行为管理设备用户认证介绍

1行为管理设备用户认证介绍1.1用户管理用户是上网行为管理产品最核心的要素，任何一条策略都是针对一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。网康ICG提供了丰富的用户认证方式以及符合企业实际的用户管理能力，很好地满足企业对于用户的管理要求。1.1.1用户身份信息维护管理按照企业组织结构建立用户组当用户数目较多、组织结构比较复杂时，按照实际的组织结构管理用户是最有效的方式，易于管理员查询、定位和设置策略。网康ICG支持树型结构管理用户，能够完全按照企业的实际情况建立用户组，如下图所示：图2-24按照企业组织结构管理用户IP网段自动分组任何互联网行为管控和审计策略最终都将赋予到用户或用户组上，对于以IP网段划分部门的机构，如果用户数目众多或者IP分配变化频繁（如大学的院系），针对每一个用户进行单独的设置是不现实的，这些机构关心的更多的是对某一类用户进行管理，而不是特定的用户。网康ICG可以按照网段进行分组并设置策略，属于某网段的IP会自动适用该网段的策略。ICG支持将新入网的未注册IP自动加入到所属的IP分组中，从而自动为该IP分配预定义的管控策略。对于那些临时来访的外来用户，管理员可以将其计算机设备统一划分在某一IP范围内，并对该IP网段分组制定相关限制性策略，大大增强了动态用户管理的灵活性。此外，如果管理员没有预先设置IP网段，ICG可以将未注册的用户实时加入系统的未定义用户组中，管理员可以在合适的时机将其移动到已定义用户组中，从而逐步完善用户的定义。支持用户的权限组管理网康ICG支持权限组的定义和管理。可在各级用户组织中建立“权限组”，可将任意用户添加入“权限组”中，一个用户可以同时隶属于多个权限组。这一功能提高了用户策略管理的灵活性，在不改变原用户的组织结构的情况下，可实现对一些分散在各组中的用户进行统一策略管理。支持AD域权限组导入网康ICG可将AD域服务器中用户权限组信息导入到用户组织列表中，并自动创建相对应的权限组，可定义各权限组的互联网行为管控策略。针对企业网络最常用的认证体系联动（LDAP），重新调整功能实现，支持：可设置支持完整&部分LDAP导入，包括权限组导入；可灵活设置同步模式（导入、镜像），确保与LDAP服务器保持用户信息联动；支持多个LDAP服务器同时导入，无需担心组织冲突以及显示问题；支持属性组网康ICG率先支持属性组用户。属性组用户是指将某些具有一定共同特征（如部门、职位、电话等）的用户以属性组进行保存，网络管理员可从属性这一维对用户进行管理，例如，可通过策略方便实现财务部用户禁止使用QQ等功能。支持从多个LDAP服务器同时导入用户数据对于那些拥有多AD子域服务器的网络环境，ICG可同时同步所有AD子域服务器中的用户信息数据，实现全网用户的统一管理。同时，可以自定义LDAP的导入入口。支持用户对象的快速搜索选择在用户数量庞大，用户组织结构复杂的网络环境中，管理员在制定策略或查询日志时，按组织关系逐层筛选用户这一操作会耗费大量的时间和精力。网康ICG可以避免上述问题，在所有用户对象选择对话框中，支持用户搜索定位功能。只要在搜索框中输入要选择的用户组或用户名称，即可直接将该用户或用户组添加到用户对象中。支持IP/MAC绑定及自动绑定网康ICG支持二层网络环境和三层网络环境下的IP/MAC绑定。可自动阻塞那些非法占用他人IP地址的用户。此外，系统支持在建立用户时自动进行IP/MAC的绑定操作。支持免控制与免审计用户对于在特殊情况下不需要控制或审计监控的用户，网康ICG提供免控制和免审计功能。1.1.2用户身份识别与认证丰富的用户认证方式网康ICG提供多种用户认证和识别方式，为用户管理提供了灵活而完善的方案，包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、ESMTP认证、SOCKS认证、PPPoE认证账号识别、第三方用户识别。此外，对于使用微软ISA系统的环境，ICG还支持NTLM认证和BASIC认证，实现与ISA的联动。对于每一种认证方式，ICG都支持分段/混合认证。通过规划并部署合适的认证方式，可以把互联网访问管理应用到具体用户，实现基于用户身份的访问管理。在有些企业，实行规划合理并且严格执行的IP地址分配制度，那么通过IP地址和网卡MAC地址来确定用户身份是可靠的；但是在有些网络环境下，用IP或网卡MAC地址并不能确定一个人的身份，比如DHCP动态分配IP、或多人共用一台设备的时候，就需要其它方式确定用户身份，如网关本地Web认证或第三方认证。在WEB认证方式下，管理员可以设定并分发统一的初始口令，并定义账号缓存的有效时间，保障用户身份的安全，使用户身份的确定与具体上网设备完全无关。要实现WEB认证，首先需要在网康互联网控制网关中建立用户信息。NSICG支持多种用户信息获取方式，可以通过IP网段地址扫描，自动获取内网用户的IP地址、计算机名、MAC地址信息，也可以通过LDAP同步的方式定期更新用户目录服务器的用户信息，支持RADIUS认证，此外，还可以使用网康自定义用户导入功能，将微软Excel表格整理的用户信息快速导入。建立用户信息后，按照管理需求，基于网段、权限、行政职能自定义用户组和成员，并且可以在不同用户组之间灵活调整成员用户，最终形成清晰直观的树型组织结构。这样就解决了“确定用户身份”的问题，并为基于用户或用户组制定策略和统计报表奠定了基础。支持认证界面自定义发布信息使用网康ICG的web认证界面登录时，管理者可以自定义登录界面的信息。在登录界面有专用的窗口用于展示发布信息的标题和内容。同时，登录界面的图片也可以有管理者自定义设置和变更。支持混合认证网康ICG支持多种认证方式的混合，可方便为不同的网段开启不同的认证方式，实现不同用户群的差异化管理；同一网段用户也可同时开启多种认证方式，方便用户在不同的应用环境下都可以认证入网。支持邮件用户识别对于拥有独立企业邮箱的网络环境，ICG支持POP3用户识别，用户入网无需认证，只要通过POP3协议接收一封邮件，ICG即可将邮件账号名记录下来，该用户所有互联网行为都可实名制记录下来，便于日后日志的查询、定位。支持计算机名识别网康ICG支持根据内网计算机的计算机名识别，用户入网无需认证，网康ICG能够自动扫描每一个入网计算机的计算机名并将其作为用户账号记录下，在该计算机上发生的所有网络访问行为将记录在其计算机名下。支持强制下线网康ICG支持WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。使用者也可以随时将活跃用户列表中的IP加入“屏蔽IP列表”中。支持认证账号有效期限制对于一些需求临时入网的用户，管理员可通过该功能限制这些用户可以入网的时间范围，超出限定范围后，该用户无法再入网。一方面提高准入用户的安全性，另一方面可实现入网限时的功能。支持认证账号唯一性控制网康ICG支持认证账号唯一性控制。这一功能可以方便控制同一认证账号是否允许在多台计算机上同时登陆。从而适应不同用户的认证需求。支持认证账号黑名单对于行为异常的认证账号，网康ICG支持将其加入到认证账号黑名单。未经管理员将其从黑名单中清除，该账号将无法通过认证。支持第三方认证信息联动接口网康ICG提供标准的第三方用户认证信息联动接口，可以接收来自第三方网络准入系统或上网计费系统的用户认证信息。从而将上网行为日志准确关联到具体的用户，并实现用户在多认证系统环境下的单点认证。登录重定向网康ICG提供登录重定向增值功能。用户认证通过后，第一次上网请求将触发此功能，网页访问请求被重定向到预设的URL。对于集团企业、政府机关和学校，便于上网用户方便地获悉最新的公告或者相关信息。