第5章：网康ICG的【用户管理】

⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体（即谁在访问），是NS-ICG互联⽹访问管理的⽬标对象。

出⾝份认证信息外，⼀个完整的⽤户定义还包含其组织信息和访问策略。

每⼀个互联⽹访问都对应唯⼀的⽤户（或⽤户组），这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。

⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计（监控、查询、报表等）的关键。

⽤户管理模块提供全⾯的⽤户管理功能，主要有如下⼏个功能模块：⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。

组织管理---------------⼿动构建企业组织架构和⽤户信息。

认证管理---------------配置⽤户上⽹的识别和认证管理⽅式，可针对不同⽤户采⽤不同的识别认证⽅式，⽀持本地⼈证和多多种第三⽅认证；⽀持⽤户绑定设置。

⽤户导⼊⽤户导⼊主要⽀持三种⽅式：IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。

IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊，LDAP导⼊时导⼊LDAP服务器上的⽤户，⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。

IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。

其⼀，可以通过已存在的⽤户信息数据源，导⼊到NS-ICG系统中，如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户；其⼆，可以通过管理界⾯⼿⼯管理。

第1步：通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯：第2步：点击“扫描”或者“浏览”本地⽂件后点击“导⼊”，进⼊“导⼊⽤户列表”画⾯，如下图：⽤户名：⼿动输⼊⽤户名；导⼊选项：导⼊IP与MAC：保存⽤户名、IP地址和MAC地址导⼊MAC：保存⽤户名、MAC地址导⼊IP：保存⽤户名、IP地址填充⽤户名：如果选择该项，ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充；选择导⼊位置：根据选择，导⼊到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导⼊的数据和填充画⾯各项信息后，点击右上⾓的“导⼊”按钮，进⾏导⼊。

网康互联网控制网关 NS-ICG面对日益普及的互联网，人们的工作、学习、生活也越来越依赖于互联网，然而由于滥用互联网的行为所带来的各种风险却没有被重视起来：1.工作效率低下：办公室越来越像网吧，贴在墙上的管理条例形同虚设2.网速越来越慢：带宽一扩再扩，永远满足不了业务的需求3.安全隐患不断：防火墙、防病毒系统挡不住层出不穷的病毒、木马等安全隐患4.机密信息外泄：内部机密信息通过Email、BBS、MSN等在不经意的流失5.违反国家规定：网络安全建设不符合国家对互联网的使用管理规定网康上网行为管理产品NS-ICG 产品功能介绍Web访问过滤互联网上的信息资源非常丰富，却良莠不齐。

通过网康互联网控制网关，您可以根据业务需要制定精细化Web访问策略，将非业务信息挡在门外。

可控制管理50多个网址分类，共计1400万条URL适合中国用户的上网习惯符合中国社会伦理与法律法规实时更新，自动分类，人工校验网络聊天管理随着IM软件应用的日益广泛，与工作无关的聊天和聊天中泄密等问题给企业管理带来了严峻的挑战。

通过网康互联网控制网关，您可以根据业务需要制定精细化的网络聊天监控管理策略，在不同时间对不同部门、不同人员施行差异管理方式。

可控制管理多种流行IM软件，包括：QQ、MSN、Yahoo通、AIM(ICQ)、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺、飞信等支持对MSN、Y ahoo通聊天内容的监控支持对IM软件子协议的独立控制，如聊天、文件传输、音视频、游戏、远程桌面等支持对使用权和使用时间的监控管理P2P下载控制P2P下载为人们快速共享文件提供了极大的便利，但其强占带宽资源的特性却常常影响正常的业务数据传输。

通过网康互联网控制网关，您可以定制精细的P2P控制管理策略、阻塞或者限制P2P上传/下载的带宽，确保企业核心业务的带宽得以保障。

可控制管理多种主流的P2P软件，包括：BT、eMule/eDonkey、迅雷（以及web方式）、PP 点点通、Kugoo、KaZaA（Fast Track）、Gnutella、V agaa、百度下吧、WinMX、Winny、Share、msze、未知P2P应用（UDP）等识别控制加密P2P数据流支持对使用权、带宽和使用时间的控制管理网络娱乐控制网络娱乐已经成为中国一大经济产业，然而不分时间不分场合的娱乐，对工作和学习的影响显而易见。

网康ICG快速安装文档由于NS-ICG设备的出厂时默认IP地址是“192.168.1.23”，因此请将任意一台PC的IP设置为该段地址，例如192.168.1.10。

在该PC的浏览器地址栏中输入“https: //192.168.1.23”并回车（请注意，该地址是以https开头，而非http），打开NS-ICG的登录界面，如下图所示：NS-ICG系统管理员的用户名和密码默认都是ns25000。

输入正确的用户名和密码后，点击“登录”按钮，进入NS-ICG系统的控制页面。

登录系统并通过【系统管理】→【网络配置】→【网络配置】进入到如下图所示页面：如上图所示，刚进入网络配置界面时，系统默认的是网桥模式。

配置方法如下：输入NS-ICG的基本网络配置：IP地址：用于访问NS-ICG。

可设为企业内网上的任意IP，比如192.168.1.23。

IP掩码：根据根据企业实际网络环境设置，如255.255.255.0。

缺省网关：请将NS-ICG的默认网关指向该企业所使用的网关（即防火墙/路由器内部IP），如192.168.1.254。

外网口：选择连接外网的接口。

内网口：选择连接内网用户的接口。

设置DNS的地址：主DNS服务器地址必填，且需格式正确、真实无误。

配置完毕后，点击“确定”。

若想让最新的配置立即生效，请点击右上方的“立即生效”按钮。

配置完成后，接上网络可以查看系统监控模块的主要子模块及其功能，如下图所示：系统状态集中显示了系统运行状况信息，通过查看系统状态页面，管理员可以快速了解到NS-ICG 的运行状况是否正常、稳定。

系统状态界面包括四个小模块，如下图所示：网络活动页面使用图表方式集中显示当前用户网络活动、网络应用的使用情况、以及带宽资源使用的概况，使得管理员可以方便的掌握所管理用户的网络活动状况，如下图所示：具体详细信息可点击查看详细进行查看。

第1篇一、前言用户管理是信息化管理的重要组成部分，旨在对用户进行有效的组织、维护和管理，确保系统正常运行，提高工作效率。

本说明旨在指导用户如何使用用户管理系统，包括系统登录、用户添加、权限设置、信息查询、用户修改和删除等操作。

二、系统登录1. 打开用户管理系统的登录界面。

2. 输入正确的用户名和密码。

3. 点击“登录”按钮，系统将验证用户名和密码的正确性。

4. 验证成功后，系统进入用户管理界面。

三、用户添加1. 在用户管理界面，点击“添加用户”按钮。

2. 弹出用户添加窗口，填写以下信息：a. 用户名：唯一标识用户的名称。

b. 密码：用户登录系统的密码，建议设置复杂密码，提高安全性。

c. 姓名：用户的真实姓名。

d. 部门：用户所属部门。

e. 职位：用户在部门中的职位。

f. 联系方式：用户的电话号码或邮箱地址。

3. 点击“保存”按钮，系统将添加新用户。

四、权限设置1. 在用户管理界面，选中需要设置权限的用户。

2. 点击“权限设置”按钮，弹出权限设置窗口。

3. 在权限设置窗口中，勾选或取消勾选对应的权限选项。

4. 点击“保存”按钮，系统将更新用户的权限。

五、信息查询1. 在用户管理界面，点击“查询”按钮。

2. 弹出查询窗口，根据需要输入查询条件：a. 用户名：根据用户名进行查询。

b. 姓名：根据用户姓名进行查询。

c. 部门：根据用户所属部门进行查询。

d. 职位：根据用户职位进行查询。

3. 点击“查询”按钮，系统将列出符合查询条件的用户列表。

六、用户修改1. 在用户管理界面，选中需要修改的用户。

2. 点击“修改”按钮，弹出用户修改窗口。

3. 修改用户信息，包括用户名、密码、姓名、部门、职位、联系方式等。

4. 点击“保存”按钮，系统将更新用户信息。

七、用户删除1. 在用户管理界面，选中需要删除的用户。

2. 点击“删除”按钮，系统将弹出确认删除窗口。

3. 点击“确定”按钮，系统将删除选中的用户。

八、系统退出1. 在用户管理界面，点击“退出”按钮。

设备功能列表1．网页过滤：目前网康ICG的URL数据库包括51个类别，超过1400万条的URL，基本覆盖中国大陆区域的网站，是全球最大的中文URL数据库。

并且每天都有近300万条的更新。

对网站的URL识别率不低于90%，识别准确率不低于90%。

具体的网页过滤功能包括：1)支持基于预分类的URL类别进行过滤控制。

2)支持用户自定义网站类别过滤。

3)支持URL类别的二级子类控制。

4)支持对以IP方式访问网站进行过滤控制。

5)支持基于网站分类过滤HTTPS加密的网站。

6)支持基于URL关键字进行过滤控制。

7)支持基于文件类型进行过滤控制。

8)支持基于网页文件大小进行过滤控制。

9)对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义。

10)支持网站黑、白名单设置。

11)能够识别并控制国内主流的SNS类网站，支持细分行为的封堵，包括开心网、校内网的登录、游戏行为。

2．应用控制网康ICG拥有国内最全面的网络应用协议数据库，支持480多种协议。

并且每周都有协议库的更新。

包括对标准应用协议、即时聊天IM类、P2P类、网络电视类、炒股类、游戏类、流媒体、隐患服务类等进行应用控制。

另外还支持对针对用户各项应用的每日上网时长的限额管理。

3．带宽管理，具体包括：1)支持基于带宽通道的流量控制，可设定多个不同的带宽通道，每个带宽通道提供保障速率和突发速率。

2)支持带宽通道优先级的定义，保障核心业务拥有带宽保障。

3)支持空闲带宽借用，实现带宽资源统计复用。

4)可设置基于人/部门的带宽管理策略。

5)可设置基于应用的带宽管理策略，避免非业务应用对主流应用的影响。

6)可设置人/部门某一种或多种应用的组合带宽策略。

7)可设置部门成员的平均带宽策略，避免个体成员独占部门带宽。

8)可根据时间段设置带宽管理策略。

4．内容审计和过滤，具体包括：1)邮件审计和过滤。

2)即时通讯审计3)论坛发帖审计。

4)网络应用审计。

5)HTTP文件传输审计。

网康ICG设备命令行配置对于图形化的WEB界面配置，都可以通过友善的界面、简单的操作，实现设备的基本配置工作，但对于特殊情况下，无法通过图形界面完成配置时，我们就有必要学习如何在命令行模式下完成必要的操作了。

首先，我们需要知道能进入设备的用户名及密码用户名：icgadmin，密码：netentec。

网康设备有着自己独特的命令行模式，在登陆成功后，系统会自动地出现所有相关的命令及注释。

可以通过输入help，查看所有的命令。

网康的命令行没有可以使用TAB键补全的功能。

查看系统配置的命令为：icg_tatu，如下图：设备现在是作为桥接模式串入网络的，而且只为单网桥模式。

网康设备视接口数量，可以每两个接口为一组，完成多线路的上网行为管理。

注：网康设备可设备管理口及管理IP，但用做管理口的接口就无法用于其他的用途，而且管理IP应该于该网络不在同一网段，以免影响网络通信的正常。

在命令行模式下，如何配置基本网络信息。

icg_network_cfg，进入配置网桥模式下的配置命令：DoyouwanttochangeMgr_portconfiguration(y|n)n（是否配置管理口：否）Doyouwanttochangenetworkconfiguration(y|n)y（是否更改设备的网络配置：是）Pleaechooenetworkmode[B]ridge/[G]ateway:b（请选择网络模式：桥接模式）PleaeinputStpmode[on|off]:off（是否启用STP模式：否）Pleaeinputthetotalnumberofbridge:1（输入桥接模式下的网桥数量：1）（输入该网桥的管理IP，掩码，外口接口号，内口接口号）PleaeinputdefaultgatewayIP:192.168.5.254（输入默认网关）如下图所示：当前网络配置网关模式下的配置命令：DoyouwanttochangeMgr_portconfiguration(y|n)n（是否配置管理口：否）Doyouwanttochangenetworkconfiguration(y|n)y（是否更改设备的网络配置：是）Pleaechooenetworkmode[B]ridge/[G]ateway:g（请选择网络模式：桥接模式）PleaeinputE某ternalip/netmak/ethout(eg:192.168.1.23/255.255.255.0/eth0)（输入外网口IP地址，掩码，接口号）PleaeinputInternalip/netmak/ethin(eg:192.168.1.23/255.255.25 5.0/eth1)（输入内网口IP地址，掩码，接口号）PleaeinputdefaultgatewayIP:192.168.5.254（输入默认网关）如下图所示：当前网络配置。

网康互联网控制网关ICG安装配置一指禅1. 设备拆箱，上电运行，正常情况下开机3分钟后设备即可正常运转；2. ICG系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23。

如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP地址配置为192.168.1.xxx/24（与桥口的默认IP地址同网段）3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG（注意是https而不是http），点击“继续浏览此网站（不推荐），输入默认用户名：ns25000，默认密码：ns25000；4.登录之后的WEB管理界面如下图所示；5. 通过【系统管理】－【网络配置】－【网络配置】进入网络配置界面，默认使用网桥模式管理设备。

根据学校网络实际情况，修改设备的网桥口IP地址，IP掩码，缺省网关，DNS 服务器。

（例如将默认的192.168.1.23改为192.168.196.53）6. 修改网络配置的时候设备网卡会重启，网络中断约30秒左右，此时将计算机的IP地址配置为x.x.x.xxx/24（与桥口新配置的IP地址同网段，例如192.168.196.100），使用PC 浏览器重新登录设备，确认可以通过新IP地址访问WEB管理页面；7. 将设备安装上机架并固定，以透明网桥的模式，串接在互联网出口设备（防火墙/路由器）和核心交换机之间，WAN口（eth0）连接防火墙/路由器，LAN口（eth1）连接核心网交换机，如下图所示；8.确认设备串接后互联网访问恢复正常，若出现长时间断网情况，请及时进行回退，恢复原先网络连接，检查线路连接情况，判断故障原因，准备下次割接；9.确认设备正常串接且互联网访问恢复正常后，通过学校内网中任意一台计算机访问设备管理页面，通过图形化界面观察网络运行情况；10. 进入【系统管理】－【集中管理】页面，输入教育局集中管理平台的IP（10.20.1.141），如下图示例，以便于区教育局进行统一的设备管理和策略下发；11. 根据教育局等主管单位的相关规定，配置各项上网行为管理策略。