网康行为管理器用户手册.doc

资源描述

用户手册目录关于本手册简介系统工作环境系统基本操作系统监控共享接入全局配置上网管理流量管理用户管理查询统计统计报表系统管理软件升级附录 1、简介 1-1 公司简介网康科技有限公司（ NetentSec,Inc. ）成立于 2004 年，专注于研发、生产和销售互联网控制网关等系列产品及相关服务，网康科技在网络应用层内容识别与管理技术领域保持着领先的核心竞争力，是中国上网行为管理理念的缔造者，是互联网行为管理行业的领导品牌。产品与技术网康科技拥有雄厚的技术研发实力，多项自主知识产权和发明专利使网康科技成为世界最具技术创新和服务精神的企业之一。截止到 2011 年底已具备 40 多项自主知识产权和发明专利；承担国家科技部、工信部、北京市科委的多项科研基金项目；研发了中国第一台专业的上网行为管理产品。网页分类库：网康核心 URL 分类数据库是全球最大的中文网页过滤数据库，目前共有 24 个大类， 150 余个小类，两千八百多万条 URL 数据。应用协议库：网康科技应用协议数据库是业界最全面的中国互联网应用协议数据库。针对中国地区网络应用的流行程度以及技术实现方式的专项分析，全面涵盖 IM 即时通讯、 P2P 共享下载、流媒体以及在线游戏等所有互联应用。商业智能分析： 100 多种用户互联网行为分析报告 XAI 特征技术：对加密的应用实现跨包、跨链接、跨应用的第三代应用识别技术，领跑流行应用协议识别用户识别技术：最全面的用户识别接口、可采用 20 多种方式识别网内用户客户与服务网康科技拥有全球超过 10000 家用户，高端客户覆盖率广。在中国，网康科技的客户遍及政府、金融、能源、运营商、教育、制造等各行业，是众多世界 500 强、中国 500 强企业信赖的互联网应用层设备提供商。网康科技拥有完善的销售与服务网络，网康科技有限公司总部位于北京，在全国建立了以京津冀、华北、华东、华南、华中、东北、西北、西南等八大技术支持中心， 29 家直属办事处，在北美、日本、东南亚等地均有合作伙伴，可为广大用户提供专业、高效、快捷的服务。全国统一咨询服务热线： 400-678-3600 北京网康科技有限公司电话： 010-62670909 传真： 010-62670958 地址：北京市海淀区中关村东路 66 号，世纪科贸大厦 A 座 3 层邮编： 100190 网址：电子信箱： marketing@ （市场部）， service@ （服务部） 1-2 系统简介网康互联网控制网关（以下简称 NS-ICG ）是目前最领先的上网行为管理产品，它通过完善的“网页过滤”、“应用控制”、“带宽管理”、“内容审计”等功能，帮助用户提升工作效率、降低安全威胁、杜绝带宽滥用、增强信息安全、规避法律风险、保护 IT 投资。 ◇网页过滤：拥有全球最大的中文网页过滤数据库（目前共有24个大类，150余个小类，两千八百多万条URL数据。超过2000万条URL、每天300万条的更新以及独有的子分类技术），独特的行为后果分类方式，精确过滤不良信息。 ◇应用控制：拥有最全的应用协议控制数据库（超过600种流行应用协议分析特征库），深度内容检测（DCI）技术，精确识别各种应用的协议特征。对于未知的P2P协议的下载软件、未知的股票等应用软件、甚至一些特殊应用（比如走80端口的web迅雷），我们都可以做到封堵或流量控制。 ◇带宽管理：最精细的带宽流量管理，基于用户、应用、时间、数据流向等条件设置差异化的控制策略。 ◇内容审计：最全面的信息收发审计，全面审计通过邮件、IM、BBS、HTTPS、Telnet、FTP等方式收发的所有信息内容。 2. 系统工作环境 NS-ICG 产品部署方式非常灵活，主要分三种模式：透明网桥模式、网关模式、镜像模式。其中透明网桥模式又支持单网桥模式和多网桥模式。 NS-ICG 产品在部署时能够透明接入，从而不修改网络拓扑结构、不修改用户网络配置、不需要在客户桌面计算机上安装任何软件且不需要在客户桌面计算机做任何配置。不同的网络部署模式分别适用于不同的网络拓扑结构。请根据实际情况，选择适合本企业的网络部署模式。 2-1 网桥模式 NS-ICG 安装于企业内部网络与防火墙 / 路由器之间的任意位置。单网桥网络拓扑实例如下图：图 2 1 单网桥模式下网络拓扑实例图在网桥模式下有两个重要配置： ◇NS-ICG的IP地址：用于访问NS-ICG。可设为企业内网上的任意IP（出厂默认配置192.168.1.23/255.255.255.0）。 ◇NS-ICG的默认网关：网桥模式下，请将NS-ICG的默认网关指向该企业所使用的网关（即防火墙/路由器内部IP），如192.168.1.254。网络管理者可通过 NS-ICG 提供的 Web 管理界面来管理系统。相应的管理界面的地址为“ https: //NS-ICG 的 IP 地址”，如 https: //192.168.1.23 。提示： Web 管理界面地址以 https 开始，而非以 http 开始。多网桥模式，又称多入多出模式。它是在单网桥的基础上增加了多个桥路，将网口划分为多个组，每组一个入口一个出，实现了多路且独立的单入单出。多网桥模式实现了一台 NS-ICG 设备对公司内部多条链路同时控制的功能。网络拓扑实例如下图，以双入双出为例：图 2 2 双网桥模式下网络拓扑实例图在多入多出模式下有两个重要配置： ◇线路的IP地址：用于访问NS-ICG。可设为企业内网上的任意IP，各条线路必须处于不同的网段。 ◇ NS-ICG的默认网关：设定为该企业所使用的网关（即防火墙/路由器内部IP），如192.168.1.254。提示： 1. 多网桥模式下， NS-ICG 的引擎是旁路模式，配置网关主要是为了 NS-ICG 设备本身访问网络，和内网用户上网无关。因此该项不是必须配置项。 2. 系统默认是单网桥模式，如果需要使用多网桥模式，需要在系统安装完毕后手动配置。 3. 网络管理者进行管理口配置，并通过管理口登录 NS-ICG 提供的 Web 管理界面来管理系统。相应的管理界面的地址为“ https: //NS-ICG 管理口的 IP 地址”，如 https: //192.168.30.23 。管理口的配置请参考“ 12-3-5 管理口设置 ”章节。 2-2 网关模式网关模式能实现 NAT 、路由、防火墙等基本网关功能，并能实现一入多出功能。在网关模式下，网络拓扑实例如下图 : 图 2 3 网关模式下网络拓扑实例图在网关模式下有以下重要配置项： ◇NS-ICG的内网口：包括IP地址与IP掩码，默认IP地址是10.10.10.1。请保证NS-ICG的内网口IP地址是其下级的级联设备的网关地址。 ◇NS-ICG的外网口：网关模式下支持一入多出，可以设置多个出口，但请保证至少要设置一个出口。提示：线路的多少由 NS-ICG 设备所带的网络接口数量决定；线路模式支持静态地址、动态地址（即 ADSL 拨号）或静态地址与动态地址的混合模式。请根据实际需要设置。 2-3 镜像模式镜像模式比较适合网络流量较大、更关注于信息的审计的大型单位。 NS-ICG 设备可对多端口进行镜像配置及流量审计。在镜像模式下，网络拓扑实例如下图：图 2 4 镜像模式下网络拓扑实例图在镜像模式下有以下几个重要配置项： ◇NS-ICG的内网口: 首先在交换机配置镜像端口，并将交换机的上联口进出的数据包都转发到镜像端口。将NS-ICG的内网口和交换机的镜像端口相连，用于接收交换机镜像端口的数据。IP地址可设为企业内网上的任意IP，例如192.168.1.23； ◇NS-ICG的管理口：用于管理该NS-ICG设备。IP地址可设为企业内网上的任意IP，但不得与内网口、控制口在同一个网段内，可设为如192.168.30.254。和管理口相连的PC机IP地址应与管理口IP地址在同一网段内； ◇NS-ICG的控制口：主要用于阻断web访问。IP地址需设为和网关内部IP地址同一网段的任意IP。 2-4 单边模式单边模式适用于两类场景，一类是对审计性能要求高，更关注外发信息的公司或机构，这类用户通常采取旁路镜像的方式将流量通过交换机镜像口或分光设备导入至 ICG ；一类是由于网络环境限制只能提供上行流量接入 ICG ，单边模式只关心上行 HTTP 数据，对其他协议如 SMTP 、 POP3 、 HTTPS 等等协议均不支持；单边模式下， ICG 的控制能力稍弱，有部分应用流量无法审计并且无法阻塞，单边模式的部署方式与镜像模式相同，如下图：图 2 5 单边模式下网络拓扑实例图单边模式的网络配置与镜像模式大抵相同，只要在镜像模式下将引擎工作方式切换为“单边模式”即可。有关引擎的单边模式请参考“ 12-5-1-1 系统参数 ”章节。 2-5 双机冗余模式在双机冗余工作模式中，两台 ICG 设备一台为主机，另一台为备机，当主机出现故障时切换到备机，用户配置的策略仍然能正常使用，以达到上网行为管控的连续性和一致性。图 2 6 双机冗余模式典型拓扑图 3. 系统基本操作 3-1 设备面板介绍以 NI-7000 系列产品为例，介绍设备面板，设备前面板如下：图 3 1 设备前面板产品标识公司及产品的商标及型号 Bypass 按钮硬件 bypass 按钮，按下该按钮，则 ICG 处于直通状态，不对流量做任何处理 Power 电源状态指示灯，当设备处于开机时，该状态灯呈绿色。 Status 设备运行状态指示灯 Console 口供连接超级终端等终端软件使用，可以通过该口对设备进行管理。 USB 口可通过该口连接外部 USB 设备如光驱、 U 盘等。 Mgt 口设备默认的管理口，可通过该口对设备进行远程管理。 HA 口双机冗余工作模式时的连接端口，通过该口与另一台 ICG 设备相连。 WAN/LAN 口设备默认的外网口 / 内网口， ICG 设备的网口均成对出现，以 E0 、 E1 、 E2 ……等标识，默认情况下，偶数表示外网口，奇数表示内网口，如果网口对有“ BP ”字样，则表示该网口对支持硬件 bypass 功能。网口对可以是光口，也可以是电口。 3-2 登录系统网康互联网控制网关产品的工作环境部署好后，就可以登录产品的管理平台。由于 NS-ICG 设备的出厂时默认 IP 地址是“ 192.168.1.23 ”，因此请将任意一台 PC 的 IP 设置为该段地址，例如 192.168.1.10 。在浏览器地址栏中输入“ https: //192.168.1.23 ”并回车（请注意，该地址是以 https 开头，而非 http ）， IE 显示提示页面（以 IE 为例，其他浏览器会有所不同），如下图所示：图 3 2 提示界面请点击“继续浏览此网站（不推荐）”，即可打开 NS-ICG 的登录界面，如下图所示：图 3 3 登录界面 NS-ICG 系统管理员的用户名和密码默认均为 ns25000 。在登录页面可查看网康科技最新的产品信息。输入正确的用户名和密码后，点击“登录”按钮，进入 NS-ICG 系统的控制页面。提示： 1. 登录成功后请及时修改管理员的密码。 2. 为了安全起见，如果累计五次输入用户名和密码错误，该 IP 15 分钟内将不允许登录 NS-ICG 。 3-3 认识工作窗口本节将介绍 NS-ICG 互联网控制网关的页面构成。如下图所示：图 3 4 互联网控制网关界面特别说明：本手册中截图仅供功能说明使用，截图中版本、日期、邮件地址等不具有时效性，仅供参考。请以实际界面显示为准。主模块——互联网控制网关的主模块选择按钮。子模块——互联网控制网关主模块的子模块选择按钮。详细画面——各子模块的详细显示画面。状态栏——显示当前登录ICG管理员，系统当前时间、系统报警、客服信息、版权、系统提示信息、报警设置等。提示： 1 、根据登录人员的权限，能够显示的模块会有所不同。详细情况，请咨询管理员。 2 、为了达到最佳显示效果，屏幕分辨率建议配置在 1024*768 或以上。系统监控快速了解系统当天的一段时间内用户的网络访问、带宽资源的利用、系统的整体运行状况，报警平台可以实时显示系统的报警信息。全局配置设置系统的全局配置，如策略网段、黑白名单、对象设置、防护设置等。上网管理建立各种策略来控制内网用户的上网行为，如 Web 访问过滤、上网炒股控制、网络游戏控制、网络聊天监控、 P2P 下载控制、外发信息审计、带宽流量管理等。并能通过设置防护规则让系统在网络或用户出现异常时发出警报、同时还可以查阅指定用户或 IP 所适用的策略等，灵活的部署互联网访问控制方案。流量管理对内网用户进行流量控制和每用户控制用户管理可以建立和管理组织结构、查询用户、部署认证方式。管理者可以通过 IP 、 LDAP 服务器或者网康自定义格式导入用户，也可以手动建立和管理组织结构。用户是各种策略建立的基础，各种策略都是针对用户来进行部署的。查询统计可以查询指定用户的网络访问、带宽资源等的当天以及历史信息，并进行统计分析、定期发送到指定电子邮箱。统计报表将网站访问、邮件收发、论坛发帖、搜索关键字、 IM 聊天、用户活跃度等等进行统计分析，生成报告。系统管理系统管理是部署 NS-ICG 的网络环境、管理方式、控制权限等的管理平台，而且可以查看系统自身运行的各种日志和报警信息等。 ➭ 常用页面显示设置（一）、多标签显示 ICG 的管理页面有着极大的易用性，首先左侧的目录树可以通过按钮进行展开与收起，而目录树的每个大导航栏也可以通过按钮进行展开与收起，点击页面右上角或者右下角的按钮，可最大化显示窗口。 ICG的管理界面支持多标签显示，当前标签页以高亮显示，在某标签页点击鼠标右键可弹出菜单，管理员可选择关闭所选标签还是关闭除所选标签外的其他所有标签，在标签页的前面可以点击来刷新当前页，如下图：图 3 5 多标签显示某些管理界面有着自身的数据刷新间隔（比如系统监控的各个页面），当打开多个有刷新间隔的页面时，只有当前页面进行刷新显示。（二）、翻页显示在“系统监控”、“查询统计”页面（包括但不限于系统监控、查询统计）常会将审计数据进行翻页显示，以“查询统计 - 网站访问”为例，如下图：图 3 6 翻页显示 ◇ ：回到查询结果第一页； ◇ ：向前翻一页； ◇ 第*页：在输入框中输入数字后按回车按钮即可翻到查询结果指定页面； ◇ ：往后翻一页； ◇ ：显示查询结果的最后一页； ◇ ：立即刷新当前页面； ◇ 每页显示：设置每页最多可以显示多少条记录； ◇ 网址显示：调整网站访问查询结果中“网址”列只显示主链接还是显示所有链接。 ◇ 可显示记录数：支持500、1000、5000、10000及全部记录数。 ◇ 第*-*条，共*条：当前页面显示的是第几条到第几条数据，当前监控页面共多少条数据。提示：不同页面的翻页显示设置略有不同，请管理员根据实际情况进行设置。（三）、审计数据的内容类别及排序设置在“系统监控”、“查询统计”页面（包括但不限于系统监控、查询统计）可进行审计数据的内容类别及排序设置，以“查询统计 - 网站访问”为例，在显示数据的每个列标题右侧均有一个下三角图标，点击图标，可将结果以正序或逆序显示，也可设置显示哪些列标题，如下图：图 3 7 排序及列标题设置如图，在“时间”列标题右侧点击下三角图标即出现排序及列标题设置，正 / 逆序表示将审计数据按照时间的正 / 逆序进行显示，在“列”的下级菜单中显示了目前哪些列标题被勾选，哪些没被勾选，未被勾选的列标题的对应审计数据在界面上被隐藏，不予显示。提示：在除时间列之外的其他列进行正序或逆序排列时，较大的审计日志量会消耗较多的时间，建议尽量不做其他列的排序操作。（四）、文本框的输入限制管理员在进行（包括但不限于）策略设置等操作时，页面中如果有必填项，或者填写格式有一定要求的项，当不填或者填写错误时，页面会产生相应的错误提示，同时将鼠标移至红色波浪线处会显示详细的提示信息。以新建策略网段为例，如下图：图 3 8 页面提示例 1 当填写错误时，也会产生相应的提示，如下图：图 3 9 页面提示例 2 （五）、工具栏系统工具栏主要显示如下： ◇ 立即生效：当系统的策略发生改变或者用户组织结构发生变更时（包括但不限于以上情况），NS-ICG将会在Web管理界面的右上角用红色字体显示“立即生效”字样，如下图。如果要使配置立即生效，请点击“立即生效”，也可以在所有的配置完成后，点击“立即生效”，使所有的配置一次全部生效。但是并不是所有与策略或者用户组织结构有关的变动，都会出现“立即生效”的提示，操作过程中，请及时观察该提示是否出现。 ◇ bypass按钮：该按钮不是必现，通过该按钮可以进行设备硬件bypass操作，关于bypass功能请参考“系统管理”-“系统配置”-“系统参数”-“硬件bypass设置”。 ◇ 在线帮助：点击按钮可以查看在线帮助； ◇ 退出系统：点击按钮可以退出管理界面； ◇ 窗口最大化：点击可将窗口最大化显示。（六）、鼠标悬停在饼图、柱图、趋势图或者其他显示方式中，大部分都支持鼠标悬停技术，当鼠标悬停在显示元素上时（如饼图的扇区、柱图的柱体、趋势图曲线上的采样点等）会显示详细的分析结果，如下图：图 3 10 鼠标悬停（七）、查询用户显示所有的查询页面都会有关于用户的显示，目前默认显示方式为： ◇ 用户按固定长度进行判断，如果用户加用户组长度超过10个字(不管是英文或中文，一个中文字也算一个字)就省略，只显示第一层和用户名，鼠标悬停显示是完整的用户组如 :LDAP 用户 /.../1111 完整路径 : LDAP 用户 /6054/zhaozhe/test/group1/1111 图 3 11 用户显示 ◇ 查询隐藏“位置”和“mac”列，可在每列箭头处使用下拉框调出。图 3 12 mac 与位置的显示 3-4 配置网络根据企业实际情况确定好网络部署模式后，就可以着手开始配置 NS-ICG 的网络设置了，包括其 IP 地址、网关、 DNS 等。如果您是首次配置 NS-ICG 的网络，您可以到“系统管理” - “网络配置” - “配置向导”页面进行配置，下面详细介绍： ICG 的工作模式分为网桥模式、网关模式、镜像模式三种模式，我们以网桥模式为例，在“配置向导”页面选择“网桥模式”，如下图：图 3 13 配置向导 - 网桥模式点击“下一步”，进入下图：图 3 14 配置接口在接口 IP 配置栏，必须填写网桥模式下设备 IP 地址、掩码、选择内外网口的接口，填写缺省网关。如果有多条链路，还可以勾选“双入双出”，添加另一条链路。高级配置栏作为选填项可以进行配置，也可以留空，有关多 IP 配置可以参考“ 12-3-9-5 多 IP 配置 ”章节。填写完毕后，点击“下一步”，进入 DNS 配置，如下图：图 3 15 DNS 配置主 DNS 为必填项，辅 DNS 选填，填写完毕后，点击“下一步”，如下图：图 3 16 高级配置在本步骤可以进行路由配置和 trunk 配置（可参考“网络配置”相关章节），如果不需要，则直接点击“下一步”进入配置显示页面，如下图：图 3 – 16—1 页面显示了刚才设置的各项信息，如果没有错误，则点击“确定生效”，则配置开始生效。关于网关模式下配置也可按照配置向导的指引一步步的进行，此处不赘述。有关于网络配置也可参考“ 12-3 网络配置 ”相关章节。 3-5 申请授权如果想正常使用互联网控制网关，请先申请产品授权信息，否则您将无权使用各种功能。关于如何申请授权，请参考“ 12-6 服务授权 ”章节。申请授权后，建议用户进行激活授权操作，以便网康科技为用户提供更有针对性的服务，详细操作请参考“ 12-6 服务授权 ”章节。 3-6 找回密码如果忘记密码，请点击登录页面上的“忘记密码”链接，这时将会出现重置密码页面，如下图所示。输入您在注册该用户时设定的用户名及邮箱地址，并点击“提交”按钮后，系统将把该用户的密码发送到设定的 Email 邮箱中。图 3 17 找回密码提示：请提前配置正确的邮件服务器，否则将无法接收到找回密码邮件。 3-7 退出系统在 NS-ICG 系统的工作窗口右上角，提供了“退出”按钮，如下图的右边图标。点击并确认后即可成功退出系统。图 3 18 退出系统按钮 4. 系统监控系统监控模块以各种图形、表格等方式让管理员快速的了解设备当天的运行情况、内网用户的网络访问情况、带宽资源的利用情况、策略的监控结果等。并可设置过滤条件，迅速查看到匹配的监控结果。本章主要介绍系统监控模块的主要子模块及其功能：系统状态——显示当前设备硬件运行信息、系统版本信息、产品授权信息、当前设备流量、系统时间等。报警平台——直观的显示系统的各种状态信息、网络流量、内网用户使用网络的合规情况等。网络活动——默认显示当天最近十分钟统计信息、如应用流量排名、网址分类排名、用户流量排名、网络活动概要等；实时监控——显示当前设备实时流速、用户实时流速排名、应用实时流速排名、审计实时日志等；连接监控——显示设备当前实时连接信息，如内外网 IP 、端口号、应用协议名称，发送接收流量等用户监控——上线用户：显示所有上线用户及其识别方式。如果开启了流量统计，则同时显示上线用户对应的网络流量信息；活跃用户：显示当前内网用户中有网络流量的用户及其相关信息，并可禁止指定用户继续使用网络。应用限额——显示当前网络应用协议的限额使用情况； 4-1 系统状态系统状态集中显示了系统运行状况信息，通过查看系统状态页面，管理员可以快速了解到 NS-ICG 的运行状况是否正常、稳定。界面如下图：图 4 1 系统状态 ◆资源：显示 CPU 、内存、硬盘的使用情况，支持鼠标悬停，当鼠标悬停在滑动三角上或者饼图扇区时显示对应的详细信息； ◆授权与系统：显示当前系统软件版本、 URL 库版本、应用协议库版本及网康科技发布的最新的系统软件版本、 URL 库版本、应用协议库版本信息及发布日期，显示当前产品授权的激活状态，对未激活的授权可以进行产品激活，对即将或者已经过期的产品授权可以进行续费以延长授权，还可以进行授权信息的下载。有关于授权请参考“ 12-6 服务授权 ”章节。 ◆设备流量：默认显示最近 24 小时设备流量图，该图以时间为横坐标、以流量为纵坐标。纵坐标单位采用自适应机制；图中以不同颜色区分上行及下行流量，支持鼠标悬停，当鼠标悬停于曲线上采样点时显示具体流速数值；点击右侧图标，可以设置流量图参数，如下图：图 4 2 设置流量图显示参数 ◇时间范围：设置流量图时间范围，最近24小时还是最近一周、最近30天，系统默认最近24小时； ◇线路：NS-ICG支持单网桥模式、双网桥模式及镜像模式。默认情况下显示所有线路的上传和下载流量。如果NS-ICG的工作环境是单网桥模式，则可以分别显示所有线路和线路1的流量，效果是相同的。如果NS-ICG的工作环境是双网桥模式，则可以分别显示所有线路、线路1和线路2的流量。方法是从“所有线路”中进行选择。如果NS-ICG的工作环境是网关模式，则只显示“所有线路”。如果NS-ICG的工作环境是镜像模式，则分别显示所有线路和各线路的流量，如果一条线路只配置了一个镜像端口，则线路流量显示的是该镜像端口流量；如果一条线路配置了多个镜像端口，则线路流量显示的是多个镜像端口流量的总和。 ◇刷新间隔：设置流量图刷新间隔，支持30秒、1/5/10分钟； ◇通道：NS-ICG中除了默认通道，还可以根据需要设置通道从而让不同的应用走不同的通道。默认显示全部通道的流量。如果设置了通道，也可以只显示指定通道的流量信息。关于通道的设置可以参考“带宽通道对象”章节。 ◇数据类型：默认显示所有上传流量和下载流量。也可以只显示上传或只显示下载流量。 ◆网口状态：进入系统状态页面时该部分默认不显示，点击右侧图标调出该部分内容，系统以不同颜色区分网口状态，绿色表示网口已启用并且连接正常，红色表示网口已启用但是连接异常，灰色表示网口未启用； ◆系统时间以及系统持续运行时长：显示当前登录用户的用户名称，同时显示系统当前的时间，具体显示格式为：年 - 月 - 日时：分：秒；持续运行时间是指系统自启动后持续运行的时长，具体显示格式为： x 天 x 时 x 分。 4-2 报警平台在报警平台可以直观的显示系统的各种状态信息、网络流量、内网用户使用网络的合规情况、安全内容审计等，在报警平台包含几个小模块，如下所示：图 4 3 报警平台 ➭ 界面通用性介绍：四个模块的监控界面有一些通用性操作，下面简单介绍，以内容审计为例：图 4 4 显示页面设置 ◇：页面的收起和展开，点击按钮进行切换 ◇：点击按钮，进行监控设置 ◇：刷新监控页面 ◇：监控页面最大化 ◇：关闭监控页面。 ◇：若有报警信息，则在页面右上角有报警图标显示，红、橙、黄分别代表报警级别的一、二、三级，若有新的报警信息，则图标闪烁三次后即停止闪烁。 ◇鼠标的右键操作：当某监控页面被关闭时，若再开启，则只需在报警平台页面点击鼠标右键，勾选相应的监控页面即可。 ◇报警详细信息查看：点击报警时间前面的按钮，可查看详细的报警信息。 ➭ 系统状态：在系统状态页面表格形式显示系统软件、服务运行状态、系统授权信息状态以及 web 记录超阀值等其他报警信息，点击“系统状态”链接，则页面跳转到“系统监控” - “系统状态”。系统状态如下图：图 4 5 系统状态监控 ◆ 监控设置：点击图标，设置显示的报警级别，可多选，选定后点击“确认”按钮保存设置。点击“隐藏”按钮即收起设置框。如下图：图 4 6 系统状态监控设置 ◆ 监控显示：可点击图标手动刷新监控结果。点击报警列表中的按钮可查看详细报警信息。 ◇ 报警时间：显示报警产生的时间。 ◇ 报警级别：以图标加数字的形式显示报警级别，红、橙、黄分别表示一、二、三级。 ◇ 报警类型：显示报警产生的类型，点击类型链接，则页面跳转到【系统管理】-【日志管理】的相应页面查看具体报警信息。 ◇ 报警原因：描述报警产生的原因。 ➭ 行为合规：显示 NS-ICG 控制策略的执行情况及报警信息，可设置报警级别和关注的控制策略，直观的显示内网用户的行为合规情况，涉及到的策略有控制动作为“阻塞”的应用控制策略、控制动作为“阻塞”的网页浏览及网页搜索策略等。图 4 7 行为合规监控 ◆ 监控设置：点击图标，进行行为合规的监控设置，选定后点击“确认”按钮保存设置。点击“隐藏”按钮即收起设置框。如下图：图 4 8 行为合规监控设置 ◇ 选择报警级别：勾选显示的报警级别，可多选。 ◇ 选择报警图关注维度：选择关注的是违规请求数还是违规用户数，单选。 ◇ 选择关注策略：分别列出每种策略类型下的各策略名称，如应用控制策略（阻塞）和应用限额策略（时长、流量）及网页浏览策略（阻塞）和网页搜索策略（阻塞），系统最多支持勾选5条策略。 ◆ 监控显示：可点击图标手动刷新监控结果。点击报警列表中的按钮可查看详细报警信息。报警图中显示了各策略的违规请求数 / 违规用户数。监控列表最多显示 10 条最新的报警信息。 ◇ 报警时间：显示报警产生的时间。 ◇ 报警级别：以图标加数字的形式显示报警级别，红、橙、黄分别表示一、二、三级。 ◇ 报警类型：显示报警产生的类型，点击类型链接，则页面跳转到【查询统计】-【告警记录】的相应页面查看当天该报警类型的具体报警信息。 ◇ 用户/IP：显示产生报警的用户名及IP地址 ◇ 报警原因：显示匹配的策略名称。 ◇ 控制结果：显示策略的控制结果，如阻塞等 ➭ 内容审计：显示 NS-ICG 安全审计类策略的执行情况及报警信息，可设置报警级别和关注的审计策略，直观的显示内网用户的内容审计情况，所涵盖的审计类策略有电子邮件审计（包括 webmail 、 SMTP 、 POP3 ）、即时消息类（ MSN 审计、飞信审计）、论坛发帖审计、网页浏览审计、网页搜索审计、文件传输审计（ HTTP 上传下载、 FTP 上传下载）等。图 4 9 内容审计报警监控 ◆ 监控设置：点击图标，进行内容审计的监控设置，选定后点击“确认”按钮保存设置。点击“隐藏”按钮即收起设置框。如下图：图 4 10 内容审计监控设置 ◇ 选择报警级别：勾选显示的报警级别，可多选。 ◇ 选择报警图关注维度：选择关注的是违规请求数还是违规用户数，单选。 ◆ 监控显示：可点击图标手动刷新监控结果。点击报警列表中的按钮可查看详细报警信息。报警图中显示了各策略的违规请求数 / 违规用户数。监控列表最多显示 10 条最新的报警信息。 ◇ 报警时间：显示报警产生的时间。 ◇ 报警级别：以图标加数字的形式显示报警级别，红、橙、黄分别表示一、二、三级。 ◇ 用户/IP：显示产生报警的用户名及IP地址 ◇ 应用：显示产生报警的应用名称，点击应用链接，页面跳转到【查询统计】-【告警记录】页面查看当天该应用的详细报警信息。 ◇ 报警原因：描述报警产生的原因。 ◇ 控制结果：显示策略的控制结果，如阻塞等。 ➭ 网络流量：网络流量子块的报警内容是有关网络流量状况的，包括链路、通道的网络流量趋势，系统防护、用户防护、超出阀值报警、 ARP 攻击等其他网络流量报警信息。点击“网络活动”链接，则页面跳转到“系统监控” - “网络活动”页面进行显示。界面如下：图 4 11 网络流量监控 ◆ 监控设置：点击图标，进行内容审计的监控设置，选定后点击“确认”按钮保存设置。点击“隐藏”按钮即收起设置框。如下图：图 4 12 网络流量监控设置 ◇ 选择报警级别：勾选显示的报警级别，可多选。 ◇ 设置网络流量图参数 - 线路：选择线路，全部线路或者某条线路 - 显示警戒线：可选项，当线路为全部线路时，可显示警戒线，当线路为某条线路，则不显示警戒线。 - 带宽和警戒比例，当勾选了显示警戒线时，可设置线路的带宽和警戒线占带宽的比例；当线路选择“全部线路”时，警戒带宽 = 带宽 *2* 警戒比例，若带宽设置为 10M ，表示上下行带宽分别为 10M ，若警戒比例为 80% ，表示警戒带宽为 20M*80%=16M 。 - 流量：可设置全部流量或是上传、下载流量。 ◆ 监控显示：可点击图标手动刷新监控结果。点击报警列表中的按钮可查看详细报警信息。报警图中显示了各策略的违规请求数 / 违规用户数。监控列表最多显示 10 条最新的报警信息。 ◇ 报警时间：显示报警产生的时间。 ◇ 报警级别：以图标加数字的形式显示报警级别，红、橙、黄分别表示一、二、三级。 ◇ 报警类型：显示系统的报警类型，点击连接，页面跳转到【系统管理】-【日志管理】相应页面。 ◇ 用户/IP：显示产生报警的用户名及IP地址。 ◇ 报警原因：显示匹配规则。 ➭ 系统的状态栏显示：图 4 13 系统的状态栏显示 ◇ 当前用户：显示当前登录ICG系统的操作员； ◇ 系统当前时间：显示系统的当前时间，请保证系统当前时间正确。 ◇ 系统警报：显示系统的报警信息，如用户防护报警、系统监控报警、WEB记录报警、ARP报警、磁盘报警等，当鼠标悬停其上并且呈可点击状态是时，点击鼠标则跳转到相应的日志页面查看详细的报警信息，也可通过【系统管理】-【日志管理】的相应页面进行查看。 ◇ 系统报警信息提示：系统的右下角弹出窗口，显示系统报警信息和推送消息，报警信息如系统版本信息、授权到期提示、HA同步失败提示、三权分立模式下审核信息提示、管理员登录5次失败提示等；推送消息如网康科技产品最新消息等；当开启了流量阈值报警功能，则还显示具体的超阈值流量信息； ◇ 系统报警设置：点击按钮，可设置4个监控模块是否启用声音报警提示及系统是否启用真人语音报警，若开启真人语音报警，当管理员在报警平台之外的页面时，如果有新的报警到达，用真人语音的方式提醒。在火狐浏览器下若要启用声音报警需要安装插件，插件地址为：。除了有声音设置外，还有行为合规报警提示功能，如下图：图 4 14 行为合规反馈提示功能勾选了行为合规提示的复选框，则开启行为合规提示功能，时间间隔支持最近 10 分钟、 30 分钟、 1 小时，如选择了 10 分钟，则系统会以弹窗的形式弹出最近 10 分钟的网站访问 / 搜索 / 论坛发帖 / 邮件 /IM 聊天 / 文件审计的阻塞信息，如下图：图 4 15 行为合规提示点击阻塞数字，页面跳转到“查询统计”对应的页面，管理员可以查看具体的审计信息，勾选“不再提示”，则关闭行为合规反馈提示功能。 4-3 网络活动网络活动页面使用图表方式集中显示当前网络活动概要、网址分类排名、应用流量排名、用户流量排名等信息，如下图所示：图 4 16 网络活动 ➭ 参数设置：设置界面显示的内容类别、视图选择（一列还是两列视图），时间范围设置，如下图：图 4 17 参数设置 ◆ 功能选择：选择显示哪些内容，支持网络活动概要、网址分类排名、应用 / 用户流量排名、应用 / 用户流量趋势、网址访问趋势、网址访问排名、应用细分排名。系统默认显示前 6 项内容。 ◆ 视图选择：选择是以一列还是两列显示内容； ◆ 时间范围：支持最近十分钟、最近一小时和今日，系统默认显示最近十分钟； ➭ 网络活动概要：显示时间范围内网址访问、电子邮件、论坛发帖、即时信息四类网络行为的审计情况，以不同颜色区分请求总数及阻塞数，同时，

展开阅读全文