目前很多企業(yè)用戶都采購部署了上網(wǎng)行為管理產(chǎn)品，以創(chuàng)建和諧、高效、安全的互聯(lián)網(wǎng)訪問環(huán)境。為了滿足廣大IT管理者不斷優(yōu)化上網(wǎng)行為管理的需求，我們將就主流上網(wǎng)行為管理產(chǎn)品網(wǎng)康NS－ICG為實(shí)例，進(jìn)行上網(wǎng)行為管理中常用的各種策略進(jìn)行配置指導(dǎo)講解，講解如何一步一步配置***的上網(wǎng)行為管理策略。

今天，我們將講解上網(wǎng)行為管理的最基礎(chǔ)配置策略，也是最重要的：互聯(lián)網(wǎng)實(shí)名制上網(wǎng)。

為什么要實(shí)名制上網(wǎng)：

眾所周知，互聯(lián)網(wǎng)上大部分行為時(shí)虛擬行為，通常無法跟蹤真實(shí)的行為軌跡。要想杜絕各種互聯(lián)網(wǎng)上的風(fēng)險(xiǎn)，就必須能夠?qū)⑻摂M行為和真實(shí)身份對(duì)應(yīng)上，這樣才能發(fā)現(xiàn)問題來源，從行為根源上杜絕風(fēng)險(xiǎn)。

實(shí)名制上網(wǎng)的技術(shù)原理：

我們知道，網(wǎng)絡(luò)報(bào)文永遠(yuǎn)不變的是5元組（源/目的MAC；源/目的IP；上層協(xié)議），真實(shí)的用戶名不會(huì)在所有的報(bào)文中出現(xiàn)。因此我們必須營造出一次機(jī)會(huì)，讓用戶名和一個(gè)源IP同時(shí)出現(xiàn)，然后記住這個(gè)對(duì)應(yīng)關(guān)系，今后在老化期內(nèi)，這個(gè)IP的所有行為就代表著這個(gè)用戶的行為。

運(yùn)營商流行的幾種實(shí)名制上網(wǎng)的類型：

由于上網(wǎng)行為管理產(chǎn)品通常是后來者，運(yùn)營商通常已經(jīng)有了自己的用戶認(rèn)證系統(tǒng)，例如LDAP, RADIUS , PORTAL等。因此要想讓運(yùn)營商順暢的完成實(shí)名制上網(wǎng)就需要有和這些系統(tǒng)聯(lián)動(dòng)的認(rèn)證機(jī)制。

配置實(shí)戰(zhàn)

不對(duì)說了，下面我們用真實(shí)的過程來解開網(wǎng)康科技在運(yùn)營商實(shí)現(xiàn)實(shí)名制上網(wǎng)的配置過程吧。這次我們以運(yùn)營商的辦公網(wǎng)絡(luò)較為普遍的LDAP（SUN-LDAP NOVELL-ED 微軟-AD等）為例，配置很簡(jiǎn)單，需要2步就可以了。

***步: 導(dǎo)入LDAP用戶

為了使今后可以根據(jù)實(shí)名用戶和部門配置策略、需要將現(xiàn)有LDAP的用戶導(dǎo)入到NS-ICG中，如果不想針對(duì)實(shí)名用戶或部門配置策略，僅僅想在行為日志中看到實(shí)名用戶則可以忽略這步。

點(diǎn)擊：用戶管理-用戶導(dǎo)入-LDAP導(dǎo)入-添加 即可出現(xiàn)下面的頁面

根據(jù)提示將各個(gè)字段填寫完全，相信LDAP的管理員一定十分了了解每個(gè)字段的含義，網(wǎng)康NS-ICG可以自動(dòng)識(shí)別SUN、NOVELL、AD的類型，這一點(diǎn)十分方便。

如果有多個(gè)LDAP服務(wù)器可以重復(fù)上述過程即可，NS-ICG獨(dú)有的多LDAP服務(wù)器聯(lián)動(dòng)是一個(gè)擴(kuò)展性很強(qiáng)的功能。

當(dāng)服務(wù)器信息配置完畢后，點(diǎn)擊導(dǎo)入即可

第二步: 配置LDAP聯(lián)動(dòng)認(rèn)證

這一步的操作將使得用戶上網(wǎng)后會(huì)彈出LDAP認(rèn)證界面。用戶輸入用戶名、密碼后，NS-ICG使用LDAP標(biāo)準(zhǔn)協(xié)議將認(rèn)證信息轉(zhuǎn)發(fā)給LDAP服務(wù)器。LDAP判斷合法性后，通過標(biāo)準(zhǔn)協(xié)議告知NS-ICG合法與否。NS-ICG會(huì)把用戶信息在今后的策略和日志中引用。

點(diǎn)擊：認(rèn)證管理-LDAP認(rèn)證-配置

填寫上述信息即可完成最終配置

通過這樣的配置在NS-ICG中的用戶日志和組織結(jié)構(gòu)都具備了實(shí)名制用戶信息。