Client 程序没有获得微软的数字签名导致的, 程序本身并不会对用户的电脑造成硬件以及软件上的伤害 2. 有关防火墙 : 在用户安装了杀毒软件和防火墙的情况下, 首次进行认证时, 某些杀毒软件或者防火墙会询问用户是否允许 Athenticate Client 访问网络, 此时应该选择允许, 否则用户将不能通过认证, 从而不能访问网络选择允许后, 就可以正常使用客户端透明认证功能了 3. 有关修改用户密码 : 当在域服务器上修改了域用户账户密码后, 该用户必须右键点击选择打开认证窗口重新认证 ; 域用户在客户机上修改密码, 仍然可以通过认证并访问网络 ( 二 ) 卸载认证客户端 : 通过控制面板的添加或删除程序卸载即可第页

349 9. 术语说明 NS-ICG: 网康科技互联网控制网关 (Internet Control Gateway) 的英文缩写代指网康科技提供的互联网控制网关产品 LDAP: 轻量级目录访问协议 (Lightweight Directory Access Protocol) 的英文缩写该协议定义了一种在客户机 / 服务器模型中本地或远程访问和更新目录 ( 数据库 ) 中的信息的标准方法 NTLM: 微软公司提出的一种身份验证协议 Console: 控制台或控制台终端 Post:HTTP 协议提供的一种方法, 经常用于在网页中提交表单数据 IM: 即时通信 (Instant Messenger) 的英文缩写 Streaming Media: 流媒体应用 P2P: 全称叫做 Peer-to-Peer, 即对等互联网络技术, 或简称点对点网络技术 P2P 使得用户可以直接连接到其它用户的计算机, 进行文件共享与交换 Session: 会话类应用, 是互网络应用的一种类型 Online Games: 网络游戏, 是互网络应用的一种类型 P2Pstreaming: 网络电视第页

展开

飞鱼星多WAN防火墙路由器用户手册

飞鱼星多WAN防火墙路由器用户手册 WAN VER: 20110218 Copyright 2002-2011 VOLANS WAN VR4600 VR4900 VR7200 VR7500 VR7600 1.1 1.2 IP 1.3 2.1 2.2 2.2.1 2.2.2 3.1 3.2 3.2.1 3.2.2 3.2.3 4.1 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.3 4.3.1 4.3.2