网康上网行为管理功能策略列表
【网康进阶之ICG】-07-上网时长策略
标题:上网时长策略1.实现功能A、限制研发部张三上班时间P2P下载和通讯聊天软件每天使用4小时,超过4小时就不能再使用了2.配置要点配置需要控制的用户配置需要控制的时间配置策略内容3.配置过程3.1.查看并设置用户的组织结构点开【用户管理】-【用户管理】,鼠标单击【ROOT】,然后【新建组】,添加【新建普通组】【组名称】填写“研发部”,【所属组】选择对应的组目录,本案例默认在根目录下即【ROOT】组下,选择后点击【保存】,组目录创建完毕完成添加后,我们会在组织管理的目录里面看见刚才创建的目录【研发部】;其他部门,可以按照类似的方法创建;接下来,在研发部门这个目录下面创建用户,单击【研发部门】-【新建用户】以张三为例,填写完毕,如果还有其他的用户,那么可以继续添加注:用户名称、所属组是必填项,其他可以任意填写3.2.设置时间段在【全局配置】-【对象设置】-【时间对象】中,点【+添加】,设置相应时间段;点击确定,时间段创建完毕,如果需要设置其他时间段,方法一样3.3.创建应用时长策略选取【流量管理】-【每用户控制】,点击【添加策略】,选择【时长策略】,点击时间、用户、应用和控制动作,然后对这些条件进行编辑,选择要控制的条件和内容;创建完成后,在当前的策略列表里面会显示该条策略,点击立即生效后,策略生效4.验证策略是否生效4.1.查看已经使用的时长在【系统监控】-【应用限额】,点击【选择操作】-【设置过滤条件】,在用户设置处,选择用户,如下(按照用户或者IP查询都可以,选择任何一个)点击确定,开始过滤,可以看到策略开始生效的时间,以及还有多长时间可以使用4.2.时长到期,是否匹配时长策略为了能看到效果,将每日限额变成10分钟时长及生效时间,调整时长内容,起止时间不会变化,引擎或者策略变动会重置开始计时的时间,我们可以在【系统监控】-【应用限额】查看实际使用时长;当出现【解禁】字样,表示该用户时长已经到期了,这个时候用户就无法使用选择的应用了,管理员可以点【解禁】重新计时;在【查询统计】-【应用活动】中查看张三以及对应的应用使用情况,被阻塞而且阻塞策略就是时长策略而未在时长策略内容中的应用可以照常使用。
上网行为管理功能列表
发帖控制
支持允许用户浏览帖子但不准发贴功能;
文件行为管理
文件外发控制
支持对HTTP、FTP、Email附件方式外发文件的识别、报警、过滤等管理措施;
文件外发告警
1.支持识别外发文件的扩展名;
2.支持识别删除、篡改文件扩展名行为并告警;
3.支持识别压缩、加密文件内文件类型并报警;
临时帐户
支持临时账户有效期限制,过期自动失效;
页面跳转
支持页面跳转:
1.跳转到用户原本输入的URL地址;
2.跳转到管理员指定的URL地址;
3.跳转到注销页面;
终端管理
终端准入管理
支持识别终端
1.操作系统版本;
2.系统补丁安装情况;
3.硬盘指定目录下的文件;
4.终端系统的进程信息;
5.终端系统注册表中表项和键值;
记录木马、病毒、端口扫描等危险行为;
反向审计
支持能审计外网访问内网网站、发帖、收发邮件、下载上传文件的行为;
硬件免审计
支持指定用户通过硬件方式(USB-Key)免审计的功能;
IP、域名免审计
支持基于IP、域名设置免除审计;
上网日志管理
数据中心
设备支持内置数据中心和独立数据中心;
日志查看权限
1.支持管理员配置,普通管理员只能查看指定用户组的日志;
上网权限管理
权限控制
支持基于时间段、基于用户/用户组、基于应用类型控制用户的上网权限;支持限制用户一天内总上网时长;
上网提醒
支持自动提醒功能,用户使用某应用时长、流速超过管理员设定值时,网关自动向该用户发起提醒;
策略有效期
支持上网策略对象有效期设定,过期自动失效;
上网行为管理
上网行为管理一解释上网行为管理是指帮助互联网用户控制和管理对互联网的使用。
其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
比如,限制公司员工访问某一些网页,限制使用QQ、微信等软件,针对每台电脑带宽做限制等。
二为什么要管理上网行为1.防止员工使用像迅雷、BT等为代表的P2P应用,占用大量带宽资源,导致网速变慢。
2.有效预防内部员工带来的安全隐患,像浏览了有安全风险的网络内容。
3.防止员工在工作期间发生聊天、游戏、炒股等行为,严重影响办公效率。
4.预防内部员工在网上发布违反法律的信息。
5.网络故障时,可以即时找到故障根源。
三主要功能1.网页访问过滤根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的页网页。
2.网络应用控制制定有效的网络控制策略,封堵与业务无关的网络应用。
3.带宽流量控制对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入。
4.信息内容审计制定全面的信息收到监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
5.上网行为分析用户可以实时了解、统计、分析网络使用状况,并根据分析结果对管理策略做调整和优化。
四其他功能NAT、路由、防火墙、VPN等功能。
五部署1.路由模式设备相当于路由器,一般在出口位置,具备路由转发和地址转换功能。
一般这种部署时替换客户原有的防火墙、路由器设备。
这种模式对客户的影响大,需要清楚的知道内网需要代理上网的地址段,需要映射到公网的业务等等,如不是非用此模式不可,一般不建议采用。
2.网桥模式这种模式对客户的网络基本没有改动,设备就是二层设备,只有在设备上架的短时间影响网络,推荐使用。
网桥模式不支持NAT、VPN、DHCP等功能,网桥模式支持硬件bypass,如果设备故障自动启用此功能,不会影响客户网络。
3.旁路部署模式此模式用于审计,不影响客户网络环境。
网康上网行为管理产品操作说明
策略分类:网康行为管理的策略主要分两大类:针对网页访问的策略(如使用浏览器上网)、针对软件访问的策略(如QQ、PPLive)。
目前已做的策略如下:1.网页访问——迁移原代理服务器的策略,限制用户通过浏览器访问特定的网址;2.网页访问——未在代理服务器配置中的IP及网址默认全部阻止;3.软件访问——禁止用户使用P2P影音(如PPLive)、在线音乐(如虾米)以及网络游戏(如QQ游戏)。
做策略的基本方法:基本思路是:XX用户或用户组,若满足或不满足XX条件,则允许或阻塞相应的请求。
针对网页访问的策略:选择“上网管理”——“网页访问详情”;新建一条策略或者点击进入一条策略进行编辑;在上图界面中勾选需要执行策略的用户或用户组;勾选“网址”,在右侧选择逻辑条件(包含或不包含)以及关键字;点击关键字可以进行对应的关键字编辑(也可在“全局配置”——“对象设置”——“关键字对象”中进行编辑);关键字对象中,每个关键字可以通过换行隔开;以上完成了逻辑条件的设置,下面设置执行的动作;勾选“设置控制动作”后,在右侧点击可在“允许该请求”和“阻塞该请求”中切换;确定后点击右上角“立即生效”完成。
针对软件访问的策略:选择“上网管理”——“应用控制详情”;新建一条策略或者点击进入一条策略进行编辑;在上图界面中勾选需要执行策略的用户或用户组;在网康的应用分类库中勾选需要进行控制的应用;以上完成了逻辑条件的设置,下面设置执行的动作;勾选“设置控制动作”后,在右侧点击可在“允许该请求”和“阻塞该请求”中切换;确定后点击右上角“立即生效”完成。
策略效果分析和微调:所有策略生效后,可根据实际使用情况进行小幅调整。
在“用户管理”——“组织结构”菜单中可以查看、编辑用户。
如可以新建用户组、在用户组中新建用户或者移动组内用户到其他组。
在“查询统计”——“网址访问”菜单中可以查看用户访问网页的情况,如允许或阻塞、匹配了哪一条策略。
如有用户反馈某些网址无法打开,可点击“选择操作”——“设置过滤条件”弹出设置窗口。
上网行为管理策略配置实战系列
聊天工具已经成为了现实网络中不可忽视的信息传播途径,包括QQ、MSN等聊天工具在内,俨然已经成为办公人员必备的业务交流工具,同时也是和外部保持联系的常用手段,就是由于聊天工具拥有这样的"双重身份",使得办公网的网络管理员很难进行强硬性的管理制度,而如果不加任何管控措施,信息安全无疑受到严重挑战。
网康科技定位于应用层的管理专家,旗下NS-ICG可实现针对QQ、MSN、飞信、雅虎通等多款热门即时聊天工具的聊天内容审计,结合之前的邮件收发审计、文件传输审计,形成全方面的信息安全防护。
技术原理:之前在业务流量管控中提到不同应用数据包具有不同的报文特征,通过深入分析发现,针对同一应用,其不同操作背后的数据包交互也存在一定的区别,基于这种细粒度的研究,可有效的将用户聊天信息从聊天应用中提取出来,在结合基于关键字审计策略,可有效实现聊天内容审计功能。
配置实战:前提条件是NS-ICG通过透明桥接模式部署在运营商办公网络中;另外开启了用户认证服务。
我们可以针对不同的聊天工具实现不同的审计策略,常见的包括:QQ、MSN、飞信等。
第一步,我们打开NS-ICG的"策略管理"-》"审计策略设置"界面,在屏幕下方会有如下界面:通过点击对应审计项表格右侧的" "或" "可有效激活或去激活相应的聊天工具审计功能。
另外,通过 "点击编辑"和"编辑用户"可设定开启审计功能的时间、针对的具体办公网用户。
比如点击"点击编辑"可设定时间,如下界面显示。
第二步:查看审计结果。
我们打开NS-ICG的"查询统计"-》"查询"-》"论坛聊天"可查看匹配【策略管理】→【审计策略设置】→【其他审计策略】中"QQ审计","msn审计","飞信审计","雅虎通审计"及【策略管理】→【客户端策略设置】中的"QQ客户端审计策略""MSN+SHELL客户端审计策略""SKYPE客户端审计策略"的审计结果。
NGFW网康NGFW功能列表
连接监控
实时支持连接监控和查询
通道监控
支持线路、流量通道癿流速
上线用户
支持上线用户列表
风险系数
支持最近15分钟和静态时间范围癿网络风险系数劢态评估和展示
管理界面
支持SSL加密WEB方式管理设备; 支持命令行方式管理设备;
系统配置
系统时间,DNS,系统管理员账号设置
系统维护
配置备份恢复,恢复出厂设置,软件版本升级,应用协议库升级, IPS/AV/URL数据库升级,License,关机重启
URL过滤日志 URL过滤相关日志
流日志信息,为系统管理员队设备配置变更癿日志信息
日志关联
支持威胁日志、流量日志、URL过滤日志癿关联
设备信息
提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间 、网络接口等信息;
Top排名
实时提供高风险应用排名、应用流量排名、用户流量排名
支持主子微多级通道,方便用户按照组织结构或应用类别进行精细化分层 流可控指定某一个物理接口为虚拟线路,也可指定多个WAN口作为一个虚拟 线支路持基于应用类型划分不分配带宽
时间控制
支持基于时间段癿带宽划分不分配策略;
保障带宽和限制 支持通道可指定其保证带宽,保证带宽分为上下行均可设置,可按百分比
带宽
和数值进行配置;
别和管控
位置配置可以以IP网段或VLAN ID进行配置
用户状态查询 支持用户登录注销历叱查询
统计
日志 监控 系统管理
应用中心(基于 支 持 Top 应 用 、 Top 源 地 址 、 Top 目 癿 地 址 、 Top 威 胁 、 TopURL 、 应用安全角度全 TopCountry展示和关联钻取 局俯瞰统计排 名应)用风险系数 支持指定时间段内,整个网络应用风险评估显示。
上网行为管理功能列表
网站&功能大类网站举例所有人禁用
时间段
特殊权限
时间段
网络流媒体IM传文件
游戏●
永久游戏IM ●永久P2P流媒体
P2P
迅雷迅雷●永久上网行为管理功能列表默认以下类别没有限制,如需禁用请将所有人勾选●并每个可以单独设定禁用的时间段,比如星期一8:00-18:00禁用MSN。
所有类别下有很多网站,可以全部禁用,也可以单个禁用,比如禁用淘宝,但不禁用京东。
下载工具
网银
木马控制灰鸽子●永久股票行情行情——操盘手
股票交易
生活服务
基于之前部分部门负责人的反馈建议:
1.在周一到周日8:00-12:00,13:00-18:00禁用网络流媒体,P2P流媒体
2.在周一到周日8:00-12:00禁用淘宝,京东等购物网站。
网康上网行为管理解决方案
xxxx公司上网行为管理系统设计方案XXXXX2009年8月目录1.1 互联网一把双刃剑 (6)1.2 对员工上网行为进行规范管理势在必行 (8)1.3 网康ICG 帮您用好双刃剑 (10)2功能介绍 (11)2.1 网页过滤 (11)2.1.1 最领先的中文URL 分类数据库 (11)2.1.2 灵活的Web 策略设置 (12)2.1.3 Web 访问违禁提示 (14)2.2 应用控制 (14)2.2.1 基于特征识别的覆盖全面的应用协议数据库 (15)2.2.2 灵活精细的管控策略 (16)2.3 带宽管理 (16)2.3.1 识别控制P2P 软件和加密P2P 数据 (17)2.3.2 针对用户/应用设置带宽 (17)2.3.3 基于时间段流量控制 (18)2.4 内容审计和过滤 (18)2.4.1 邮件收发审计和过滤 (19)G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor。
(19)2.4.2 IM 审计和过滤 (19)2.4.3 HTTP 文件传输审计和过滤 (20)2.4.4 FTP 文件传输审计和过滤 (20)2.4.5 TELNET 内容审计 (20)2.4.6 论坛发帖审计 (20)2.4.7 搜索引擎关键字审计和过滤 (20)2.4.8 基于时间和用户对象审计外发信息 (21)2.5 实时监控 (21)2.6 查询统计与报表分析 (23)2.6.1 详细的日志查询 (23)2.6.2 发送电子邮件丰富的统计报告 (24)2.6.2.1 递进式(Dill-down)统计分析 (25)2.6.2.2 预置报告模版 (25)2.6.2.3 直观的报告展现与结果保存 (29)2.6.2.4 分级系统报警日志 (29)2.6.2.5 简明系统操作日志 (29)2.7 日志管理 (30)2.7.1 完整的日志记录与导出备份 (30)2.7.2 日志中心 (30)2.9 用户管理 (31)2.9.1 丰富的用户认证方式 (31)2.9.2 支持用户的权限组管理 (33)2.9.3 支持AD 域权限组导入 (33)2.9.4 屏蔽活跃用户IP 地址 (33)2.9.5 支持用户对象的快速搜索选择 (34)2.9.6 支持IP/MAC 绑定 (34)2.9.7 LDAP 认证用户可修改认证密码 (34)2.9.8 支持强制下线 (34)2.9.9 支持BASIC 的每连接认证 (34)ICG 支持B ASIC 用户识别的每连接认证。
SANGFOR_AC上网行为管理功能列表
VRRP双机
双机热备 集中管理
其他 售后服务
产品相关资质
其他
Bypass功能 多语言支持
全国除西藏外有31个直属服务机构;海外有5个分支机构(香港、泰国、印度、新加波 品备件;
深圳总部设有60个座席的CTI中心,两路800电话提供7*24小时不间断服务;客户服务
对互联网应用的识别广泛度,正是考验各厂商技术实力的关键所在,不能识别就不能管理 。SANGFOR AC具有国内最大的应用协议识别库,帮助客户有效识别所有主流互联网应用; 同时互联网应用加密化趋势、版本泛滥等SANGFOR AC提供多种应对方案。 网关内置海量预分类URL库,专业团队维护,支持自动更新。 允许管理者手工创建新URL分类; 通过网址关键字识别URL及其分类; 根据管理者提供的关键字、或网址等学习材料,网关实现未知网页的自动识别和分类; 对于SSL加密的网址,网关能够识别和过滤(无需通过封堵TCP 443端口实现); 网关能够过滤搜索引擎输入的指定关键字; 网关能够过滤正文含有指定关键字的网页访问行为; 网关能够过滤含有指定关键字的网络发贴行为; 网关能够过滤含有多个关键字的搜索引擎行为、网络发帖行为; 网关能够基于关键字过滤SSL加密的网络发贴行为; 允许用户浏览论坛、BBS上的帖子,但不允许发送网络帖子; 网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置,并封堵; 对于通过HTTP/HTTPS端口传输非网页流量的行为,支持识别并过滤; 能够过滤通过HTTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 能够过滤通过FTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 包含24个大类,500多条应用识别规则,涵盖主流互联网应用,国内最大; 管理者可通过协议类型、IP、端口、域名、数据包特征字段等,自定义应用识别规则; 基于数据包应用层特征字段实现对应用的识别; 基于数据包与域名之间的关联实现应用的识别; 基于应用协议行为特征实现应用的识别; 当网关完成数据包的强特征识别后,后续数据包通过若特征识别技术即可完成识别,效率更好、速度 更快; 基于应用协议数据包发送频率、大小、速度等特征实现应用的识别; 识别超过37种IM聊天软件; 识别超过10种IM传文件行为; 识别超过75种网络游戏软件; 识别常见的23种P2P应用,同时可识别加密P2P应用; 针对P2P软件种类多、版本杂、更新快的问题,网关通过对P2P软件行为的分析和统计,智能识别各 种P2P软件并封堵; 识别超过36种在线流媒体软件; 识别超过27种网络炒股软件; 识别超过18种远程登录和木马软件; 识别超过6种加密代理、翻墙软件; 识别超过16种网上银行访问行为; 匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤; 匹配指定收件人地址、邮件大小、附件个数、邮件正文和标题关键字的外发Email邮件,网关将主动 拦安截 装,Em并a在il客人户工端审软核件后,再配外置发使;用SSL加密的POP3和SMTP行为,网关仍然能基于关键字、收发件人 地址等过滤外发Email邮件; 基于正文关键字过滤外发Webmail邮件行为; 允许用户登录webmail邮箱接收邮件,但不准外发; 即使通过SSL加密的webmail外发邮件,网关仍然能基于关键字过滤; 网关能过滤来自互联网的垃圾邮件;
NGFW网康NGFW功能列表
支持虚拟线网口对癿Down-up联劢机制 支持基于IP,服务,应用, 用户,时间条件癿访问控制策略; 支持统一策略框架下癿IPS/AV/URL/DOS Profile设置; 支持运营商地址列表;
NAT和ALG功能 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网
支持MD5及SHA验证算法
支持NAT穿越
支持数字证书
应用识别
应用识别与 控制 应用对象
支持对800种以上应用,300种高风险应用; 支持平台级应用细分(HTTP,QQ,MSN); 可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用 、木马外联、炒股软件、视频应用、代理软件、SSL、网银等协议; 支持自定义应用;
分类库数量
支持20种以上癿分类对象,同时支持2500万个URL地址分类,并能够手劢 和自劢升级URL分类库
黑白名单 策略制定
支持在URL癿Profile内增加自定义癿黑白名单。同时支持黑名单癿劢作配 置可。根据源区域、目癿区域、源和目癿IP组、用户和应用等策略癿配置,支 持多Profile配置
多级通道 虚拟线路 应用流控
地址、内部地址到公网地址一一映射、源地址和目癿地址同时转换(双向
地址转换)、外部网络主机访问内部服务器
防火墙/VPN
支持多种NAT ALG,包括FTP、H.323、SIP,PPTP等
功能 IPSec VPN功能 支持AH、ESP协议
手工配置IKE、ESP算法
自劢协商IKE、ESP算法
ESP支持DES、3DES、AES算法多种加密算法
支持安全策略,流量管理策略中对应用对象癿引用
应用多维属性
应用大类,应用子类,应用技术分类,应用风险级别,应用属性 支持应用过滤器,方便应用选择和过滤
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IP和Mac地址绑定 / AD域透明认证 / 本地Web认证 / LDAP认证 / RADIUS认证 / 代理认证 / 统一的第三方认证接口 / 用户分组、分段管理 等
网页过滤
40多种分类、2000万条URL分类库 / 本地内容智能识别技术
Hale Waihona Puke 应用控制支持网络游戏、P2P下载、聊天工具、网络视频、网络炒股等16大类近500种主流应用
阻塞应用 / 限制带宽 / 限制使用时长
带宽管理
自定义带宽通道 / 基于协议、应用的带宽分配 / 基于用户的带宽分配 / 用户组成员平均分配带宽 / 支持优先级设定 / 空闲带宽复用
内容审计
Email / Web mail / BBS / MSN / Yahoo通 / QQ 等
互联网活动审计
支持实时监控 / 基于用户、时间、应用、带宽、外发信息等的监控记录 / 可生成基于日/周/月以及指定日期范围的统计报表 / 支持email订阅报表
终端准入
必须安装指定软件 / 禁止安装指定软件 / 必须运行指定程序 / 禁止运行指定程序 / 禁止指定程序访问网络
日志中心
海量存储,离线查询
集中管理
集中制定、下发策略 / 分支机构设备状态监控 / 用户日志、报警信息收集
代理服务
支持HTTP / HTTPS / SOCKS代理
攻击防护
支持ARP攻击监控 / 网络异常流量监控 / IP流量异常监控 / DDOS攻击 / 广播风暴
部署方式
透明网桥 / 双入双出 / 网关模式 / 旁路监听 等