网康上网行为管理ICG-运行机理-拓扑部署-命令行(打印版1)

WEB流处理应用审计日志丢弃桶协议Per/deny丢弃桶WEB审计协议识别技术路线--ICG工作机理图（串接模式）应用包处理路由转发交换转发入网口出网口需要路由，源MAC改变，源IP地址改变不需路由不改变源MAC，源IP策略作用部分WEB流处理应用审计日志丢弃桶协议Per/deny丢弃桶WEB审计协议识别技术路线--ICG工作机理图（内旁路）应用包处理交换转发交换转发入网口出网口不需路由，源MAC，源IP均不改变不需路由不改变源MAC，源IP策略作用部分产品外观介绍硬件BYPASS串接产品为了避免产品的单点故障，在设备出现断电、死机时，系统会自动启用硬件Bypass，直接将内，外两个端口物理连通，变成一根网线，保证用户网络畅通。ICG的接入方式安全邮件网关企业网入口防火墙IPS＋病毒网关核心网络ISPQOS/SIG保证用户的网络质量网康ICG无拓扑改变接入对客户端透明客户端无需安装软件配置ICG—登陆第1步：将任意一台PC的IP设置为网段的IP（ICG出厂ip为3）；第2步：将该PC与NS-ICG连接；第3步：从该PC打开浏览器，输入：https://3回车进入NS-ICG登录界面；第4步：输入默认用户名与密码均为ns25000，点击【登录】，成功登录后，成功登录后，系统会自动跳转到“系统监控”->“系统状态“标签。关于ICG在不同网络环境下的部署1、ICG和所有用户在单一2层网段，用户出口设备为路由器/防火墙；2、用户为2层网络，但是在同一个广播域中有多个子网，ICG要配置多IP方式实现；3、用户为2层网络，但是用户的网络中有Trunk链路，ICG放置在Trunk链路中；4、用户的网络中有3层交换设备，ICG放置在3层交换设备和出口路由器之间；5、用户的网络中有3层设备，ICG放置在3层交换机和出口路由器之间，但是3层交换机和路由器之间的链路的掩码是30位掩码；6、用户网络中存在着代理的情况。用户在单一的二层网络ICG和所有用户在单一2层网段，用户出口设备为路由器/防火墙，拓扑图如下：网关选NS-ICG网桥模式：

IP地址：设为防火墙或路由器与2层交换机之间可用的地址，比如41。

IP掩码：根据实际情况设置，如。

缺省网关：设为防火墙/路由器的内部IP地址,IP掩码根据企业实际网络环境设置。DNS:正确填入公网dns服务器地址。网口状态显示：显示当前的网口连接状态用户在单一的二层网络具体配置如下所示：：【系统管理】—〉【网络配置】用户在单一的二层网络用户为2层网络多IP的情况2.用户为2层网络，但是在同一个广播域中有多个子网，ICG要配置多IP方式实现。拓扑图如下：选NS-ICG网桥模式：

IP地址：任何一个网段的可用地址，如。

IP掩码：根据实际情况设置，如。

缺省网关：IP地址所在的网段的网关。

DNS:正确填入公网dns服务器地址。用户为2层网络多IP的情况具体配置如下：【系统管理】—〉【网络配置】—〉【网络配置】—〉【对ip配置】添加其他网段的ip地址即可。用户为2层网络多IP的情况3.用户为2层网络，但是用户的网络中有Trunk链路，ICG放置在Trunk链路中（用户的网络中没有有VLAN1）用户的网络中有Trunk链路具体配置如下所示：：【系统管理】—〉【网络配置】选NS-ICG网桥模式：

IP地址：设为非网络应用环境的任意地址，比如.。

IP掩码：根据实际情况设置，如。

缺省网关：设为任意VLAN中一个可用网关,如:.。

用户的网络中有Trunk链路选择【系统管理】—〉【网络配置】—〉【TRUNK配置】用户的网络中有Trunk链路4.用户的网络中有3层交换设备，ICG放置在3层交换设备和出口路由器之间。拓扑图如下：用户的网络中有3层交换设备具体配置如下：【系统管理】—〉【网络配置】选NS-ICG网桥模式：

IP地址：设为本网段的任意可用地址，比如.。

IP掩码：根据实际情况设置，如。

缺省网关：设为路由器的接口地址,如:。用户的网络中有3层交换设备【系统管理】—〉【网络配置】—〉【路由配置】

配置回指路由到内网网段：/16,下一跳为三层交换机接口地址。用户的网络中有3层交换设备5.用户的网络中有3层设备，ICG放置在3层交换机和出口路由器之间，但是3层交换机和路由器之间的链路的掩码是30位掩码。注意ICG是否可以正常学到出口路由器和3层交换机的接口的MAC地址。拓扑图如下：用户的网络中有3层交换设备，30位掩码基本配置方法与24位掩码配置相同需要在命令行中使用icg_arp绑定两端三层设备的mac地址。管理设备必须为设备配置管理口，管理口应与桥接口不在同一个网段。【系统管理】—〉【系统配置】—〉【管理口设置】用户的网络中有3层交换设备，30位掩码用户的网络中有3层交换设备，用户通过代理上网。ICG放置在3层交换设备和代理之间。拓扑图如下：通过代理上网的方式基本配置方法与24位掩码配置相同，只需要将代理服务器当成路由器即可。ICG设备要求启用代理功能，并要与代理服务器使用相同的端口配置。【系统管理】—〉【系统配置】—〉【代理设置】通过代理上网的方式ICGCLI配置培训1、ICG三种管理方式的连接方法2、ICG受限命令行-命令详解ICGCLI配置培训1、Console访问CLI用console线将计算机和NSICG设备的console口相连，通过超级终端进入到CLI，超级终端设置如下：1、选择开始-程序-附件-通讯-超级终端。2、按照提示，先自定义一个连接名称，选择连接端口，一般情况下，使用com1口，出现如图界面时，点击“还原为默认值”，并“确定”即可ICGCLI配置培训2.SSH访问CLIICG默认是开放22端口的，可采用SSH软件登陆到NSICG的CLI此处填写欲连接设备的管理地址或桥接地址ssh开放端口登陆用户名1、可以使用ssh工具如securecrt登陆2、如右图填好登陆地址、端口、用户名后，点击连接，输入密码后即可登陆ICGCLI配置培训3.Web访问ICGICG默认情况下，配置了初始ip地址，3。可以通过使用https协议登陆WEB管理。

eg：在web浏览器的地址栏中输入：3

输入用户名（ns25000）和密码（ns25000）即可使用web方式进行管理。命令详解1、help

此命令用于查看NSICGconsole口模式下可用的命令。语法模式：

HelpICG共有25个受限命令，掌握这25个命令，对于管理好ICG设备有这重要意义Eg：[NS-ICG]->help命令详解2、icg_status

此命令用于查看icg网关当前的运行状态，包括运行模式，内外网口信息，IP配置信息和引擎工作状态。

语法模式：

icg_status举例：想查看ICG配置的ip地址，以便通过web登陆ICG。想查看引擎是否开启想查看哪个是内网口，哪个是外网口命令详解此命令用于开启，停止或重启过滤引擎。语法模式：icg_http_ctl{start|stop|restart|help}命令参数描述start开启http引擎stop关闭http引擎restart重启http引擎help命令帮助3、icg_http_ctl注：停止引擎将停止ICG的流控、web监控状态，ICG将处于待机状态，（不会断网）命令详解4、icg_if_cfg

此命令用于指定NSICG工作的输入输出接口。语法模式：

icg_if_cfg注：此命令目的是改变ICG工作的内、外网口5、icg_ip_cfg

此命令用于配置NSICG工作的模式和IP地址信息。语法模式：

icg_ip_cfg注：ICG工作模式是指：网关模式和网桥模式命令详解

6、icg_dns_cfg

此命令用于配置NSICG的DNS服务器。语法模式：

icg_dns_cfg注：此处的dns是指ICG上网使用的dns服务器7、icg_route

此命令用于配置NSICG的路由表。语法模式：

icg_route注：1、查看路由表中的路由信息

2、添加路由信息命令详解8、icg_arp此命令用于配置静态的ARP表语法模式:icg_arp注:在个别情况下，ICG设备有可能无法学习到网关的mac地址，需要手工添加静态arp表项。icg_arp命令只对由该命令添加的arp表项可以删除，对于通过其他方式（如直接用arp命令添加的静态arp映射）不能删除；9、icg_monitor_ports此命令用于修改NSICG引擎监视的端口。语法模式：icg_monitor_ports注:执行完这条命令后，需要重新启动一下引擎，设备才能生效。命令详解10、icg_sys_diagnose此命令用于系统故障诊断并收集相关信息，以便发送网康公司进行测试、分析故障原因，并最终为客户解决相关问题。（此命令使用对话模式，如果您的网络出现故障，请用此调试命令）语法模式：icg_sys_diagnose11、icg_sys_tune

此命令用于TCP滑动窗口值及启用SysRq(用于打印输出内核的一些信息,以便故障排查)

语法模式:

icg_sys_tune命令详解12、diagnose_network此命令用于当用户在通过ICG无法访问web时，通过执行该命令对问题进行排查，并能自动抓取内外网卡上的数据包及系统日志以便进一步分析,抓包信息会保存成压缩包的形式(日志为加密文件)

语法模式：

diagnose_network命令详解13、icg_db_backup

此命令用于将ICG的数据库中的数据备份到与ICG外接的USB存储设备上或从USB设备上将备份数据还原到ICG上.

语法模式：

icg_db_backup注:目前导出数据所需的USB设备只支持FAT和FAT32分区，否则ICG不能识别.命令详解14、softbypass

此命令开启ICG的软件bypass功能(在用户对断网要求比较高的情况下,当ICG负载比较高时,可自动停掉引擎,保障用户的网络畅通)

语法模式：

softbypass15、reset

此命令将把NSICG恢复到出厂模式（请谨慎使用此命令，如执行会将用户的系统配置，策略配置等都清除，可能会引起网络中断）。语法模式：

reset命令详解16、update_pwd_reset此命令用于将NSICG的在线更新即https://NSICG-ip/liveupdate(下载最新的补丁包)密码恢复成默认值(username:ns25000;pwd:ns25000)。语法模式：update_pwd_reset17、upgrade此命令用于更新NS的操作系统。语法模式：