-
网络审计参数
一、性能及配置要求
项目
吞吐量
并发会话数
用户规模
设备接口
硬盘
内存
BYPASS
≥
500Mb
≥
500,000
≥
1200
人
6
个千兆电口,
1
个
RJ45
串口
≥
250GB
≥
1GB
支持
性能
二、功能要求
项目
指标
网关模式
部署
方式
网桥模式
旁路模式
多路桥接
多主模式
管理界面
网关
管理
分级管理
集中管理
告警管理
设备资源信息
流量状态
安全状态
上网行为监控
本地认证
第三方认证
用户
管理
双因素认证
IP
、
MAC
认证
具体功能要求
支持网关模式,支持<
/p>
NAT
、路由转发、
DHCP
等功能;
支持网桥模式,以透明方式串接在网络中;
支持旁路模式,无需更改网络配置,实现上网行为审计;
*
支持多路桥接功能,最多可支持四进四出四网桥模式;
*
支持两台及两台以上设备同时做主机的部署模
式;
*
支持
SSL
加密
WEB
方式、
SSH
命令行方式管理设备;
*
不同用户组的管理权限支持分配给不同管理员;
多台设备支持通过统一平台集中管理、集中配置等;
*
被控设备加入统一平台支持以硬件证书验证身份;
*
支持攻击、泄密告警,危险行为告警、邮件延迟审计告
警等;
提供设备实时
CPU
、内存、磁盘占有率、会话数、在线用户数、系统时间、
网络接口等信息
;
实时
监控
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理
状态、连接监控信息;
实时显示当天的安全状况,
最后发生安全事件的时间、类型、总次数、源对
象,帮助管理员管理内网安全;
实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间;
支持触发式
WEB
< br>认证,静态用户名密码认证等;
支持
LDAP
、
Radius
、
POP3
、
Pr
oxy
等第三方认证;
支持
ISA lotus ldapnovel
ldaporacle
、
sql server
、
db2
、
mysql
等数
据库等第三方认证;
*
支持以
USB-
Key
方式实现双因素身份认证;
支
持绑定
IP
认证、绑定
MAC
认证,及
IP/MAC
绑定认证等;
支持通过
SNMP
服务
器跨三层获取
MAC
地址;
支持当用户
MAC
地址变动时,需要重新认证;
1
新用户认证
公用账户
账户有效期
单点登录
根据新用户的源
IP
网段实现新用户差异化账户创建、自动分组、认证规则;
支持多人使用同一帐号登录,且支持重复登陆检测机制;
指定账户支持有效期限制,并支持自动过期;
支持
AD
、
POP3
、
Proxy
、
PPP
OE
、
H3C
IMC/CAMS
、锐捷
SAM
、城市
热点等系统进行认证单点登录,简化用户操作;
*
可强制指定用户、指定
IP
段的用户使用单点登录;
强制
AD
认证
安全组嵌套同步
认证失败
认证后页面跳转
*
< br>指定用户用
AD
域账户登录操作系统,否则禁止上网;<
/p>
支持
AD
安全
组嵌套同步;
支持为认证失败用户提供基本网络访问权限机制;
认证成功的用户支持页面跳转:
1.
跳转到用户原本输入的
URL
地址;
2.
跳转到管理员指定的
URL
地址;
3.
*
跳转到该用户上网信息排行页面;
4.
跳转到注销页面
;
帐户导入
支持从本地导入和扫描导入
,
支持以
CSV
格式文件导入帐户
/
分组
/IP/MAC/
< br>描述
/
密码等信息;
支持从外部
LDAP
服务器导入账户及分组信息
;
组织结构
用户状态查询
自动注销
冻结用户
用户密码强度
用户分组支持树形结构,支持父组、子组、组内套组等;
支持用户登录时间、注销时间、在线时长的查询;
支持自动注销指定时间内无流量的已认证用户;
支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录;
可设置用户密码不能等于用户名;
新密码不能与旧密码相同;
可设置密码最小长度;
可设置密码包
括数字或字母或特殊字符;(
提供产品界面截图
)
系统识别
文件识别
终端
管理
进程识别
注册表识别
自定义识别
终端准入
应用识别规则库
*
< br>支持识别终端操作系统版本、系统补丁安装情况;(提供自主知识产权证
明,加盖
厂商公章)
;
*
支持识别终端硬盘指定目录下的文件情况;
*
支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(提供自
主
知识产权证明,加盖厂商公章);
*
支持识别终端系统注册表中指定的表项和键值;
*
支持终端调用管理员指定脚本
/
程序以满足个性化
检查要求;
*
支持
win 7
64
位操作系统,支持在旁路模式部署下准入生效;
*
支持禁止不满足终端检查要求的用户访问互联网;
1
、
支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发
送电子邮件、降低
工作效率、外发文件泄密风险、主流论坛和微博发帖
6
大类;<
/p>
2
、
支持给每个应用自定义标签;
3
、
支持根据标签选择一类应用做控制;
4
、
支持对
每一种应用的定义和解释,帮助客户快速定位应用的分类;
5
、
支持给每一种应用列上图标,易于客户了解应用的特征。
(提供产品界面截图)
应用
管理
应用控制
1
、
设备内置应用识别规则库,
支持超过
1500
种以上的应用,
并保持每两个
2
星期更新一次,保证应用识别的准确率;(提供产品界面截图)
2
、支持根据应用的特征智能识别新更新的应用;
3
、支持根据
IP
、端口、协议等自定义应用规则;
4
、支持根据不同的应用类型或具体的某种应用设置允许或拒绝;
端口控制
代理控制
支持根据端口设定用户不允
许访问的目标
IP
组提供的服务;
1
、
不允许
使用外部
HTTP
代理;
2
、
不允许
使用外部
Sock4/5
代理;
3
、
不允许
在
HTTP,SSL
一些的标准端口上使用其他协议;(比如在
80
端
口上传输非
HTTP
协议数据,
在
443
端口上传输非
HTTPS
协议数据等)
防共享
静态
URL
库
URL
智能识别
SSL
加密网页
自定义
URL
关键字过滤
网页
管理
网页过滤
1
、
具有防
共享上网功能,
可检测到内网共享代理上网行为,
并冻结该用户
;
2
、
<
/p>
在数据中心报表中可查询通过共享上网的
IP
、用户,并能导出报表;
设备内置海量预分类的
URL
地址库,支持根据
URL
类别实现
URL
过滤;
*
支持未知网页的自动识别与分类(提供界面证明);
*
支持根据用户训练的关键字、
< br>url
、自动分类未知网页;
*
识别并过滤
SSL
< br>加密的钓鱼网站、金融购物网站、非法网站等(提供自主
知识产权证明,加盖厂商
公章)
;
设备支持管理者自定义新的
URL
地址和
URL
< br>分类;
过滤同时匹配三个以上关键字的搜索行为;
< br>*
过滤同时匹配三个以上关键字的网页访问行为;
*
支持根据访问的
URL
< br>、网页关键字进行网页过滤,支持设置拒绝以
IP
访问<
/p>
网页行为;
*
支持在放行
URL
时,自动放行主域名的子链接中被禁止的网站
,保证网页
显示完整;
发帖管理
SSL
发帖管理
网页附件管理
外发文件告警
过滤同时匹配三个以上关键字过滤的网络发帖行为;
*
支持允许用户浏览帖子但不准发帖功能;
<
/p>
*
支持基于关键字过滤
SSL
加密的网页、论坛、
BBS
上的发帖行为;
支持根据文件类型限制
http
、
FTP
方式上传、下载行为;
< br>
支持对
HTTP
、
FTP
、
Email
附件
等方式外发文件的识别、报警、过滤等管理
措施;
支持根据外发文件类型、关键字等条件的过滤告警,
文件
扩展名识别
改扩展名识别
压缩识别
加密识别
邮件地址过滤
邮件附件过滤
邮件
管理
邮件关键字过滤
Webmail
管理
邮件延迟审计
支持基于外发文件的扩展名识别外发文件类型;
*
能识别删除扩展名的外发文件类型并报警
*
能识别篡改扩展名的外发文件类型并报警
*
能解压压缩文件后再识别内含真实文件类型并报警;
*
能识别加密文件外发行为并报警;
支持根据源地址和目的地址过滤外发邮件;
支持基于扩展名过滤含指定文件类型的邮件外发行为;
*
支持识别删除、篡改文件扩展名的邮件附件外发行为并报警;(提供
界面
证明);
支持根据附件大小、附件个数限制外发邮件;
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为;
*
支持允许用户登录
Webmail
收邮件,而禁止发送
Webmail
邮件的功
能;
*
支持延迟外发问题邮件,人工
审核后再外发的邮件处理机制;
3
管理
无扩展名识别
*
支持根据收件人地址、邮件标题和内容包含关键字、邮件大小、附件个数、
抄送人数
等条件设置延迟审计的邮件;
*
支持
当检测到有邮件被延迟审计时,系统自动发送一封通知发送到管理员
邮箱;
SSL
邮件管理
加密
Webmail
管
理
加密
SMTP
< br>邮件过
滤
加密
SMTP
、
POP3
邮件审计
上网时长控制
时间配额
上网
权限
管理
并发连接控制
上网时间提醒
上网流速提醒
策略复用
策略有效期
排除
IP
排除域名
带宽管理
多线路技术
虚拟多线路
父子通道
应用流控
流量
控制
动态流控
P2P
智能流控
单
IP
限制
用户带宽分配
Wan-
lan
流控
时间控制
目标
IP
流控
流量配额
上网
上网安全桌面
*
能基于关键字、发件人地址等识别和过滤使用邮件客户端外发
SSL
加密邮
件的行为;
*
能够基于关键字识别和过滤使用
SSL
加密的
Webmail
邮箱外发邮件的行
为,
比如
gmail
;
< br>支持对加密
HTTPS
、
SMT
P-SSL
、
SMTP-TLS
、
SMTP
、
Gmail
、闪电邮客
户端的邮件进行关键字过滤;(提供实际测试效果图)
< br>
支持对加密
HTTPS
、
POP3-SSL
、
POP3
、
IMAP
、
IMAP-TLS
、
IMAP-
SSL
、
SMTP-
SSL
、
SMTP-TLS
、
SMTP
、
Gmail
、闪电邮客户端邮件内容的审计。
(提供实际测试效果图)
<
/p>
支持统计和控制用户终端每天上网时间,并支持排除应用或特殊端口后的灵
活流量统计方法;
支持对单个用户
< br>/
用户组设置一天内总上网时长;
支持限制指定用户最大并发连接数;
*
用户指定应用上网时长超过预设阈值后,网关自动提醒该用户;
*
用户指定应用上网流速超过预设阈值后,网关自动提醒该
用户;
*
上网策略对象与用户无关联
,同一条上网策略可复用、重用;
*
支持上网策略对象的自动过期功能;
不控制、不监控目标为排除
IP
的上网
行为;
不控制、不监控目标为排除域名的上网行为;
*
支持在不同线路上,根据不同的应用、用户、用户组来保证或者限制流量;<
/p>
支持根据百分比或数值设置通道带宽,并支持设置各通道的优先
级;
*
网关能同时连接多条外网线路
,且支持多条线路流量复用和智能选择流速
最快线路的技术
(<
/p>
提供自主知识产权证明,加盖厂商公章
)
;
*
支持将多条外网线路虚拟映射到
设备上,实现对多线路的分别流控;(提
供界面证明)
*
支持流量父子通道技术,且至少支持三级父子通道;
支持基于应用类型、网站类型和文件类型划分与分配带宽;
<
/p>
*
支持在设置流量策略后,根据整体线路或者某流量通道内的空闲
和繁忙情
况,自动启用和停止使用流量控制策略,以提升带宽的高使用率;
*
支持通过抑制
P2P<
/p>
的下行流量,来减缓
P2P
的上行流量,
从而解决网络出
口在做流控后仍然压力较大的问题;
*
支持限制单个
IP
的
最大上行和下行带宽;
支持平均分配、自由竞争等方式实现用户间带宽分配;
*
支持把每一个外网
IP
作为通道内的用户,
使得通道的用户间公平分配带宽,
以及
单用户最高带宽属性对外网
IP
有效;
支持基于时间段的带宽划分与分配策略;
*
支持基于访问行为的目标
IP/IP
组实现带宽划分与分配;
支持对单个用户
/
用户组设置日流量、月流量配额功能;
*
支持在默认桌面上虚拟出一个新的桌面,在虚拟桌面中上网,在推出安全
4
-
-
-
-
-
-
-
-
-
上一篇:刘小枫《沉重的肉身》
下一篇:amavisd 配置说明