目前很多企业用户都采购部署了上网行为管理产品,以创建和谐、高效、安全的互联网访问环境。为了满足广大IT管理者不断优化上网行为管理的需求,我们将就主流上网行为管理产品网康NS-ICG为实例,进行上网行为管理中常用的各种策略进行配置指导讲解,讲解如何一步一步配置***的上网行为管理策略。
今天,我们将讲解上网行为管理的最基础配置策略,也是最重要的:互联网实名制上网。
为什么要实名制上网:
众所周知,互联网上大部分行为时虚拟行为,通常无法跟踪真实的行为轨迹。要想杜绝各种互联网上的风险,就必须能够将虚拟行为和真实身份对应上,这样才能发现问题来源,从行为根源上杜绝风险。
实名制上网的技术原理:
我们知道,网络报文永远不变的是5元组(源/目的MAC;源/目的IP;上层协议),真实的用户名不会在所有的报文中出现。因此我们必须营造出一次机会,让用户名和一个源IP同时出现,然后记住这个对应关系,今后在老化期内,这个IP的所有行为就代表着这个用户的行为。
运营商流行的几种实名制上网的类型:
由于上网行为管理产品通常是后来者,运营商通常已经有了自己的用户认证系统,例如LDAP, RADIUS , PORTAL等。因此要想让运营商顺畅的完成实名制上网就需要有和这些系统联动的认证机制。
配置实战
不对说了,下面我们用真实的过程来解开网康科技在运营商实现实名制上网的配置过程吧。这次我们以运营商的办公网络较为普遍的LDAP(SUN-LDAP NOVELL-ED 微软-AD等)为例,配置很简单,需要2步就可以了。
***步: 导入LDAP用户
为了使今后可以根据实名用户和部门配置策略、需要将现有LDAP的用户导入到NS-ICG中,如果不想针对实名用户或部门配置策略,仅仅想在行为日志中看到实名用户则可以忽略这步。
点击:用户管理-用户导入-LDAP导入-添加 即可出现下面的页面
根据提示将各个字段填写完全,相信LDAP的管理员一定十分了了解每个字段的含义,网康NS-ICG可以自动识别SUN、NOVELL、AD的类型,这一点十分方便。
如果有多个LDAP服务器可以重复上述过程即可,NS-ICG独有的多LDAP服务器联动是一个扩展性很强的功能。
当服务器信息配置完毕后,点击导入即可
第二步: 配置LDAP联动认证
这一步的操作将使得用户上网后会弹出LDAP认证界面。用户输入用户名、密码后,NS-ICG使用LDAP标准协议将认证信息转发给LDAP服务器。LDAP判断合法性后,通过标准协议告知NS-ICG合法与否。NS-ICG会把用户信息在今后的策略和日志中引用。
点击:认证管理-LDAP认证-配置
填写上述信息即可完成最终配置
通过这样的配置在NS-ICG中的用户日志和组织结构都具备了实名制用户信息。