第一篇:网康上网行为管理ICG在不同网络环境下的部署
ICG在不同网络环境下的部署指导
部署前的准备:
ICG出厂IP地址为192.168.1.23,在IE里输入HTTPS://192.168.1.23进入配置页面,账号和密码都是ns25000。如果不清楚ICG的ip地址,可以通过串口进入ICG的后台,用户是icgadmin,密码是netentsec。在这里可以用icg_status查看ICG目前的配置。并可以通过icg_if_cfg来修改端口和通过icg_ip_cfg来修改ip配置。把ICG的IP地址改成用户自己的网段的IP,再通过IE进入WEB界面。
具体的网络环境:
1、ICG和所有用户在单一2层网段,用户出口设备为路由器/防火墙,拓扑图如下:
配置思路:
ICG的桥接口地址设成内网网段地址,网关设成路由器的内接口地址,和内网PC的网关一样。(ICG要配置DNS服务器地址,内网PC也要配)具体配置:
A:【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】
B.选NS-ICG网桥模式:
IP地址:设为路由器与2层交换机之间可用的地址,比如192.168.196.2。
IP掩码:根据实际情况设置,如255.255.255.0。
缺省网关:设为防火墙/路由器的内部IP地址,IP掩码根据企业实际网络环
境设置。
2.用户为2层网络,但是在同一个广播域中有多个子网,ICG要配置多IP方式实现。拓扑图如下:
配置思路:
此种网络环境较为特殊,内网有多个网段,但没有划分VLAN,而是通过在路由器的内接口设置多个辅助IP地址实现(secondary),因此ICG上也要配置多个IP地址。具体配置:
A: 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】:
B.选NS-ICG网桥模式:
IP地址:任何一个网段的可用地址,如 10.1.1.2。
IP掩码:根据实际情况设置,如255.255.255.0。
缺省网关:ip地址所在的网段的网关。C:【系统管理】—〉【网络配置】—〉【多IP配置】:
3、用户为2层网络,但是用户的网络中有Trunk链路,ICG放置在Trunk链路中(用户的网络中没有VLAN1)。网络拓扑图如下:
注:我们ICG百兆口不支持Trunk,千兆口支持Trunk。所以NS151无法设置Trunk,NS250、NS550的两个千兆口才可以设置Trunk,其它两个百兆口无法设置Trunk。配置思路:
ICG要启动Trunk。ICG的桥接口地址应设为VLAN 1 网段内的地址,如用户环境没有VLAN 1,则随意设置一个,但是不能与其他现有VLAN网段冲突。具体配置:
A: 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】:
B.选NS-ICG网桥模式:
IP地址:VLAN 1内的地址,如 11.11.11.1。
IP掩码:根据实际情况设置,如255.255.255.0。
缺省网关:实际某VLAN的网关。
网口状态显示:显示网口连接状态:
C:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【Trunk配置】:
4、用户的网络中有3层交换设备,ICG放置在3层交换设备和出口路由器之间。拓扑图如下:
具体配置:
A: 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】:
B.选NS-ICG网桥模式:
IP地址:任何一个网段的可用地址,如 192,168.196.2。
IP掩码:根据实际情况设置,如255.255.255.0。
缺省网关:ip地址所在的网段的网关。
网口状态显示:显示网口连接状态:
C:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】:
5、用户的网络中有3层设备,ICG放置在3层交换机和出口路由器之间,但是3层交换机和路由器之间的链路的掩码是30位掩码。网络拓扑图如下:
具体配置:
A:在ICG后台通过icg_arp命令绑定路由器内网口和交换机外网口的ARP:
B:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】:
C:【系统管理】—〉【系统配置】—〉【管理口设置】:
D:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】:
第二篇:国家核电部署网康上网行为管理典型案例
国家核电部署网康上网行为管理典型案例
国家核电技术公司是由中央管理的国有重要骨干企业;是经国务院批准,由国务院和中国核工业集团公司、中国电力投资集团公司、中国广东核电集团有限公司、中国技术进出口总公司等四家大型国有企业共同出资组建的有限责任公司;是经国务院授权,代表国家对外签约,受让第三代先进核电技术,实施相关工程设计和项目管理,通过消化吸收再创新形成中国核电技术品牌的主体。国家核电技术公司采用网康设备实现对全集团的上网行为管理。
用户面临的问题与挑战
国家核电公司采用中央集权式统一管理模式进行互联网管理,总部具有全网统一规划,统一建设、统一管理的决策权,同时集团的上网制度也是自上而下垂直推送并严格贯彻。在这种管理模式下,区域的设备运维管理、上网制度的实施由总部强制执行,区域仅具备少量管理权限,并不得与总部的管理发生冲突,国家核电公司急需一套互联网管理的整体解决方案。
网康科技解决方案
网康科技为国家核电公司总部及下属十多个单位各提供一台上网行为管理设备,部署在网络出口处,可有效监控、审计、管理各分支机构的互联网访问行为。同时,在总部部署一台集中管理平台,提供全网的集中管理功能,实现国家核电公司整体上网行为管理统一体系的建立。体系如下:
总部制定集团全局性策略,由集中管理平台统一下发,策略具备最高优先级
1、总部回收各分公司的设备管理超级用户权限,只给分公司分配功能有限的管理员权限。
2、区域管理员在权限范围内可制定区域管理策略,其优先级低于全局策略,并被全局策略覆盖。
3、总部对各分公司的设备运行状态,区域策略的发布,网络使用状况随时监控,并随时调整管理策略。
网康的NSICG可以实现详细的上网行为管理功能
1、阻塞或限制p2p等非业务数据的使用,保证关键业务的畅通。
2、阻塞高风险网站的访问,在网络出口处规避病毒侵入,杜绝法律风险事件发生。
3、全面审计内网外发的信息,包括邮件、聊天、论坛、搜索引擎、ftp、telnet等,杜绝信息泄密。
4、审计内网用户的互联网使用行为,利于网络管理、IT定位。
用户效果
1、通过集中管理方案,总部实现了垂直管理思路的完美贯彻,从技术角度保证了管理制度的落实,实现了策略的集中下发、日志的集中统计、多级的权限管理、网络状态的实时监控等功能。
2、有针对性的策略设置,对上班时间的各种下载软件做流量控制,可有效实现带宽的精细化管理,保障主要业务的运行。
3、合理阻塞高风险类网站,通过技术手段减少大家感染木马、病毒的机率,使内网用户访问合法化。
4、全面记录各种外发信息,并基于各种条件进行外发信息的过滤,使信息安全管理等级提高了一大步。
5、上班时间强效阻塞各种娱乐游戏网站,减少员工游戏时间,提高工作效率,真正做到网络为我所用。
6、记录员工的所有上网行为,为后续的各种查询提供技术证据,利于IT定位,利于网络状况分析。
网络拓扑图
国家核电技术公司总部及以下9个分支机构部署了11台网康设备,并实现后续全国单一来源采购
国家核电技术公司
国核电站运行服务技术公司
国核自仪系统工程公司
山东电力工程咨询院有限公司
国核工程有限公司
山东核电设备制造有限公司
国核宝钛镐业股份公司
国核电力规划设计研究院
国核维科锆鉿有限公司
国核研发中心信息网络系统
第三篇:企业网络管理如何监控管理上网行为
企业网络管理如何监控管理上网行为
企业需要通过上网行为管理系统对企业内部员工的上网行为进行控制,引导规范内部员工合理有效地使用网络,避免网络资源的浪费,增强网络的安全性稳定性。这就是现在企业网络管理的目的所在。
上网下载,下载电影、软件,或者在线音乐、在线视频等,严重占用网络带宽,网络堵塞。
员工访问了不明网站,病毒、蠕虫、木马、恶意代码及间谍软件等就会通过网页、Email、聊天工具、下载软件等方式,侵入到内网的各个角落,严重影响了网络的正常使用。
互联网丰富的内容总是在分散员工注意力,炒股、聊天、购物、游戏等,无关的视频、语音、文档的上传和下载,必然带来严重的生产力悄悄地流失,导致企业整体工作效率下降。
通过MSN传文件、邮件、论坛、博客等导致内部机密信息泄漏的事件越来越普遍,企业的机密信息很可能会被在职甚至离职员工有意或无意地泄露出去,威胁到企业的生存。
使用BT、电驴、迅雷、网际快车、超级旋风等P2P下载软件和PPlive、UUsee、PPstream、迅雷看看等P2P视频软件。使得局域网网络资源被消耗殆尽,导致企业正常的网络应用无法进行,严重干扰了公司的经营活动。
局域网客户端某些电脑经常修改自己的IP地址,以此获取更高的上网权限,获取对公司关键商业机密的访问,使得企业的商业机密面临巨大的风险;同时,修改IP地址,经常导致局域网出现IP地址冲突,导致局域网电脑掉线现象,严重影响了局域网的稳定和畅通。
小草上网行为管理软件是针对中国中小型企事业单位上网行为管理的共性需求。企业网管可以利用小草软路由限制局域网P2P下载和P2P视频软件、限制在线视频、限制在线游戏、阻断聊天软件、进行IP和MAC地址绑定,禁止修改IP地址等行为。
小草上网行为管理软路由的功能强大,是企业局域网监控管理的、上网行为管理、流量控制的最佳选。
第四篇:企业网络管理 限制员工上网行为
企业网络管理限制员工上网行为
随着上网行为在工作中的普及,给企业管理带来一个大的问题:在电脑办公和互联网络带来的速度和效率的同时,员工非工作上网现象越来越突出,企网络滥用严重,甚至为企业带来不小的损失。
小草上网行为管理软路由认为很多员工会在办公时间内浏览与工作无关的网站,如娱乐、新闻、IM、游戏、P2P等。有部分员工并不喜欢上网聊天,对网络游戏毫无兴趣等,但是他们还是有“沉溺网络”的问题――这可能是这些员工已在心理上形成对“网络过分依赖”,或是求知上进欲强烈,利用网络寻找一切,或是主要精力用在工作,在人际交往时遇阻碍与困惑想在网络上寻找答案,或是有独处倾向,与“网”为友。这些“网痴”将网络世界当成现实生活,易出现孤独不安、情绪低落、思维迟钝、创造性降低等症状,严重的甚至有自杀意念,这些都是值得企业关注的问题。
员工非工作上网行为、对网络的滥用会给企业带来成本的增加、效益的流失,甚至引来灾难性的后果,造成公司管理效率的下降、订单流失、意外事件的发生,以及对公司团队精神造成的不良影响,如纪律松散、组织效率低下、文化萧条等。影响到整个企业的运营,也可能随之给企业带来严重信息安全隐患,受到病毒、黑客攻击,导致整个企业内部网络瘫痪,甚至导致文件、机密的损坏、丢失和泄露;如果员工在网站发布对企业和领导不利或反动的言论,也有可能把企业拖入法律困境。这些将使企业面临预想不到的重大经济损失和法律风险。
对于现代企业而言,网络无疑是一把棘手的双刃剑。如何改变员工沉迷网络、滥用网络的难题,如何对员工上网行为进行有效的管理和控制,使员工上网行为朝着有利于企业大方向发展?
设置专门上网的电脑对于大部分员工工作不需要上网的企业来说,企业可以人性化管理为本,设置若干可以上网的公共电脑,以给有时有要事急需上网的员工使用,同时限定时间。这些电脑应装有防病毒软件,保护整个局域网安全。员工在上网时,最好有网络管理员在旁边监督。
合理安排上网时间企业可制定网络使用作息时间,将上网时段分为上班和下班两个时段,将资源在部分时间开放。在上班时间内,根据不同的部门只开放工作允许的网络资源,在企业关键的网络业务高峰时段,则限制部分员工上网或禁止使用某些网络;下班时间内,给员工1~2小时上网时间,让员工在紧张的工作之余舒缓、调解一下紧绷的神经,保持员工活力。这就需要用到专业的企业网络管理软件,例如国内最优秀的小草上网行为管理软路由能够帮助企业实现上网行为管理、流量控制管理等,有效的限制员工的上网行为,提高工作效率,建立良好的工作上网行为习惯。
第五篇:网络应用安全及上网行为管理规定
网络应用安全及上网行为
管理规定
为确保公司网络和数据的安全,规范上网行为管理,提高工作效率,特制订本规定。
第一条
网络安全管理规则
(一)通过网关设备及对网络安全管理系统进行设置、管理,最大限度抵御外来黑客、木马和病毒对公司网络的攻击和破坏。
(二)对公司内部局域网VLAN按部门及使用需要进行网络使用权限的差异化分配,对重点部门如财务部、金融部进行隔离,以保证网络和数据安全。
(三)通过安装EAD管理系统软件,设置部门和个人对应用软件使用的不同安全权限,规范各部门和个人的上网行为。
第二条
局域网VLAN划分及安全设置
(一)部门划分
公司局域网按现行组织架构以集团领导(包括董事长、董事、集团办)、公司总经理、金融部、财务部、行政部、资产运营部进行划分。
(二)VLAN安全设置
1、网络管理员的台式机连通主服务器、文件服务器、各个层级交换 1 机、网关设备;
2、各个部门和个人可以连通各自需要使用的文件服务器、打印机、复印机;
3、各个部门互不相通,不能互相访问;
4、局域网内部不限速。第三条
上网行为权限设置
(一)基本设置
1、所有非授权用户不允许访问局域网所有资源;
2、授权用户按各自具体权限指派有权访问范围;
3、公司总经理为公司网络管理最高权限管理者,网络管理员根据公司规定对各网络端口(用户)进行权限设置和管理;
4、公司将屏蔽证券网站(金融部除外)、视频网站、游戏网站、娱乐网站等与工作无关的网站,限制使用和下载聊天软件(授权用户除外)、证券软件、P2P下载软件(如迅雷、QQ旋风、BT、eMule等)等网络软件和工具;
5、公司将保留对企业网站、企业邮局(IE浏览、POP3端口)、搜索引擎(谷歌、百度、搜搜等)及新浪、搜狐、雅虎等部分门户网站的访问和浏览。
(二)用户权限设置
1、公司总经理:
为公司最高权限行政管理,有权访问网关设备、查阅浏览EAD系统后台所有记录。
2、公司网络管理员:
有权访问网关、交换机、服务器等各级网络设备并进行设置;有权登录客户端以便进行维护管理;通过EAD系统有权远程安装卸载各个客户端使用软件;因工作需要有权安装相应的工作软件和工具。
3、金融部
保留金融部各用户端口对证劵网站及相关财经网站的访问权限; 金融部经理根据需要可以安装部分沟通聊天软件与相关人员进行工作交流。
4、财务部
财务部服务器加装升级版防病毒和防火墙软件,不连接internet网,以保证数据安全。
允许财务部各端口对相关财税网站、银行网站等的访问。
5、公司其它部门
保留因工作需要所需工作软件。
6、工程部 不链接互联网。
7、各部门及各位员工因工作需要超权限安装软件和工具,须提前申请,并经部门和公司总经理审批后,由网络管理员进行安装调试。
第四条
上网行为审计
公司网关设备会自动对上网行为进行记录和审计,审计内容包括以下方面:
(一)用户业务流量审计;
(二)上网记录审计;
(三)WEB应用类型审计;
(四)WEB传输审计(文件下载);
(五)WEB搜索审计;
(六)FTP应用审计;
(七)Email出、入审计(非企业邮局仅限pop协议);
(八)Telnet审计;
(九)即时通信审计;
(十)网络游戏审计;
(十一)多媒体应用审计;
(十二)P2P下载应用审计;
(十三)论坛应用审计;
(十四)股票软件审计;
(十五)打印应用审计;(十六)U盘使用审计。
第五条 公司对员工上网行为的管理
(一)公司有权根据工作需要随时调整任一部门或员工的上网访问权限和软件工具使用权限;
(二)公司员工上网行为的审计记录保存70天;
(三)公司总经理有权查询、审阅任一员工的上网行为审计记录;
(四)其他人员因工作需要,必须要查询他人或自己的上网行为审计记录的,应当向公司总经理提出申请,经批准后方可进行;
(五)可能知晓他人上网行为审计记录的人员,应本着尊重他人隐私的原则,不得通过任何渠道扩散、传递、分发涉及个人隐私的审计记录;
(六)上网行为的审计记录可以作为公司员工工作绩效情况的考评依据;
(七)员工的上网行为有重大疏失、泄露公司重要机密,或者给公司造成其他损失的,公司有权根据相关规定予以惩处;
(八)员工应加强自我约束,为避免个人隐私被EAD系统所记录,应尽量避免在工作场所从事私人事务。
第六条 本规定自下发之日起施行。
点击咨询 