目录
1. 前言 .. 1
2. 准备知识....... 2
3. ICG产品及部署 ....... 4
3.1. 单网桥部署 .. 4
3.2. 双/多网桥 ... 5
3.3. 单端口/多端口镜像5
3.4. 单入单（多）出网关部署 .. 6
3.5. 产品划分 ...... 8
4. 用户导入与认证 ....... 9
4.1. 网康自定义导入 ...... 9
4.2. LDAP导入的步骤 .. 9
4.3. 界面备份用户组织11
4.4. MAC身份识别与绑定 ...... 11
4.5. 透明用户识别 ........ 12
4.6. WEB认证 . 14
4.7. 客户端认证15
4.8. 高级配臵 .... 15
5. 策略建立......17
5.1. 策略网段与黑白名单 ........ 17
5.2. BYPASS域名与白名单的区别....... 18
5.3. 应用控制策略 ........ 18
5.4. HTTP应用审计策略 ........ 19
5.5. 流量控制策略 ........ 20
5.6. 应用限额策略 ........ 22
5.7. 邮件审计策略 ........ 23
5.8. 其它审计类24
5.9. 用户带宽上限 ........ 25
6. 日志类 .........26
6.1. 订阅报告 .... 26
6.2. 查询统计类28
6.3. 日志导出 .... 29
7. 系统配臵......31
7.1. 引擎和BYPASS的联系和区别...... 31
7.2. 修改网卡MTU和MSS ....... 31
7.3. 界面访问限制 ........ 31
7.4. 映射的配臵32
7.5. 代理功能 .... 33
7.6. 权限配臵 .... 34
7.7. SNMP与SNMP TRAP的使用 ......... 36
7.8. 常见受限SHELL的使用 ... 38
8. 配件-日志中心 ........40
8.1. 日志中心的安装以及卸载40
8.2. 日志中心授权的申请 ........ 40
8.3. 日志中心日志删除以及归档时间41
8.4. 日志中心与ICG的交互... 42
9. 配件—集中管理平台 ...........43
9.1. 集中管理平台的安装和升级 ........ 43
9.2. 集中管理平台可使用的VPN地址池 ...... 43
9.3. 集中管理向ICG策略的下发流量控制策略 ....... 43
9.4. 通过集中管理平台升级URL、应用协议库、以及版本 . 44
10. 版本升级..45
10.1. 授权导入45
10.2. 版本、URL库、应用协议库升级 ....... 45
10.3. 恢复出厂设臵 .... 45
11. 附录 .....47
附录一场景案例一：跨三层IP映射 .... 47
附录二场景案例二：日志中心显示尚未同步 .. 48
1. 前言
本教材由客户服务部技术中心编写，主要用于网康科技初级认证服务工程师（NCSA）培训使用。

本书阐述了设备部署、策略配臵、用户管理、日志中心、集中管理等方面的使用，不针对特定的ICG
版本或者定制的版本。

面向读者：本书适用于新加盟的初级网康服务商工程师，初次接触网康设备的管理人员，具备一些
通用的计算机网络经验或linux知识将有助于更好的理解本书的内容，不要求读者具备编程能力。

2. 准备知识
为了保证我们的培训能达到预期中的效果，请学员将下列准备知识中的要点进行预习。

网桥模式（bridge）：网桥将两个相似的网络连接起来，并对网络数据的流通进行管理。它工作于
数据链路层，不但能扩展网络的距离或范围，而且可提高网络的性能、可靠性和安全性。相对于连接的
两个网络，网桥设备是透明的，不会改变现有网络设备的路由。

网关模式(Gateway)：网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网
络互连设备，仅用于两个高层协议不同的网络互连。可以分为nat模式和路由模式，ICG做网关目前
只支持nat模式
三层交换机：含有简单路由功能的交换机，与路由器相比，他具备更多的物理网口。三层交换机的
最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次
路由，多次转发
SNMP(Simple Network Management Protocol,)：简单网络管理协议)的前身是简单网关监控协
议(SGMP)，用来对通信线路进行管理。目前该协议的版本包含V1，V2C,V3.网康可以通过snmp协
议，读取三层交换机的MIB库中的IP和MAC信息，来实现三层环境下的
ISA代理服务器：ISA（Internet Security Acceleration）目前的版本有ISA2000 ISA2004
ISA2006 ISA2008，是一款微软出品的著名路由级网络防火墙。其主要功能有：防火墙、虚拟专用网、
网页缓存
三次握手协议：三次握手（three times handshake；three-way handshaking）所谓的三次
握手即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量
而确定的数据确认数及数据发送、接收完毕后何时撤消联系，并建立虚连接。为了提供可靠的传送，
TCP在发送新的数据之前，以特定的顺序将数据包的序号，并需要这些包传送给目标机之后的确认消
息。TCP总是用来发送大批量的数据。当应用程序在收到数据后要做出确认时也要用到TCP。

数据库：数据库（Database）是按照数据结构来组织、存储和管理数据的仓库，它产生于距今五
十年前，随着信息技术和市场的发展，特别是二十世纪九十年代以后，数据管理不再仅仅是存储和管理
数据，而转变成用户所需要的各种数据管理的方式。数据库有很多种类型，从最简单的存储有各种数据
的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用。

行为管理产品：上网行为管理指帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、
网络应用控制、带宽流量管理、信息收发审计、用户行为分析，是属于应用层的产品，实现对互联网访
问行为的全面管理。在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安
全等多个方面提供最有效的解决方案。

超级终端：超级终端的原理是将用户输入随时发向串口（采用TCP协议时是发往网口，这里只说
。。。