网康ICG操作手册
用户管理
用户是互联网访问的标识主体(即谁在访问),是NS-ICG互联网访问管理的目标对象。出身份认证信息外,一个完整的用户定义还包含其组织信息和访问策略。每一个互联网访问都对应唯一的用户(或用户组),这是NS-ICG实现基于用户和用户组的访问控制的基础。而建立完整和准确的用户信息更是保证NS-ICG进行有效互联网访问审计(监控、查询、报表等)的关键。
用户管理模块提供全面的用户管理功能,主要有如下几个功能模块:
用户导入---------------可通过扫描当地局域网的IP导入用户、导入LDAP用户或者自定义导入用户。
组织管理---------------手动构建企业组织架构和用户信息。
认证管理---------------配置用户上网的识别和认证管理方式,可针对不同用户采用不同的识别认证方式,支持本地人证和多多种第三方认证;支持用户绑定设置。
用户导入
用户导入主要支持三种方式:IP导入、LDAP导入和网康自定义导入。IP导入主要通过扫描设备IP来进行用户导入,LDAP导入时导入LDAP服务器上的用户,而网康自定义导入则是通过TXT或者CSV文件导入用户信息。
IP导入
NS-ICG提供两种用户信息的建立方式。其一,可以通过已存在的用户信息数据源,导入到NS-ICG系统中,如依据IP地址导入用户、从已建立的LDAP服务器中导入用户、根据网康自定义格式导入用户;其二,可以通过管理界面手工管理。
第1步:通过【用户管理】--【用户导入】--【IP导入】进入如下图所示页面:
第2步:点击“扫描”或者“浏览”本地文件后点击“导入”,进入“导入用户列表”画面,如下图:
用户名:手动输入用户名;
导入选项:
导入IP与MAC:保存用户名、IP地址和MAC地址
导入MAC:保存用户名、MAC地址
导入IP:保存用户名、IP地址
填充用户名:如果选择该项,ICG 会将相应的IP 地址作为用户名进行自动填充;
选择导入位置:根据选择,导入到组织管理的指定位置(注:需提前配置好组织架构)
第 3 步:管理员根据需要选择导入的数据和填充画面各项信息后,点击右上角的“导入”按钮,进行导入。或者选择“返回”按钮,返回到前一画面。如果管理员没有勾选任何数据,那么默认全部导入。
第 4 步:若想让最新的配置立即生效,请点击右上方“立即生效”按钮;
(二)、通过文件导入
第 1 步:设置交换机,方法同上述。
第 2 步:新建txt 文本文件,正文格式是每行一个IP 地址,或一个网段(同时支持跨网段),如:
192.168.1.10
192.168.10.12-192.168.10.155
192.168.30.68-192.168.40.255
第 3 步:点击主画面的“浏览”按钮,选择该文本文件后,点击“导入”按钮。ICG 会在指定的IP 或IP 网段间进行扫描,将所有开机的并匹配的PC 机的MAC 地址找到后,匹配显示到如上图所示画面中。后续操作同方法一。
IP对象
IP对象主要是在设置认证策略及客户端推送策略时使用,管理员可将需要安装客户端的PC地址设置为一个IP对象,或者可将,某一个IP网段设置为一个IP对象,可为IP对象设置推送客户端策略,或者设置认证策略,下面详细介绍如何设置IP对象;
第1步,通过【对象设置】-【IP对象】进入下图:
第2步,点击“添加”按钮,进入下图;
对象名称:添加对象名称;
对象描述:添加对象描述;
IP信息:填写IP对象所包含的IP,支持两种方式,一种是手动录入IP地址,一种是勾选录入IP地址;
第3步,点击“手动录入IP地址”,手动输入IP,支持两种格式;IP地址和IP子界,每行一个,最多100行,如下图:
也可以勾选录入IP地址,在新建IP对象编辑框点击“勾选录入IP地址”,弹出框中列出ICG目前所有用户IP列表,如下图:
第4步,手写录入IP或者勾选IP之后,点击“录入”,则IP显示在IP对象编辑窗口的IP信息列表中。然后点击“保存”,则IP对象创建完毕。
策略纵览
NS-ICG 作为互联网行为审计产品其最主要的功能就是对各种互联网行为进行审计及控制,而策略总览页面提供了ICG 可支持的所有审计策略的设置通道并展示当前所有已配置的策略视图,通过策略总览页面,管理员可以直观查看策略信息(哪些策略在生效、其控制动作、策略优先级、策略的生效时间等等)和进行各种策略配置,如创建/ 修改/ 复制/ 删除/ 查询/ 激活/ 关闭策
略、生成策略报告等等,策略总览页面支持的审计策略共有 6 大类23 种策略,具体如下:
策略总览界面如下图所示,列表模式是进入策略总览的默认模式,在列表模式下可对策略进行所有操作如创建、修改、删除、查询等;而用户模式则偏重于用户维度的策略展示,即有哪些策略作用于指定用户,管理员只能查看这些策略,
不能进行策略修改。下面以列表模式进行说明: