四、网康上网行为策略配置

策略分类：网康行为管理的策略主要分两大类：针对网页访问的策略（如使用浏览器上网）、针对软件访问的策略（如QQ、PPLive）。

目前已做的策略如下：1.网页访问——迁移原代理服务器的策略，限制用户通过浏览器访问特定的网址；2.网页访问——未在代理服务器配置中的IP及网址默认全部阻止；3.软件访问——禁止用户使用P2P影音（如PPLive）、在线音乐（如虾米）以及网络游戏（如QQ游戏）。

做策略的基本方法：基本思路是：XX用户或用户组，若满足或不满足XX条件，则允许或阻塞相应的请求。

针对网页访问的策略：选择“上网管理”——“网页访问详情”；新建一条策略或者点击进入一条策略进行编辑；在上图界面中勾选需要执行策略的用户或用户组；勾选“网址”，在右侧选择逻辑条件（包含或不包含）以及关键字；点击关键字可以进行对应的关键字编辑（也可在“全局配置”——“对象设置”——“关键字对象”中进行编辑）；关键字对象中，每个关键字可以通过换行隔开；以上完成了逻辑条件的设置，下面设置执行的动作；勾选“设置控制动作”后，在右侧点击可在“允许该请求”和“阻塞该请求”中切换；确定后点击右上角“立即生效”完成。

针对软件访问的策略：选择“上网管理”——“应用控制详情”；新建一条策略或者点击进入一条策略进行编辑；在上图界面中勾选需要执行策略的用户或用户组；在网康的应用分类库中勾选需要进行控制的应用；以上完成了逻辑条件的设置，下面设置执行的动作；勾选“设置控制动作”后，在右侧点击可在“允许该请求”和“阻塞该请求”中切换；确定后点击右上角“立即生效”完成。

策略效果分析和微调：所有策略生效后，可根据实际使用情况进行小幅调整。

在“用户管理”——“组织结构”菜单中可以查看、编辑用户。

如可以新建用户组、在用户组中新建用户或者移动组内用户到其他组。

在“查询统计”——“网址访问”菜单中可以查看用户访问网页的情况，如允许或阻塞、匹配了哪一条策略。

如有用户反馈某些网址无法打开，可点击“选择操作”——“设置过滤条件”弹出设置窗口。

聊天工具已经成为了现实网络中不可忽视的信息传播途径，包括QQ、MSN等聊天工具在内，俨然已经成为办公人员必备的业务交流工具，同时也是和外部保持联系的常用手段，就是由于聊天工具拥有这样的"双重身份"，使得办公网的网络管理员很难进行强硬性的管理制度，而如果不加任何管控措施，信息安全无疑受到严重挑战。

网康科技定位于应用层的管理专家，旗下NS-ICG可实现针对QQ、MSN、飞信、雅虎通等多款热门即时聊天工具的聊天内容审计，结合之前的邮件收发审计、文件传输审计，形成全方面的信息安全防护。

技术原理：之前在业务流量管控中提到不同应用数据包具有不同的报文特征，通过深入分析发现，针对同一应用，其不同操作背后的数据包交互也存在一定的区别，基于这种细粒度的研究，可有效的将用户聊天信息从聊天应用中提取出来，在结合基于关键字审计策略，可有效实现聊天内容审计功能。

配置实战：前提条件是NS-ICG通过透明桥接模式部署在运营商办公网络中；另外开启了用户认证服务。

我们可以针对不同的聊天工具实现不同的审计策略，常见的包括：QQ、MSN、飞信等。

第一步，我们打开NS-ICG的"策略管理"-》"审计策略设置"界面，在屏幕下方会有如下界面：通过点击对应审计项表格右侧的" "或" "可有效激活或去激活相应的聊天工具审计功能。

另外，通过 "点击编辑"和"编辑用户"可设定开启审计功能的时间、针对的具体办公网用户。

比如点击"点击编辑"可设定时间，如下界面显示。

第二步：查看审计结果。

我们打开NS-ICG的"查询统计"-》"查询"-》"论坛聊天"可查看匹配【策略管理】→【审计策略设置】→【其他审计策略】中"QQ审计"，"msn审计"，"飞信审计"，"雅虎通审计"及【策略管理】→【客户端策略设置】中的"QQ客户端审计策略""MSN+SHELL客户端审计策略""SKYPE客户端审计策略"的审计结果。

健康使用网络策划书3篇篇一《健康使用网络策划书》一、策划背景随着互联网的普及和发展，网络已经成为人们生活中不可或缺的一部分。

然而，网络也带来了一些负面影响，如网络成瘾、信息泄露、网络暴力等。

这些问题不仅影响了人们的身心健康，也给社会带来了一定的危害。

因此，我们有必要制定一份健康使用网络的策划书，引导人们正确使用网络，提高网络素养。

二、策划目标1. 帮助人们了解网络的利弊，树立正确的网络观念。

2. 培养人们健康使用网络的习惯，提高网络素养。

3. 增强人们的自我保护意识，避免网络风险。

三、策划内容1. 开展网络素养教育讲座邀请专家学者或专业人士，举办网络素养教育讲座。

讲座内容包括网络的基本知识、网络安全、网络礼仪、网络成瘾的危害及预防等。

通过讲座，让人们了解网络的正确使用方法和注意事项，提高网络素养。

2. 设立网络健康促进中心设立网络健康促进中心，为人们提供网络健康咨询、心理辅导等服务。

中心可以配备专业的心理咨询师和网络健康专家，为人们提供个性化的网络健康服务。

3. 制定网络使用规范制定网络使用规范，引导人们正确使用网络。

规范内容包括网络使用时间、网络内容选择、网络交流礼仪等。

同时，加强对网络不良信息的监管，营造健康的网络环境。

4. 开展网络健康宣传活动通过各种渠道，开展网络健康宣传活动。

如制作宣传海报、发放宣传资料、举办网络健康主题活动等。

宣传活动要贴近人们的生活，形式多样，内容丰富，以提高人们的参与度和关注度。

5. 加强网络监管加强对网络的监管，打击网络违法犯罪行为。

同时，推动网络行业自律，规范网络企业的经营行为，保障人们的合法权益。

四、策划执行1. 成立策划执行团队成立专门的策划执行团队，负责策划书的具体实施。

团队成员要具备相关的专业知识和技能，能够有效地组织和开展各项活动。

2. 制定详细的执行计划根据策划书的内容，制定详细的执行计划。

计划要明确活动的时间、地点、参与人员、活动内容、预算等，确保活动的顺利开展。

网络规划中如何设置网络设备的安全策略随着互联网的快速发展，网络安全问题也日益凸显。

作为网络规划的重要组成部分，网络设备的安全策略设置至关重要。

本文将讨论在网络规划中如何合理设置网络设备的安全策略，以有效保护网络的安全。

一、网络设备的安全意识网络设备的安全意识是设置安全策略的基础。

任何一台网络设备都应该具备安全意识，了解网络安全的重要性，并能主动应对各类安全威胁。

安全意识的培养需通过定期的培训和教育来实现，将网络安全的知识和技能传授给设备管理人员，提高他们的安全意识和能力。

二、访问控制策略访问控制是网络安全的重要手段之一，通过限制用户的访问权限，有效降低网络安全风险。

在网络规划中，需要根据各个部门或用户的需求，合理设置访问控制策略。

比如，可以根据用户的身份、网络角色和工作需求，划分不同的用户组，为每个用户组设置不同的访问权限，确保用户在网络中只能访问其需要的资源，而不能超越其权限范围。

三、防火墙设置防火墙是网络设备安全的重要防线，能够监控和过滤网络流量，阻止潜在的网络攻击。

在网络规划中，应合理设置防火墙规则，包括入站规则和出站规则。

入站规则用于控制外部流量对网络设备的访问，而出站规则则用于控制内部流量对外部网络的访问。

通过设置合理的防火墙规则，可以限制非法访问和恶意攻击，提高网络设备的安全性。

四、网络设备配置管理网络设备的安全也与其配置管理密切相关。

合理的配置管理可以确保网络设备正常运行，避免因错误配置而导致的安全漏洞。

在网络规划中，应建立完善的配置管理机制，包括设备配置备份、配置文件加密和权限控制等。

同时，还应定期审计设备配置，及时发现和纠正配置错误，确保网络设备处于最佳安全状态。

五、身份验证和认证策略身份验证和认证是网络设备安全的重要手段，能够确保只有经过授权的用户才能访问网络资源。

在网络规划中，应采用多种身份验证和认证方式，如用户名密码、数字证书、双因素认证等。

同时，还应规定密码的复杂性要求，定期要求用户更改密码，以防止密码泄露和密码破解等安全风险。

网康配置策略网段策略网段策略网段，用来设置NS-ICG各种策略的生效网段。

如果不设定策略网段，NS-I CG默认对所有网段都生效。

添加策略网段后，则NS-ICG各种策略只对网段内用户生效，对网段外用户不做任何审计和控制。

如果在添加策略网段后，同时勾选了“阻塞不在策略网段中的IP”选项，则NS-ICG的各种策略不仅只对网段内用户生效，而且网段外用户都无法继续使用网络。

因此，合理的配置策略网段，是建立有效访问策略的重要组成部分。

下面以添加一条策略网段为例说明详细操作方法。

第1步：通过【策略管理】→【策略网段】进入如下图所示页面：图 1策略网段o添加：添加一条策略网段；o删除：选择要删除的策略网段后，点击该按钮将其删除；o清空：清空所有已建立的策略网段；o阻塞不在策略网段中的IP：禁止策略网段外用户使用网络。

第2步：点击“添加”按钮，弹出如下图所示窗口：图 2 添加策略网段o起始IP和终止IP是必填项，要求输入完整的IP地址。

o对描述项不做限制。

第3步：设置完毕后，点击“确定”按钮后，策略网段新建成功，并显示在策略网段列表中，如下图所示：图 3 策略网段提示：1.最多设定10条策略网段；2.添加策略网段后，NS-ICG的策略将只对策略网段内的IP生效，对于不在策略网段内的IP地址的网络通信，会进行流量统计和协议分析，可在查询和统计中可以看到总流量，但无法查看详细的流量信息和进行控制；3.若不选择“阻塞不在策略网段中的IP”，那么在策略网段外的IP，将不受任何策略控制；4.策略网段和黑白名单在策略中按照优先级由高到低执行，优先级顺序是：Bypass域名→免监控IP→屏蔽IP→策略网段。

例如：若选择“阻塞不在策略网段中的IP”，设置策略网段为192.168.1.1 – 192.168.1.200，而免监控I P为192.168.1.222，此时192.168.1.222仍不会被阻塞。

安全策略配置指导声明该配置指导只针对中小企业的在网络出口部署下一代防火墙的应用场景。

由于中小企业网络管理者安全意识不强、网络应用环境也不是特别复杂，所以本文档输出针对大多数企业有共性的基本安全策略配置建议。

细致完整的安全策略配置要根据客户实际情况具体分析。

以下安全策略配置是基于设备上线后，内外网已经能够正常访问的情况下，开启对内网的最基本的安全防护策略。

1. 网络部署在企业内网与互联网边界部署下一代防火墙的建议拓扑结构如下： 网关模式：部署在核心交换机前面，和运营商链路直接连接。

NGFW办公区1办公区N核心交换机透明模式：部署在核心交换机和路由器之间NGFW办公区1办公区N核心交换机2. 区域防护文件配置区域防护文件配置主要体现传统防火墙的安全防护功能。

只配置文件并不会生效，需要在区域配置时关联该区域防护文件才会生效。

配置步骤：【网络配置】【接口与区域】【区域防护配置文件】新建，【flood 防护】选择“SYN”、“ICMP”、“UDP”、“DNS”。

【端口扫描】选择“TCP”、“UDP”、“ICMP”。

【基于数据包的攻击防护】选择“Ping of Death”、“Tear Drop”、“IP Option”、“TCP Anomaly”、“Land Attack”、“Smurf”。

【ARP攻击防护】选择“ARP反向查询”、“每MAC的IP数限制”3.区域划分为了更有效的进行安全防护，对于不同安全等级的网络划分在不同的安全区域内。

安全域：NGFW连接内网用户的接口配置步骤：【网络配置】【接口与区域】【区域】新建，添加内网网口Eth1，选择安全域防护。

非安全域：NGFW连接外网的接口配置步骤：【网络配置】【接口与区域】【区域】新建，添加外网网口eth0.4.安全策略配置1）内网到外网的安全策略配置步骤：【策略配置】【策略配置】【安全策略】新建策略，源区域选择安全域，目的区域选择非安全域，动作选择允许，勾选记录流量日志，防漏洞配置选择default（保护客户端），网址过滤选择default，其他动作根据具体需求情况再配置。