网康ICG产品配置培训

ICG界面操作培训•说明：本培训胶片主旨在提示每一个界面的讲解点，并没有具体的讲解内容，因此请各位学员做好笔记，将讲师的讲解词纪录下来方便自己的理解。请讲师根据每一个界面的讲解点深入细致的讲解每一个功能。ICG界面的四大功能模块•系统管理•用户管理•策略管理•系统监控•查询统计•系统管理主要功能：针对ICG产品进行自身的配置和系统信息，日志信息的显示，以及数据备份和开关机。•用户管理主要功能：针对ICG产品进行用户的导入，管理，绑定，并可进行身份的验证。•策略管理主要功能：针对ICG产品进行策略，对象的设置，并且提供黑白名单等特殊策略。设置策略后可以使ICG进行相关工作。•系统监控主要功能：针对ICG产品进行的工作进行实时监控，查询。•查询统计主要功能：查询（历史纪录），统计（基于多种方案统计数据）。系统管理讲解•系统管理－系统状态•产品序列号：ns-151-0001（ns代表网康产品-中间号代表产品系列-最后是流水线序列号）•系统版本：操作系统的版本（2.x3.x4.1、4.2、4.3、5.0）•引擎状态：每台设备有一个处理引擎，引擎的开启表示web分析开启•DHCP状态：是否开启dhcp功能。•代理状态：是否开启代理状态。（启用代理之后，数据流将通过系统转发）•高速缓存状态：显示高速缓存开启状态（开启缓存后，用户再次访问已缓存的页面，将从缓存中读取而不访问远程服务器）。•URL数据库最后更新时间：网康url数据库会定期更新，可以设置更新日期。•应用协议数据库最后更新时间：应用协议数据库会定期更新，可以设置更新日期。•注：我们就把系统管理类比与windows的控制面板的功能。系统管理讲解•系统管理－－权限配置1、添加用户用户名：登陆时的用户名密码：登陆时使用的密码用户姓名：用户描述信息用户组：administrator、user注：只有超级管理员才能增减用户设置，超级管理员用户是不能被删除的。用户权限•4.3只有一种管理员角色•5.0设置三种用户角色：超级管理员、管理员、审计员–超级管理员默认有所有权限，不能删除–管理员、审计员默认权限为空•增加用户管理列表–管理员可以管理审计员–管理者只能对被管理者的策略进行修改，不能修改被管理者的基本信息角色权限管理修改信息分配管理对象更改他人策略策略管理超级管理员管理员审计员系统管理讲解•系统管理－网络配置－接入模式•网关模式：ICG可以充当网络路由功能，提供nat转换功能。设置为网关模式后，用户可以将网关指向ICG的地址，即可访问外网。•注意：网关模式也适应于多网段多vlan情况，默认情况下，不推荐使用网关模式。网关模式中如果下层有三层交换设备，则需要添加回指路由。•网桥模式：ICG可以当作一台二层设备，数据经过ICG不需要路由即可直接转发到下一跳设备。•注意：网康推荐用户使用网桥模式，网桥模式的配置有多种拓扑情况，请掌握。•DNS设置：DNS地址至少主DNS要和用户自身网络的DNS设置为相同，避免解析域名的二义性•主DNS服务器，辅DNS的服务器设置•内外接口的显示，以及根据该接口绿灯情况可以作出的判断：接口上的内接口，外接口文字会随后台命令改变内外接口位置后进行浮动，也就是虽然目前1,2是外接口，内接口，但是如果后台更改接口对应后内、外接口的文字会自动变更到设置的端口上。•因此我们如果希望确定哪个物理接口是内外接口，可以在ICG上架之前用笔记本连接该网口测试一下，确保内外接口没有设置错。（开局前强烈建议此操作）系统管理讲解•系统管理－系统配置•基本配置（着重讲解）系统参数:有关系统运行参数的配置代理设置：管理口设置：管理接口就是一个为管理方便而配置的一个地址，方便外网访问。语言设置：支持中英日三国语言•系统设置日期和时间：就像windows要设置系统时间一样，很多的基于事件的处理要用它邮件服务器：填写系统的发信人地址（这里ICG相当于一个mail用户），用于密码取回、报告订阅•授权与更新授权信息：获得url、和应用协议库的升级授权申请授权：url数据库更新：应用协议库更新：注：未分类数据上传是指没有在网康两大数据库中分类的数据，系统会自动上传到网康服务器，网康工程师会及时进行分类。系统管理讲解•系统管理－系统配置•备份与恢复备份：可以备份于服务器，也可以导出文件到pc恢复：可以从pc恢复已经备份的文件。归档设置：可以设置系统记录保持天数ftp导出：可以自动导出到ftp服务器，导出时间可以设定usb导出：可以导出WebEmailPOST聊天数据•系统工具网络工具：提供常用网络检测工具关机重启：软开关机•帮助信息帮助文档：url分类说明：url库支持情况支持协议列表：协议支持情况系统管理－系统配置-基本设置-系统参数◆引擎配置：引擎是NS-ICG的核心部分，所有策略匹配和执行都是由引擎来执行的。启动过滤：系统默认状态，所有的网络应用将根据设置的策略进行过滤。停止过滤：停止引擎将停止所有应有的过滤。◆重新载入配置文件：所有的策略、管理员的信息、和引擎运行所需要的一些基本配置。◆WEB记录等级无记录：不记录web访问日志。优化访问记录：只记录实际访问的webURL地址，而不记录图片、脚本等信息全部访问记录：记录所有访问web信息。◆透明模式：透明模式只在网桥下适用，在网关模式可以将之开启/关闭，但实际都是无效的。该模式必须工作在缓存关闭的情况下，缓存开启后，透明模式设置被屏蔽。开启透明模式：包的源地址全部(大部分)为内网IP。关闭透明模式：包的源地址全部(大部分)为ICG的IP地址。◆流量统计：开启：对于ICG支持的应用(参考附录)和自定义应用，进行流量统计。关闭：不进行流量统计。◆缓存配置：数据的缓存功能可以把一些在相对一段时间内不发生改变的页面放在缓存中，当某个页面被存储后，后续在某个时段内访问该站点，系统就不必要访问远程的服务器，而直接从缓存中获得数据。缓存有效地节省网络带宽，使网络更有效地被利用。开启缓存：直接从缓存中获取需要的数据。关闭缓存：每次访问远程服务器获取需要的数据。清除缓存：清除缓存中保存的数据。◆DHCP配置：开启DHCP服务：DHCP服务提供动态IP分配的功能。关闭DHCP服务：不使用DHCP服务动态分配IP。高级配置：在配置DHCP时，可以进行详细配置。◆Bypass配置（只能通过管理口设置）：启用硬件Bypass：启用硬件Bypass，可以手动进行Bypass或触发自动Bypass禁用硬件Bypass：不使用硬件Bypass功能重启后Bypass:OFF：重新启动NS-ICG后，不启用硬件Bypass重启后Bypass:ON：重新启动NS-ICG后，启用硬件Bypass系统管理－系统配置-基本设置-系统参数•代理设置•意义：配置HTTP代理，使得NS-ICG通过第三方代理访问互联网。1．开启BASIC认证后，在用户管理界面的BASIC认证将自动开启。2．开启ISANTLM认证后，在用户管理界面的NTLM认证将自动开启。3.启用代理后，缓存配置不能起作用。4.启用代理后，Bypass功能不能起作用。系统管理－系统配置-基本设置-代理设置•管理接口系统管理－系统配置-基本设置-管理接口启用管理口：设定是否启用管理接口功能。IP地址：设定管理接口的IP地址，根据实际情况设定。子网掩码：根据实际情况设定，如255.255.255.0。选择接口：选择作为管理接口的网卡，如配置了多块网卡，则可能有eth2、eth3等选项，请根据实际情况设定。访问限制：不限制：此时通过管理接口、外接口和内接口等都可访问NS-ICG。只允许管理接口访问本机：此时只允许从管理接口访问NS-ICG。注意：配置管理接口的IP地址时，请不要分配与网桥、网关同一网段的IP。意义：配置管理接口的IP地址可以方便管理。系统管理讲解•系统管理－－日志管理操作日志：此功能为网康技术支持人员所用，主要用于跟踪系统运行状态、查看策略变更情况、查看系统的操作行为等。用户防护日志：进入用户防护报警页面，点击上部的日期，能够看到该日所有匹配用户防护规则的事件，表中详细列出了发生异常的时间、用户IP、匹配规则和超出阀值数量。系统监控日志：点击上部的日期，能够看到该日所有超过系统监控规则阀值的匹配事件，表中详细列出了发生异常的时间和匹配规则。Web记录日志：每天的Web记录数超过该机型设定的Web记录条数上限值将产生报警；间隔时间段内访问Web的请求速率过快将产生报警。Arp报警日志：点击上部的日期，能够看到当日可能进行ARP攻击的IP地址列表。列表按照时间倒序列出，记录了每个IP地址在报警间隔时间内MAC地址的变换次数，点击其他日期，则可以看到该日期的ARP报警列表。系统服务日志：系统会进行网络情况、引擎情况、系统负载等服务的检测，并返回报警信息：超出阀值日志：选中用户防护规则页面的“记录超出阀值的数据包信息”选项，并且匹配了用户防护规则，超出阀值的数据包信息会在本功能中以日志的方式呈现出来，方便及时找到原因。网络状态监控：如果开启了策略中的防护功能，系统将持续记录网络状态的四个参数，分别是IP个数、连接个数、包速率和上传速率。用户防护指标：在开启防护报警后，勾选“获取用户防护指标”选项，点击确定，并点击页面右上方的“立刻生效”链接，此时系统开始记录相关的指标信息。ICG界面的四大功能模块•系统管理•用户管理•策略管理•系统监控•查询统计•系统管理主要功能：针对ICG产品进行自身的配置和系统信息，日志信息的显示，以及数据备份和开关机。•用户管理主要功能：针对ICG产品进行用户的导入，管理，绑定，并可进行身份的验证。•策略管理主要功能：针对ICG产品进行策略，对象的设置，并且提供黑白名单等特殊策略。设置策略后可以使ICG进行相关工作。•系统监控主要功能：针对ICG产品进行的工作进行实时监控，查询。•查询统计主要功能：查询（历史纪录），统计（基于多种方案统计数据）。用户管理讲解•用户管理－－数据导入---IP•IP导入用户的目的•IP导入方法：输入起始，终止IP地址后的自动扫描，开机设备复选框的作用（不选择开机设备复选框则ICG不进行动态发现，是可以导入非ICG所在网段的用户，如果选择开机设备复选框则只能导入ICG所在网段的设备）。•IP导入方法：从文件导入（文本文件，IPMAC在一个文件中，用空格隔开即可）•本种方式仅在用户是固定IP地址的时候使用，因为DHCP方式下IP地址将无法确认人员的身份•导入完毕后可勾选填充用户名复选框可以直接将IP地址作为这个用户的用户名。(因为用户必须有用户名，默认IP方式导入的用户是没有用户名的)•导入完毕后选择保存即可（保存时可以根据需要选择保存的内容IP、MAC、IP/MAC）用户管理讲解•用户管理－－数据导入---LDAP－－服务器配置•LDAP简介（轻量级目录协议），该协议主要是进行用户信息，组织关系的管理。微软系统，UNIX系统都可以使用该协议存储网络内的用户组织信息。•为了不让用户重复在ICG上建立自己的用户组织信息，因此ICG提供LDAP方式的用户导入。•服务器配置：服务器地址（域控），LDAP端口，导入入口介绍（根据帮助来讲，组织从最小的开始录入，而后是上级的组织，组织输入完毕开始输入域名，从最小域名开始输入，而后是高级域名），用户（BindDN用户名@域名），口令，更新时是否保留已有用户。•保存并测试。用户管理讲解•用户管理－－数据导入---LDAP－－更新数据•如果管理员更新了LDAP数据，ICG不会自动知道，因此可以通过这种方式进行LDAP的数据更新。用户管理讲解•用户管理－－数据导入---LDAP－－重新导入•如果导入的信息有问题可以使用该方式重新全部导入用户管理讲解•用户管理－－数据导入---LDAP－－自动更新配置•如果管理员更新了LDAP数据，ICG不会自动知道，为了能够让ICG和LDAP服务器同步，可以开启“启用自动更新”复选框，然后设置每天的固定时间更新。每天只能一次自动更新，如果需要立刻更新需要手动用户管理讲