网康ICG操作手册

1、用户管理用户是互联网访问的标识主体（即谁在访问），是NS-ICG互联网访问管理的目标对象。出身份认证信息外，一个完整的用户定义还包含其组织信息和访问策略。每一个互联网访问都对应唯一的用户（或用户组），这是NS-ICG实现基于用户和用户组的访问控制的基础。而建立完整和准确的用户信息更是保证NS-ICG进行有效互联网访问审计（监控、查询、报表等）的关键。用户管理模块提供全面的用户管理功能，主要有如下几个功能模块：用户导入-可通过扫描当地局域网内的IP导入用户、导入LDAP用户或者自定义导入用户。组织管理-手动构建企业组织架构和用户信息。认证管理-配置用户上网的识别和认证管理方式，可针对不同用户采用

2、不同的识别认证方式，支持本地人证和多多种第三方认证；支持用户绑定设置。用户导入用户导入主要支持三种方式：IP导入、LDAP导入和网康自定义导入。IP导入主要通过扫描设备IP来进行用户导入，LDAP导入时导入LDAP服务器上的用户，而网康自定义导入则是通过TXT或者CSV文件导入用户信息。IP导入NS-ICG提供两种用户信息的建立方式。其一，可以通过已存在的用户信息数据源，导入到NS-ICG系统中，如依据IP地址导入用户、从已建立的LDAP服务器中导入用户、根据网康自定义格式导入用户；其二，可以通过管理界面手工管理。第1步：通过【用户管理】-【用户导入】-【IP导入】进入如下图所示页面：第2步：

3、点击“扫描”或者“浏览”本地文件后点击“导入”，进入“导入用户列表”画面，如下图：用户名：手动输入用户名；导入选项：导入IP与MAC：保存用户名、IP地址和MAC地址导入MAC：保存用户名、MAC地址导入IP：保存用户名、IP地址填充用户名：如果选择该项， ICG 会将相应的 IP 地址作为用户名进行自动填充；选择导入位置：根据选择，导入到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导入的数据和填充画面各项信息后，点击右上角的“导入”按钮，进行导入。或者选择“返回”按钮，返回到前一画面。如果管理员没有勾选任何数据，那么默认全部导入。第 4 步：若想让最新的配置立

4、即生效，请点击右上方“立即生效”按钮；（二）、通过文件导入第 1 步：设置交换机，方法同上述。第 2 步：新建 txt 文本文件，正文格式是每行一个 IP 地址，或一个网段（同时支持跨网段），如：02-558-55第 3 步：点击主画面的“浏览”按钮，选择该文本文件后，点击“导入”按钮。 ICG 会在指定的 IP 或 IP 网段间进行扫描，将所有开机的并匹配的 PC 机的 MAC 地址找到后，匹配显示到如上图所示画面中。后续操作同方法一。IP对象IP对象主要是在设置认证策略及客

5、户端推送策略时使用，管理员可将需要安装客户端的PC地址设置为一个IP对象，或者可将，某一个IP网段设置为一个IP对象，可为IP对象设置推送客户端策略，或者设置认证策略，下面详细介绍如何设置IP对象；第1步，通过【对象设置】-【IP对象】进入下图：第2步，点击“添加”按钮，进入下图；对象名称：添加对象名称；对象描述：添加对象描述；IP信息：填写IP对象所包含的IP，支持两种方式，一种是手动录入IP地址，一种是勾选录入IP地址；第3步，点击“手动录入IP地址”，手动输入IP，支持两种格式；IP地址和IP子界，每行一个，最多100行，如下图：也可以勾选录入IP地址，在新建IP对象编辑框点击“勾选录入

6、IP地址”，弹出框中列出ICG目前所有用户IP列表，如下图：第4步，手写录入IP或者勾选IP之后，点击“录入”，则IP显示在IP对象编辑窗口的IP信息列表中。然后点击“保存”，则IP对象创建完毕。策略纵览NS-ICG 作为互联网行为审计产品其最主要的功能就是对各种互联网行为进行审计及控制，而策略总览页面提供了 ICG 可支持的所有审计策略的设置通道并展示当前所有已配置的策略视图，通过策略总览页面，管理员可以直观查看策略信息（哪些策略在生效、其控制动作、策略优先级、策略的生效时间等等）和进行各种策略配置，如创建 / 修改 / 复制 / 删除 / 查询 / 激活 / 关闭策略、生成策略报告等等，策

7、略总览页面支持的审计策略共有 6 大类 23 种策略，具体如下：编号策略类别包含的策略主要功能是否支持多策略设置1应用控制策略应用控制策略对网络应用进行控制，如允许或阻塞游戏、股票软件、网络电视等是2HTTP 应用审计策略网页浏览策略针对指定用户在指定时间内所浏览的网页进行审计和控制。可针对不同条件配置策略，条件包括网站类型（如股票、色情）、网址类型（如聊天室）、文件类型（如 mp3 ）、网址，标题，内容，请求数及流量等。是网页搜索策略对用户的网页搜索行为进行审计和控制，如禁止搜索敏感文字等是发帖审计策略对内网用户在网站或论坛以 HTTP 协议的 Post 方法发送内容的行为进行审计和控制。是

8、Webmail 审计策略对指定用户通过 webmail 发送邮件的行为进行审计和控制。是HTTP 文件审计策略对指定用户使用 HTTP 协议传输文件的行为进行审计和控制，如邮件附件，论坛附件等是3聊天审计策略QQ 审计对 QQ 聊天的行为进行审计控制，不审计内容。否MSN 审计对 MSN 聊天行为和内容进行审计和控制。否YAHOO 通审计对 yahoo 通聊天行为和内容进行审计和控制否飞信聊天可对内网用户用飞信进行聊天的行为和内容进行审计与控制是飞信文件对内网用户用飞信进行传输文件的行为进行审计与控制，可根据文件名、文件类型和大小进行封堵。是飞信其他对飞信的登录退出、音视频行为进行审计是4邮件

9、审计策略接收邮件审计对 pop3 接收邮件行为进行审计否SMTP 发送邮件审计对内网用户通过 SMTP 协议发送的邮件进行审计和控制。是5独立审计策略FTP 审计对 FTP 上传下载文件行为进行审计与控制否TELNET 审计对 telnet 行为进行审计否HTTPS 审计对 HTTPS 访问行为进行审计否NOTES 客户端审计对 NOTES 客户端发送邮件行为进行审计。否6终端访问策略客户端准入策略对满足或者不满足某些条件的 PC 终端允许 / 禁止其接入网络。是客户端应用封堵策略对某些满足条件的 PC 限制其接入网络。是QQ 客户端审计对 QQ 的聊天行为及内容进行审计否MSN+SHELL 客户端审计对使用 shell 的 msn 聊天行为和内容进行审计否SKYPE 客户端审计对