第5章：网康ICG的【用户管理】

P1第5章网康ICG的【用户管理】第5章P2培训提纲相关术语说明2用户管理的重要性31ICG的用户管理功能33P3用户管理的重要性什么是用户管理？P4用户管理的重要性用户是什么？（从网络管理者的视角看）用户是互联网访问的标识主体（即谁在访问）什么是用户？（从ICG的视角看）用户可以是一台以IP识别的PC如果用户环境是DHCP？用户可以是一台以MAC识别的PC如果用户环境的PC是公用的，或者一个用户可以在多台PC上登录？用户可以是一个用户身份识别系统中的用户名（这个用户名可能以多个IP访问互联网）P5用户管理的重要性用户管理的意义所有的管理都是基于用户的，那ICG怎样定位不同的用户？1、能够将互联网访问动作与唯一的用户对应起来如果没有用户管理，出现问题时无法将问题定位到具体的用户上2、能够实现对上网用户的管理控制如果没有用户管理，不具备网络访问权限的内网用户可以随意访问外部网络3、能够基于“用户/用户组”实现各种不同的访问控制如果没有用户管理，根据人员信息配置的各种策略无法正确地生效P6用户管理的重要性ICG怎样定位每个用户？ICG通过IP/MAC或者用户名来定位用户，以使用邮件账号作为用户名为例，ICG通过将每个报文定位到一个邮件账号来定位用户ICG的用户管理是基于IP的：ICG通过不同手段（与使用的“识别/认证”方式有关系）建立IP地址和用户的映射关系，每个通过ICG的报文里都会有源IP信息，ICG可以根据源IP地址将报文定位到每个用户在实际网络中，不是每个报文里都会有邮件帐号的信息，怎么将这些报文定位到用户呢？P7培训提纲相关术语说明2用户管理的重要性31ICG的用户管理功能33P8用户管理相关术语说明组织管理：•公司的组织结构一般就是用户和组，可以用多级的组来标识上下级部门的关系•添加、维护用户和组的信息，从而建立起和本单位实际组织结构相一致的组织信息•如果ICG上没有组织架构，将无法从策略中引用相关用户的信息，只能对全部用户做统一的策略P9用户管理相关术语说明用户导入：•不是采用手动的方式在ICG上建立组织架构，而是通过已经存在的用户数据批量地写入到ICG系统中，完成组织架构的建立认证管理：•配置用户上网时采用的显示和管控方式•如果没有“认证/识别”管理的功能，设备仅仅能够记录网络行为对应的IP地址信息，查看日志时无法显示人员身份，也无法将出现的问题定位到具体的用户P10培训提纲相关术语说明2用户管理的重要性31ICG的用户管理功能33P11用户管理配置的思路根据以上了解的信息，整理配置用户管理的思路：1、根据内网用户的真实架构在ICG上建立对应的用户组织架构，比如不同的部门2、为组织架构中的每个部门手动添加或者自动导入用户信息3、配置内网用户的上网方式：认证管理P12实现用户管理的准备工作配置用户管理功能之前，请了解以下信息：1、客户希望内网用户通过何种方式上网，可以是以下两种方式：直接访问外网，不需要任何认证通过弹出的认证框认证之后才能上网2、如果允许内网用户直接访问外网，需要知道内网用户的组织架构：有哪些部门，某个部门的内网用户分配哪个IP网段网络管理员为每个用户分配的用户名（用于ICG上的实时显示）3、如果希望内网用户通过认证上网，需要知道：内网用户的组织架构网络管理员为每个用户分配的用户名（用于ICG上的实时显示）网络管理员为每个用户分配的登录名（用于通过ICG的认证）P13建立组织架构根据用户真实的组织架构建立对应的用户/用户组ROOT是组织架构的起点，可以将其更名为客户的公司名称P14建立组织架构—IP组什么是IP组：按照IP网段建立用户组，当该IP网段内的用户上网时，将自动被添加到IP组中，且用户名显示为其对应IP地址。同时，在建立该IP用户组时所设置的适用策略将自动对这些用户生效。IP组功能方便用户一次性建立大量用户。适用于DHCP的网络环境建立“研发三部”这个IP组之后，每当这个网段之内的IP上线之后ICG会自动将其归入“研发三部”这个部门P15建立组织架构组织架构建立但是每个部门还没有具体的用户，需要添加用户P16添加用户添加用户的两种方式：自动导入手动添加P17用户导入－IP导入IP导入分为二层IP导入和三层IP导入二层IP导入适合二层网络环境（没有三层交换机）当网络环境中有三层交换机的时候，使用三层IP导入P18用户导入－二层IP导入1、勾选开机扫描时，开启了防火墙的计算机将无法被ICG扫描到2、勾选开机扫描时，如果被扫描的网段和ICG不在同一个网段，则只能扫描到IP地址，不能扫描到MAC地址3、不勾选开机扫描，ICG将不进行主机的探测，而是将IP段内所有的IP都写到扫描结果中1、必须是TXT的文本文件2、文档中只能包含IP，MAC信息，不包含用户名扫描的IP范围要在一个C类地址内，否则会报错。目的是避免扫描网段过大，导致扫描时间过长P19用户导入－二层IP导入二层IP导入结果整理勾选填充用户名按钮后，所有记录将自动用IP作为各自的用户名，但可以手工更改一些用户名用户名为必填项，不填会导入失败，可以手工填写导入的位置，比如可以选择导入到研发部门P20用户信息编辑用户名和登录名有什么区别？P21用户名和登录名用户名和登录名：用户名是必填项，它是系统监控中显示的用户名称登录名是用于认证的名称，当认证有效期到达后，用户对应的登录名将不再对ICG产生作用，如果对应用户想访问网络需要重新认证P22组织管理用户名和登录名：如果同时配置了用户名和登录名，并且开启了认证，则对应用户在访问网络的时候需要在弹出的认证窗口中填写登录名和密码，但是系统监控中显示的是用户名登录名用户名P23认证管理ICG的识别认证类型P24IP身份识别无需配置，直接启用，仅仅用于代表用户身份P25IP身份识别如果希望正确显示用户名，需要确保内网是静态IP地址环境，如果是DHCP环境，需要开启WEB本地认证P26WEB本地认证需要配置之后才能启用，启用之后内网用户需要通过认证才能访问外网P27WEB本地认证可以为所有内网用户分配统一的全局密码P28WEB本地认证内网用户通过浏览器访问外网时会弹出认证对话框，输入登录名和密码通过认证方可上网用户名P29练习题目1.请简要说明ICG的用户管理中用户名和登录名的区别2.分组讨论：ICG的用户管理是什么？为什么用户管理很重要，以及ICG是如何定位每一个用户的。3.分组讨论：当我们需要在ICG设备配置用户时，需要从客户哪里获取到什么信息,为什么4.实验：请根据如下信息对ICG设备配置用户，并实现WEB认证上网功能并验证用户名如下，登录名为员工名字的中文拼音，登录密码统一为123.网康公司：产品部：张三192.168.1.1市场部：李四192.168.1.2研发部：王五192.168.1.35.实验：请把192.168.1.1到192.168.1.10导入到ICG设备中网康公司产品部，对应用户名为A1到A10，并在系统查看中相应用户名，是否正确。谢谢！网康科技助您上好网用好网