網(wǎng)康ICG操作手冊

1、用戶管理用戶是互聯(lián)網(wǎng)訪問的標(biāo)識主體（即誰在訪問)，是NS-ICG互聯(lián)網(wǎng)訪問管理的目標(biāo)對象。出身份認(rèn)證信息外，一個完整的用戶定義還包含其組織信息和訪問策略.每一個互聯(lián)網(wǎng)訪問都對應(yīng)唯一的用戶（或用戶組），這是NS-ICG實現(xiàn)基于用戶和用戶組的訪問控制的基礎(chǔ)。而建立完整和準(zhǔn)確的用戶信息更是保證NS-ICG進(jìn)行有效互聯(lián)網(wǎng)訪問審計（監(jiān)控、查詢、報表等）的關(guān)鍵。用戶管理模塊提供全面的用戶管理功能,主要有如下幾個功能模塊：用戶導(dǎo)入-可通過掃描當(dāng)?shù)鼐钟蚓W(wǎng)內(nèi)的IP導(dǎo)入用戶、導(dǎo)入LDAP用戶或者自定義導(dǎo)入用戶。組織管理-手動構(gòu)建企業(yè)組織架構(gòu)和用戶信息。認(rèn)證管理-配置用戶上網(wǎng)的識別和認(rèn)證管理方式，可針對不同用戶采用

2、不同的識別認(rèn)證方式，支持本地人證和多多種第三方認(rèn)證；支持用戶綁定設(shè)置。用戶導(dǎo)入用戶導(dǎo)入主要支持三種方式：IP導(dǎo)入、LDAP導(dǎo)入和網(wǎng)康自定義導(dǎo)入。IP導(dǎo)入主要通過掃描設(shè)備IP來進(jìn)行用戶導(dǎo)入,LDAP導(dǎo)入時導(dǎo)入LDAP服務(wù)器上的用戶，而網(wǎng)康自定義導(dǎo)入則是通過TXT或者CSV文件導(dǎo)入用戶信息。IP導(dǎo)入NS-ICG提供兩種用戶信息的建立方式.其一，可以通過已存在的用戶信息數(shù)據(jù)源,導(dǎo)入到NS-ICG系統(tǒng)中，如依據(jù)IP地址導(dǎo)入用戶、從已建立的LDAP服務(wù)器中導(dǎo)入用戶、根據(jù)網(wǎng)康自定義格式導(dǎo)入用戶；其二，可以通過管理界面手工管理.第1步：通過【用戶管理】-【用戶導(dǎo)入】-【IP導(dǎo)入】進(jìn)入如下圖所示頁面：第2步：

3、點擊“掃描”或者“瀏覽”本地文件后點擊“導(dǎo)入，進(jìn)入“導(dǎo)入用戶列表”畫面,如下圖：用戶名:手動輸入用戶名;導(dǎo)入選項：導(dǎo)入IP與MAC：保存用戶名、IP地址和MAC地址導(dǎo)入MAC：保存用戶名、MAC地址導(dǎo)入IP：保存用戶名、IP地址填充用戶名：如果選擇該項, ICG 會將相應(yīng)的 IP 地址作為用戶名進(jìn)行自動填充;選擇導(dǎo)入位置:根據(jù)選擇,導(dǎo)入到組織管理的指定位置(注：需提前配置好組織架構(gòu)）第 3 步：管理員根據(jù)需要選擇導(dǎo)入的數(shù)據(jù)和填充畫面各項信息后，點擊右上角的“導(dǎo)入”按鈕，進(jìn)行導(dǎo)入?；蛘哌x擇“返回按鈕,返回到前一畫面。如果管理員沒有勾選任何數(shù)據(jù)，那么默認(rèn)全部導(dǎo)入.第 4 步：若想讓最新的配置立即生

4、效，請點擊右上方“立即生效按鈕；（二）、通過文件導(dǎo)入第 1 步：設(shè)置交換機，方法同上述.第 2 步:新建 txt 文本文件，正文格式是每行一個 IP 地址，或一個網(wǎng)段（同時支持跨網(wǎng)段）,如：192.168。1。10192.168。10。12-55192。168.30.68-192.168。40.255第 3 步：點擊主畫面的“瀏覽”按鈕，選擇該文本文件后,點擊“導(dǎo)入”按鈕。 ICG 會在指定的 IP 或 IP 網(wǎng)段間進(jìn)行掃描,將所有開機的并匹配的 PC 機的 MAC 地址找到后，匹配顯示到如上圖所示畫面中.后續(xù)操作同方法一。IP對象IP對象主要是在設(shè)置認(rèn)證策略及客戶端推

5、送策略時使用,管理員可將需要安裝客戶端的PC地址設(shè)置為一個IP對象，或者可將，某一個IP網(wǎng)段設(shè)置為一個IP對象，可為IP對象設(shè)置推送客戶端策略，或者設(shè)置認(rèn)證策略，下面詳細(xì)介紹如何設(shè)置IP對象；第1步，通過【對象設(shè)置】-【IP對象】進(jìn)入下圖:第2步，點擊“添加”按鈕，進(jìn)入下圖；對象名稱：添加對象名稱；對象描述：添加對象描述；IP信息:填寫IP對象所包含的IP，支持兩種方式，一種是手動錄入IP地址，一種是勾選錄入IP地址；第3步，點擊“手動錄入IP地址”，手動輸入IP，支持兩種格式；IP地址和IP子界，每行一個，最多100行，如下圖：也可以勾選錄入IP地址，在新建IP對象編輯框點擊“勾選錄入IP地

6、址”,彈出框中列出ICG目前所有用戶IP列表，如下圖:第4步，手寫錄入IP或者勾選IP之后，點擊“錄入”，則IP顯示在IP對象編輯窗口的IP信息列表中.然后點擊“保存”，則IP對象創(chuàng)建完畢。策略縱覽NS-ICG 作為互聯(lián)網(wǎng)行為審計產(chǎn)品其最主要的功能就是對各種互聯(lián)網(wǎng)行為進(jìn)行審計及控制,而策略總覽頁面提供了 ICG 可支持的所有審計策略的設(shè)置通道并展示當(dāng)前所有已配置的策略視圖，通過策略總覽頁面,管理員可以直觀查看策略信息（哪些策略在生效、其控制動作、策略優(yōu)先級、策略的生效時間等等）和進(jìn)行各種策略配置,如創(chuàng)建 / 修改 / 復(fù)制 / 刪除 / 查詢 / 激活 / 關(guān)閉策略、生成策略報告等等,策略總覽

7、頁面支持的審計策略共有 6 大類 23 種策略,具體如下:編號策略類別包含的策略主要功能是否支持多策略設(shè)置1應(yīng)用控制策略應(yīng)用控制策略對網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，如允許或阻塞游戲、股票軟件、網(wǎng)絡(luò)電視等是2HTTP 應(yīng)用審計策略網(wǎng)頁瀏覽策略針對指定用戶在指定時間內(nèi)所瀏覽的網(wǎng)頁進(jìn)行審計和控制?？舍槍Σ煌瑮l件配置策略，條件包括網(wǎng)站類型（如股票、色情）、網(wǎng)址類型（如聊天室)、文件類型(如 mp3 ）、網(wǎng)址,標(biāo)題，內(nèi)容,請求數(shù)及流量等.是網(wǎng)頁搜索策略對用戶的網(wǎng)頁搜索行為進(jìn)行審計和控制，如禁止搜索敏感文字等是發(fā)帖審計策略對內(nèi)網(wǎng)用戶在網(wǎng)站或論壇以 HTTP 協(xié)議的 Post 方法發(fā)送內(nèi)容的行為進(jìn)行審計和控制.是Web

8、mail 審計策略對指定用戶通過 webmail 發(fā)送郵件的行為進(jìn)行審計和控制.是HTTP 文件審計策略對指定用戶使用 HTTP 協(xié)議傳輸文件的行為進(jìn)行審計和控制，如郵件附件，論壇附件等是3聊天審計策略QQ 審計對 QQ 聊天的行為進(jìn)行審計控制,不審計內(nèi)容。否MSN 審計對 MSN 聊天行為和內(nèi)容進(jìn)行審計和控制.否YAHOO 通審計對 yahoo 通聊天行為和內(nèi)容進(jìn)行審計和控制否飛信聊天可對內(nèi)網(wǎng)用戶用飛信進(jìn)行聊天的行為和內(nèi)容進(jìn)行審計與控制是飛信文件對內(nèi)網(wǎng)用戶用飛信進(jìn)行傳輸文件的行為進(jìn)行審計與控制，可根據(jù)文件名、文件類型和大小進(jìn)行封堵。是飛信其他對飛信的登錄退出、音視頻行為進(jìn)行審計是4郵件審計策

9、略接收郵件審計對 pop3 接收郵件行為進(jìn)行審計否SMTP 發(fā)送郵件審計對內(nèi)網(wǎng)用戶通過 SMTP 協(xié)議發(fā)送的郵件進(jìn)行審計和控制。是5獨立審計策略FTP 審計對 FTP 上傳下載文件行為進(jìn)行審計與控制否TELNET 審計對 telnet 行為進(jìn)行審計否HTTPS 審計對 HTTPS 訪問行為進(jìn)行審計否NOTES 客戶端審計對 NOTES 客戶端發(fā)送郵件行為進(jìn)行審計。否6終端訪問策略客戶端準(zhǔn)入策略對滿足或者不滿足某些條件的 PC 終端允許 / 禁止其接入網(wǎng)絡(luò).是客戶端應(yīng)用封堵策略對某些滿足條件的 PC 限制其接入網(wǎng)絡(luò)。是QQ 客戶端審計對 QQ 的聊天行為及內(nèi)容進(jìn)行審計否MSN+SHELL 客戶端審計對使用 shell 的 msn 聊天行為和內(nèi)容進(jìn)行審計否SKYPE 客戶端審計對