网康-智能流量管理

⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体（即谁在访问），是NS-ICG互联⽹访问管理的⽬标对象。

出⾝份认证信息外，⼀个完整的⽤户定义还包含其组织信息和访问策略。

每⼀个互联⽹访问都对应唯⼀的⽤户（或⽤户组），这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。

⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计（监控、查询、报表等）的关键。

⽤户管理模块提供全⾯的⽤户管理功能，主要有如下⼏个功能模块：⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。

组织管理---------------⼿动构建企业组织架构和⽤户信息。

认证管理---------------配置⽤户上⽹的识别和认证管理⽅式，可针对不同⽤户采⽤不同的识别认证⽅式，⽀持本地⼈证和多多种第三⽅认证；⽀持⽤户绑定设置。

⽤户导⼊⽤户导⼊主要⽀持三种⽅式：IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。

IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊，LDAP导⼊时导⼊LDAP服务器上的⽤户，⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。

IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。

其⼀，可以通过已存在的⽤户信息数据源，导⼊到NS-ICG系统中，如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户；其⼆，可以通过管理界⾯⼿⼯管理。

第1步：通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯：第2步：点击“扫描”或者“浏览”本地⽂件后点击“导⼊”，进⼊“导⼊⽤户列表”画⾯，如下图：⽤户名：⼿动输⼊⽤户名；导⼊选项：导⼊IP与MAC：保存⽤户名、IP地址和MAC地址导⼊MAC：保存⽤户名、MAC地址导⼊IP：保存⽤户名、IP地址填充⽤户名：如果选择该项，ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充；选择导⼊位置：根据选择，导⼊到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导⼊的数据和填充画⾯各项信息后，点击右上⾓的“导⼊”按钮，进⾏导⼊。

策略分类：网康行为管理的策略主要分两大类：针对网页访问的策略（如使用浏览器上网）、针对软件访问的策略（如QQ、PPLive）。

目前已做的策略如下：1.网页访问——迁移原代理服务器的策略，限制用户通过浏览器访问特定的网址；2.网页访问——未在代理服务器配置中的IP及网址默认全部阻止；3.软件访问——禁止用户使用P2P影音（如PPLive）、在线音乐（如虾米）以及网络游戏（如QQ游戏）。

做策略的基本方法：基本思路是：XX用户或用户组，若满足或不满足XX条件，则允许或阻塞相应的请求。

针对网页访问的策略：选择“上网管理”——“网页访问详情”；新建一条策略或者点击进入一条策略进行编辑；在上图界面中勾选需要执行策略的用户或用户组；勾选“网址”，在右侧选择逻辑条件（包含或不包含）以及关键字；点击关键字可以进行对应的关键字编辑（也可在“全局配置”——“对象设置”——“关键字对象”中进行编辑）；关键字对象中，每个关键字可以通过换行隔开；以上完成了逻辑条件的设置，下面设置执行的动作；勾选“设置控制动作”后，在右侧点击可在“允许该请求”和“阻塞该请求”中切换；确定后点击右上角“立即生效”完成。

针对软件访问的策略：选择“上网管理”——“应用控制详情”；新建一条策略或者点击进入一条策略进行编辑；在上图界面中勾选需要执行策略的用户或用户组；在网康的应用分类库中勾选需要进行控制的应用；以上完成了逻辑条件的设置，下面设置执行的动作；勾选“设置控制动作”后，在右侧点击可在“允许该请求”和“阻塞该请求”中切换；确定后点击右上角“立即生效”完成。

策略效果分析和微调：所有策略生效后，可根据实际使用情况进行小幅调整。

在“用户管理”——“组织结构”菜单中可以查看、编辑用户。

如可以新建用户组、在用户组中新建用户或者移动组内用户到其他组。

在“查询统计”——“网址访问”菜单中可以查看用户访问网页的情况，如允许或阻塞、匹配了哪一条策略。

如有用户反馈某些网址无法打开，可点击“选择操作”——“设置过滤条件”弹出设置窗口。

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。

设备功能列表1．网页过滤：目前网康ICG的URL数据库包括51个类别，超过1400万条的URL，基本覆盖中国大陆区域的网站，是全球最大的中文URL数据库。

并且每天都有近300万条的更新。

对网站的URL识别率不低于90%，识别准确率不低于90%。

具体的网页过滤功能包括：1)支持基于预分类的URL类别进行过滤控制。

2)支持用户自定义网站类别过滤。

3)支持URL类别的二级子类控制。

4)支持对以IP方式访问网站进行过滤控制。

5)支持基于网站分类过滤HTTPS加密的网站。

6)支持基于URL关键字进行过滤控制。

7)支持基于文件类型进行过滤控制。

8)支持基于网页文件大小进行过滤控制。

9)对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义。

10)支持网站黑、白名单设置。

11)能够识别并控制国内主流的SNS类网站，支持细分行为的封堵，包括开心网、校内网的登录、游戏行为。

2．应用控制网康ICG拥有国内最全面的网络应用协议数据库，支持480多种协议。

并且每周都有协议库的更新。

包括对标准应用协议、即时聊天IM类、P2P类、网络电视类、炒股类、游戏类、流媒体、隐患服务类等进行应用控制。

另外还支持对针对用户各项应用的每日上网时长的限额管理。

3．带宽管理，具体包括：1)支持基于带宽通道的流量控制，可设定多个不同的带宽通道，每个带宽通道提供保障速率和突发速率。

2)支持带宽通道优先级的定义，保障核心业务拥有带宽保障。

3)支持空闲带宽借用，实现带宽资源统计复用。

4)可设置基于人/部门的带宽管理策略。

5)可设置基于应用的带宽管理策略，避免非业务应用对主流应用的影响。

6)可设置人/部门某一种或多种应用的组合带宽策略。

7)可设置部门成员的平均带宽策略，避免个体成员独占部门带宽。

8)可根据时间段设置带宽管理策略。

4．内容审计和过滤，具体包括：1)邮件审计和过滤。

2)即时通讯审计3)论坛发帖审计。

4)网络应用审计。

5)HTTP文件传输审计。

功能介绍1、用户可以使用各种浏览器对设备进行访问控制，设备管理界面的访问不需要安装任何插件；2、URL库数量超过1400万条，覆盖国内网站；3、在 URL库中，支持对URL类别的二级子类控制；4、支持对以IP方式访问网站进行过滤控制；5、对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义；6、支持仅审计某邮箱地址发出或接收的邮件；7、支持仅审计包含某类型附件的邮件收发内容；8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件；9、可控制允许外发邮件附件的大小范围；10、可自定义设置不需审计的发帖网址；11、能够审计用户通过搜索引擎输入的所有关键字，也可以只审计指定的敏感关键字；12、可单独控制用户的某项互联网应用每日上网时长限额；13、可查询被阻断的web访问纪录。

可根据预设的web过滤策略，实现对违禁访问网页行为的查询；14、支持对发帖网址和发帖正文关键字查找，记录内容包括：用户、时间、论坛地址、正文和附件；15、可查询被策略阻塞的应用记录，包含匹配的策略名称；16、支持POP3邮件账号用户识别；17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中，并可选择将该IP暂时屏蔽还是永久屏蔽；18、可提供在软件系统异常时硬件直通保护；19、提供主动式一键直通切换，设备上提供直通按键，协助管理员迅速排查网络故障；20、能够识别控制国内主流的P2P下载软件，如：迅雷，BT，电驴等，要求对于加密的下载协议也能识别控制；21、能够识别控制国内主流的网络电视应用，如：PPLive，土豆网，酷6，6间房等；22、能够控制国内主要网络游戏，如：联众游戏，魔兽世界，梦幻西游等；23、能够识别控制国内主要的股票软件，如：大智慧，同花顺，钱龙等；24、支持基于带宽通道的流量控制，可设定多个不同的带宽通道，每个带宽通道提供保障速率和突发速率；25、支持带宽通道优先级的定义，保障核心业务拥有带宽保障；26、支持空闲带宽借用，实现带宽资源统计复用；27、可设置基于应用的带宽管理策略，避免非业务应用对主流应用的影响；28、可设置部门成员的平均带宽策略，避免个体成员独占部门带宽；29、可根据时间段设置带宽管理策略；30、可查看某策略所适用的用户和部门；31、对于应用控制策略和网页过滤策略，可记录用户匹配阻塞策略的行为信息，并可基于策略名称和应用类型进行查询分析；32、可手工添加用户，必须支持txt、csv格式文件导入全局用户列表，也可以只导入某个部门的用户列表，导入的用户信息应包含用户的组织结构；33、支持按IP段自动分组，新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息，自动适用该网段的策略；34、应提供丰富的查询条件，查询用户的上网行为细节数据。

流控定义“流控”是“流量控制”的简称。

流控技术分为两种：一种是传统的流控方式，通过路由器、交换机的QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制，属于四层流控；另一种是智能流控方式，通过专业的流控设备实现基于应用层的流控，属于七层流控。

传统流控路由交换设备可以通过修改路由转发表，实现一定程度的流量控制，但这种传统的IP包流量识别和QoS控制技术，仅对IP包头中的“五元组”信息进行分析，来确定当前流量的基本信息。

传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障，但其仅仅分析IP包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型。

随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能真正判断流量中的应用类型，更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。

例如，P2P类应用会使用跳动端口技术及加密方式进行传输，基于交换路由设备进行流量控制的方法对此完全失效。

智能流控企业保持竞争优势离不开互联网的高速发展，保证企业的网络畅通是所有管理人员现今都很关心的问题。

一方面，企业可通过提升出口带宽，即拓宽信息化的高速路来保障业务应用的质量；另一方面，企业通过强练内功，即制定合理的“交通规则”，使符合策略的数据包快速便捷地在企业网络环境中奔驰，达到推迟购买额外带宽资源的目的。

我们知道，带宽资源建设的发展速度永远跟不上各种网络应用的增长速度。

对企业出口带宽无尽的增长需求势必给企业带来额外的经济负担，所以对企业网络流量进行管理已是迫在眉睫的事情。

智能流量管理系统（简称ITM或NS-ITM）是基于应用层的、专业的流量管理产品，既适用于大中型企业、校园网、城域网等流量大、应用复杂的网络环境，也适用于需优化互联网接入、保证关键业务应用、控制网络接入成本的中小型企业的网络环境。

通过监控网络流量，分析流量行为，设置流量管理策略，实现基于时间、VLAN、用户、应用、数据流向等条件的智能流量管理。

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。

网康上网行为管理方案1. 引言随着互联网的普及，越来越多的企业和机构面临着对员工和用户上网行为进行管理的需求。

上网行为管理旨在保护网络安全，防范信息泄露并提高工作效率。

本文将介绍一套基于网康设备的上网行为管理方案，该方案将帮助企业和机构实现对上网行为的监控和控制。

2. 网康设备概述网康设备是一款专业的网络安全设备，它提供了丰富的功能和灵活的配置选项，可以满足各种规模和需求的网络环境。

网康设备支持通过集中管理中心对网络设备进行统一的配置和管理，同时具备强大的上网行为管理功能。

3. 上网行为管理方案设计为了有效管理上网行为，我们设计了以下几个关键步骤：3.1. 设定策略在网康设备上设置上网行为管理策略，包括允许或禁止特定的网站访问，限制特定应用程序的使用，以及设定时间段和流量限制等。

策略可以根据不同用户、不同部门或不同网络区域进行个性化配置。

3.2. 监控行为网康设备可以实时监控员工和用户的上网行为，包括访问的网站、下载的文件、使用的应用程序等。

监控数据将通过日志进行记录，并可以通过集中管理中心进行查看和分析。

3.3. 报警机制通过设定合适的报警规则，当发现异常的上网行为时，网康设备将自动触发报警。

例如，当某个用户下载大量敏感信息或访问被禁止的网站时，系统会及时通知管理员并采取相应的措施。

3.4. 违规处理当发现员工或用户存在违规行为时，管理员可以根据实际情况采取相应的处理措施。

例如，警告员工、限制其访问权限或进行相应的处罚措施，以确保员工和用户遵守上网行为管理规则。

4. 实施步骤为了成功实施上网行为管理方案，我们建议按照以下步骤进行：4.1. 确定需求企业或机构应首先明确自己的上网行为管理需求，并根据实际情况制定相应的策略。

4.2. 设计方案根据需求，设计适合的上网行为管理方案。

包括设定策略、监控规则、报警机制和违规处理措施等。

4.3. 部署网康设备根据设计方案，部署网康设备，并进行相关的配置和测试。