网康NS-ICG功能列表 v7.0

网康互联网控制网关ICG安装配置一指禅1.设备拆箱，上电运行，正常情况下开机3分钟后设备即可正常运转；2.ICG系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23.如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP 地址配置为192.168.1.xxx/24（与桥口的默认IP地址同网段）3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG（注意是https而不是http），点击“继续浏览此网站（不推荐），输入默认用户名：ns25000，默认密码：ns25000；4.登录之后的WEB管理界面如下图所示；5.通过【系统管理】－【网络配置】－【网络配置】进入网络配置界面，默认使用网桥模式管理设备.根据学校网络实际情况，修改设备的网桥口IP地址，IP掩码，缺省网关，DNS服务器.（例如将默认的192.168.1.23改为192.168.196.53）6.修改网络配置的时候设备网卡会重启，网络中断约30秒左右，此时将计算机的IP地址配置为x.x.x.xxx/24（与桥口新配置的IP地址同网段，例如192.168.196.100），使用PC浏览器重新登录设备，确认可以通过新IP地址访问WEB管理页面；7. 将设备安装上机架并固定，以透明网桥的模式，串接在互联网出口设备（防火墙/路由器）和核心交换机之间，WAN口（eth0）连接防火墙/路由器，LAN口（eth1）连接核心网交换机，如下图所示；8.确认设备串接后互联网访问恢复正常，若出现长时间断网情况，请及时进行回退，恢复原先网络连接，检查线路连接情况，判断故障原因，准备下次割接；9.确认设备正常串接且互联网访问恢复正常后，通过学校内网中任意一台计算机访问设备管理页面，通过图形化界面观察网络运行情况；10.进入【系统管理】－【集中管理】页面，输入教育局集中管理平台的IP （10.20.1.141），如下图示例，以便于区教育局进行统一的设备管理和策略下发；11. 根据教育局等主管单位的相关规定，配置各项上网行为管理策略.。

NSICG CLI 参考手册北京网康科技有限公司1目录一、连接到CLI (3)1. Console访问CLI (3)2. SSH访问CLI (3)二、命令详解 (4)1. help (4)2. icg_status (5)3. icg_http_ctl (5)4. icg_if_cfg (6)5. icg_ip_cfg (6)6. icg_dns_cfg (7)7. icg_route (8)8. icg_arp (9)9. icg_monitor_ports (10)10. icg_sys_diagnose (10)11. icg_sys_tune (13)12. diagnose_network (14)13. icg _db_backup (15)14. softbypass (15)15. reset (17)16. update_pwd_reset (17)17. upgrade (18)18. passwd (18)19. nslookup (18)20. ping (19)21. curl (20)22. traceroute (20)23. reboot (20)24. Poweroff (21)25. Exit (21)23一、 连接到CLI1.Console 访问CLI用console 线将计算机和NSICG 设备相连，通过超级终端进入到CLI ，超级终端设置如下：2.SSH 访问CLINSICG 默认是开放22端口的，可采用SSH 软件登陆到NSICG 的CLI ：二、命令详解1. help此命令用于查看NSICG console口模式下可用的命令。

语法模式：Help例子：[NS-ICG]->help*******************************************************Netentsec Internet Control Gateway Console******************************************************** help --------------- list available commands ** icg_status --------- show icg status ** icg_http_ctl ------- turn http engine on/off ** icg_if_cfg --------- config in/out interface ** icg_ip_cfg --------- config ip address ** icg_dns_cfg -------- config dns address ** icg_route ---------- config static route ** icg_arp ------------ config static arp item ** icg_monitor_ports -- config engine monitor ports ** icg_sys_diagnose --- diagnose system and collect ** the infomation ** icg_sys_tune ------- tune system parameter ** diagnose_network --- diagnose web access problem ** icg_db_backup ------ backup and restore database ** softbypass --------- set icg softbypass parameter ** reset -------------- reset system to factory mode ** update_pwd_reset --- reset the password of liveu- ** pdate system ** upgrade ------------ icg system upgrade ** passwd ------------- modify current user password ** nslookup ----------- query the DNS for resource ** records ** ping --------------- ping ip address ** curl --------------- transfer a URL ** traceroute --------- print the route packets take ** to network host ** reboot ------------- reboot the system ** poweroff ----------- turn off the system *45* exit --------------- exit from the login ********************************************************2. icg_status这个命令用于查看icg 网关当前的运行状态，包括运行模式，内外网口信息，IP 配置信息和引擎工作状态。

功能介绍1、用户可以使用各种浏览器对设备进行访问控制，设备管理界面的访问不需要安装任何插件；2、URL库数量超过1400万条，覆盖国内网站；3、在 URL库中，支持对URL类别的二级子类控制；4、支持对以IP方式访问网站进行过滤控制；5、对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义；6、支持仅审计某邮箱地址发出或接收的邮件；7、支持仅审计包含某类型附件的邮件收发内容；8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件；9、可控制允许外发邮件附件的大小范围；10、可自定义设置不需审计的发帖网址；11、能够审计用户通过搜索引擎输入的所有关键字，也可以只审计指定的敏感关键字；12、可单独控制用户的某项互联网应用每日上网时长限额；13、可查询被阻断的web访问纪录。

可根据预设的web过滤策略，实现对违禁访问网页行为的查询；14、支持对发帖网址和发帖正文关键字查找，记录内容包括：用户、时间、论坛地址、正文和附件；15、可查询被策略阻塞的应用记录，包含匹配的策略名称；16、支持POP3邮件账号用户识别；17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中，并可选择将该IP暂时屏蔽还是永久屏蔽；18、可提供在软件系统异常时硬件直通保护；19、提供主动式一键直通切换，设备上提供直通按键，协助管理员迅速排查网络故障；20、能够识别控制国内主流的P2P下载软件，如：迅雷，BT，电驴等，要求对于加密的下载协议也能识别控制；21、能够识别控制国内主流的网络电视应用，如：PPLive，土豆网，酷6，6间房等；22、能够控制国内主要网络游戏，如：联众游戏，魔兽世界，梦幻西游等；23、能够识别控制国内主要的股票软件，如：大智慧，同花顺，钱龙等；24、支持基于带宽通道的流量控制，可设定多个不同的带宽通道，每个带宽通道提供保障速率和突发速率；25、支持带宽通道优先级的定义，保障核心业务拥有带宽保障；26、支持空闲带宽借用，实现带宽资源统计复用；27、可设置基于应用的带宽管理策略，避免非业务应用对主流应用的影响；28、可设置部门成员的平均带宽策略，避免个体成员独占部门带宽；29、可根据时间段设置带宽管理策略；30、可查看某策略所适用的用户和部门；31、对于应用控制策略和网页过滤策略，可记录用户匹配阻塞策略的行为信息，并可基于策略名称和应用类型进行查询分析；32、可手工添加用户，必须支持txt、csv格式文件导入全局用户列表，也可以只导入某个部门的用户列表，导入的用户信息应包含用户的组织结构；33、支持按IP段自动分组，新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息，自动适用该网段的策略；34、应提供丰富的查询条件，查询用户的上网行为细节数据。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

网康NS-ICG的工作环境NS-ICG产品部署方式非常灵活，主要分三种模式：透明网桥模式、网关模式、镜像模式。

其中透明网桥模式又支持单网桥模式和双网桥模式。

NS-ICG产品在部署时能够透明接入，从而不修改网络拓扑结构、不修改用户网络配置、不需要在客户桌面计算机上安装任何软件且不需要在客户桌面计算机做任何配置。

不同的网络部署模式分别适用于不同的网络拓扑结构。

请根据实际情况，选择适合本企业的网络部署模式。

一、单网桥模式NS-ICG安装于企业内部网络与防火墙/路由器之间的任意位置。

网络拓扑实例如下图：图 1 单网桥模式下网络拓扑实例图在网桥模式下有两个重要配置：o NS-ICG的IP地址：用于访问NS-ICG。

可设为企业内网上的任意IP（出厂默认配置 192.168.1.2 3/255.255.255.0）。

o NS-ICG的默认网关：网桥模式下请将NS-ICG的默认网关指向企业所使用的网关（即防火墙/路由器内部IP），如192.168.1.254。

网络管理者可通过NS-ICG提供的Web管理界面来管理系统。

相应的管理界面的地址为“https: //NS-ICG的IP地址”，如https: //192.168.1.23。

提示：Web管理界面地址以https开始，而非以http开始。

二、双网桥模式双网桥模式，又称双入双出模式。

它是在单网桥的基础上增加了另一个桥路，将网口划分为两组，设置两个出口和两个入口，实现了两路且独立的单入单出。

双网桥模式实现了一台NS-ICG设备对公司内部两个独立网络同时控制的功能。

网络拓扑实例如下图：图2 双网桥模式下网络拓扑实例图在双入双出模式下有三个重要配置：o线路1的IP地址：用于访问NS-ICG。

可设为企业内网上的任意IP（出厂默认配置 192.168.1.23/ 255.255.255.0）。

o线路2的IP地址：用于访问NS-ICG。

可设为企业内网上的任意IP，必须与链路1的IP处于不同网段，例如：192.168.10.23.o NS-ICG的默认网关：设定为该企业所使用的网关（即防火墙/路由器内部IP），如 192.168.1.25 4。

网康互联网控制网关ICG v7.0作者：暂无来源：《计算机世界》 2013年第3期优秀解决方案奖获奖理由ICG v7.0 通过移动终端管理、移动位置管理，解决员工身份、上网途径的定位问题，通过移动应用管理、移动内容审计，解决员工访问网络的合规性要求。

网康科技提出的企业移动办公行为管理解决方案，是业界首个迎合客户实际场景需求的企业网络内容管理解决方案，依托网康全新的互联网控制网关ICG v7.0 设备，帮助企业IT 管理人员从容应对移动办公带来的挑战。

ICG v7.0 集成了针对企业移动办公行为管理的方案支持。

在保持原有位于企业网出口的部署方式不变的同时，可以实现对企业移动办公设备以及上网活动的有效管理。

移动设备管理。

企业上网行为管理体系，首要就是明确上网行为主体的身份。

在移动办公背景下，员工接触网络的方式从桌面机拓展到笔记本、手机、PAD 等智能终端，因此员工身份确认由原先的IP、MAC、用户名也相应地拓展至包括终端类型甚至终端平台在内的信息，网康ICG v7.0 内置终端类型识别功能，并能基于终端类型实现不同的准入策略，在员工访问网络的源头上进行直接管理，简单有效。

移动位置管理。

移动办公除了接入网络的方式变化，用户访问网络的地点也变得不固定，与此同时，企业不同的办公区域，其网络访问的权限也不尽相同。

网康ICG v7.0 可基于企业办公网络划分的常用手段（IP 段、VLAN）对等建立位置属性，进而实现针对不同办公区域的员工上网行为进行动态管控，灵活机动。

移动应用管理。

移动网络的极速发展也得益于各个智能终端平台的APP 规模。

针对这一趋势，网康ICG v7.0 不断深入研究，其内置的应用识别特征库，包含数百种当前各个终端平台的热门业务，确保即使移动设备接入也同固网设备一样的管控力度。

移动内容审计。

网康ICG v7.0 一方面可给予移动应用管理进行有效管控，另一方面，也支持针对国内主流微博站点以及即时聊天工具的内容审计，保障公司机密信息无外泄隐患。