网康互联网控制网关NS-ICG产品介绍

⽹康ICG操作⼿册⽤户管理⽤户是互联⽹访问的标识主体（即谁在访问），是NS-ICG互联⽹访问管理的⽬标对象。

出⾝份认证信息外，⼀个完整的⽤户定义还包含其组织信息和访问策略。

每⼀个互联⽹访问都对应唯⼀的⽤户（或⽤户组），这是NS-ICG实现基于⽤户和⽤户组的访问控制的基础。

⽽建⽴完整和准确的⽤户信息更是保证NS-ICG进⾏有效互联⽹访问审计（监控、查询、报表等）的关键。

⽤户管理模块提供全⾯的⽤户管理功能，主要有如下⼏个功能模块：⽤户导⼊---------------可通过扫描当地局域⽹内的IP导⼊⽤户、导⼊LDAP ⽤户或者⾃定义导⼊⽤户。

组织管理---------------⼿动构建企业组织架构和⽤户信息。

认证管理---------------配置⽤户上⽹的识别和认证管理⽅式，可针对不同⽤户采⽤不同的识别认证⽅式，⽀持本地⼈证和多多种第三⽅认证；⽀持⽤户绑定设置。

⽤户导⼊⽤户导⼊主要⽀持三种⽅式：IP导⼊、LDAP导⼊和⽹康⾃定义导⼊。

IP 导⼊主要通过扫描设备IP来进⾏⽤户导⼊，LDAP导⼊时导⼊LDAP服务器上的⽤户，⽽⽹康⾃定义导⼊则是通过TXT或者CSV⽂件导⼊⽤户信息。

IP导⼊NS-ICG提供两种⽤户信息的建⽴⽅式。

其⼀，可以通过已存在的⽤户信息数据源，导⼊到NS-ICG系统中，如依据IP地址导⼊⽤户、从已建⽴的LDAP 服务器中导⼊⽤户、根据⽹康⾃定义格式导⼊⽤户；其⼆，可以通过管理界⾯⼿⼯管理。

第1步：通过【⽤户管理】--【⽤户导⼊】--【IP导⼊】进⼊如下图所⽰页⾯：第2步：点击“扫描”或者“浏览”本地⽂件后点击“导⼊”，进⼊“导⼊⽤户列表”画⾯，如下图：⽤户名：⼿动输⼊⽤户名；导⼊选项：导⼊IP与MAC：保存⽤户名、IP地址和MAC地址导⼊MAC：保存⽤户名、MAC地址导⼊IP：保存⽤户名、IP地址填充⽤户名：如果选择该项，ICG 会将相应的IP 地址作为⽤户名进⾏⾃动填充；选择导⼊位置：根据选择，导⼊到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导⼊的数据和填充画⾯各项信息后，点击右上⾓的“导⼊”按钮，进⾏导⼊。

NSICG CLI 参考手册北京网康科技有限公司1目录一、连接到CLI (3)1. Console访问CLI (3)2. SSH访问CLI (3)二、命令详解 (4)1. help (4)2. icg_status (5)3. icg_http_ctl (5)4. icg_if_cfg (6)5. icg_ip_cfg (6)6. icg_dns_cfg (7)7. icg_route (8)8. icg_arp (9)9. icg_monitor_ports (10)10. icg_sys_diagnose (10)11. icg_sys_tune (13)12. diagnose_network (14)13. icg _db_backup (15)14. softbypass (15)15. reset (17)16. update_pwd_reset (17)17. upgrade (18)18. passwd (18)19. nslookup (18)20. ping (19)21. curl (20)22. traceroute (20)23. reboot (20)24. Poweroff (21)25. Exit (21)23一、 连接到CLI1.Console 访问CLI用console 线将计算机和NSICG 设备相连，通过超级终端进入到CLI ，超级终端设置如下：2.SSH 访问CLINSICG 默认是开放22端口的，可采用SSH 软件登陆到NSICG 的CLI ：二、命令详解1. help此命令用于查看NSICG console口模式下可用的命令。

语法模式：Help例子：[NS-ICG]->help*******************************************************Netentsec Internet Control Gateway Console******************************************************** help --------------- list available commands ** icg_status --------- show icg status ** icg_http_ctl ------- turn http engine on/off ** icg_if_cfg --------- config in/out interface ** icg_ip_cfg --------- config ip address ** icg_dns_cfg -------- config dns address ** icg_route ---------- config static route ** icg_arp ------------ config static arp item ** icg_monitor_ports -- config engine monitor ports ** icg_sys_diagnose --- diagnose system and collect ** the infomation ** icg_sys_tune ------- tune system parameter ** diagnose_network --- diagnose web access problem ** icg_db_backup ------ backup and restore database ** softbypass --------- set icg softbypass parameter ** reset -------------- reset system to factory mode ** update_pwd_reset --- reset the password of liveu- ** pdate system ** upgrade ------------ icg system upgrade ** passwd ------------- modify current user password ** nslookup ----------- query the DNS for resource ** records ** ping --------------- ping ip address ** curl --------------- transfer a URL ** traceroute --------- print the route packets take ** to network host ** reboot ------------- reboot the system ** poweroff ----------- turn off the system *45* exit --------------- exit from the login ********************************************************2. icg_status这个命令用于查看icg 网关当前的运行状态，包括运行模式，内外网口信息，IP 配置信息和引擎工作状态。

功能介绍1、用户可以使用各种浏览器对设备进行访问控制，设备管理界面的访问不需要安装任何插件；2、URL库数量超过1400万条，覆盖国内网站；3、在 URL库中，支持对URL类别的二级子类控制；4、支持对以IP方式访问网站进行过滤控制；5、对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义；6、支持仅审计某邮箱地址发出或接收的邮件；7、支持仅审计包含某类型附件的邮件收发内容；8、可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件；9、可控制允许外发邮件附件的大小范围；10、可自定义设置不需审计的发帖网址；11、能够审计用户通过搜索引擎输入的所有关键字，也可以只审计指定的敏感关键字；12、可单独控制用户的某项互联网应用每日上网时长限额；13、可查询被阻断的web访问纪录。

可根据预设的web过滤策略，实现对违禁访问网页行为的查询；14、支持对发帖网址和发帖正文关键字查找，记录内容包括：用户、时间、论坛地址、正文和附件；15、可查询被策略阻塞的应用记录，包含匹配的策略名称；16、支持POP3邮件账号用户识别；17、对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中，并可选择将该IP暂时屏蔽还是永久屏蔽；18、可提供在软件系统异常时硬件直通保护；19、提供主动式一键直通切换，设备上提供直通按键，协助管理员迅速排查网络故障；20、能够识别控制国内主流的P2P下载软件，如：迅雷，BT，电驴等，要求对于加密的下载协议也能识别控制；21、能够识别控制国内主流的网络电视应用，如：PPLive，土豆网，酷6，6间房等；22、能够控制国内主要网络游戏，如：联众游戏，魔兽世界，梦幻西游等；23、能够识别控制国内主要的股票软件，如：大智慧，同花顺，钱龙等；24、支持基于带宽通道的流量控制，可设定多个不同的带宽通道，每个带宽通道提供保障速率和突发速率；25、支持带宽通道优先级的定义，保障核心业务拥有带宽保障；26、支持空闲带宽借用，实现带宽资源统计复用；27、可设置基于应用的带宽管理策略，避免非业务应用对主流应用的影响；28、可设置部门成员的平均带宽策略，避免个体成员独占部门带宽；29、可根据时间段设置带宽管理策略；30、可查看某策略所适用的用户和部门；31、对于应用控制策略和网页过滤策略，可记录用户匹配阻塞策略的行为信息，并可基于策略名称和应用类型进行查询分析；32、可手工添加用户，必须支持txt、csv格式文件导入全局用户列表，也可以只导入某个部门的用户列表，导入的用户信息应包含用户的组织结构；33、支持按IP段自动分组，新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息，自动适用该网段的策略；34、应提供丰富的查询条件，查询用户的上网行为细节数据。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

网康互联网控制网关ICG安装配置一指禅1. 设备拆箱，上电运行，正常情况下开机3分钟后设备即可正常运转；2. ICG系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23。

如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP地址配置为192.168.1.xxx/24（与桥口的默认IP地址同网段）3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG（注意是https而不是http），点击“继续浏览此网站（不推荐），输入默认用户名：ns25000，默认密码：ns25000；4.登录之后的WEB管理界面如下图所示；5. 通过【系统管理】－【网络配置】－【网络配置】进入网络配置界面，默认使用网桥模式管理设备。

根据学校网络实际情况，修改设备的网桥口IP地址，IP掩码，缺省网关，DNS 服务器。

（例如将默认的192.168.1.23改为192.168.196.53）6. 修改网络配置的时候设备网卡会重启，网络中断约30秒左右，此时将计算机的IP地址配置为x.x.x.xxx/24（与桥口新配置的IP地址同网段，例如192.168.196.100），使用PC 浏览器重新登录设备，确认可以通过新IP地址访问WEB管理页面；7. 将设备安装上机架并固定，以透明网桥的模式，串接在互联网出口设备（防火墙/路由器）和核心交换机之间，WAN口（eth0）连接防火墙/路由器，LAN口（eth1）连接核心网交换机，如下图所示；8.确认设备串接后互联网访问恢复正常，若出现长时间断网情况，请及时进行回退，恢复原先网络连接，检查线路连接情况，判断故障原因，准备下次割接；9.确认设备正常串接且互联网访问恢复正常后，通过学校内网中任意一台计算机访问设备管理页面，通过图形化界面观察网络运行情况；10. 进入【系统管理】－【集中管理】页面，输入教育局集中管理平台的IP（10.20.1.141），如下图示例，以便于区教育局进行统一的设备管理和策略下发；11. 根据教育局等主管单位的相关规定，配置各项上网行为管理策略。

网络安全ICG设备网络安全ICG设备是一种专门用于保障网络安全的设备，ICG 是Internet Control Gateway的缩写。

随着网络的快速发展和普及，各种网络威胁也不断涌现，因此保障网络安全变得尤为重要。

网络安全ICG设备的出现解决了许多网络安全难题，为企业和个人提供了有效的保护措施。

网络安全ICG设备主要有以下几个方面的功能。

首先，ICG设备可以对网络流量进行实时监控和管理。

它能够对所有通过网络的数据进行深度分析，并及时发现和阻止潜在的安全威胁。

ICG设备可以对网络流量进行实时检测，发现并拦截病毒、木马、恶意软件等危险物。

在发现异常流量时，还可以发出警报并及时采取应对措施，保障网络的安全运行。

其次，ICG设备还可以对网络进行访问控制和流量分配。

它能够根据安全策略对网络访问进行细粒度的控制，只允许合法用户访问网络资源，并对用户进行身份认证。

同时，ICG设备还可以将网络流量按照特定的规则进行划分和分配，保障网络资源的公平分配和高效利用。

此外，ICG设备还可以提供远程接入和VPN服务。

通过ICG设备，用户可以远程接入企业内部网络，实时获取和处理数据。

ICG设备支持虚拟专用网络(VPN)，通过加密等技术保障用户在公共网络上的通信安全。

企业内部的员工可以通过VPN远程接入企业内部网络，进行工作和业务处理，同时保证通讯的安全性。

网络安全ICG设备的出现为网络安全提供了有效的保护措施，但是也面临着一些挑战。

首先，网络攻击技术的不断更新和演变，要求ICG设备不断升级和改进，提供更加强大的防护能力。

其次，ICG设备的使用和管理对于企业和个人而言需要一定的技术水平，需要专业人员的配置和维护。

最后，ICG设备还需要和其他网络设备进行配合，形成一个完整的网络安全体系。

总之，网络安全ICG设备是一种重要的网络安全保护措施，它能够对网络流量进行实时监控和管理，进行访问控制和流量分配，提供远程接入和VPN服务等功能，保障网络的安全运行。