-
AC
上网行为管理
————————————————————————————————
作者:
——————————
——————————————————————
日期:
2
个人收集整理,勿做商业用途
<
/p>
AC6.0
的上网行为管理产品招标参数
一、性能及配置要求
项目
吞吐量
并发会话数
用户规模
设备接口
技术要求
≥
1.2Gb
≥
300,000
≥
12000
人
6
个千兆电口
4
个千兆光口
1
个
RJ45
串口
< br>
支持外网带宽
BYPASS
电源
尺寸
硬盘
≥
300M
支持
冗余电源
标准
1U
架构
≥
500GB
二、功能要求
以下功能参数内容较多
,在招标书实际编写时可只截取部分内容即可。其中红色字体为重点差异化优
势。
项目
指标
网关模式
部署
方式
网桥模式
旁路模式
多路桥接
★多主模式
管理界面
分级管理
集中管理
告警管理
关闭网管
加密连接
排障工具
具体功能要求
支持网关模式,支持<
/p>
NAT
、路由转发、
DHCP
等功能;
支持网桥模式,以透明方式串接在网络中;
支持旁路模式,无需更改网络配置,实现上网行为审计;
必须支持多路桥接功能,最多可支持四进四出四网桥模式;
必须支持两台及两台以上设备同时做主机的部署模式;
支持
SSL
加密
WE
B
方式、
SSH
命令行方式管理设备;
不同用户组的管理权限支持分配给不同管理员;
多台设备支持通过统一平台集中管理、集中配置等;
被控设备加入统一平台必须支持以硬件证书验证身份;
网关
管理
支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等;
在网关重启操作中支持关闭网关。
必须具有
IPSec
VPN
远程加密访问和连接的模块,并能提供
IPSec VP
N
客
户端授权远程接入访问;(提供产品界面截图)
提供图形化排障工具,便于管理员排查策略错误等故障;
过大;
设备资源信息
实时
监控
流量状态
提供设备实时
CPU
、内存、磁盘占有率、会话数、在线用户数、系统时间、
网络接口等信息;
实时提供用户流量排名、应用流
量排名、所有线路应用流速趋势、流量管理
状态、连接监控信息;
3
上网故障排除系统
支持开启直通后,
流量控制模块依然生效,避免全部数据直通导致线路流量
个人收集整理,勿做商业用途<
/p>
安全状态
上网行为监控
★
Web
访问质量
检测
实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对
象,帮助管理员管理内网安全;
实时显示设置过滤条件的用户
上网行为监控,支持手动设置刷新时间;
1
、
针对内
网用户的
web
访问质量进行检测,对整体网络提供清晰的整体
网络质量评级
2
、
支持以列表形式展示访问质量差的用户名单
3
、
支持对
单用户进行定向
web
访问质量检测
本地认证
第三方认证
支持触发式
WEB
认证,静态用户名密码认证等;
支持
LDAP
、
Radius
、
POP3
、
Proxy
等第三方认证;
< br>
支持
ISAlotus
ldapnovel ldaporacle
、
sql ser
ver
、
db2
、
mysql
等数据
库等第三方认证;
★双因素认证
IP
、
MAC
认证
必须支持以
USB-
Key
方式实现双因素身份认证;
支
持绑定
IP
认证、绑定
MAC
认证,及
IP/MAC
绑定认证等;
支持通过
SNMP
服务
器跨三层获取
MAC
地址;
支持当用户
MAC
地址变动时,需要重新认证;
★短信认证
支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发
送验证码;
短信认证能够根据不同用户推送不同认证页面,该认证页面可
自定义,编辑
内容包括文字、颜色风格、图片,且图片支持轮询播放(提供界面证明)<
/p>
★微信认证
★二维码认证
用户
新用户认证
账户有效期
单点登录
管理
公用账户
1.
支持与微信结合的认证方式,
用户关注微信公众号后即通过身份认证,
后
台记录用户
ID
(提供产
品界面截图)
2.
与第三方微信平台
无缝对接,不需要修改第三方微信平台代码。
支持二维码认证
,管理员扫描访客的二维码后对其网络访问授权(提供产品
界面截图)
< br>
根据新用户的源
IP
网段实现
新用户差异化账户创建、自动分组、认证规则;
支持多人使用同一帐号登录,且支持重复登陆检测机制;
指定账户支持有效期限制,并支持自动过期;
支持
AD
、
POP3
、
Proxy
、
PPP
OE
、
H3C
IMC/CAMS
、锐捷
SAM
、城市
热点等系统进行认证单点登录,简化用户操作;
可强制指定用户、指定
IP
段的用户必须使用单点登录;
强制
AD
认证
安全组嵌套同步
★
< br>LDAP
服务器的
域对象的策略管理
与同步
认证失败
认证后页面跳转
指定用户必须用
AD
域账户登录操作系统,否则禁止上网;
支持
AD
安全组嵌套同步;
主要目的是对已有的
AC
与
LDAP
服务器结合进行优化,便于客户实现策略
管理在
AC
上进行,用户管理在域上进行,不需
同步用户到本地组织结构中
即可实现策略管理功能
支持为认证失败用户提供基本网络访问权限机制;
认证成功的用户支持页面跳转:
1.
跳转到用户原本输入的
URL
地址;
2.
跳转到管理员指定的
URL
地址;
3.
跳转到该用户上网信息排行页面;
4.
跳转到注销页面
;
帐户导入
支持从本地导入和扫描导入
,
支持以
CSV
格式文件导入帐户
/
分组
/IP/MAC/
< br>描述
/
密码等信息;
4
个人收集整理,勿做商业用途
支持从
外部
LDAP
服务器导入账户及分组信息;
组织结构
用户状态查询
自动注销
冻结用户
★用户密码强度
用户分组支持树形结构,支持父组、子组、组内套组等;
支持用户登录时间、注销时间、在线时长的查询;
支持自动注销指定时间内无流量的已认证用户;
支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录;
可设置用户密码不能等于用户名;
新密码不能与旧密码相同;
可设置密码最小长度;
可设置密码必
须包括数字或字母或特殊字符;(提供产品界面截图)
★有线无线统一的
管理界面
★内置无线控制器
统一界面,能够直接查看到接入点状态、射频状态、无
线网络状态、接入用
户状态。(所有项提供产品界面截图)
1.
支持配置开放式,
WPA-PSK
/WPA2-PSK
(个人)、
WPA/WPA2(
企业
)
2.
对接入点支持
配置工作模式、视频参数、负载均衡。
3.
< br>支持入侵检测、
Dos
攻击防御,射频智能调整。
4.
支持多种日志,接入点日志,系统日志
,安全日志,用户认证日志。
5.
支
持实时显示接入点故障,并提供诊断工具下载。
(所有项提供产品界面截图)
★基于
SSID
的策
略
★系统识别
文件识别
终端
管理
★进程识别
注册表识别
自定义识别
终端准入
★应用识别规则库
支持基于
SSID
维度的上网权限、上网审计、上网安全、终端提醒、和流控
等策略。(所有项提供产品界面截图)
支
持识别终端操作系统版本、系统补丁安装情况;(必须提供自主知识产权
证明,加盖厂商
公章)
;
支持识别终端硬盘指定目录下的文件情况;
< br>支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(必须提供
自主知
识产权证明,加盖厂商公章);
支持识别终端系统注册表中指定的表项和键值;
支持终端调用管理员指定脚本
/
程序以满足个性化检
查要求;
支持
win 7
64
位操作系统,支持在旁路模式部署下准入生效;
支持禁止不满足终端检查要求的用户访问互联网;
1
、
支持根
据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发
送电子邮件、降低工作效
率、外发文件泄密风险、主流论坛和微博发帖
6
大类;
2
、
支持给每个应用自定义标签;
3
、
支持根据标签选择一类应用做控制;
4
、
支持对
每一种应用的定义和解释,帮助客户快速定位应用的分类;
应用
管理
★应用控制
5
、
支持给每一种应用列上图标,易于客户了解应用的特征。
(提供产品界面截图)
1
、
设备内
置应用识别规则库,支持超过
4600
条应用规则数,支持超过
2100
种以上的应用,
650
种以上移动应用,并保持每两个星期更新一
次,保证应用识别的准确率
;(提供产品界面截图)
2
、
支持根据应用的特征智能识别新更新的应用;
3
、
支持根
据
IP
、端口、协议等自定义应用规则;
4
、
支持根据不同的应用类型或具体的某种应用设置允许或拒绝;
★应用细分控制
< br>1.
能够对新浪微博、腾讯微博、网易微博等进行细分控制,如:登录、浏览、<
/p>
5
功能,
直接管理
AP
三种接入方式。
无线
管理
个人收集整理,勿做商业用途
发微博、上传附件等。
2.
能够对
QQ
空间、豆瓣网、人人网等社交类应用
做细分控制,如:登录、
浏览、发帖回帖、上传附件等。
3.
能够对天涯论坛、猫扑社区、百度贴吧等论坛类应用做细分控制
,如:登
录、浏览、发帖回帖、上传附件等。
4.
能够对网易网盘、金山快盘、华为网盘等云盘类应用做细分控制,如:登<
/p>
录、上传、下载等。
(提供产品界面截图)
★移动应用的细分
控制
端口控制
QQ
白名单
代理控制
支持对移动应用的细分权限
控制,微信:微信网页版、微信传文件、微信朋
友圈、微信游戏。移动
< br>QQ
:
QQ
传文件、
视频语音等。
支持
根据端口设定用户不允许访问的目标
IP
组提供的服务;
支持基于用户组、终端类型、位置、
SSI
D
的
QQ
白名单功能。
1
、
不允许使用外部
HTTP
代理;
2
、
不允许
使用外部
Sock4/5
代理;
3
、
不允许
在
HTTP,SSL
一些的标准端口上使用其他协议;(比如在
80
端
口上传输非
HTTP
协议数据,
在
443
端口上传输非
HTTPS
协议数据等)
★
共
享
接
入
管
理
(防共享)
设备能够发现私接路由(或者共享软件等)共享网络的行为:
1.
支持自定义配置终端数量和冻结时间。
2.
支持“仅统计电脑”和“统计所有终端”两种模式。
3.
支持可选“冻结
IP
”还是“冻结用户名”。
4.
支持添加信任列表
5.
支持显示以
IP
或用户
名的维度统计一段时间内的趋势图。
6.
支持例外排除功能:如冻结条件是
2.
指定例外条件
1
台
PC
,
2
个终端。
当
PC<
/p>
或终端数超过例外条件才会被判定为共享。(提供产品界面截图)
7.
支持在数据中心报表中可查询通过共享上网的
IP
、用户,并能导出报表;
(提供产品界面截图)
静态
URL
库
★
URL
智能识别
★
SSL
加密网页
自定义
URL
关键字过滤
网页
管理
网页过滤
设备内置海量预分类的
URL
地址库,支持根据
URL
类别实现
URL
过滤;
必须支持未知网页的自动识别与分类(提供产品界面截图);
必须支持根据用户输入的关键字、
url
、自动分类未知网页;
识别并过
滤
SSL
加密的钓鱼网站、金融购物网站、非法网站等(必须提
供自
主知识产权证明,加盖厂商公章)
;
设备支持管理者自定义新的
URL
地址和
URL
分类;
过滤同时匹配三个以上关键字的搜索行为;
过滤同时匹配三个以上关键字的网页访问行为;
支持根据访问的
URL
、网页关键字进行网页过滤,
支持设置拒绝以
IP
访问
网页行为;<
/p>
支持在放行
URL
时,
自动放行主域名的子链接中被禁止的网站,
保证网页显
示完整;
发帖管理
★
SSL
发帖管理
网页附件管理
文件
外发文件告警
过滤同时匹配三个以上关键字过滤的网络发帖行为;
必须支持允许用户浏览帖子但不准发帖功能;
必须支持基于关键字过滤
SSL
加密的网页、论坛、<
/p>
BBS
上的发帖行为;
支持根据文件类型限制
http
、
FTP
方式上传、下载行为;
支
持对
HTTP
、
FTP
、
Email
附件等方式外发文件的识别、报警、过滤
等管理
6