-
AC
上网行为管理技术参数
预算价格:
50,000
元
一
.
性能及配置要求
产品名称
吞吐量
深信服
AC-1000-C400
≥
200Mb
并发会话数
用户规模
设备接口
硬盘
BYPASS
电源
尺寸
≥
60,000
≥
600
人
4
个千兆电口
≥
128GB
SSD
固态硬盘
支持
单电源
标准
1U
架构
保修期
3
年
二
.
功能要求
项目
指标
具体功能要求
支持网关模式,支持<
/p>
NAT
、路由转发、
DHCP
、
GRE
、
OSPF
p>
等功能;
支持网桥模式,以透明方式串接
在网络中;支持电口、光口
bypass
;
支持旁路模式,无需更改网络配置,实现上网行为审计;旁路支持主主、主备模式
部署;
部署方式
网关模式
网桥模式
旁路模式
21
多路桥接
★多主模式
必须支持多路桥接功能,
最多可支持
32
组网桥模式;
必须支持两台及两台以上设备同时做主机的部署模式;
★虚拟化模式
支持基于虚拟化平台的
软件版本,支持的虚拟平台包括:
VMware
、深信服超融合
等平台
★
全
面
支
持
支持部署在
IPv6
环境中,设备接口及部署模式均支持
ipv6
p>
配置;
IPv6
所有核心功能(上网认证、应用控制、流量控制、内容审计、日志报表等)都支持
IPv6
;(提供产品界面截图)
网关管理
管理界面
支持
SSL
加密
WEB
方式、
SSH
命令行方式管理设备;
< br>管
理
员
权
限
支持细致的管理员权限划分,包括对不同用户组的管理权限、对各种主要功能界面的
配置
分配
和查看权限;
管
理
员
角
色
可设置四类管理员,分别为配置管理员、查看管理员、日志管理员,以及多种权限的超级
及等级
管理员;管理员支持分级,高级别管理员的策略配置优
先生效,并可修改低级管理员的策
略;
管
理
员
账
号
支持管理员账号登录允许尝试次数可配,并支持管理员用户登录进行双因素认证,密码认
安
全
保
障
p>
机
证加邮件验证码;
管理员账号支持
ACACS+/RADIUS/LDAP
协
议外部认证;
制
< br>支
持
集
中
管
多台设备支持通过统一平台集中管理、集中配置等;
理
加入集中管理时,支持身份认证,比如密码正确才能加入
解除集中管理时,要输入中心端的解控秘钥才允许解控
支
持
主
备
伴
支持统一平台设备下发升级包,一次下发,
2
台设备连续同时升级成功。升级过程中会进
随升级
行双机切换来保证业务不中断。
智能组网
支持
SDWAN
组网技术,统一平台下发策略邮件到多台设备,一键部署;
<
/p>
支持
autoVPN
,选定两端设备后智
能选路,一键配置
VPN
;
告警管理
*
支持攻击、双机切换告警、移动终端管理告警、风险终端发现告警、
web
关键字过滤告
警、杀毒告警、设备流量超限告警、磁盘
/CPU/
内存异常告警等;
21
IPsec VPN
必须具有
IPSec
VPN
远程加密访问和连接的模块,并能提供
IPSec
VPN
客户端授权远程
接入访问;
* IPsec VPN
支持多线路功能,支持配置主备线路组
和流量分配模式的多线路选路策略;
*
支持硬件特征码绑定认证;
*IPsec VPN
支持与
LDAP
服务器、
Radius
服务器结合认证
;
(提供产品界面截图)
链路负载
支持按剩余带宽、带宽比例
、平均分配、前面优先的方式进行多链路负载;
支持使用
p>
VPN
做专线备份;
支持链路故障检测;(提供产品界面截图)
排障工具
提供图形化排障工具,便于管理员排查策略错误等故障;
p>
上
网
故
障
排
支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路
流量过大;
除系统
实时监控
设
备
资
源
信
提供
设备实时
CPU
、内存、磁盘占有率、在线用户数、系统时间、
网络接口等信息;
息
★首页可视化
支持首页分析显示接入用户人数、终端类型、认证方式;带宽质
量分析、实时流量排名;
分析展示
流量状态
泄密风险、违规访问、共享
上网等行为风险情况;(提供产品界面截图)
实时提供用户流
量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监
控信息;
安全状态
实时显
示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理
员管理
上网安全;
上
网
行
为
监
实时显示设置过滤条件的用
户上网行为监控,支持手动设置刷新时间;
控
★
Web
访
问
1.
<
/p>
针对内网用户的
web
访问质量进行检测
,对整体网络提供清晰的整体网络质量评级
质量检测
2.
支持以列表形式展示访问质量差的用户名单
21
3.
支持对单用户进行定向
web
访问质量
检测
(提供产品界面截图)
★支持网络故
障排查
支持
PPS
异常、丢包异常、
ARP
异常、内网
DOS
攻击等异常情
况实时监测,显示每日
异常事件个数及情况;(提供产品界面截图)
★支持权限策
支持针对上网权限策略进行检测分析,查看
各个应用是否匹配相关策略;(提供产品界面
略故障排查
截图)
用
户
认
证
故
支持针
对用户认证的故障进行分析,给出错误详情以及处置建议;(提供产品界面截图)
障排查
用户管理
本地认证
第三方认证
支持触发式
WEB
认证,静态用户名密码认证等;
支持
LDAP
、
Radius
、
POP3
、
Proxy
等第三方认证;
< br>
Radius
必须支持
GBK
和
UTF-8
编码格式可选;
支持
ISAlotus
ldapnovel
ldaporacle
、
sql
p>
server
、
db2
、
mysql
等数据库等第三方
认
证;
USB-
KEY
双
必须支持以
USB-
Key
方式实现双因素身份认证;(提供产品界面截图)
因素认证
IP
、
MAC
认
支持绑定
IP
认证、绑定
MAC
认证,
及
IP/MAC
绑定认证等;
证
支持通过
SNMP
服务器跨三层获取
MAC
地址
;
支持当用户
MAC
地址变动时,需要重新认证;
多
终
端
自
绑
同一个账号,支持与指定数量的多个终端进行自动绑定;(提供产品界面截图)
定
短信认证
支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码;<
/p>
短信认证能够根据不同用户推送不同认证页面,该认证页面可自
定义,编辑内容包括文
字、颜色风格、图片,且图片支持轮询播放(提供界面证明)
p>
必须支持网关类型为
HTTP
协议时,发送国家码可配;
21
微信认证
1.
支持与微信结合的认证方式,用户关注微信公众号后即通
过身份认证,后台记录用户
ID
(提供产品界面截图)
2.
与第三方微信平台无缝对接,不需要修改
第三方微信平台代码;
3
、支持不同
分支选择不同的微信公众号进行认证;
用
户
自
注
册
密码登录支持用户自注册;支持用户信息自管理
Web
界面,终
端用户可以自己修改当前
和自管理
账
号的绑定手机、绑定邮箱、密码等信息;支持用户可查看和管理到当前账号的终端绑定
关
系;
密
码
认
证
高
在用户绑定信息的情况下,支持“
账号
+
密码”、“手机号
+
密码”、“邮箱
+
密码”完
可用
成密码认证;
密
码
认
证
< br>支
支持终端用户可以使用账号绑定的手机号码,接收短信验证码,然后使用手机号
码和验证
持
短
信
和
微
码完成密码认证;支持在终端用户的账号存在微信绑定关
系的情况下,
PC
端的终端用户
信快捷
登录
可以直接使用微信扫码二维码完成密码认证过程,移动端
的终端用户,可以直接打开微信
扫码完成密码认证过程。;
★
OA
认证
支持通过
OAuth
认证协议对接,支
持阿里钉钉,口袋助理,企业微信第三方账号授权认
证;
p>
★会议扫码认
支持提供二维码和会议号,用户扫码或输入会议
ID
认证上网;支持通过验证手机号码实
证<
/p>
名认证(提供产品界面截图)
★二维码认证
支持二维码认证,管理
员扫描访客的二维码后对其网络访问授权;支持访客填写信息、管
理员填写信息、免填写
信息三种模式(提供产品界面截图)
新用户认证
基于
IP
网段、
VlanID
、
MAC
地址等实现新用户差异化的账户创建、自动分组、认证规
则;
支持认证前使用某个组织结构的上网权限;
< br>支持认证黑白名单功能,黑名单是名单中用户不能认证,白名单是只有名单中用户才能认
< br>证;
限制某个新用户只能在某个
IP
段、
MAC
段范围内登录;
p>
账
号
注
册
审
支持管理员关联了手机号码,可以通过手机
号接受自注册、终端注册、终端绑定的审批通
批提醒
知
21
自
定
义
用
p>
户
支持为用户添加自定义属性(职位、临时项目组、邮件组等),能
够根据用户属性自动归
属性
类并可以
针对用户属性配置上网权限策略、流控策略,审计策略等(提供产品界面截
图,)
认
证
页
面
管
支持认证页面分权分域管理。启用后,普通管
理员只能看到自己有权限的页面,其他管理
理
员页面不可见。
系统管理员可以将某个页面授权给指定的普通管理员管理。
公用账户
支持多人使用同一帐号登录,且支持重复登陆检测机制;
支持限制公共账号的使用人数;(提供产品界面截图)
账户有效期
指定账户支持有效期限制,并支持自动过期;
支持自动删除长期不登录账号信息;(提供产品界面截图)
单点登录
支持
radius
、
AD
、
POP3
、
Proxy
、<
/p>
PPPOE
、
H3C
IMC/CAMS
、锐捷
SAM
、城市热点
等系统进行认证单点登录,简化
用户操作;
可强制指定用户、指定
I
P
段的用户必须使用单点登录;
强<
/p>
制
AD
认
指定用
户必须用
AD
域账户登录操作系统,否则禁止上网;
证
LDAP
服务器
不需同步
AD
域
用户到本地组织结构中,即可实现配置各种上网管控策略
的<
/p>
域
对
象
的
策
略
管
理
与
同步
认证失败
支持为认证失败用户提供<
/p>
DNS
等基本网络访问权限机制;
p>
认
证
后
页
面
认证成功的用户支持页面跳转:
跳转
1.
跳转到用户原本输入的
URL
地址;<
/p>
2.
跳转到
管理员指定的
URL
地址;
3.
跳转到注销页面
;
帐户导入
支持从本地导入和扫描导入
,支持以
CSV
格式文件导入帐户
/<
/p>
分组
/IP/MAC/
描述
/
密码等
信息;
21
组织结构
用户分组支持树形结构,支持父组、子组、组内套组等;
p>
用
户
状
态
查
支持用户登录时间、注销时间、在线时长的查询;
询
自动注销
冻结用户
支持自动注销指定时间内无流量的已认证用户;
支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录;
<
/p>
★用户密码强
可对用户密码强度进行限制,如设置用户密码不能等
于用户名;
度
新密码不能与旧密码相同;
可设置密码最小长度;
可设置密码必
须包括数字或字母或特殊字符;(提供产品界面截图)
终端管理
系统识别
文件识别
进程识别
支持识别终端操作系统版本
、系统补丁安装情况;(必须提供自主知识产权证明)
;
支持识别终端硬盘指定目录下的文件情况;
< br>支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(必须提供自主知识产权
< br>证明);
注册表识别
支持识别终端系统注册表中指定的表项和键值;
★★自定义计
支持终端调用管理员指定脚本
/
程序以满足个性化检查要求,比如检测系统更新是否开
划任务
终端准入
启、开放
端口、已安装程序列表、终端发通知等;(提供产品界面截图)
支持
win 8
64
位操作系统,支持在旁路模式部署下准入生效;
支持禁止不满足终端检查要求的用户访问互联网;
★补丁检测
支持检测
windows
重要补丁的安装情况,并反馈检测结果;
(提供产品界面截图)
21
应用管理
应
用
识
别
规<
/p>
1.
支持根据标签选择应用,标签分类
至少包含安全风险、高带宽消耗、发送电子邮件、
则库
降低工作效率、外发文件泄密风险、主流论坛和微博发帖
6
大类;
2.
支持给每个应用自定义标签;
3.
支持根据标签选择一类应用做控制;
4.
支持对每一种应用的定义和解释
,帮助客户快速定位应用的分类;
5.
支持给每一种应用列上图标,易于客户了解应用的特征。
(提供产品界面截图)
★应用控制
1.
设备内置应用识别规则库,支持
超过
6000
条应用规则数,支持超过
2800
种以上的
应用,
1000
p>
种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确
率;(提供产品界面截图)
2.
<
/p>
支持根据
IP
、端口、协议等自定义应用
规则;
3.
支持根据不同的应用类型或具体的某种应用设置允许或拒绝;
★应用细分控
1.
能够对新浪微博、腾
讯微博、网易微博等进行细分控制,如:登录、浏览、发微博、上
制
传附件等。
2.
能够对
teamview
、
QQ
远程桌面等远程控制应用做细分控制,如:接受对方远程控
制;
3.
能够对
Github
、百度网盘、百度文库等网络应用的上传动作进行细分控制;(所有功
能必须提供产品界面截图)
移
动
应
用
的
支持对移动应用的细分权限控制,微信:微信网页版、微信传文件、微信朋友圈、微信游< p>
细分控制
端口控制
QQ
白名单
代理控制
戏。移动
< br>QQ
:
QQ
传文件、
视频语音等。(提供产品界面截图)
支持根据端口设定用户不允许访问的目标
IP
组提供的服务;
支持基于用户组、终端类型、位置的
QQ
白名单功能。(提供产品界面截图)
1.
不允许使用外部
HTTP
代理;
2.
不允许使用外部
Sock4/5
代理;
3.
不允许在
HTTP,SSL
一些的标准端口上使用其他协议;(比如在
80
端口上传输非
21
HTTP
协议数据,在
443
端口上传输非
HTTPS
协议数据等)
★共享接入管
设备能够发现私接路由(或者共享软件等)
共享网络的行为:
理
(
防
共
享)
1.
支持自定义配置终端数量和冻结时间。
2.
支持“仅统计电脑”和“统计所有终端”两种模式。
3.
支持可选“冻结
IP”
还是“冻结用户名”。
4.
支持添加信任列表
5.
支持显示以
IP
或用户
名的维度统计一段时间内的趋势图。
6.
支持例外排除功能:如冻结条件是
2.
指定例外条件
p>
1
台
PC
,
2
个终端。当
PC
或
终端
数超过例外条件才会被判定为共享。(提供产品界面截图)
7.
支持在数据中心报表中可查询通过共享上网的
IP
、用户,并能导出报表;
(提供产品
界面截图)
网页管理
静态
URL
库
设备内置海量预分类的
URL
地址库,
支持根据
URL
类别实现
URL
过滤;
URL
数量
在
3000
万以上,包含分类数量
15
0
个以上(提供第三方机构检测报告证
明);
< br>
SSL
加密网页
识别并过滤<
/p>
SSL
加密的钓鱼网站、非法网站等(必须提供自主知识产权证明
);
内容识别
支持
SSL
硬件加速卡解密,从而可提高
< br>SSL
全流量解密性能;
必须支持旁路解密;
自定义
URL
关键字过滤
设备支持管理者自定义新
的
URL
地址和
URL
分类;
过滤同时匹配三个以上关键字的搜索行为;
过滤同时匹配三个以上关键字的网页访问行为;
网页过滤
支持根据访问的
URL
、网页关键字进行网页过滤,支持设置拒绝以
IP
访问网页行为;
支持在放行<
/p>
URL
时,自动放行主域名的子链接中被禁止的网站,保证网页显
示完整;
21
发帖管理
过滤同时匹配三个以上关键字过滤的网络发帖行为;
必须支持允许用户浏览帖子但不准发帖功能;
SSL
发帖管理
必须支持基于关键字过滤
SSL
加密的网页、论坛、
BBS
上的发帖行为;
网
页
附
件
管
支持根据文件类型限制
http
、<
/p>
FTP
方式上传、下载行为;
理
邮件管理
邮
件
地
址
p>
过
支持根据源地址和目的地址过滤外发邮件;
滤
邮
件
附
件
过
支持基
于扩展名过滤含指定文件类型的邮件外发行为;
滤
支持根据附件大小、附件个数限制外发邮件;
邮
件
关
键
字
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为;
过滤
Webmai
l
管
必须支持允许用户登录
Webma
il
收邮件,而禁止发送
Webmail
邮件的功能;
理
SSL
邮件管理
必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发
SSL
加密邮件的行
为;
加
理
密
p>
必须能够基于关键字识别和过滤使用
SSL
加密的
Webmail
邮箱外发邮件的行为,比如
Webmail
管
QQ
邮箱
;
★加密
SMTP
< br>支持对加密
HTTPS
、
SMT
P-SSL
、
SMTP
的邮件进行关键
字过滤;(提供产品界面截
邮件过滤
图)
★
加<
/p>
密
支持对加密
HTTPS
、
POP3-SSL
、
PO
P3
、
IMAP
、
IMAP-
SSL
、
SMTP-SSL
、
SMTP
邮
、
件内容的
审计。(提供产品界面截图)
SMTP
计
POP3
邮件审
上网权限
上
网
时
长
控
支持统计和控制用户终端每天上网时间,并支持排除应用或特殊端口后的灵活流量统计方
21