网康科技·集中管理平台

 

Central Management Platform

Version 1.3

用户手册

北京网康科技有限公司]

 

2011年01月

关于本手册

版权声明

北京网康科技有限公司©2009版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京网康科技有限公司（以下简称网康科技）所有，受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

信息更新

本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。

免责条款

根据适用法律的许可范围，网康科技按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，网康科技都不会对最终用户或任何第三方因根据说明文档使用CMP造成的任何直接或间接损失或损坏负责，即使网康科技明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。

阅读对象

本文的读者对象为企业IT决策人员、网康集中管理平台的使用用户、网康科技的合作伙伴。

术语说明

n NS-ICG: 网康科技•互联网控制网关（Internet Control Gateway）的英文缩写。代指网康科技提供的互联网控制网关产品。

n NS-CMP: 网康科技•集中管理平台（Central Management Platform）的英文缩写。代指网康科技提供的集中管理平台。

n Post：HTTP协议提供的一种方法，经常用于在网页中提交表单数据。

目  录

关于本手册 2

目  录 3

第一部分：产品简介 6

1. 关于网康 7

2. 产品概述 8

2.1 产品简介 8

2.2 产品特性 8

2.3 功能介绍 9

3. 安装指南 11

3.1 产品形态 11

3.2 软件配置要求 11

3.3 软件安装指南 11

3.4 申请软件许可 13

3.5 集中管理图标 15

4. 登录与退出 17

4.1 登录步骤 17

4.2 退出步骤 17

4.3 找回密码 18

第二部分：产品使用 19

5. 设备管理 20

5.1 设备监控 20

5.1.1 定位并选中当前操作对象 20

5.1.2 根名称编辑 21

5.1.3 添加组 22

5.1.4 组信息维护 23

5.1.5 添加设备 23

5.1.6 设备信息维护 26

5.1.7 设备导出 26

5.1.8 阀值设定 27

5.2 设备导入 28

6. 策略管理 31

6.1 对象设置 33

6.1.1 时间对象设置 33

6.1.2 网站分类对象 34

6.1.3 自定义网站分类 36

6.1.4 网址匹配对象 38

6.1.5 文件类型对象 39

6.1.6 带宽通道对象 40

6.1.7 用户自定义协议 42

6.2 策略设置 45

6.2.1 应用控制策略 46

6.2.2 时长限额策略 47

6.2.3 流量控制策略 48

6.2.4 网页控制策略 50

6.2.4.1 网页浏览策略 50

6.2.4.2 网页搜索策略 53

6.2.4.3 HTTP文件审计策略 56

6.2.5 其他策略 57

6.2.5.1 外发邮件审计 57

6.2.5.2 接收邮件审计 59

6.2.5.3 QQ审计 60

6.2.5.4 MSN审计 62

6.2.5.5 YAHOO通审计 64

6.2.5.6 FTP审计 64

6.2.5.7 TELNET审计 65

6.2.5.8 HTTPS审计 66

6.2.5.9 发帖审计 69

6.2.6 策略下发 70

6.2.7 策略分布 72

6.2.8 策略报告 75

6.3 远程管理 76

6.4 关于立即生效 77

7. 查询 78

8. 报告分析 81

8.1 报告条件 81

8.2 报告结果 82

9. 系统管理 85

9.1 系统状态 85

9.2 权限配置 86

9.3 网络配置 89

9.3.1 网络基本配置 89

9.3.2 网络高级配置 90

9.3.2.1 路由配置 90

9.3.2.2 多IP配置 91

9.3.2.3 VPN配置 91

9.4 产品授权信息 93

9.5 URL库更新 93

9.6 协议库更新 94

9.7 系统时间 95

9.8 邮件服务器 96

9.9 网络工具 97

9.10 操作日志 99

9.11 报警日志 100

10. 软件升级 103

10.1 关于软件升级说明 103

10.2 软件在线升级 103

第三部分：附录 107

附录1. URL数据库分类表 107

附录2. 正则表达式 108

附录3. MIME与文件类型对照表 111

 

第一部分：产品简介

本部分包含：

n 关于网康

n 产品概述

n 安装指南

n 登录与退出

1. 关于网康

网康科技有限公司（NetentSec,Inc.）成立于2004年，专注于研发、生产和销售互联网控制网关等系列产品及相关服务，拥有全部自主知识产权，是世界最具技术创新和服务精神的企业之一。目前，网康科技已成为中国上网行为管理行业的************。

随着用户对互联网的深入应用，经由内部访问互联网导致的带宽滥用、效率下降、法律风险、安全隐患等问题日益凸显。凭借网康互联网控制网关系列产品，用户可以指定灵活、有效的管理控制策略，针对网页访问过滤、网络应用控制、带宽流量管理、内容审计等进行精细化管理，有效解决因接入互联网而可能引发的各种问题，优化对互联网资源的应用。

网康科技凭借“人性化设计、简单易用；精细灵活的策略管理；全球******的中文网页数据库；国内******的网络应用协议数据库；强大的查询统计与分析报告；灵活的部署方式；稳定可靠的软硬件平台”等产品技术优势，以及专业的服务能力获得了客户的广泛认可。目前网康已成为“中国企业信息化500强指定上网行为管理设备提供商”；是中国唯一一家进军日本市场的互联网控制管理厂商；是中国信息安全领域“用户最值得信赖的******品牌”。“网康互联网控制网关”产品更是被多家媒体评选为******上网行为管理产品，获得“编辑选择奖”。

网康科技有限公司总部位于北京，拥有中、日、英三种语言版本产品，在日本、美国等国家设置了分公司和代理处，在中国建立了以京津冀、华北、华东、华南、华中、东北、西北、西南等八大平台为依托，遍布全国的代理商体系以及销售与服务网络，为全国用户提供专业、快捷的服务。

联系方式

北京网康科技有限公司

电话：010-62670909 传真：010-62670958

地址：北京市海淀区中关村东路66号，世纪科贸大厦A座3层

邮编：100190  网址：www.netentsec.com  

电子信箱：marketing@netentsec.com （市场部），service@netentsec.com （服务部）

网康科技(美国)

1111 Corporate Center Dr., #103

Monterey Park, CA 91754, U.S.A.

Tel: (213) 305-9674

Fax :( 323) 267-1850

2. 产品概述

2.1 产品简介

对于分布式部署多台上网行为管理产品的集团用户，集中管理平台可以帮助管理员随时了解各分支机构的设备运行状态，统一制定、下发上网行为管理的策略，并定期收集各分支机构用户上网行为日志。集中管理使管理员能够统揽全局，统一设置策略，大大提高了管理效率。

2.2 产品特性

n 【操作简单、运行稳定】

Ø 软硬件皆可，易于安装和管理

Ø 部署方便，只需要接入网络即可管理多台NS-ICG设备

Ø 专用的核心操作系统，更安全，更稳定

Ø 产品国际化，支持『中文/英文/日文』

Ø 基于Web的操作界面，轻松使用，轻松管理

n 【管理全面、控制准确、更新及时】

Ø 全球******的中文网页数据库，拥有40多个中文URL预分类库，超过1200万条URL；

Ø 国内******的网络应用协议数据库，拥有超过150种流行应用协议分析特征库；

Ø 提供实时、快捷的URL/协议数据库和软件更新，本地化的快速响应服务，立即满足客户需求

Ø 提供实时的全局和细化监控功能，随时快速地监控和查询被管控设备的各种活动和状态

Ø 灵活的策略下发管理，可以群发策略，可以针对每个设备单独配置策略

n 【监控直观、统计方便】

Ø 分门别类的在线活动记录，清晰、直观的日志跟踪

Ø 国际流行的递进式(Drill-down)记录查询、报表一体化功能

Ø 内置预定义(Pre-defined)报告排名模板，一键式统计报告生成

Ø 图形化的查询统计报告界面，支持预定义查询统计条件，支持多种查询方式

2.3 功能介绍

l 设备管理-实时了解远程设备运行状况

n 设备管理

Ø 支持基于地区、职能分类的设备组定义；

Ø 支持自定义设备信息，调整设备分组；

Ø 支持自动获取远程设备的主要运行状态信息；

n 设备信息的导入导出

Ø 支持将设备信息以CSV文件格式导出；

Ø 支持导入自定义设备信息，方便导入批量设备；

n 报警阀值设定

Ø 支持对设备的运行状态设置报警阀值，及时发现设备故障；

l 策略管理- 集中制定策略并下发至被控设备端，方便统一管理

n 策略设置

Ø 支持集中制定策略，策略包括应用控制策略、流量控制策略、网页控制策略、即时通讯策略、邮件审计策略、发帖审计策略、FTP审计、TELNET审计和HTTPS审计策略等；

n 策略下发

Ø 支持将集中制定的多条策略同时下发到多台被控设备端；

Ø 支持对下发策略在被控设备端的优先级设定；

Ø 支持对已下发的策略的查询、状态维护、版本维护、立即生效等功能；

Ø 支持对已下发策略的回收功能；

n 远程管理

Ø 支持无需进行登陆，即可远程管理被控设备端的策略内容；

l 互联网活动审计-自定义过滤条件，查询选定设备端一定时期内网络使用状况并生成各种报告，便于统计分析，为制定管理策略提供可靠依据

n 查询管理

Ø 支持对被控设备端的网络应用流量、网站访问、邮件收发、在线聊天、论坛发帖的历史记录查询和结果显示；

Ø 支持基于自定义过滤条件的查询结果的显示；

Ø 支持对查询结果的数据保存和邮件发送；

Ø 支持查看邮件内容、邮件附件、发帖正文、聊天记录等信息；

n 报告分析

Ø 支持生成选定时间段内，选定被控设备端的综合性上网报告；

Ø 支持预定义(Pre-defined)统计排名模版，一键式统计报告生成；

Ø 支持多种方式的统计报表生成，如饼状图、柱状图、表格图等

l 系统管理

n 支持Web/Console方式的安全操作界面

n 支持差异化的系统操作权限设置

n 系统授权信息管理功能

n 系统数据管理功能

Ø 系统时间、邮件服务器参数的设置

Ø 支持URL数据库、应用协议数据库更新

n 支持负载、系统日志、报警日志显示；

3. 安装指南

3.1 产品形态

网康ICG集中管理平台的核心功能是集中管理，不提供ICG的控制与审计功能。因此，在企业总部不能用集中管理平台代替ICG进行上网行为管理。

网康ICG集中管理平台不是一个网关设备，其部署位置没有特殊要求，只要能路由到互联网，或者通过专线、VPN路由到分支机构的设备即可。

集中管理平台分为软件与硬件2种形态，购买软件形态时，用户需提供推荐配置的硬件服务器，硬件形态指网康提供的软硬件一体化设备。

本安装指南仅针对软件形态进行描述。

3.2 软件配置要求

Ø 软件环境：建议Windows 2003操作系统，SP2；

Ø 硬件环境：建议使用双核处理器、2G以上内存，安装集中管理的硬盘分区推荐20G以上空间；

3.3 软件安装指南

功能名称：软件安装指南

功能描述：安装集中管理平台的详细方法

功能启动步骤：网康公司提供的安装光盘

详细操作过程：

第1步：在选定的已经安装了Windows设备上运行光盘，双击打开“nscmp.exe”文件，运行安装程序。如果您同时使用了卡巴斯基软件，该软件将提示是否允许安装该软件，请允许。XP系统中会提示“您想保持阻止此程序吗？”，请选择“解除阻止”。

图 31运行安装程序

第2步：点击“下一步”按钮，进入下图：

图 32 选择安装目录

第3步：点击“浏览”按钮，选择安装路径。注意：软件安装路径中请不要包含中文字符。点击“下一步”按钮，直至出现如下图所示窗口：

图 33 安装完成

点击“完成”按钮，软件安装结束。

第4步：系统安装完毕后，集中管理平台的默认IP地址是“192.168.1.23”。请首先给Windows端添加一个该段的IP地址后，在IE浏览器中输入“https://192.168.1.23”，打开集中管理平台登录界面。详细登录方法请参考“4.登录与退出”。登录后，点击“系统管理”→“网络配置”，修改IP地址，详细修改方法请参考“9.3.1 网络基本配置”章节。

第5步：修改完IP地址后，请在浏览器中按照“https://新IP地址”，进行登录。

3.4 申请软件许可

功能名称：申请软件许可

功能描述：申请软件许可。集中管理平台是网康公司产品，没有网康公司授权的软件许可，就无法使用集中管理平台的主要功能。

功能启动步骤：【系统管理】→【产品授权信息】

详细操作过程：

第1步：进入如下界面：

图 34 产品授权信息

第2步：点击“获取硬件信息”按钮，将生成的硬件信息文件保存，并发送给网康接口人员，作为制作产品授权的依据。

第3步：将收到的产品授权信息通过方式一浏览并上传或方式二直接粘贴后，点击“立即更新”按钮，完成授权。完成授权后画面如下图所示：

图 35更新后的产品授权信息

如上图所示，当前授权信息中说明了该NS-CMP的授权信息，包括授权有效期限和可管理设备数量。

提示：

1．在进行授权更新的过程中，请保证NS-CMP连接到互联网中。我们需要在互联网服务器中进行授权的验证工作，否则无法进行更新授权工作。

2．请务必保证上传授权的真实性。不要进行私自修改,一切改动都会导致认证失败。

3．当新的证书认证成功后，系统会自动保留失效时间较晚的一个授权

3.5 集中管理图标

功能名称：集中管理图标

功能描述：集中管理平台安装结束后，在系统中增加了相应的图标。此处详细说明。

功能启动步骤：桌面右下角和开始菜单

详细操作过程：

一．集中管理平台安装结束后，在windows桌面的右下角出现如下图所示“状态监控”图标： 

图 36 桌面右下角图标

状态监控图标提示用户当前集中管理平台的运行状态。该图标有两种颜色：

Ø 绿色：集中管理平台正常运行；

Ø 红色：集中管理平台未运行。

右键单击状态监控图标，出现如下图所示提示窗口：

图 37系统监控图标功能

Ø 启动集中管理平台：启动集中管理平台；

Ø 停止集中管理平台：停止集中管理平台；

Ø 退出：关闭系统监控图标。

二．点击“开始”→“程序”，增加了“网康ICG集中管理平台”选项，如下图所示：

图 38程序菜单

Ø 启动：启动集中管理平台；

Ø 停止：停止集中管理平台

Ø 状态监控；在右下角开启集中管理平台状态监控图标，对集中管理平台的运行状态一目了然。

4. 登录与退出

4.1 登录步骤

安装完毕NS-CMP后，在IE浏览器的地址栏输入 https: //NS-CMP的IP地址（例如：https://192.168.1.23）后，进入登录界面，如右图所示。输入正确的用户名和密码后，点击“登录”按钮即可进入管理界面。系统默认的管理员账号是ns25000，密码是： ns25000。

图 41 登录界面

提示：1.登录成功后请及时修改管理员的密码。

      2.及时配置邮件服务器，设置正确的邮箱地址及便在忘记密码时找回密码。

3.如果累积五次输入用户名和密码错误，该 IP的用户15分钟内将不允许登录NS-CMP。

4.2 退出步骤

在NS-CMP提供的Web方式的管理界面中的最右上角，提供了

“退出”图标，点击并确认后即可成功退出系统，如图4-2右部

的按钮所示。

提示：退出Web管理界面时建议点击“退出”按钮进行正常退出。

4.3 找回密码

如果忘记密码，请点击登录页面上的“忘记密码”链接，如图4-1所示，这时将会出现重置密码页面，如下图4-3所示。

输入您在注册该用户时设定的用户名及邮箱地址，并点击“提交”按钮后，系统将把该用户的密码发送到设定的Email邮箱中。

图 43 设置找回密码邮箱

提示：请提前配置正确的邮件服务器，否则将无法接收到找回密码邮件。 

第二部分：产品使用

本部分包含：

n 设备管理

n 策略管理

n 查询

n 报告分析

n 系统管理

n 软件升级

5. 设备管理

集中管理平台，主要功能是远程管理下级的NS-ICG设备，集中管理平台中，NS-ICG设备是最基本的元素，是被管理的主体。设备信息应该保证其唯一性，这是NS-CMP实现远程管理的基础，同时，完整和准确的设备信息是保证NS-CMP进行有效管理的关键。

设备管理模块包括主要包括以下功能：设备监控（包括设备信息维护、设备监控和设备信息导出）、设备导入。

5.1 设备监控

通过NS-CMP提供的Web管理界面，可以输入、维护设备和设备组的信息。在建立连接后，可以手动或者自动获取设备的状态信息，并且设置一些状态的告警阀值。并且可以将设备信息导出到Excel中以供查阅。

5.1.1 定位并选中当前操作对象

功能名称：定位并选中当前要操作的用户或组

功能描述：在针对设备和组操作时，应首先浏览、定位、选中当前要操作的设备或组。

功能启动步骤：【设备管理】→【设备监控】

详细操作过程：

第1步：在下图中，点击左边的设备管理中的节点，右边的列表中将显示该节点下的设备，可以通过右面列表中的复选框选择要操作的设备。如下图：

图 51定位当前操作对象

提示：

1．请注意，点击根节点后，页面右侧的设备列表中，显示的是包含子节点中所有的设备信息，而不仅仅是直属于根节点的设备。

第2步：当需要查看设备的详细信息，或需要编辑设备信息时，请点击右边的列表中设备的名称，如下图：

图 52 设备详细信息

5.1.2 根名称编辑

功能名称：编辑设备树结构根起点的名称

功能描述：编辑设备树结构的根起点的名称，定义整个设备树的名称

功能启动步骤：【设备管理】→【设备监控】→【设备管理】

详细操作过程：

第1步：系统安装后，设备监控下默认的根节点为ROOT，其下可以添加设备和设备组。ROOT节点是设备组织结构的根起点。点击右侧“设备管理”的下拉菜单，并选择“根名称编辑”，即可进入如下页面：

 

图 53 根名称编辑

第2步：在根名称中输入新的名称后，点击“确定”按钮。即可完成根名称的编辑。

5.1.3 添加组

功能名称：添加组

功能描述：新建设备组 

功能启动步骤：【设备管理】→【设备监控】→【添加组】

详细操作过程：

第1步：定位并选中操作对象，例如选择根目录，进入下图：

图 54 新建组

Ø 组名：输入组名（必选）

Ø 确定：保存建立新组信息

Ø 重置：清空输入的组名

Ø 返回：返回设备监控操作窗口

第2步：输入组名，点击“确定”按钮即可完成新建组操作。

提示：

1．所有的设备组都隶属于根节点。

5.1.4 组信息维护

功能名称：组信息维护

功能描述：修改组名，删除组

功能启动步骤：【设备管理】→【设备监控】→【组信息维护】

详细操作过程：

第1步：点击右侧“设备管理”的下拉菜单，并选择“组信息维护”，进入如下图所示画面：

图 55 组信息维护

Ø 组名：显示所有组的名称；

Ø 修改：点击组名相对应的“修改”按钮，可以修改该组的名称； 

Ø 删除：点击组名相对应的“删除”按钮，可以删除相关组及其组内所有设备。 

第2步：根据需要，点击相关组的“修改”按钮，可以修改组的名称，操作方式同新建组。

第3步：根据需要，点击相关组的“删除”按钮，确认提示信息，即可删除指定组。

5.1.5 添加设备

功能名称：添加控制设备

功能描述：在设备组织结构中新建控制设备

功能启动步骤：【设备管理】→【设备监控】→【添加设备】

详细操作过程：

第1步：定位并选中操作对象，如点击左侧的“北京分公司”后点击右侧“设备管理”的下拉菜单，并选择“新设备”，进入添加设备界面，如下图：

图 56添加设备

n 基本信息：

Ø 设备名称（必填）：设备在界面上显示的名称，每个设备唯一的属性；

Ø 设备地理位置：设备部署的位置；

Ø 设备分组：该设备所属的分组；

Ø 终端数量：该设备所管理的用户数量；

n 认证信息：

Ø IP地址（必填）：设备的 IP地址，每个设备唯一的属性；

Ø 登录名（必填）：登录该设备所使用的登陆名；

Ø 登录密码（必填）：登录该设备所使用的登陆密码；

Ø 端口（必填）：与集中管理平台通信的端口，一般情况下无需更改，使用默认的443端口即可；

n 其他信息：

Ø 信息安全员：设备出问题时的联系人；

Ø 安全员电话：安全员的电话；

Ø 安全员邮件：安全员的电子邮件；

Ø 安全员IM：安全员的即时聊天ID；

Ø 备注：备注信息；

n 测试连接：为了避免填写无效的IP，用户名，密码等，在以上必填项目填写后，请点击此按钮进行连接的测试，该功能将返回测试的结果。

n 确定：确认保存，并使用户修改生效。只有测试连接成功后，该按钮才呈可点击状态。

n 重置：恢复原页面信息。

n 返回：不保存，返回设备监控界面。

第2步：输入设备的相关信息，且测试连接成功后，点击“确定”按钮。设备新建成功。设备刚新建之后，右侧的“连接状态”显示为红色“离线”状态，如下图所示：

图 57设备列表

第3步：点击“操作”列的“更新连接状态”按钮，如上图所示。如果网络通畅，提示“集中管理端与被控端已建立连接”信息框，确认该信息，该设备的连接状态将被更新为“在线”。

第4步：当设备的连接状态处于“在线”状态时，就可以查看该设备的各种情况，包括：

名称、IP地址、连接状态、组织关系、终端数量、在线用户、上传流量（kbps）、下载流量（kbps）、并发连接、CPU负载、内存使用率、硬盘使用率、网络模式、系统版本、URL版本、协议版本、引擎状态、引擎模式和设备地理位置等。

第5步：系统默认每隔10分钟自动刷新设备信息，用户也可以主动获取设备状态。方法是点击如上图中“操作”列的“主动获取设备状态” 按钮，可以立即刷新，取得该设备当前信息。

5.1.6 设备信息维护

功能名称：对设备信息的其他可操作功能

功能描述：包括删除指定设备信息、移动指定设备到其他指定位置。

功能启动步骤：【设备管理】→【设备监控】

详细操作过程：

第1步：浏览定位相应的设备（步骤参考“定位并选中当前操作对象”章节），如下图：

图 58删除用户

第2步：点击右侧“设备管理”的下拉菜单，出现如下图所示下拉框：

图 59设备管理菜单

Ø 移动设备：点击该选项并指定移动目的地，可以实现所选择对象的移动操作；

Ø 删除设备：点击该选项可以实现对所选择对象的删除操作。

第3步：根据需要选择选项，并确认提示信息即可完成所需操作。

5.1.7 设备导出

功能名称：设备导出

功能描述：以CSV格式导出设备信息，方便离线浏览。

功能启动步骤：【设备管理】→【设备导出】

详细操作过程：

第1步：在设备管理界面点击“设备导出”按钮，弹出如下图所示窗口：

图 510设备导出

第2步：点击“保存”按钮，系统将所有的设备信息以为CSV格式导入到指定位置。该文将请使用Excel打开。内容包括所有设备的静态信息，包括“设备名称”、“设备地理位置”、“终端数量”、“设备IP”、“信息安全员”、“安全员电话”、“安全员邮件”、“安全员IM”、“其他信息”。请注意，此处不包含设备的登录名和登录密码。

5.1.8 阀值设定

功能名称：阀值设定

功能描述：能够设定CPU、内存和硬盘的报警阀值

功能启动步骤：【设备管理】→【设备监控】→【阀值设定】

详细操作过程：

第1步：在设备管理界面点击“阀值设定”按钮，如下图，可设定CPU、内存和硬盘的阀值，阀值为百分比，数值为0-100，设定完毕后点击“确定”按钮即可，如下图：

图 511阀值设定

第2步：如果设备的数值超过了阀值，则会以红色字体显示出来，如下图。

图 512超出阀值示例

5.2 设备导入

功能名称：设备信息导入

功能描述：可以通过已存在的设备信息数据源，按照一定格式，导入到NS-CMP系统中；

功能启动步骤：【设备管理】→【设备导入】

详细操作过程：

第1步：本地新建文件，内容和格式要求如下：

n 内容：设备信息共支持九项内容,标题分别为 “设备名称”、“设备地理位置”、“终端数量”、“设备IP”、“信息安全员”、“安全员电话”、“安全员邮件”、“安全员IM”、“其他信息”。在进行设备信息导入时，“设备名称”和“设备IP”项是必填项；其他项为选填项。几项的左右顺序可以互换，但是各项的名称不能随意修改或带空格，否则系统无法正确识别。

n 格式：支持txt文本格式和csv文件两种格式。

Ø Txt文本：各项之间以逗号(半角)分隔，相关列无内容的也需添加半角逗号，如下图：

图 513导入txt文本文件

Ø CSV文件：新建Excel文件，保存时选择另存为csv文件即可。内容要求：每一项都用一个单元格存储。如下图：

图 514导入csv文件

第2步：在如下画面中，点击“浏览”按钮，选择本地新建的txt文件或者csv文件。

图 515设备导入-选择文件

第3步：点击“导入”按钮，系统生成导入信息，等待用户确认，如下图：

图 516设备导入-确认导入结果

第4步：核实内容是否一致后，通过“选择导入位置”来选择需要导入到的分组位置，点击“导入”按钮后，确认提示信息。内容和格式均正确的数据将被导入。可以通过【设备监控】来查看，如下图所示：

图 517设备导入 导入结果

第5步：导入完毕后，应及时修改设备的信息，完善设备的连接信息如登录名、登录密码等，详细步骤参考“设备监控”相关章节。.

第6步：点击“操作”列的“更新连接状态”按钮。如果网络通畅，提示“集中管理端与被控端已建立连接”信息框，确认该信息，该设备的连接状态将被更新为“在线”。

6. 策略管理

NS-CMP采用基于策略的访问控制机制，统一制定、下发上网行为管理策略。 

一条访问策略最核心的部分由“在什么时间（When）、做什么（What）、对此行为采取的控制动作（Action）”三部分组成：

n 在什么时间（When）：互联网访问的时间条件，比如上班时间；

n 做什么（What）：互联网访问的具体行为，比如QQ聊天或访问门户网站；

n 对此行为采取的控制动作（Action）：针对互联网访问行为，实施的控制行为，比如是允许还是阻塞，是否实施带宽控制。

基于以上策略的组成部分，可以构建一个策略的示例如下：在上班时间（假设为从9：00到18：00）内，不允许上网看电影（如通过MMS网络流媒体的形式）。其中，“When、What”可以统称为访问控制的条件集合，即只有这些条件都满足时，才视为符合该策略的条件，才匹配该策略。“Action”即为满足以上条件后，对此互联网访问行为具体执行的控制动作。

另外，策略具有优先级属性。即，若同时存在多条处于激活状态下的策略，尝试匹配这些策略集时采用的先后顺序。NS-CMP在下发策略时可以选择将下发的策略作为最高优先级或者作为最低优先级进行下发。NS-ICG将首先匹配优先级较高的策略；高优先级的策略被匹配后，将不会再匹配后续所有低优先级的策略；否则按照优先级顺序，尝试匹配后续较低优先级的策略。

提示：

1．策略只有在激活状态才实际生效（需要点击立即生效）

2．没有匹配任何激活策略的互联网访问行为，将被允许，并不受访问控制；

3. NS-CMP下发的策略对NS-ICG的所有用户生效。

 

一条访问策略的完整组成部分如下：

1．基本属性

n 策略名称：策略的名称，必须是唯一的；

n 策略描述：策略简要说明；

n 策略状态：策略是否处于激活状态，即当前是否生效；

n 优先级：该策略的优先级；

2．条件集合

n 时间条件；

n 网络应用协议或类型条件；

n 在允许Web访问（即允许HTTP协议的网络应用）的前提下，网页浏览控制条件

Ø 网站分类（对象）条件

Ø 网址匹配（对象）条件

Ø 文件类型（对象）条件

Ø 访问限额

3．控制行为

n 应用控制行为：允许或阻塞某种（某类）网络应用协议。

n 流量控制：

Ø 在允许某种（某类）应用的前提下，可以为该种（该类）应用设置带宽，来限制该种（该类）应用的流量速率。

Ø 为多个流量控制策略设定优先级，优先保证重要应用的带宽和服务质量。

n 在允许Web访问（即允许HTTP协议的网络应用）的前提下，网页浏览控制行为

Ø 允许

Ø 阻塞

Ø 允许并记录web访问日志

Ø 阻塞并记录web访问日志

Ø 对该类Web访问的请求数控制和流量控制

6.1 对象设置

策略中的条件和控制行为是通过对象定义的。比如时间、网站分类、网址匹配、文件类型都可以用对象的方式定义。对象可视为具备某些公共特征的一些实例的集合。带宽通道是另外一类对象，用于对控制行为的描述。

对象是策略的重要组成部分，策略可以看成是基于对象（组）的规则。合理地构建和管理对象，是建立有效访问控制策略的前提。

6.1.1 时间对象设置

NS-CMP的系统中可以定义一些时间对象，即定义一些时间段的组合，供构建策略及下发时使用。在时间对象管理中建立的时间对象将可以被所有的策略选用。

功能名称：时间对象

功能描述：时间对象设置

功能启动步骤： 【策略管理】→【对象设置】→【时间对象】

详细操作过程：

第1步：进入如下图的时间对象管理主界面：

图 61时间对象管理主界面

第2步：点击“添加”按钮，弹出如下图所示窗口。填写时间对象相关信息，包括名称，描述，星期和时间段的选择，每个时间对象支持两个互不重复时间段。

图 62新建时间对象

第3步：点击“确定”按钮后，新建的时间对象即出现在时间对象的列表中：

图 63时间对象列表

第4步（可选）：如果需要修改时间对象，在时间对象列表中点击要修改的时间对象的名称，即可进行修改。

第5步（可选）：如果需要删除时间对象，请从时间对象列表中选择要删除的时间对象，再点击的“删除”按钮，并确认提示信息即可完成删除操作。.

提示：正在被策略使用的时间对象是不允许删除的，执行删除操作时，系统会弹出警告。

6.1.2 网站分类对象

    NS-CMP的系统管理者，可以基于系统已定义的网站分类（包括ICG内置的42个一级网站分类、8个二级网站分类、以及用户自定义的分类），自己定义一些网站分类对象，供构建策略及下发时使用，网站分类对象可以由一个或多个网站分类组成。网站分类对象可作为网页浏览控制时的匹配条件之一。

功能名称：网站分类对象

功能描述：网站分类对象设置

功能启动步骤： 【策略管理】→【对象设置】→【网站分类对象】

详细操作过程：

第1步：进入如下图的网站分类对象管理主界面： 

图 64网站分类对象管理主界面

第2步：点击网站分类对象的“添加”按钮，并填写网站分类对象的名称和描述，在左侧选择系统已定义的网站分类作为当前对象的组成部分，然后点击“确定”，新建的网站分类对象即出现在“网站分类对象”列表中。比如，假设要达到以下控制目的：上班时间不允许访问新闻媒体、娱乐类等影响工作的网站。将需要定义一个网站分类对象，命名为“休闲娱乐类网站”，在该对象中添加“门户网站与搜索引擎”、 “文学”和“娱乐”等网站分类，如下图：

图 65新建网站分类对象

如果在建立策略时选择阻塞该网站分类对象,那么访问以上所选的网站分类将被禁止。此时访问news.163.com（属于门户网站与搜索引擎）将被阻塞。

第3步（可选）：新建网站分类对象时，可以为该对象定义一些例外网址，如上例，如果在阻塞新闻媒体类网站的同时，不希望阻塞news.google.com，只需在右侧的例外网址中添加news.google.com。这样当建立策略阻塞“休闲娱乐类网站”时，访问news.google.com将不被阻塞。如要取消例外网址，则首先选择要删除的网址，然后点击例外网址列表上方的删除按钮即可。

第4步：点击“确定”按钮，进入下图。如果需要修改已经添加的网站分类对象，请点击需要修改的对象名称，进入如上图所示画面，修改完毕后点击确定按钮即可。如果需要删除对象，请选择对象后点击右上角的“删除”按钮，确认弹出的提示信息后即可。

图 66修改网站分类对象

提示：例外网址支持模式匹配，具体的匹配规则为

1．若例外网址为域名下的子目录，则匹配该子目录下的所有文件。如例外网址为“news.sina.com.cn”，则匹配“news.sina.com.cn”目录下所有的的内容。

2．若例外网址为域名且不含路径，则匹配所有对该域名、子域名的访问。例如例外网址为“sina.com.cn”，则匹配对“sina.com.cn”及“www.sina.com.cn”“news.sina.com.cn”、“sports.sina.com.cn”等子域的访问。

6.1.3 自定义网站分类

除了NS-CMP内建的网站分类（共42个一级分类，8个二级分类。详细请参考附录）外，用户还可以自己定义网站分类，自定义的网站分类将出现在备选网站分类的列表中，在添加网站分类对象时使用。下面以添加一条自定义网站分类为例进行说明：

第1步：通过【策略管理】→【对象设置】→【自定义网站分类】，进入如下图所示页面：

图 67自定义网站分类

第2步：点击自定义分类的“添加”按钮，进入如下界面：。

图 68新建自定义网站分类对象-1

Ø 描述：可选项。可以增加对该自定义网站分类的说明；

Ø 添加：用户可以手动添加一个一个的网址，方法是点击该按钮，在弹出的窗口中输入网址；

Ø 导入：用户也可以通过本地已经建立的文件一次性导入大量网址。要求本地文件是txt文本格式，且每行一个网址，行尾用回车符隔开，如“linux站点分类.txt”的格式为：

www.redhat.com

www.kernel.org

www.gnome.org

提示：

自定义网站分类中的网址支持模式匹配，具体的匹配规则为：

1．若自定义网站分类中包含的URL为域名下的子目录，则匹配该子目录下的所有文件。例如：URL为“news.sina.com.cn/2006”，则匹配“news.sina.com.cn/2006”目录下所有的的内容。

2．若自定义网站分类中包含的URL为域名且不含路径，则匹配所有对该域名及其子域名的访问，例如：URL为“sina.com.cn”，则匹配对”sina.com.cn”及“news.sina.com.cn”、 “sports.sina.com.cn”等子域的访问。

Ø 删除：删除已经添加的某个网址；

Ø 清空：清空所有已经添加的网址。

提示：

正在被策略使用的自定义网站分类对象（如在某个策略中的网站对象包含该自定义网站分类对象）是不允许删除的，执行删除操作时，系统会弹出警告。

第3步：设置完毕后，点击“确定”按钮，即可新建一个自定义网站分类。新建的网站分类将显示在“网站分类”中供 “网站分类对象”或者“网页浏览策略”使用。

6.1.4 网址匹配对象

    网址匹配对象方便管理者对通过Web访问网址进行更灵活的控制，管理员可以设定对符合正则表达式（请参阅附录）的网址进行管理。网址匹配对象可作为网页浏览控制时的匹配条件之一。下面以添加一条网址匹配对象为例说明详细操作方法：

第1步：通过【策略管理】→【对象设置】→【网址匹配对象】进入如下界面：

图 69网址匹配对象

Ø 添加：点击该按钮，可以添加一个网址匹配对象。

Ø 删除：选择某个网址匹配对象后，点击该按钮，可以删除所选择的对象。

Ø 编辑网址匹配对象：点击某网址匹配对象的链接可以编辑所选择的对象。

第2步：点击“添加”按钮弹出如下图所示窗口： 

图 610新建网址匹配对象

第3步：名称和正则式是必填项。关于正则表达式详细请参考附录4。配置完毕后，点击“确定”按钮。 

第4步（可选）：若想让最新的配置立即生效，请点击右上方“立即生效”按钮。

6.1.5 文件类型对象

网络访问和网页浏览会碰到各种各样的文件类型，基于文件类型的访问管理控制，是NS-ICG提供的重要访问控制手段之一。文件类型对象可作为网页浏览控制时的匹配条件之一。下面以添加一条文件类型对象为例说明详细操作方法。

图 611文件类型对象

Ø 添加：点击该按钮，可以添加一个文件类型对象。

Ø 删除：选择某个文件类型对象后，点击该按钮，可以删除所选择的对象。

Ø 编辑文件类型对象：点击某文件类型对象的链接可以编辑所选择的对象。

提示：正在被策略使用的文件类型对象是不允许删除的，执行删除操作时，系统会弹出警告

第2步：点击 “添加”按钮弹出如下图所示窗口：

图 612新建文件类型对象

Ø 名称：必填项。输入文件类型对象的名称。

Ø 描述：增加对所建立的文件类型对象的说明。

Ø 文件扩展名：输入文件扩展名。多个文件扩展名之间请用英文半角逗号分隔。

Ø MIME类型：MIME类型是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多个MIME类型之间请用英文半角逗号分隔。有关文件扩展名和MIME的对照关系，请参考附录5。

第3步：配置完毕后，点击“确定”按钮。新建的文件类型将显示在列表中。

6.1.6 带宽通道对象

    将网络带宽划分成若干个虚拟通道，每个通道可以设定上、下载（******）速率的限制、优先级，可以根据企业自身的需求，让某些服务或某些部门、员工的数据从指定的通道通过。通过带宽通道对象，可以更合理地使用整个网络的带宽资源。带宽通道对象是控制策略中的控制手段之一。

NS-CMP中可以建立“流量控制策略”，为应用指定带宽通道，从而达到流量控制的目的。流量控制策略所使用的带宽通道对象就是通过此处进行设置。通过【策略管理】→【对象设置】→【带宽通道】进入如下图所示页面：

图 613带宽通道对象

Ø 添加：添加带宽通道对象；

Ø 删除：删除选择的带宽通道对象；

下面以添加一条带宽通道对象为例介绍详细使用方法：

第1步：在上图中点击“添加”按钮，弹出如下图所示页面：

图 614新建带宽通道对象

Ø 名称：必填项。请输入新建的带宽通道对象的名称。

Ø 优先级：数字越小的优先级越高。配合策略设定，会优先保障优先级较高的通道内的网络连接和通信，为关键应用保证带宽和网络服务质量。

Ø 上传/下载速率：设定该通道最低能得到的带宽值，又称为“保证带宽”。所有带宽通道的保证带宽之和应小于或等于集中管理平台下指定设备的链路总带宽。

Ø ******上传/下载速率：设定该通道******能得到的带宽值。当超过“上传/下载速率”后，如果其他通道还有剩余上传/下载速率，允许其借用。设置******上传/下载速率是为了带宽借用。设置了“上传/下载速率”后，该项可以不填写，其效果是“******上传/下载速率”与“上传/下载速率”相同。******上传速率和******下载速率是指在上传或下载文件时该通道可能达到的******带宽，又称为“******带宽”。

提示：

在上图中有两条线路，分别对应着双入双出的两条线路。当集中管理平台所控管的设备使用的不是双入双出模式时，则只有线路1生效。

第2步：设置完毕后，点击“确定”按钮即可。

提示：

建立带宽通道对象时，上传速率、下载速率、******上传速率、******下载速率的值均不能设置为0.

建立带宽通道对象时，******上传速率和******下载速率都可不填，但是上传速率和下载速率至少填一项。

如果只填写上传/下载速率中的一个时，则未填写的一项认为不限制其速率。

6.1.7 用户自定义协议

NS-ICG拥有超过150种流行应用协议分析特征库，除了这些内建的网络应用协议，用户可以定义其他网络应用，如基于某个端口的应用，或基于某个目标服务器的应用。自定义协议和系统内建的其它协议一样，可用于策略中的网络应用控制、带宽管理，并可进行网络应用实时监控等。

提示：

自定义协议优先级最高，即当自定义协议与系统内置协议冲突时（如端口相同），NS-ICG将识别为用户自定义的网络应用协议。

下面以添加一条自定义协议为例说明详细操作方法：

第1步：通过【策略管理】→【对象设置】→【用户自定义协议】进入如下图所示页面：

图 615添加自定义协议-配置协议名称

Ø 添加：点击该按钮，可以添加一个自定义协议。

Ø 删除：选择某个自定义协议后，点击该按钮，可以删除所选择的对象。

Ø 编辑文件类型对象：点击某自定义协议的链接可以编辑所选择的对象。

第2步：点击“添加”按钮，弹出如下图所示窗口：

图 616添加自定义协议-配置协议名称

Ø 名称：必填项。输入自定义协议的名称。

Ø 描述：可选项。增加对自定义协议的说明。

Ø 规则列表：显示在该自定义协议中建立的规则。

Ø 添加：点击该按钮添加新的规则。

Ø 删除：删除选择的规则。

Ø 清空：清空规则列表中的所有规则。

第3步：点击“添加”按钮，弹出如下图所示窗口：

图 617为自定义协议添加规则

Ø 协议类型：选择规则的协议类型。如TCP、UDP，或者所有协议。

Ø 其他：其他四个选项中请至少填写一项。都支持范围条件的匹配，即用户既可以输入单个IP地址或者端口号，也可以输入IP地址范围或者端口号。例如源IP地址中输入“192.168.30.100-192.168.30.200”，源/目的端口可以输入“101-110”。

第4步：配置完毕后，点击“确定”按钮，即为自定义协议新建了一条规则。一个自定义协议可以包含多个规则。如下图：

图 618添加自定义协议-添加协议规则

第6步：在配置完毕后，点击确定，自定义协议新建完成。

提示：

1.系统内置协议不能从界面中对其进行修改操作。只允许用户对自定义协议进行添加、修改和删除。

2.用户自定义协议中，最多能配置100条子规则。

6.2 策略设置

NS-ICG支持网页过滤、应用控制、带宽管理、内容审计等访问控制机制，而这些访问控制机制都是基于策略来实现的。只有建立且激活了相应的策略才能实现这些功能。集中管理平台的管理者可以自定义访问控制策略并下发到指定的NS-ICG，灵活的实施互联网访问控制。

点击【策略管理】→【策略设置】进入如下图所示页面：

图 619策略列表

Ø 其他策略：系统已建策略，我们又称为审计策略。审计策略不可以被删除。

Ø 添加：点击该按钮，可以添加各种控制策略，如：应用控制策略、流量控制策略和网页控制策略，其中网页控制策略又有网页浏览策略、网页搜索策略和HTTP文件审计策略三种。

Ø 删除：选择控制策略后，该按钮呈可选择状态。点击并确认提示信息后可以删除所选择的控制策略；

Ø 生成报告：选择策略后，该按钮呈可选择状态。点击该按钮可以将指定策略的详细内容在新的窗口中以报告的形式显示（注意：策略报告以弹出窗口的形式出现，请确保浏览器未禁止弹出窗口）；

Ø 下发：将集中管理端的策略下发到被控的ICG设备。详细请参考“6.2.6 策略下发”章节。

Ø 时间：点击时间名称可以进行编辑。

Ø 策略分布：策略分布状态维护。详细请参考“6.2.7 策略分布”章节。

6.2.1 应用控制策略 

建立策略对应用的使用进行控制，如允许或阻塞游戏、股票软件、网络电视等应用的使用。

NS-ICG根据不同的协议及应用领域将网络应用分为15类，分别为传统协议、VoIP、办公和自动化、Session、Games、IM、P2P、股票软件、网络电视、文件和数据库、HTTP应用、代理和隧道、其他应用、用户自定义和未知协议。每一个大类中又包含若干具体的子应用，管理者可根据不同的需要，对各种应用定制基于用户和时间段的策略，以实现对员工上网行为的管理。下面以添加一条应用控制策略为例详细介绍操作方法。

第1步：通过【策略管理】→【策略设置】进入主页面，点击“添加”按钮，选择并点击“应用控制策略”，进入如下图所示页面：

图 620新建应用策略

Ø 名称：应用策略的名称（必填项）；

Ø 描述：应用策略的说明（必填项）；

Ø 时间：设置策略有效时间。默认所有时间均有效。点击“选择时间”在弹出的“选择时间对象”窗口中选择“工作时间”。如果没有满足的时间对象，可以点击该窗口右上角的“+”按钮，或者到【策略管理】→【对象设置】→【时间对象】中创建适合的时间对象。操作方法请参考“6.1.1 时间对象设置”章节。

Ø 控制方式：设置策略的控制方式，有允许、阻塞两个选择项。如果选择允许，意味着对指定的应用放行，不做约束。如果选择阻塞，意味着对不允许使用指定的应用；

Ø 应用列表：该表中列出了ICG支持的所有应用，约150多种。请根据需要进行选择。

Ø 已选应用：选择后的应用协议会显示在此窗口中。如果需要取消选择，可以在应用列表中取消勾选，也可以在本窗口中选择某应用后，点击右上角的“取消选择”按钮。

第2步：配置完毕后，点击“确定”按钮，就配置好了一条策略。

第3步：配置好的策略将显示在策略列表中，选择该策略，并点击上方的“下发”按钮，将策略下发到指定设备。关于策略下发，详细请参考“6.2.6 策略下发”章节。

第4步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

6.2.2 时长限额策略

时长限额策略，是通过为用户和应用指定上网时长限额，让指定的用户对某种应用或者全部应用在指定时间段内只能使用一定的时长，实现企业对员工上网时间的控制。方法如下：

第1步：点击【策略管理】→【策略设置】进入主页面，点击“添加”按钮，选择并点击“时长限额策略”，进入如下图所示页面：

图 621 时长限额策略

n 每日限额（分）：设置每天在指定的时间段内用户最多能上网多久。以分钟为单位。

n 应用列表：该表中以树状结构列出了ICG支持的所有应用，约150多种。请选择：

Ø 如果选定全部应用：表示只要1分钟内有上网流量通过NS-ICG，则认为该用户使用网络一分钟。超过限额后则不能继续使用网络。

Ø 如果选定部分应用：表示只要1分钟内有指定协议的流量通过NS-ICG，则认为用户使用指定的协议一分钟时间。超过限额后则不能继续使用该协议，但可以继续使用其他未指定的协议。

n 其他：上图中其他项目的说明同“6.2.1 应用控制策略”相关部分。

第2步：根据需要进行设置。配置完毕后点击“确定”按钮，策略建立完毕。

第3步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：

时长限额策略的当天审计结果记录在设备端的【系统监控】→【时长限额】中。在【查询】→【上网时长】中可以查询到设备端的当天以及历史审计结果。

6.2.3 流量控制策略 

流量控制策略，是通过为应用指定“带宽通道对象”，让指定的应用走指定的通道，实现对应用的带宽上下限管理，例如限制迅雷、FTP的下载带宽等。

提示：

建立流量控制策略需要引用【策略管理】→【对象设置】→【带宽通道对象】中建立的带宽通道对象，因此请首先在上述模块中建立所需的带宽通道对象。详细请参考“6.1.6 带宽通道对象”章节。

下面以添加一条流量控制策略为例详细介绍操作方法。

第1步：在【带宽通道对象】中建立一个对象。

第2步：通过【策略管理】→【策略设置】进入主页面，点击“添加”按钮，选择并点击“流量控制策略”，进入如下图所示页面：

图 622新建带宽通道策略

Ø 应用列表：该表中以树状结构列出了ICG支持的所有应用，约150多种。分别是应用协议类、应用协议、应用协议子类，如：传统协议这个应用协议类包含很多应用协议，包括FTP、DNS等。而FTP这个应用协议又包括控制连接和数据连接这两个子类。鼠标左键单击某一应用后，为其指定带宽通道对象。

Ø 其他：上图中其他项目的说明同“6.2.1 应用控制策略”相关部分。

注意：

1.对某一应用协议类（或应用协议）指定通道后，则该类下级的所有应用协议（或子类）均共享该通道且无法单独设置带宽通道。

2.如果需要对某一个应用协议（或子类）单独设定带宽通道，其上级应用协议类（或应用协议）必须未指定通道。

第3步：填写名称和描述必填项并根据需要选择时间后，在应用列表中点击某应用，弹出如下窗口：

图 623指定带宽通道

如上图所示，我们选择了迅雷，在选择通道中默认是“不指定通道”，在第1步中添加的带宽通道对象会以列表的形式显示在此处，选择并点击确定。策略建立完毕。

第4步：配置好的策略将显示在策略列表中，选择该策略，并点击上方的“下发”按钮，将策略下发到指定设备。关于策略下发，详细请参考“6.2.6 策略下发”章节。

第5步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：在应用列表中有一项是“其他应用”，其含义是：

1．超出防护阀值流量：在“用户防护规则设置”，选择“流量控制”，此时超出阀值的流量即识别为异常流量。在策略中，可以对这部分流量进行管理。

2. 其他IP协议：对非IP协议（非TCP/UDP/ICMP的数据包）的流量。

6.2.4 网页控制策略 

通过为用户和网页指定对象，实现对用户的网站访问管理。它又包括网页浏览策略、网页搜索策略和HTTP文件审计策略三种。

6.2.4.1 网页浏览策略 

功能名称：网页浏览策略

功能描述：对NS-ICG下指定用户在指定时间内所浏览的网页进行审计和控制，包括访问网站类型（如股票、色情）、网址类型（如聊天室）、文件类型（如mp3）、http请求限额等。同时还可以记录下匹配策略条件的网页快照，便于在该网页过期或没有访问权限时仍能查看网页内容。

功能启动步骤： 【策略管理】→【策略设置】→【添加】按钮

详细操作过程：

第1步：进入策略设置默认画面，点击“添加”按钮， 从“网页控制策略”中选择并点击“网页浏览策略”，进入下图：

图 624新建网页浏览策略

策略新建时，默认该策略所有时间均有效。如果需要针对指定时间内应用本策略，请通过 “选择时间”来更改。下面是对上图中其它控制项的具体说明：

Ø 控制方式：策略匹配后用户行为的控制方式。当该策略的任何一个条件匹配后，针对该类的访问采取何种控制行为，共有四种可能的控制行为，包括允许、阻塞、允许并记录、阻塞并记录。请注意，如果设备端ICG的用户量大，选择记录将耗费设备端ICG大量的磁盘空间和CPU资源；

Ø 记录网页快照：匹配策略所有条件后，记录下用户所访问网页的标题、快照。即使该网页已经过期或者没有访问权限，仍然可以查看其快照。

提示：

1．只有当“控制方式”为“允许并记录”时，才可以选择“记录网页快照”功能。

2．开启“记录网页快照”后，“文件类型对象”和“HTTP限额”功能失效。

Ø 匹配对象：设置策略的控制方式。有选择对象和任何内容两个选择项。默认是选择对象，即从网站分类对象、网址匹配对象或文件类型对象中至少选择一个对象进行匹配。如果选择“任何内容”，则匹配所有HTTP请求。

提示：

1．匹配对象中如果选择“任何内容”，则在网站分类对象、网址匹配对象、文件类型对象和HTTP限额中所作的设置都将不保存；且如果控制方式选择的是阻塞或者阻塞并记录，则等同于阻塞所有HTTP请求。

2．画面的其他说明同6.2.1应用控制策略相关部分。

网页浏览控制策略共包含三个匹配条件。

n 匹配条件1：网站分类对象：

从“网站分类对象”列表中，选择要匹配的网站分类对象。若通过NS-ICG访问的网址，属于所选择的网站分类对象，则该网址将会匹配策略。点击列表右上方的“+添加网站分类对象”按钮，可以创建一个新的网站分类对象，关于创建和管理网站分类对象，请参考6.1.2网站分类对象管理章节。

n 匹配条件2：网址匹配对象：

从“网址匹配对象”列表中，选择要匹配的网址匹配对象，若通过NS-ICG访问的网址，符合所选择的网址匹配对象的正则表达式，则该网址将会匹配策略。点击列表右上方的“+”按钮，可以创建一个新的网址匹配对象，关于创建和管理网址匹配对象，请参考6.1.4网址匹配对象管理章节。

n 匹配条件3：文件类型对象：

从“文件类型对象”列表中，选择要匹配的文件类型对象，若通过NS-ICG访问的文件类型，符合所选择的文件类型对象，则该文件类型将会匹配策略。点击列表右上方的“+”按钮，可以创建一个新的文件类型对象，关于创建和文件类型对象，请参考6.1.5文件类型对象管理章节。

网站浏览控制还可以控制连接请求与流量控制，如下图：

图 625策略配置-Web访问连接和流量控制

针对所选用户的访问采取何种的连接和流量控制行为。如没有限制可以不填。主要控制参数如下：

Ø 请求限额：一天内，所选用户的HTTP总请求次数限额。 

Ø 流量限额：一天内，所选用户的数据上传下载的总流量限额。

Ø 上传限额：单次HTTP请求上传流量限额。

Ø 下载限额：单次HTTP请求下载流量限额。

提示：网页浏览控制匹配条件（网站分类对象/网址匹配对象/文件类型对象）之间是“或”的关系。

第2步：根据需要进行相关配置，填写名称和描述必填项并根据需要选择时间（详细操作步骤请参考6.2.1应用控制策略），点击“确定”按钮，即新建了一条网页浏览策略。

第3步：选择策略后，策略列表上方的“删除”、“生成报告”、“下发”按钮均呈可选择状态。“删除”按钮用来删除所选择策略；“生成报告”按钮可以将指定策略的详细内容在新的窗口中以报告的形式显示（注意：策略报告以弹出窗口的形式出现，请确保浏览器未禁止弹出窗口）；“下发”按钮用来将集中管理端的策略下发到被控的ICG设备。

第4步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

示例：禁止访问色情网站，如果有试图访问的要记录下来。

①新建网页浏览策略，输入名称、描述，时间不需要修改；

②控制方式选择“阻塞并记录”，匹配对象选择“选择对象”；

③在网站访问对象标签中点击右方的“添加网站分类对象”，选择色情。确定返回当前菜单。

④点击确定，并立即生效。

当策略下发并生效后，被控端设备下所有用户上网都将不能访问色情网站，如果有访问不仅会被阻塞，而且会记录在系统监控→网站访问中。

6.2.4.2 网页搜索策略 

功能名称：网页搜索策略

功能描述：通过设置控制方式、搜索类别、关键字等，实现对用户对搜索引擎使用的控制。

功能启动步骤： 【策略管理】→【策略设置】

详细操作过程：

第1步：进入策略设置默认画面，点击“添加”按钮，在“网页控制策略”中选择并点击“网页搜索策略”，进入下图：

图 626新建WEB搜索策略

Ø 名称：策略名（必填项）；

Ø 描述：策略说明（必填项）；

Ø 时间：策略有效时间。默认所有时间均有效。

Ø 控制方式：策略匹配后用户行为的控制方式。当该策略的所有条件匹配后，针对该类的访问采取何种控制行为，共有三种可能的控制行为，包括记录、阻塞、阻塞并记录。

Ø 匹配对象：设置关键字的匹配方式。有任意关键字和指定关键字两个选择项。默认是匹配任意关键字。如果选择“指定关键字”，则画面下方的表达式、匹配关系输入框呈可输入状态，请输入相应的关键字。

Ø 表达式：当匹配对象选择了“指定关键字”后，该项呈可选择状态。有普通表达式和正则表达式两个选项。普通表达式指任意输入的关键字，多个关键字之间请用空格或者回车进行分隔。正则表达式请参考附录4，不支持多关键字匹配。英文字符不区分大小写。

Ø 匹配关系：当匹配对象选择了指定“指定关键字”后，该项呈可选择状态。匹配关系指在普通表达式中，多个关键字之间的关系。有OR和AND两个选项。若为AND，则指多个关键字中的每一个都必须在用户搜索的关键字中；若为OR，则指多个关键字中的任意一个出现在了用户搜索的关键字中。

Ø 搜索类别：搜索对象的属性，如网页、图片、视频等。默认是全部类别。点击右侧的“选择类别”按钮，可以进行选择。如下图：

图 627搜索类别

第2步：输入策略名称和描述，并根据情况进行选择和输入后，点击确定按钮。若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

示例：禁止公司研发部门员工在上班时间搜索视频，方法是：

新建一个网页搜索策略，输入策略名称和描述；

选择时间中选择上班时间（详细请参考6.1.1时间对象设置）；

选择控制方式为阻塞或者阻塞并记录，匹配对象为任意关键字，搜索类别为视频；

点击“确定”按钮建立该策略，并立即生效。

如果该策略下发，那么设备端下用户如果想通过GOOGLE、百度等搜索引擎来搜索视频类的网站或内容时都将被阻塞。如果选择的控制方式是阻塞并记录，那么在系统监控-搜索引擎中会将匹配该策略的行为均记录下来。

提示：对于和策略相匹配的内容，但是如果是用户手动点击找到的我们不予控制。如上例中设备端下用户自己在“六间房”中点击首页的视频进行播放时，我们不进行拦截。

6.2.4.3 HTTP文件审计策略

功能名称：HTTP文件审计策略

功能描述：对NS-ICG下用户在指定时间内使用HTTP协议进行文件上传、文件下载的行为以及文件进行审计或控制。审计结果将记录在【系统监控】→【文件审计】中。

功能启动步骤： 【策略管理】→【策略设置】

详细操作过程：

第1步：进入策略设置默认画面，点击“添加”按钮，在“网页控制策略”中选择并点击“HTTP文件审计策略”，进入下图：

图 628 新建HTTP文件传输策略

Ø 名称：策略名（必填项）；

Ø 描述：策略说明（必填项）；

Ø 时间：策略有效时间。默认所有时间均有效。

Ø 控制方式：策略匹配后对用户行为的控制方式。当匹配该策略的所有条件后，针对该类的访问采取何种控制行为，共有五种可能的控制行为，包括允许、阻塞、允许并记录行为、阻塞并记录行为、允许并记录内容。

Ø 优先级：设置策略的优先顺序。数字越小优先级别越高。

Ø 传输方向：指策略针对的HTTP文件传输的方向，包括上传、下载、全部。选择全部时将不考虑HTTP文件传输方向，只要发生就匹配策略该条件。

Ø 网站域名：支持关键字输入，只要访问的网站域名中包含该关键字则匹配了该条件。多个关键字之间请用半角逗号“,”或者回车符分隔。如果不输入，则忽略该条件。

Ø 文件名：支持对文件名设置关键字进行控制。关键字的输入支持普通表达式和正则表达式两种。如果使用普通表达式，多个关键字之间请用半角逗号“,”或者回车符分隔。如果使用正则表达式，是不支持多关键字匹配的。

Ø 文件大小：可以设置根据文件大小来匹配策略。

第2步：输入策略名称和描述，并根据情况进行选择和输入后，点击确定按钮。

第3步：回到策略设置界面，选择该策略，点击右上方的“下发”，向指定设备下发该条策略。（关于策略下发，详细请参考“6.2.6 策略下发”章节。）

第4步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

示例：设备端下所有用户使用Http协议上传或下载的文件大于1000kb时，允许并记录内容。

①控制方式：允许并记录内容；

②传输方向：全部；

③网站域名、用户、时间：不变；

④文件名：普通表达式，并填写“doc”；

⑤文件大小：选择“>=”并输入“1000”。

那么如果网内用户使用http协议上传doc文件，当该文件大于等于1000kb时，就允许而且记录在【系统监控】→【文件审计】中，小于1000kb时，就允许但是不记录。

提示：目前暂不支持对http文件上传的阻塞功能。 

6.2.5 其他策略

6.2.5.1 外发邮件审计

NS-ICG支持对邮件内容进行监控，可以监控到局域网内任何一台计算机，通过SMTP协议发送的邮件，也可以监测到用户通过Yahoo、Sohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail、excite、goo、infoseek、livedoor等Webmail提供商，以Webmail形式发送的邮件；在集中管理中，可以设置邮件监控的时间，以及对哪些邮件进行监控。

提示：

通过SMTP协议发送的邮件，以及通过中文yahoo邮箱、sohu、163、126、msn Hotmail、Tom、Sina、QQmail、excite、infoseek jp这几个Webmail发送的邮件，如果邮件包含附件，NS-ICG也可以审计到附件信息。

详细操作方法如下：

第1步：进入策略管理主画面，点击策略名称“外发邮件审计”，进入下图：

图 629外发邮件审计

n 时间设置：设置策略生效时间（详细操作步骤请参考6.2.1应用控制策略）

n 外发邮件审计设置：开启或关闭外发邮件审计策略（只有开启时，以下选项才可选）；

n SMTP外发邮件审计设置：

Ø 开启SMTP邮件附件记录：默认情况下SMTP审计仅记录邮件的正文部分。如果需要记录邮件的附件，需要勾选本项。但是请注意，一旦开启将会占用较大磁盘空间。只有开启后，附件名和附件大小才可用。

Ø 控制方式：策略匹配后用户行为的控制方式。当该策略的所有条件匹配后，针对该类的访问采取何种控制行为，共有四种可能的控制行为，包括匹配并记录、全记录、阻塞并记录、阻塞不记录。当选择全记录时，以下几项均呈灰显，不需设置。当选择阻塞并记录或阻塞不记录时，附件大小是不可以设置的。当选择除全记录之外的三项时，必须配置以下选项中至少一项，否则系统会因为无法匹配到任何关键字，就全部不记录；

n SMTP邮件审计关键字设置：

Ø 发件人、收件人、主题、正文、附件名：对这几项支持使用普通表达式和正则表达式来设置关键字。如果设置多个关键字，请用半角逗号分隔。关于正则表达式请参考附录4。

Ø 附件大小：设置审计的附件大小范围。有以下几种设置方法，举例说明：
1. 选择匹配并记录，选择<=，输入文件大小为50KB。则当有用户发送邮件时如果附件小于或等于50KB将被记录下来。
2. 选择阻塞不记录或者阻塞并记录（此时不能选择>=或<=），输入文件大小为100KB，则当有用户发送邮件时如果附件大于等于100KB时，就被阻塞。
3. 如果选择了记录，在系统监控或者查询统计的文件审计中可以查看详细。

Ø 组合关系：指SMTP邮件审计关键字下6个项目间的关系。包括OR和AND两种。若为AND，则指SMTP邮件审计时必须完全匹配这6个部分才适用该策略。若为OR，则只需匹配其中一个就适用该策略。

n Webmail外发邮件审计设置：通过选择特定的Webmail服务商来控制审计哪些Webmail；

第2步：设置完毕后，点击确定按钮，回到策略列表画面。

第3步：选择该策略，并点击上方的“下发”按钮，将策略下发到指定设备。关于策略下发，详细请参考“6.2.6 策略下发”章节。

第4步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：

1.系统默认情况下，对外发邮件不做审计。

2.附件大小的单位是KB。默认为10240KB，上限为307200KB，即300M。

6.2.5.2 接收邮件审计

NS-ICG支持对邮件内容进行监控，可以监控到局域网内任何一台计算机，通过POP3协议收取的邮件。在集中管理中，可以设置邮件监控的时间，以及对哪些邮件进行监控。

第1步：进入策略设置主画面，点击策略名称“接收邮件审计”，进入下图：

图 630POP3邮件审计

Ø 时间设置：设置接收邮件审计策略生效的时间；

Ø 开启POP3邮件审计：开启或关闭POP3接收邮件审计策略。

Ø 开启POP3邮件附件记录：只有开启上一项，此项才呈可选状态。该项用于控制是否进行POP3邮件附件的记录。

第2步：设置完毕后，点击“确定”按钮，回到审计设置页面； 

第3步：选择该策略，并点击上方的“下发”按钮，将策略下发到指定设备。关于策略下发，详细请参考“6.2.6 策略下发”章节。

第4步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：开启“附件记录功能”会增加CPU和磁盘的负担。

6.2.5.3 QQ审计

QQ审计功能主要用来审计网内用户使用QQ在线聊天的审计。方法如下：

第1步：点击【策略管理】→【策略设置】进入主页面，点击“QQ审计”的链接，进入下图：

图 631 QQ审计

对于QQ审计功能NS-ICG提供两种审计方式。

Ø 开启QQ审计：只审计QQ聊天的动作信息，如登录、退出、发送、接收等行为。NS-ICG的审计结果如下图：

图 632 QQ审计监控结果

Ø 开启客户端QQ审计：不仅审计登录、退出等行为，同时审计聊天的内容，如传输文件（记录所传输文件的名称、大小）、音频行为、视频行为、多人聊天内容、群聊天内容、超级群聊天内容等。但要求首先开启上述的QQ审计选项，同时，在【用户管理】→【认证管理→【认证配置】中开启客户端认证的任意一种。NS-ICG的审计结果如下图：

图 633 客户端QQ审计结果

第2步：根据需要选择审计方式。如果选择的是“开启客户端QQ审计”，而该策略的下发设备并没有开启客户端认证功能，则仍然只能审计到QQ的登录登出行为。

第3步：选择该策略，并点击上方的“下发”按钮，将策略下发到指定设备。关于策略下发，详细请参考“6.2.6 策略下发”章节。

第4步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

6.2.5.4 MSN审计

NS-ICG可以监控到处于ICG监控的局域网内任何一台计算机，通过Windows Messenger, MSN Messenger, Windows Live Messenger等MSN客户端软件发送、接收的聊天信息，同时支持对MSN音视频行为、文件传输行为及内容、聊天行为及内容的监控和控制功能。同时支持通过代理方式使用MSN的审计。开启本功能后，【系统监控】→【在线聊天】中将记录下当天相关的聊天信息，【文件审计】中记录文件信息。历史信息保存在【查询统计】中相关画面。配置方法如下：

第1步：点击【策略管理】→【策略设置】进入主页面，点击“MSN审计”的链接，进入下图：

图 634MSN审计

n 时间设置：设置在什么时间使用MSN审计策略；

n 开启MSN审计：对MSN帐号设置策略实现对MSN的聊天（包括群聊）、音视频、文件传输（文件名、文件传输方向）的控制。系统默认情况下对MSN不做审计。只有开启了本项后，以下选项才可选。

n 控制方式：匹配策略后NS-ICG对用户行为所采取的控制方式：

Ø 全记录：审计所有帐号的MSN聊天信息。此时不允许配置“审计帐号”。

Ø 匹配并记录：只记录“审计帐号”中设置的MSN帐号所发生的聊天信息。

Ø 阻塞不记录：如果在审计帐号中设置的是内网用户，则该用户无法登录MSN。如果设置的是外网用户，则内网用户可以看见该外网用户在线，但无法与其通讯。此时NS-ICG不记录相关的审计结果。

Ø 阻塞并记录：阻塞的结果和“阻塞不记录”相同，但会记录下相关的审计结果。

n 审计帐号：可以对帐号设置关键字进行审计，支持普通表达式和正则表达式两种模式。普通表达式就是一般表达式，如输入ab，则MSN帐号中包含ab的用户均匹配该策略。多个普通表达式之间请用半角逗号分隔。关于正则表达式请参考附录4。

注意：

1.当选择除全记录之外的三项时，必须配置“审计帐号”，否则系统会因为无法匹配到任何审计帐号而导致全部不记录。

2.以上三项是对MSN行为的审计，即对聊天内容、音视频行为和文件传输的行为的审计。

3.对于音频行为的审计，NS-ICG目前仅支持对MSN的9.0版本。

n 开启MSN文件审计：启动对通过MSN传输文件的行为及传输的文件进行审计。只有开启了本项后，以下选项才呈可选状态。注意：以下选项只对传输的文件进行审计。

Ø 控制方式：匹配所有控制条件后，对通过MSN传输的文件采用的控制方式。

- 匹配并记录：匹配了以下几项条件后，不做控制，但会记录。

- 全记录：不考虑其他任何条件，只要是通过MSN传输的文件就都记录。选择该项后，以下各项均不可选。

- 阻塞并记录：匹配了以下几项条件后，阻塞文件传输，并记录下相关审计结果。

- 阻塞不记录：匹配了以下几项条件后，阻塞文件传输，但对审计结果不做记录。

Ø 传输方向：对文件的传输方向进行控制。有四种选项：空白、全部、发送和接收。选择空白时，即忽略传输方向。

Ø 审计帐号：对指定的帐号使用MSN发送文件时进行控制。

Ø 文件名：支持设置关键字对文件名进行审计。支持普通表达式和正则表达式两种模式。比如使用正则表达式.*\.doc$。这样所有以doc为后缀的文件都将被匹配。关于正则表达式请参考附录4。

Ø 文件大小：设置审计的文件大小范围。

Ø 组合关系：审计帐号、传输方向、文件名和文件大小这四个部分的关系。包括OR和AND两种。若为AND，则指文件审计时必须完全匹配这四个部分才适用该策略。若为OR，则只需匹配其中一个就适用该策略。

第2步：根据需要设置所需项目后，点击“确定”按钮。

第3步：选择该策略，并点击上方的“下发”按钮，将策略下发到指定设备。关于策略下发，详细请参考“6.2.6 策略下发”章节。

第4步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：

1.系统默认情况下，对MSN不做审计。

2.对策略生效后登录的MSN用户进行审计。策略生效前已经登录的用户要在下次重新登录时生效。

3.文件阀值的单位是KB。默认为10240KB，上限为307200KB，即300M。

4.如果通过MSN传输的文件匹配了策略而被阻塞，在系统监控→文件审计中虽然会被记录，但该文件大小为0KB，且不能查看其详细内容。

“开启MSN审计”和“开启MSN文件审计”的优先级

开启MSN审计		开启MSN文件审计
控制方式	审计帐号	控制方式	审计帐号
阻塞并记录	abc@hotmail.com	匹配并记录	abc@hotmail.com

如果用户配置了类似上表中的策略，则策略实际执行结果是abc@hotmail.com的所有匹配策略的文件传输行为是被阻塞的，而且系统会记录两次。前者是记录在【在线聊天】中并显示为“阻塞并记录”，后者是记录在【文件审计】中并显示为“匹配并记录”。

6.2.5.5 YAHOO通审计

NS-ICG可以监控到处于ICG监控的局域网内任何一台计算机，使用YAHOO通客户端软件或使用YAHOO web Messenger发送的聊天信息。开启本功能后，【系统监控】→【在线聊天】中将记录下当天通过YAHOO的聊天信息。非当天的历史聊天信息，保存在【查询统计】中相关画面。操作方法很简单，只需要在“状态”栏中激活后，并选择该策略，点击“下发”按钮。若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

6.2.5.6 FTP审计

功能名称：FTP审计

功能描述：对FTP的使用进行审计，对通过FTP所传输的文件进行审计。

功能启动步骤：【策略管理】→【策略设置】→【其他策略：FTP审计】

详细操作过程：

第1步：进入策略设置主画面，点击策略名称“FTP审计”，进入下图：

图 635FTP审计

Ø 时间设置：设置策略生效时间（详细操作步骤请参考6.2.1应用控制策略）；

Ø FTP审计设置（普通表达式时多个关键字间用半角逗号分隔，正则表达式不支持多个关键字）：

Ø 开启FTP审计：激活或关闭FTP审计功能，以下属性方可选择。

Ø 控制方式：有两个控制方式，分别指目录名的控制方式和文件名的控制方式。可以选择全记录或阻塞并记录。默认是全记录。选择阻塞并记录时，可以对目录名设置关键字审计。支持普通表达式和正则表达式两种设置。关于正则表达式请参考附录2。

Ø 文件内容审计：激活或关闭FTP文件审计功能。

Ø 文件阀值：设置审计的文件大小范围，设置该项后，大于设置范围的文件将不再被审计。

Ø 文件名：支持对文件名设置关键字进行审计，支持使用普通表达式或者正则表达式。正则表达式请参考附录2。

第2步：根据需要设置所需项目后，点击“确定”。若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：

1. 系统默认情况下，对FTP不做审计。

2. 文件阀值的单位是KB。默认为10*1024KB，上限为300*1024KB。

3. FTP文件审计功能，不支持对被动模式的FTP文件传输审计。

6.2.5.7 TELNET审计

功能名称：TELNET审计

功能描述：启动或关闭对TELNET的审计及TELNET服务器信息的审计。如果设备端局域网内某用户对交换机、路由器等进行了设置，那么如果事先开启了此项审计，则可以轻松的查询到详细设置。

功能启动步骤：【策略管理】→【策略设置】→【其他策略：TELNET审计】

详细操作过程：

第1步：进入策略设置主画面，点击策略名称“TELNET审计”，进入下图：

图 636TELNET审计

Ø 时间设置：设置策略生效时间（详细操作步骤请参考6.2.1应用控制策略）；

Ø 开启TELNET审计：激活或关闭TELNET审计功能。激活该项后，TELNET服务器信息审计功能方能开启。

Ø 开启TELNET服务器信息审计：激活该选项后，ICG可以监控到局域网内指定用户使用的TELNET服务器信息，如服务器端口、服务器端IP等。

第2步：根据需要设置所需项目后，点击确定按钮。

第3步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：

1. 不支持对Telnet访问服务器为Windows系统的审计。

2. 不支持对BBS网站的Telnet的审计。

6.2.5.8 HTTPS审计

HTTPS是基于SSL/TLS协议传输的一种http加密协议。随着互联网的发展，越来越多的网页开始使用https协议，而随之而来的就是员工利用这种加密的方式泄露企业敏感信息的可能性也越来越大。为保障网络安全，保护企业机密，NS-ICT提供了https审计功能。通过https审计功能，可以针对网站分类、证书颁发者、证书所有者、证书有效期等进行审计，加以控制。【系统监控】→【HTTPS审计】中将记录下当天的审计结果，历史信息保存在【查询统计】的相关页面。详细操作方法如下：

第1步：进入策略设置主页面，点击“HTTPS审计”链接，进入下图：

图 637 HTTPS审计

n 用户和时间设置：设置对哪些用户在什么时间使用HTTPS审计策略（详细操作步骤请参考6.4.1应用控制策略）；

n HTTPS审计设置：

Ø 开启HTTPS审计：激活HTTPS审计功能，只有激活后，以下功能才可选。

Ø 控制方式：当匹配策略条件后，对用户的https访问所采取的控制方式。如下：

- 全记录：记录所有https访问信息。选择全记录时，网站分类等四类条件均不可设置。

- 匹配不记录：匹配策略条件的https请求，NS-ICG会放行且不做记录。不匹配时，也会放行但会记录下相关信息。

- 阻塞并记录：匹配策略条件的https请求，NS-ICG会阻断且记录。不匹配时，NS-ICG会放行且会记录下相关信息。

- 阻塞不记录：匹配策略条件的https请求，NS-ICG会阻塞但不做记录。不匹配时，NS-ICG会放行且会记录下相关信息。

Ø 网站分类：以网站类型作为控制条件。点击“选择”按钮后在弹出的窗口中选择网站分类点击“确定”按钮即可。

Ø 证书颁发者：以https协议所使用的数字证书的颁发者作为控制条件。例如工行网银的证书颁发者是：“VeriSign Class 3 Extended Validation SSL SGC CA”。点击“选择”按钮后弹出如下图所示窗口：

图 638 选择证书颁发者

系统内置了112个常用的证书颁发者，如果仍没有所需的颁发者，可以点击上方的“添加”按钮，在弹出的窗口中输入颁发者信息。可以一次性添加多个证书颁发者，但请用英文半角逗号分隔。颁发者列表中的颁发者信息最多为1000个。

Ø 证书所有者：将证书所有者作为控制条件。例如工行网银的证书所有者就是“mybank.icbc.com.cn”。

Ø 证书有效期：证书都是有效期的，Https的数字证书也不例外，一般是一年。如果不设置该项，则策略默认记录所有https访问信息。

提示：

HTTPS审计的网站分类、证书颁发者、证书所有者和证书有效期这四项是“或”的关系，即：只要匹配了其中一项，就匹配了HTTPS审计策略。

第2步：设置完毕后，点击确定按钮。

第3步：选择该策略，并点击上方的“下发”按钮，将策略下发到指定设备。关于策略下发，详细请参考“6.2.6 策略下发”章节。

第4步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

6.2.5.9 发帖审计

功能名称：发帖审计

功能描述：启动或关闭发帖审计，发帖审计的对象是通过HTTP协议的Post方法发送的内容，如BBS/论坛上发布的帖子，同时还提供对Post关键字控制和报警设置，方便管理员对外发信息的控制。

功能启动步骤：【策略管理】→【策略设置】→【发帖审计】

详细操作过程：

第1步：点击策略名称“发帖审计”，进入下图：

图 639发帖审计

n 用户和时间设置：设置对哪些用户在什么时间使用发帖审计策略（详细操作步骤请参考6.4.1应用控制章节）。

发帖审计设置：

n 开启发帖审计：开启或关闭发帖审计策略（只有开启时，以下选择才可选）；

Ø 完全审计：所有通过POST协议发送的内容都将记录，包括一些垃圾信息。

Ø 优化审计：仅记录指定论坛的发帖内容，其他通过POST发送的非论坛发帖的内容将不再记录。指定论坛基本涵盖了目前互联网上所有主流论坛，如百度贴吧、猫扑、天涯等。

Ø 设置不需优化的发帖网址：用户可以添加一些需要记录的发帖网址；

Ø 设置不需审计的发帖网址：用户也可以添加不记录一些发帖网址，如内部BBS论坛等。

Ø 关键字匹配后阻塞访问：设置当发帖内容中包含设定的关键字时阻塞访问；

Ø 关键字：设置关键字。发帖审计可以根据设置的关键字进行阻塞审计或报警审计；

n 发帖报警设置：关键字匹配后报警通知邮件的发送。设置当发帖内容与所设置的关键字匹配时，给指定邮件地址根据报警频率发送报警邮件。

提示：

设置不需优化的发帖网址和设置不需审计的发帖网址中的网址支持模式匹配，具体的匹配规则为：

1．若网址中包含的URL为域名下的子目录，则匹配该子目录下的所有文件。例如：URL为“news.sina.com.cn/2006”，则匹配“news.sina.com.cn/2006”目录下所有的的内容。

2．若网址中包含的URL为域名且不含路径，则匹配所有对该域名及其子域名的访问，例如：URL为“sina.com.cn”，则匹配对”sina.com.cn”及“news.sina.com.cn”、 “sports.sina.com.cn”等子域的访问。

第2步：设置完毕后，点击“确定”按钮，回到审计策略列表画面。

第3步：若想让最新的配置立即生效，请点击右上方”立即生效”按钮。

提示：

1．系统默认情况下，对外发消息不监控。

2．如果开启报警通知，必须在系统中正确的配置邮件服务器，详情请参考9.5.6邮件服务器章节。

3. 开启“优化审计”时，如果设置了关键字，则匹配了关键字的发帖内容即使不是在指定论坛，也将被记录。

4. 开启“优化审计”时，将只记录在内网用户在网康指定论坛及不需优化网址上的发帖内容。网康指定论坛基本涵盖了目前互联网上普遍使用的论坛。

6.2.6 策略下发

功能名称：策略下发

功能描述：将集中管理端的策略下发到被控的ICG设备

功能启动步骤：【策略管理】→【策略设置】→【下发】

第1步：进入策略管理的主界面如下图，选择某条策略（可多选），“下发”按钮呈可选择状态，如下图： 

图 640策略管理的主界面-下发策略

第2步：点击“下发”按钮，进入策略下发的页面，页面中列出了可下发的设备，如下图：

图 641下发策略界面 

Ø 全选：选择所有设备；

Ø 全不选：取消选择所有设备；

Ø 选择失败的操作：选择下发策略失败的设备；

Ø 目标ICG：控制端ICG名称；

Ø 下发历史：该策略的下发历史状态；

Ø 一致性：被控端ICG的策略和管理端的策略是否一致；

Ø 下发状态：显示该策略的下发状态；

Ø 下发为最高优先级：将该策略下发到选定设备，并且优先级为最高；

Ø 下发为最低优先级：将该策略下发到选定设备，并且优先级为最低；

Ø 关闭：关闭当前窗口。

第3步：选择设备后，“下发为最高优先级”，“下发为最低优先级”按钮随即激活。点击“下发为最高优先级”，即将选中的策略下发至选中的设备，同时在界面上能够即时看到下发状态。在对所有设备下发完成后，能够看到是否下发成功。

图 642下发策略界面-下发中

第4步：对于没有正确下发的设备，将会提示失败原因，如下图，此时，点击“选择失败的操作”将选中下图的136设备。

图 643下发策略界面-下发完成

第5步： 若需要将下发策略的状态生效，请点击界面右上角的“立即生效”按钮。

6.2.7 策略分布

功能名称：策略分布

功能描述：维护策略下发后的状态，包括：激活下发策略、禁用下发策略、回收下发策略。

功能启动步骤：【策略管理】→【策略设置】

第1步：进入策略管理的主界面如下图：

图 644策略管理的主界面-策略分布

第2步：点击某条策略的“策略分布”按钮，进入下图： 

图 645策略分布状态

页面中列出该策略已经下发到了哪些ICG设备，以及目前的状态信息。

n ICG：被管理的ICG设备，此处只显示已下发该策略的ICG设备； 

n 一致性：显示目前集中管理端的策略，与该被控端ICG端的策略，是否一致。如果集中端在下发策略后修改了策略且未将最新的策略下发到原策略执行的设备端ICG，则一致性为“否”；

n 状态：该策略在ICG设备端的是否激活；

n 操作状态：显示操作的即时状态；

n 回收：将分发的策略回收，即：将该策略从指定的设备端删除；

n 激活：在指定设备端上激活该策略；

n 禁用：在指定设备端上关闭该策略；

n 打开下发窗口：点击该按钮，将打开策略下发窗口，详细请参考“6.2.6 策略下发”章节。

第3步：选中一台或多台ICG设备，点击“回收”按钮， 将把该策略从被选中的ICG设备上删除，如下图：

图 646策略分布状态 – 回收策略

选中一台或多台ICG设备，点击“激活”或“禁用”按钮， 将修改该策略在被选中的ICG设备上的策略状态，如下图：

图 647下发策略界面-修改策略状态

第4步： 点击“打开下发窗口”，将会进入策略下发界面，操作请参考“策略下发”章节。

第5步： 若需要将下发策略的状态生效，请点击界面右上角的“立即生效”按钮。

6.2.8 策略报告

功能名称：策略报告

功能描述：显示策略的简要信息。

功能启动步骤：【策略管理】→【策略设置】→【策略报告】

详细操作过程：

第1步：进入策略管理的主界面如下图，选择某条策略（可多选），点击“生成报告”，如下图

提示：策略报告以弹出窗口的形式出现，请确保浏览器未禁止弹出窗口。

图 648策略管理的主界面-生成报告

第2步：系统弹出策略的简要信息报告页面，如下图：

图 649策略报告页面

 

6.3 远程管理

功能名称：远程管理

功能描述：在管理下属ICG时，有时需要登录到ICG上确认当前策略配置等信息，集中管理平台提供了远程管理的功能，直接能够远程查看、修改设备的策略配置信息。

功能启动步骤： 【策略管理】→【远程管理】

详细操作过程：

第1步：进入如下图的远程管理主界面：

图 650远程管理默认画面

同步：选择一台设备后，该按钮呈可选择状态。点击该按钮可以立即同步集中管理端和设备端的数据。由于是远程管理，而NS-ICG设备上图片较多，如果每次都实时读取将耗费大量时间，因此NS-CMP会将第一次访问所读取的信息放入缓存以加快浏览速度。如果要立即刷新，请点击此按钮。

第2步：画面中间是“受控ICG”，此处显示了集中管理的组织结构，即建立的所有组和设备将都在此处显示。点击组名可以展开组，显示该组下所有设备端。指定设备端后，可以查看该设备端的策略管理模块。如下图：

图 651远程设备端界面

第3步：画面右侧是远程设备端的策略管理界面。支持集中管理管理端对设备端的远程策略修改。远程管理时，操作方式与在设备上操作是一致的。 详细请参考《网康科技・互联网控制网关用户手册》相关章节。

第4步：若想让最新的配置在设备端立即生效，请点击右上方”立即生效”按钮。

提示：如果点击指定设备端时，提示连接失败，请到“设备管理”中手动取得检查该设备的网络连接状态。详细请参考“6.1设备监控”章节。

6.4 关于立即生效

    当下发的策略发生改变时（如下发策略、回收策略、改变策略内容、策略状态等），NS-CMP将会在Web管理界面的右上角用红色字体显示“立即生效”字样，如下图。

图 652立即生效提示

如果要使配置立即生效，请点击“立即生效”，也可以在所有的配置完成后，点击“立即生效”，使所有的配置在所有设备上全部生效。

提示：并不是所有与策略有关的变动，都会出现“立即生效”的提示，操作过程中，应该及时观察该提示是否出现。

7. 查询

网络流量通过NS-ICG时，NS-ICG根据系统设置的访问控制策略产生访问日志信息。针对整个网络的访问日志，ICG提供的历史日志信息的查询功能可为网络管理员的决策和管理提供重要的数据依据。

在集中管理端，能够直接查询下属设备的历史日志信息，查询功能包括应用流量、网站访问、邮件收发、在线聊天、论坛发帖、搜索引擎、上网时长、应用明细、FTP审计、TELNET审计和文件审计。

功能名称：查询

功能描述：可以根据相关的查询条件，查询指定设备的历史日志。

功能启动步骤：【查询】

详细操作过程：

第1步：点击查询，进入查询页面，如下图：

图 71用户查询-默认查询条件

画面中间分为上下两个模块，上面是“ICG设备列表”，下面是“查询选择”。“ICG设备列表”中显示了所有连接正常的设备端机器。“查询选择”中显示了可以查询的类型。

画面右边将显示指定设备端的指定查询类型的查询结果。

第2步：在“ICG设备列表”中选择一台设备端机器。

第3步：在“查询选择”中选择一种查询类型后，画面右边将显示查询结果，如下图：

图 72查询结果

对于查询结果，可以设置过滤条件进行查询。同时对于查询结果还可以保存、发送或删除操作。操作方式与在设备上操作是一致的。详细请参考《网康科技・互联网控制网关用户手册》相关章节。

8. 报告分析

系统支持预定义的统计排名模板，包括应用排名报告和时间走势报告，各种报告的说明请参考下表。生成报告后，可以进行邮送、打印及订阅。

报告模版及说明如下：

报告分类	报告名称	报告依据
应用排名报告	请求数最多的站点类别排名	请求数
	累积流量******的应用排名	流量
时间走势报告	WEB访问	请求数/总流量
	邮件发送	邮件数量/邮件流量
	POST发帖	发帖数量/发帖流量
	IM聊天	聊天条数
	应用流量	总流量/下载流量/上传流量

提示：

NSCMP系统于每日早晨8点钟自动从控制端设备读取报告。

8.1 报告条件

根据需要设置生成报告的条件，如选择用户、日期、时刻和排名等。报告条件依据所选择的报告种类而不同，以“请求数最多的站点类别排名”为例，进入如下图所示画面：

图 81 报告条件

Ø 指定设备：生成指定设备的报告。默认为所有用户；

Ø 指定日期：生成指定的日、周、月或者自定义日期区间的报告；

Ø 指定时间：生成指定时刻的报告；

Ø TOP：生成指定设备中排名前多少名用户的报告。默认条件为前100位用户。

提示：TOP值******可输入的数字为1000。

Ø 分图基数：所谓分图，是指将报告拆分呈若干张图进行显示。而每张图显示多少位用户的信息，就是基数。由于NS-ICG统计到的数据较多，当选择的TOP值较大时，无法将统计结果显示在同一张图中，为了方便用户查看，因此提供该功能。

提示：

1. 分图基数只支持柱状图，不支持饼图和表格。

2. 饼状图最多只显示排名前20名的数据信息，柱状图最多只显示排名前100项的数据信息，不受所设置的TOP值限制。

Ø 报告种类：在右上角选择生成的报告种类，如请求数最多的站点类别排名。

8.2 报告结果

根据设置的报告条件，生成报告。在报告结果中都会显示如下图这样的标题：

图 82 设置报告结果的显示形式及如何处理报告结果

Ø ：以饼状图形式显示报告结果。

Ø ：以柱状图形式显示报告结果。只有柱状图支持分图显示，所以在选择柱状图显示时，后方会显示如上图所示的“1-10”类似的下拉框。

Ø ：以表格形式显示报告结果。

Ø 保存：将报告以PDF格式保存到指定位置。

Ø 发送：将报告发送到指定电子信箱。

下面以一些典型的报告为例，进行说明：

图 83累积流量******的应用排名 饼状图

图 84累积流量******的应用排名 柱状图

图 85累积流量******的应用排名 表格

9. 系统管理

    系统管理包含有五项配置和管理功能：系统状态、权限配置、网络配置、产品授权信息、升级授权信息、申请授权、URL库更新、协议库更新、系统时间、邮件服务器、网络工具、操作日志和报警日志。主要用于系统的管理、维护、运行监控、故障辅助分析和诊断。

9.1 系统状态

    系统状态页面是登录进入系统后的默认页面，系统状态使用图表方式集中显示了系统运行状况的信息，通过查看系统状态页面，管理员可以快速了解到NS-CMP的运行状况是否正常、稳定。本页面的说明如下：

n 系统资源 – 基本信息：显示NS-CMP的硬件运行信息，如下图

Ø CPU负载：以百分比形式显示显示当前CPU的负载率。

Ø 内存使用：以百分比形式显示当前内存的使用率。

Ø 硬盘空间：显示当前硬盘的已用空间和可用空间，并提供较为直观的饼状图和百分比数据。

n 系统资源 – 其他信息：显示 NS-CMP的其他摘要信息。

Ø 系统版本：当前安装的系统版本号。

Ø URL最后更新时间：显示URL数据库最近一次更新的时间。

Ø 应用协议库最后更新时间：显示应用协议数据库最近一次更新的时间。

图 91系统状态-系统资源

n 设备24小时历史流量：以图形方式分别显示最近24小时通过NS-ICG的上传流量、下载流量和总流量。图表的横坐标为时间，单位为小时，纵坐标为流量，由于设备NS-ICG所处的网络环境差别较大，为了使流量信息更加清晰可读，在流量较小的情况下，使用bps，在流量较高的情况下，使用Kbps，在流量很高的情况下，使用Mbps，如下图：

图 92系统状态之历史流量

n 系统时间：显示NS-ICG系统的时间信息，如下图

图 93系统状态-系统时间

Ø 系统当前时间：NS-ICG系统当前的时间，可以在系统配置中进行更改，具体的步骤请参考“9.7 系统时间”章节。

Ø 上次开机时间：NS-ICG系统最近一次启动的时间。

Ø 持续运行时间：NS-ICG系统当前已持续运行的时间。

n 参数设置：设置页面信息的刷新间隔，同时可以设置显示的数据类型，如下图： 

图 94页面参数设置

9.2 权限配置 

功能名称：权限配置

功能描述：权限配置模块用于NS-CMP管理和维护人员。可以增加、修改、删除NS-CMP管理员，和进行权限配置。

功能启动步骤：【系统管理】→【权限配置】

详细操作过程：

第1步：进入如下图所示的主界面：

图 95权限配置-管理员列表

第2步：点击“添加管理员”按钮进入如下图：

图 96增加系统管理员

n 用户姓名：管理员的真实姓名；

n 登 录 名：用于登录NS-ICG管理界面时使用；

n 电子邮件：该管理员的电子邮件，用于邮件通知，如在丢失密码需要通过邮件方式找回时使用，请正确配置该项；

n 用户组：NS-ICG支持系统操作人员的权限级别配置，内置了三种不同权限的用户组级别：

ü 超级管理员：即ns25000用户，拥有最高权限，无法删除，可以使用全部功能

ü 管理员：默认享有对设备管理、策略管理和系统管理模块的权限，但没有查询和统计分析模块的权限。其可使用的功能由超级管理员设定

ü 审计员：默认享有查询和统计分析的权限，但没有设备管理、策略管理和系统管理模块的权限。其可使用的功能由超级管理员设定。

n 密码：管理员密码。

提示：在新建管理员时，密码不允许为空；在更新用户时，如果密码项为空，系统会保留用户原有密码

第3步：填写各项参数，并选择用户组，点击“确定”按钮，即可添加一位管理员或审计员。如下图：

图 97列表

n 姓名：点击姓名，进入如图 96增加系统管理员所示画面，可以修改对应管理员信息；

n 删除：点击相应帐号的“删除”按钮，可以删除相应帐号。

n 权限列表：设置帐号权限。点击“权限”连接，进入如下图：

图 98权限设置

第4步：设置权限，点击“确定”按钮。

提示：

1．只有超级管理员可以进行管理权限的设置。 

2．上下级用户的管理主要体现在策略设置中，被管理低级别审计员无法修改、移动其管理员设置的策略。

3. 其他级别用户可以查看自己的权限，但是不能够进行修改，同时无法查看其他用户的权限。

9.3 网络配置

网络配置是NS-CMP重要配置项之一，配置网络是配置NS-CMP的第一步。

9.3.1 网络基本配置

功能名称：网络配置

功能描述：配置网络参数，确保NS-CMP可以正常运行。

功能启动步骤：【系统管理】→【网络配置】

详细操作过程：

第1步：进入如下配置界面，主要的配置项说明如下。

图 99网络基本配置-接口地址与DNS

n IP地址配置： 

Ø IP地址：填写NS-CMP的IP地址，比如192.168.1.23。

注意：

请确保此IP与被管控的所有NS-ICG设备可以建立TCP连接。

Ø IP掩码：根据根据企业实际网络环境设置，如255.255.255.0。 

Ø 缺省网关：设置NS-CMP可以连接互联网的网关地址。

n DNS配置： 

Ø 设置DNS的地址，主DNS服务器地址必填，且需格式正确、真实无误。辅DNS服务器地址为非必填项。 

第2步：配置好相关参数后，点击“确定”按钮；

第3步：若想让最新的配置立即生效，请点击右上方“立即生效”按钮。

9.3.2 网络高级配置

9.3.2.1 路由配置

功能名称：路由配置

功能描述：为NS-CMP配置静态路由。

功能启动步骤：【系统管理】→【网络配置】→【网络配置】

详细操作过程：

第1步：点击“路由配置”按钮，进入下图：

图 910路由配置

第2步：输入目的地址和下一跳后，点击“添加”按钮。添加的路由将以列表的形式显示在下方表格中。点击“返回”按钮，可以返回至上一级菜单。

9.3.2.2 多IP配置

功能名称：多IP配置

功能描述：为NS-CMP配置多个IP地址。

功能启动步骤：【系统管理】→【网络配置】→【网络配置】

详细操作过程：

第1步：点击“多IP配置”按钮，进入下图：

图 911网络高级配置-多IP配置

n 多IP配置： 

Ø IP地址：设置其他IP地址，如192.168.9.60，设置后可以通过添加的地址访问NS-CMP。

Ø IP掩码：根据实际情况设置，如255.255.255.0。

Ø 接口：只能为网桥接口。

第2步：根据实际情况输入上述内容，点击“添加”按钮后，输入的信息将对应显示在画面下方区域。

9.3.2.3 VPN配置

NS-ICG在各个组织、企业中的部署方式是不同的。有的组织中NS-ICG设备并没有互联网IP地址，也不能通过端口映射等方式将NS-ICG的相应端口转换到互联网中。而集中管理平台需要能够访问NS-ICG设备以实现集中控管的功能。为了保证集中管理平台的正常运行，我们提供“VPN配置”功能。使用方法如下：

第1步：确认该NS-ICG是被集中管理。如果该NS-ICG是独立工作，请不要使用该功能。

第2步：组织为集中管理平台配置一个公网IP地址。

第3步：在集中管理平台中点击【系统管理】→【网络配置】→【VPN配置】（按钮），进入如下图所示页面：

图 912 VPN配置

Ø 启动VPN服务：开启VPN服务。

Ø VPN IP范围：用于建立VPN虚拟通道，为控制端NS-ICG分配VPN IP地址。

提示：

VPN IP的范围填写方法是：IP地址和子网掩码。IP地址要求必须是以0结尾。其他没有限制。例如：192.168.196.0，子网掩码为255.255.255.0。

第4步：勾选“启动VPN服务”选项，并填写VPN IP范围。

第5步：点击“保存”按钮。系统会保存该配置。如果在集中管理端已经配置了NS-ICG，且启用了VPN服务，则集中管理系统会自动和NS-ICG尝试连接，连接成功后，会详细显示，如下图：

图 913 VPN连接结果

提示：

1. 上图列表中的“远程IP”是指所连接的控制端NS-ICG的真实IP地址。

2. 启动VPN服务，要求集中管理端和控制端都开启了VPN服务。否则无效。

3. 请不要将集中管理的VPN地址与ICG内网地址设置为同一网段。

9.4 产品授权信息

功能名称：产品授权信息

功能描述：产品的使用许可。只有拥有了产品授权信息，才能正常使用网康NS-CMP系统。

功能启动步骤：【系统管理】→【产品授权信息】

详细操作过程：

详细步骤请参考“3.4 申请软件许可”章节。

9.5 URL库更新

功能名称：URL数据库更新

功能描述：网康核心URL分类数据库（简称URL数据库）是业界领先的URL数据库之一，共包含42个大项和若干子分类。为提供最准确且符合中国国情的Web访问内容过滤，提供强大的技术保障。

功能启动步骤：【系统管理】→【URL库更新】

详细操作过程： 

进入如下图所示主界面：

图 914设置URL数据库更新选项

n URL数据库信息：显示URL数据库最后的更新时间以及当前的版本号。

Ø 立即更新：手动更新数据库，点击后立刻从更新服务器上下载新的数据库文件。

n 自动更新数据库：设置数据库的自动更新

Ø 自动更新时间选择：根据不同的需要，用户可以选择每日或每周的某一时间由系统自动进行数据更新，建议选择网络比较空闲的时间段进行更新。用户需要确保自己的数据更新授权真实有效。

9.6 协议库更新

功能名称：应用数据库更新

功能描述：网康应用协议数据库是业界最全面的中国互联网应用协议数据库之一，针对中国地区网络应用的流行程度以及技术实现方式的专项分析，全面涵盖IM即时通讯、P2P共享下载、流媒体以及在线游戏等所有互联应用。

功能启动步骤：【系统管理】→【协议库更新】

详细操作过程： 

      进入如下图所示主界面：

图 915设置URL数据库更新选项

n 应用协议数据库信息：显示应用协议数据库最后的更新时间及当前版本号。

Ø 立即更新：手动更新数据库，点击后立刻从更新服务器上下载新的数据库文件。

n 自动更新数据库：设置数据库的自动更新

Ø 自动更新时间选择：根据不同的需要，用户可以选择每日或每周的某一时间由系统自动进行数据更新，建议选择网络比较空闲的时间段进行更新。用户需要确保自己的数据更新授权真实有效。

9.7 系统时间

功能名称：系统时间

功能描述：设置NS-CMP系统日期和系统时间

功能启动步骤：【系统管理】→【系统时间】

详细操作过程：

第1步：进入如下配置界面，配置完毕后，点击确认。配置项目描述如下：

图 916系统设置-日期和时间

NS-CMP为管理者提供了两种系统时间设定方式：

n 时间：手工设置日期和时间。

n 时区：用户根据自己的所在地，选择对应的时区。当系统通过网络与Internet时间服务器同步的时候，会根据设置的时区,对时间进行更新。

n Internet时间同步：选择“自动与Internet时间服务器同步”，在下拉菜单中选择时间服务器，点击“确定”。系统每天凌晨4:02分会自动与选定的时间服务器同步一次，保证系统时间的正确。没有时间同步服务器的情况下，不能使用该功能。

n 添加删除Internet时间服务器：用户可以根据实际情况添加和删除Internet时间同步服务器。在没有时间服务器的情况下，不可以进行Internet时间同步更新操作，也不能开启自动同步时间功能。

n 立即更新：使用当前选择的时间同步服务器和设置的时区，进行时间同步更新操作。没有时间同步服务器的情况下，不能使用该功能。

提示：

1. 确定时间服务器当前可用，如果发现时间服务器不能更新的情况，请更换时间服务器。

2. 更新时间后，已经记录在数据库的时间不会发生变化，可能会导致某些与时间相关的查询结果有误。

9.8 邮件服务器

功能名称：邮件服务器

功能描述：正确配置邮件服务，确保邮件通知功能可以正确运行，如密码丢失后发送修改密码信息或发送订阅的报告等。

功能启动步骤：【系统管理】→【邮件服务器】

详细操作过程：

第1步：进入如下配置界面，配置完毕后，点击保存。配置项目描述如下：

图 917系统设置-邮件服务器

n 发件人信息：

Ø 电子邮件地址：发送信件时使用的电子邮件地址，即发件人。

n 服务器信息：

Ø 发送邮件服务器（SMTP）：邮件服务器域名或IP地址；

Ø SMTP服务器端口：服务器的端口号，默认为25。

n 登录信息：

Ø 是否要求认证：如果smtp服务器需要用户认证时选择“是”，否则选择“否”；

Ø 邮箱账号：正确的邮箱账号，用于用户认证，不需要认证时可以不填。

Ø 密码：对应上面账号的密码

第2步：保存后，可以发送测试邮件来测试是否正确配置了邮件服务器、邮件服务器是否能正常工作。收信地址中，填写正确的邮件地址，之后点击“测试邮件设置”按钮，系统将发送测试邮件到填写的邮箱。

图 918系统配置-测试邮件服务器配置