网康ICG_多环境部署示例

网康互联网控制网关 NS-ICG面对日益普及的互联网，人们的工作、学习、生活也越来越依赖于互联网，然而由于滥用互联网的行为所带来的各种风险却没有被重视起来：1.工作效率低下：办公室越来越像网吧，贴在墙上的管理条例形同虚设2.网速越来越慢：带宽一扩再扩，永远满足不了业务的需求3.安全隐患不断：防火墙、防病毒系统挡不住层出不穷的病毒、木马等安全隐患4.机密信息外泄：内部机密信息通过Email、BBS、MSN等在不经意的流失5.违反国家规定：网络安全建设不符合国家对互联网的使用管理规定网康上网行为管理产品NS-ICG 产品功能介绍Web访问过滤互联网上的信息资源非常丰富，却良莠不齐。

通过网康互联网控制网关，您可以根据业务需要制定精细化Web访问策略，将非业务信息挡在门外。

可控制管理50多个网址分类，共计1400万条URL适合中国用户的上网习惯符合中国社会伦理与法律法规实时更新，自动分类，人工校验网络聊天管理随着IM软件应用的日益广泛，与工作无关的聊天和聊天中泄密等问题给企业管理带来了严峻的挑战。

通过网康互联网控制网关，您可以根据业务需要制定精细化的网络聊天监控管理策略，在不同时间对不同部门、不同人员施行差异管理方式。

可控制管理多种流行IM软件，包括：QQ、MSN、Yahoo通、AIM(ICQ)、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺、飞信等支持对MSN、Y ahoo通聊天内容的监控支持对IM软件子协议的独立控制，如聊天、文件传输、音视频、游戏、远程桌面等支持对使用权和使用时间的监控管理P2P下载控制P2P下载为人们快速共享文件提供了极大的便利，但其强占带宽资源的特性却常常影响正常的业务数据传输。

通过网康互联网控制网关，您可以定制精细的P2P控制管理策略、阻塞或者限制P2P上传/下载的带宽，确保企业核心业务的带宽得以保障。

可控制管理多种主流的P2P软件，包括：BT、eMule/eDonkey、迅雷（以及web方式）、PP 点点通、Kugoo、KaZaA（Fast Track）、Gnutella、V agaa、百度下吧、WinMX、Winny、Share、msze、未知P2P应用（UDP）等识别控制加密P2P数据流支持对使用权、带宽和使用时间的控制管理网络娱乐控制网络娱乐已经成为中国一大经济产业，然而不分时间不分场合的娱乐，对工作和学习的影响显而易见。

网康ICG设备命令行配置网康ICG设备命令行配置对于图形化的WEB界面配置，都可以通过友善的界面、简单的操作，实现设备的基本配置工作，但对于特殊情况下，无法通过图形界面完成配置时，我们就有必要学习如何在命令行模式下完成必要的操作了。

首先，我们需要知道能进入设备的用户名及密码用户名：icgadmin，密码：netentsec。

网康设备有着自己独特的命令行模式，在登陆成功后，系统会自动地出现所有相关的命令及注释。

可以通过输入help，查看所有的命令。

网康的命令行没有可以使用TAB键补全的功能。

查看系统配置的命令为：icg_status，如下图：设备现在是作为桥接模式串入网络的，而且只为单网桥模式。

网康设备视接口数量，可以每两个接口为一组，完成多线路的上网行为管理。

注：网康设备可设备管理口及管理IP，但用做管理口的接口就无法用于其他的用途，而且管理IP应该于该网络不在同一网段，以免影响网络通信的正常。

在命令行模式下，如何配置基本网络信息。

icg_network_cfg，进入配置网桥模式下的配置命令：Do you want to change Mgr_port configurations?(y|n)n（是否配置管理口：否）Do you want to change network configurations?(y|n)y（是否更改设备的网络配置：是） Please choose network mode [B]ridge/[G]ateway: b（请选择网络模式：桥接模式） Please input Stp mode[on|off]: off（是否启用STP模式：否）Please input the total number of bridges:1（输入桥接模式下的网桥数量：1）Please input Bri0 ip/netmask/ethout/ethin(eg:192.168.1.23/255.255.255.0/eth0/eth1) Input:192.168.5.135/255.255.255.0/eth2/eth3（输入该网桥的管理IP，掩码，外口接口号，内口接口号） Please input default gateway IP: 192.168.5.254（输入默认网关）如下图所示：当前网络配置网关模式下的配置命令：Do you want to change Mgr_port configurations?(y|n)n（是否配置管理口：否）Do you want to change network configurations?(y|n)y（是否更改设备的网络配置：是） Please choose network mode [B]ridge/[G]ateway:g（请选择网络模式：桥接模式） Please input External ip/netmask/ethout(eg:192.168.1.23/255.255.255.0/eth0) （输入外网口IP地址，掩码，接口号）Please input Internal ip/netmask/ethin (eg:192.168.1.23/255.255.255.0/eth1) （输入内网口IP地址，掩码，接口号）Please input default gateway IP: 192.168.5.254（输入默认网关）如下图所示：当前网络配置感谢您的阅读，祝您生活愉快。

多环境配置的具体步骤与方法1.确定环境：首先确定需要配置的环境。

一般来说，常见的环境包括开发环境、测试环境和生产环境，每个环境有不同的配置需求和限制。

2. 创建配置文件：为每个环境创建一个对应的配置文件。

配置文件可以是属性文件（如.properties或.ini）或者是脚本文件（如.sh或.bat）。

每个配置文件中包含环境的相关配置项，如数据库连接信息、日志级别和路径等。

3.配置文件结构：为了方便管理，可以将配置项按照功能或者模块进行分组，例如将数据库相关配置放在一个区域，将日志相关配置放在另一个区域。

这样可以提高配置文件的可读性和可维护性。

4.环境变量：通过使用环境变量，可以在不同环境中使用相同的配置文件。

在配置文件中使用占位符表示需要替换的变量，然后通过读取环境变量的方式来获取实际的值。

5. 配置管理工具：为了方便管理和部署配置文件，可以使用一些配置管理工具，如Ansible、Puppet或者Chef。

这些工具可以提供自动化的配置管理和部署功能，减少手动操作的复杂性。

6. 版本控制：对配置文件进行版本控制，以便在需要时能够回滚到之前的配置。

可以使用版本控制工具，如Git或SVN，将配置文件纳入版本控制管理。

7.配置管理平台：如果环境配置比较复杂，可以考虑使用配置管理平台。

配置管理平台可以集中管理所有的配置文件，并提供图形化界面和权限控制等功能，方便团队协作和管理。

8. 自动化部署：为了减少手动操作和提高效率，可以使用自动化部署工具，如Jenkins或Travis CI。

通过配置自动化作业，可以将配置文件自动部署到相应的环境中。

9.测试和验证：在部署之前，需要对配置文件进行测试和验证。

可以编写测试脚本，检查配置文件的正确性和完整性。

同时，可以进行灰度或回归测试，确保配置变更不会对应用程序的正常运行产生负面影响。

10. 监控和报警：在配置文件部署完成后，需要进行监控和报警设置，以便及时发现和解决配置问题。

网康ICG快速安装文档由于NS-ICG设备的出厂时默认IP地址是“192.168.1.23”，因此请将任意一台PC的IP设置为该段地址，例如192.168.1.10。

在该PC的浏览器地址栏中输入“https: //192.168.1.23”并回车（请注意，该地址是以https开头，而非http），打开NS-ICG的登录界面，如下图所示：NS-ICG系统管理员的用户名和密码默认都是ns25000。

输入正确的用户名和密码后，点击“登录”按钮，进入NS-ICG系统的控制页面。

登录系统并通过【系统管理】→【网络配置】→【网络配置】进入到如下图所示页面：如上图所示，刚进入网络配置界面时，系统默认的是网桥模式。

配置方法如下：输入NS-ICG的基本网络配置：IP地址：用于访问NS-ICG。

可设为企业内网上的任意IP，比如192.168.1.23。

IP掩码：根据根据企业实际网络环境设置，如255.255.255.0。

缺省网关：请将NS-ICG的默认网关指向该企业所使用的网关（即防火墙/路由器内部IP），如192.168.1.254。

外网口：选择连接外网的接口。

内网口：选择连接内网用户的接口。

设置DNS的地址：主DNS服务器地址必填，且需格式正确、真实无误。

配置完毕后，点击“确定”。

若想让最新的配置立即生效，请点击右上方的“立即生效”按钮。

配置完成后，接上网络可以查看系统监控模块的主要子模块及其功能，如下图所示：系统状态集中显示了系统运行状况信息，通过查看系统状态页面，管理员可以快速了解到NS-ICG 的运行状况是否正常、稳定。

系统状态界面包括四个小模块，如下图所示：网络活动页面使用图表方式集中显示当前用户网络活动、网络应用的使用情况、以及带宽资源使用的概况，使得管理员可以方便的掌握所管理用户的网络活动状况，如下图所示：具体详细信息可点击查看详细进行查看。

网康ICG快速上线配置手册一、web登录开机后用网线连接网康的E0或E1接口，默认Ip：192.168.1.23登录地址https://192.168.1.23 默认帐号密码：ns25000（密码与帐号相同）注：若接口与ip信息不清楚，则用console管理方式进后台查看。

后台帐号：icgadmin 密码：netentsec 进入后用icg_status命令查看。

二、License申请与导入申请测试License必备条件：网康ICG的序列号，测试时间范围。

（若申请正式的，还需获取硬件信息）注：系统管理→系统配置→授权与更新→产品授权信息→获取硬件信息。

收到测试（或正式）License后：系统管理→系统配置→授权与更新→产品授权信息，导入。

……→升级授权信息，导入（需联网）。

三、配置基本网络信息系统管理→网络配置→模式选择→网桥模式（最常用），配置ip信息、默认网关、DNS与路由。

如下图：^_^------四、配置策略1、应用控制策略（对各种应用程序如qq、迅雷、pplive等封堵）策略管理→控制策略设置→添加→应用控制策略。

如下：^_^---配置好后，必须在界面右上角点击“立即生效”，该策略才能生效。

如下：2、流量控制策略（限速）此处与上面的应用控制策略不同，必须先建一个带宽对象（即限制的速度范围）。

策略管理→对象设置→带宽通道对象→添加，建个迅雷限速通道。

如下：^_^设置好带宽通道对象后，进：控制策略设置→添加→流量控制策略。

在弹出的页面中填写相应信息，在应用列表中找到迅雷并点击，在弹出页面指定带宽通道。

如下：---3、网站浏览控制策略（封堵某个或一类网站）---此处与流控策略一样，必须先建一个网址分类对象（或网址匹配对象或关键字对象），对象设置→网站分类对象→添加，如下：Array然后在：策略管理→审计策略设置→http应用审计策略→网页浏览策略，如下：^_^---完成上部步骤，网康基本上可以正式上线了，无非根据用户的需求再建一些相应的策略。

关于ICG在不同网络环境下的部署1.ICG和所有用户在单一2层网段，用户出口设备为路由器/防火墙，拓扑图如下：设备出厂IP地址为192.168.1.23,在IE里输入HTTPS://192.168.1.23进入配置页面.A.具体配置如下所示：：【系统管理】—〉【网络配置】—〉【接入模式（标签页）】B.选NS-ICG网桥模式：IP地址：设为防火墙或路由器与2层交换机之间可用的地址，比如192.168.196.235。

IP掩码：根据实际情况设置，如255.255.255.0。

缺省网关：设为防火墙/路由器的内部IP地址,IP掩码根据企业实际网络环境设置。

网口状态显示：显示网口连接状态。

2.用户为2层网络，但是在同一个广播域中有多个子网，ICG要配置多IP方式实现。

拓扑图如下：A.具体配置如下所示：【系统管理】—〉【网络配置】—〉【接入模式（标签页）】B.选NS-ICG网桥模式：IP地址：任何一个网段的可用地址，如10.1.1.5。

IP掩码：根据实际情况设置，如255.255.255.0。

缺省网关：ip地址所在的网段的网关。

开启本地DNS:NS-ICG内置DNS服务器启动,NS-ICG 对DNS的请求由内置DNS服务器处理。

开启本地DNS代理:NS-ICG代理本地DNS请求。

C.【系统管理】—〉【网络配置】—〉【接入模式】—〉【高级配置】—〉【多IP配置】3.用户为2层网络，但是用户的网络中有Trunk链路，ICG放置在Trunk链路中（用户的网络中没有有VLAN1）以上两种Trunk方式要求给出产品型号选用的注意事项，并且给出250，550的端口注意事项。

拓扑图如下：A.具体配置如下所示：：【系统管理】—〉【网络配置】—〉【接入模式（标签页）】B.选NS-ICG网桥模式：IP地址：设为非网络应用的任意的地址，比如10.5.5.5.。

IP掩码：根据实际情况设置，如255.255.255.0。

缺省网关：设为任意VLAN中一个,如:10.1.1.1.。

安全解决方案北京网康科技有限公司目录1安全风险分析 (4)1.1 来自公网的安全风险分析 (4)1.2 来自内部人员及分部的安全威胁 (4)2安全方案设计 (5)2.1 方案概述 (5)2.2 总体设计 (5)2.3 详细设计 (6)2.3.1 外部安全防护 (6)2.3.2 内部安全防护 (8)3网康方案价值与产品优势 (11)3.1 易用性 (11)3.2 健壮性 (12)3.3 产品优势 (12)1安全风险分析1.1来自公网的安全风险分析由于内部网络中其办公系统及各人主机上都有涉密信息。

假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。

透过网络传播，还会影响到与本系统网络有连接的外单位网络。

如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到来自外网一些不怀好意的入侵者的攻击。

如：●入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击；●入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息；●恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪；●发送大量包含恶意代码或病毒程序的邮件。

1.2来自内部人员及分部的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。

来自机构内部局域网的威胁包括：●误用和滥用关键、敏感数据和计算资源。

无论是有不满情绪的员工的故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。

●因不当使用Internet接入而降低生产率。

实例解读：⽹络设备热备部署的三种模式在⽹络和数据中⼼的核⼼区域，⽹络和服务器的热备部署已是⾮常普遍的部署模式。

下⾯就⽤三则实例介绍⽹络中，⽹络设备常⽤的热备部署模式。

以便⼤家在以后的⼯作中，能够根据⾃⼰的⽹络实际情况，选择正确的⽹络设备热备部署模式。

图1 ⼆层交换机的热备份部署模式⼀、⼆层交换机的热备份部署模式这种热备份部署模式在⽹络中也是最常见、最简单的部署⽅式，⼀般在⽹络的分布层⽐较常见。

为了实现交换机的冗余性，或者为了保障连接在交换机上的服务器的持续稳定运⾏，通常采⽤这种部署⽅式。

因为服务器的运⾏，⼀般都要保证7X24⼩时的连续运转。

所以，采⽤这种部署模式也⽐较合适。

如图1所⽰，是⼆层交换机的热备份部署拓扑图，共包括两台Cisoc 2960交换机和两台服务器，结构⽐较清晰。

设备间的连接情况如下所⽰：Cisco2960A GigabitEthernet0/1 <-----> Server1 Eth0Cisco2960A GigabitEthernet0/2 <-----> Server2 Eth0Cisco2960B GigabitEthernet0/1 <-----> Server1 Eth1Cisco2960B GigabitEthernet0/2 <-----> Server2 Eth1Cisco2960A GigabitEthernet0/24 <-----> Cisco2960B GigabitEthernet0/24Server1 Eth2 <-----> Server2 Eth2Server1的IP地址为192.168.2.11，⼦⽹掩码为255.255.255.0，Server2的IP地址为192.168.2.12，⼦⽹掩码为255.255.255.0。

两台服务器上的Eth0和Eth1两块⽹卡是绑定在⼀起的，例如Server1的Eth0和Eth1的两块⽹卡与外部进⾏数据通信时，两个⽹卡使⽤的IP地址都是192.168.2.11/24，若⼀块⽹卡故障的话，另⼀块⽹卡会继续保持与外界的通信，并不会影响服务器的正常运⾏。