目前很多企業(yè)用戶都采購部署了上網(wǎng)行為管理產(chǎn)品，以創(chuàng)建和諧、高效、安全的互聯(lián)網(wǎng)訪問環(huán)境。為了滿足廣大IT管理者不斷優(yōu)化上網(wǎng)行為管理的需求，我們將就主流上網(wǎng)行為管理產(chǎn)品網(wǎng)康NS－ICG為實例，進行上網(wǎng)行為管理中常用的各種策略進行配置指導(dǎo)講解，講解如何一步一步配置***的上網(wǎng)行為管理策略。

今天，我們將講解上網(wǎng)行為管理的最基礎(chǔ)配置策略，也是最重要的：互聯(lián)網(wǎng)實名制上網(wǎng)。

為什么要實名制上網(wǎng)：

眾所周知，互聯(lián)網(wǎng)上大部分行為時虛擬行為，通常無法跟蹤真實的行為軌跡。要想杜絕各種互聯(lián)網(wǎng)上的風(fēng)險，就必須能夠?qū)⑻摂M行為和真實身份對應(yīng)上，這樣才能發(fā)現(xiàn)問題來源，從行為根源上杜絕風(fēng)險。

實名制上網(wǎng)的技術(shù)原理：

我們知道，網(wǎng)絡(luò)報文永遠不變的是5元組（源/目的MAC；源/目的IP；上層協(xié)議），真實的用戶名不會在所有的報文中出現(xiàn)。因此我們必須營造出一次機會，讓用戶名和一個源IP同時出現(xiàn)，然后記住這個對應(yīng)關(guān)系，今后在老化期內(nèi)，這個IP的所有行為就代表著這個用戶的行為。

運營商流行的幾種實名制上網(wǎng)的類型：

由于上網(wǎng)行為管理產(chǎn)品通常是后來者，運營商通常已經(jīng)有了自己的用戶認證系統(tǒng)，例如LDAP, RADIUS , PORTAL等。因此要想讓運營商順暢的完成實名制上網(wǎng)就需要有和這些系統(tǒng)聯(lián)動的認證機制。

配置實戰(zhàn)

不對說了，下面我們用真實的過程來解開網(wǎng)康科技在運營商實現(xiàn)實名制上網(wǎng)的配置過程吧。這次我們以運營商的辦公網(wǎng)絡(luò)較為普遍的LDAP（SUN-LDAP NOVELL-ED 微軟-AD等）為例，配置很簡單，需要2步就可以了。

***步: 導(dǎo)入LDAP用戶

為了使今后可以根據(jù)實名用戶和部門配置策略、需要將現(xiàn)有LDAP的用戶導(dǎo)入到NS-ICG中，如果不想針對實名用戶或部門配置策略，僅僅想在行為日志中看到實名用戶則可以忽略這步。

點擊：用戶管理-用戶導(dǎo)入-LDAP導(dǎo)入-添加 即可出現(xiàn)下面的頁面

根據(jù)提示將各個字段填寫完全，相信LDAP的管理員一定十分了了解每個字段的含義，網(wǎng)康NS-ICG可以自動識別SUN、NOVELL、AD的類型，這一點十分方便。

如果有多個LDAP服務(wù)器可以重復(fù)上述過程即可，NS-ICG獨有的多LDAP服務(wù)器聯(lián)動是一個擴展性很強的功能。

當(dāng)服務(wù)器信息配置完畢后，點擊導(dǎo)入即可

第二步: 配置LDAP聯(lián)動認證

這一步的操作將使得用戶上網(wǎng)后會彈出LDAP認證界面。用戶輸入用戶名、密碼后，NS-ICG使用LDAP標準協(xié)議將認證信息轉(zhuǎn)發(fā)給LDAP服務(wù)器。LDAP判斷合法性后，通過標準協(xié)議告知NS-ICG合法與否。NS-ICG會把用戶信息在今后的策略和日志中引用。

點擊：認證管理-LDAP認證-配置

填寫上述信息即可完成最終配置

通過這樣的配置在NS-ICG中的用戶日志和組織結(jié)構(gòu)都具備了實名制用戶信息。