《网康、深信服上网行为管理功能对比.pdf》由会员分享,可在线阅读,更多相关《网康、深信服上网行为管理功能对比.pdf(11页珍藏版)》请在三一文库上搜索。
1、. . 网康、深信服的功能对比 本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考。 参数列表网康科技深信服 基本参数 厂商及产品简介网康科技公司,总部在北京,国内第一家专业“上网行为管 理”设备生产厂家;网康ICG 是国内“上网行为管理”一线 品牌,其主要特点是URL库、应用库庞大,性能稳定,功能 配置灵活,界面友好易操作等;在日本及中亚市场也占有相 当份额。 深信服科技公司,总部在深圳,以IPsec-VPN 起家,后来 做 SSL-VPN 、防火墙和UTM 。其 UTM 产品功能较多,其中包 含有上网行为管理功能。 产品形态软硬件一体产品软硬件一体产品
2、避免单点故障1.支持断电Bypass 功能; 2.支持非断电模式下的智能硬件bypass 功能,任何故障均 保障网络畅通; 3.设备面板有一键按钮bypass 4.开机和关机过程中自动切换bypass 。 仅某些型号支持硬件bypass ; 不支持软件bypass 和一键 bypass 功能。 开机和关机过程中无bypass 功能。 系统冗余容错支持硬盘发生故障时,设备可以切换到备份系统,由备份系 统执行互联网行为管控功能; 硬盘发生逻辑损坏时,设备支持自修复功能; 仅硬盘上存有操作系统 部署方式(1) 产品可通过透明桥接、网关、旁路三种方式接入网络。 (2) 产品在透明网桥接入模式下,支持双
3、链路、双网桥部署。 (3) 产品在网关模式下,支持DNAT 内网 IP/端口映射,便于 外部用户访问内网主机。 (4) 支持通过集中管理平台对分布部署的设备进行统一策略 制定与管理。 支持网关、单/ 双路串接、镜像旁路等部署方式 - 2 - (5) 支持外置日志中心,可以实现离线日志查询。 代理服务器功能可作为专业代理服务器部署,实现员工通过代理上网; 支持 HTTP代理功能,并可自定义代理端口; 支持 HTTPS代理,可自定义安全端口; 支持 SOCKS 代理,并提供代理认证功能; 可以设定缓存大小、缓存有效期、不缓存网页列表,并实时 监控请求数、命中率等代理服务状态。 不支持 用户管理功能
4、 用户管理以树状架构对用户进行管理,实现完全按照企业的组织结构 多级划分用户组; 且支持横向逻辑权限组,大大提高管理方便性; 支持 IP 段自动分组; 支持用户信息外部导入; 支持二层和三层网络环境下的IP/MAC绑定,且实现该功能无 需安装客户端; 以树状架构对用户进行管理;不支持用户导入,但可以手 工批量生成用户; 支持 IP/MAC 跨三层绑定; 用户识别可基于 IP 进行用户的身份识别; 可基于 MAC 地址进行身份识别; 支持无客户端的AD域用户识别; 支持 POP3邮件账号用户识别; 支持 Kerberos 单点识别; 支持 PPPoE认证账号单点识别; 可识别 BASIC 、NT
5、LM方式的代理服务器的用户; 支持第三方用户信息识别。 可基于 IP 进行身份识别; 可基于 MAC 地址进行身份识别; 支持 AD域用户识别; 支持 POP3邮件账号用户识别; 用户认证支持微软AD域的联动认证; 支持 LADP服务器的联动认证; 支持 Radius 服务器的联动认证; 支持 POP3认证;支持ESMTP 认证; 支持客户端本地认证;支持互联网准入认证。 支持微软AD域的联动认证; 支持 LADP服务器的联动认证; 支持客户端本地认证;支持互联网准入认证; 支持网关设备本地Web登录认证方式; 可定义免认证IP 网段; - 3 - 支持网关设备本地Web登录认证方式; 提供与
6、第三方认证系统联动的接口; 可与华三CAMS 系统联动实现单点认证。 可为不同IP 网段开启不同的用户认证方式; 同一 IP 网段可同时开启多种认证方式。 可控制认证账号是否可在多台计算机设备上同时登陆; 支持认证账号黑名单控制; 支持认证账号有效期控制,到期后账号自动失效; 可定义免认证IP 网段,支持用户访问指定的服务器无需认 证; 支持用户自定义认证窗口的提示信息; 用户可修改自身LDAP认证密码; 用户每日上网时 长限额 可限定每个用户在一天之内累计上网时间额度; 可单独控制用户的某项互联网应用每日上网时长限额; 可同时控制用户的多项互联网应用每日上网时长限额; 可限定每个用户在一天之
7、内累计上网时间额度;但不支持 对单个应用设置策略; 网页过滤功能 URL 库规模及准 确率 提供全球最大的中文URL分类库, 规模达 1400 万条,分类精 准率接近100% 支持 43 个一级分类,以及8 个二级子分类。对google 搜索 引擎任意关键字的前100 条搜索结果,ICG 的网页分类识别 率高达 95% 以上。 URL 库规模声称1000 万,实际不足400 万,且不支持二 级分类,分类精准率不足50% 。 URL 库时效性URL库每天更新300 万条;客户可设置自动升级或手动更新; 且支持客户未分类URL回传再分类; 支持 URL 库更新 URL 过滤能力支持基于预分类的UR
8、L 类别进行过滤控制;支持用户自定义 网站类别过滤; 支持 URL类别的二级子类控制; 支持对以IP 方式访问网站过滤控制; 支持基于网站分类过滤HTTPS加密的网站; 支持基于预分类的URL 类别进行过滤控制;支持用户自定 义网站类别过滤; 支持过滤HTTPS加密的网站; 支持基于URL关键字进行过滤控制; 对于违反策略的网页访问,支持弹出警示页面; - 4 - 支持基于URL关键字进行过滤控制; 支持基于文件类型进行过滤控制; 支持基于网页文件大小进行过滤控制; 对于违反策略的网页访问,支持弹出警示页面,警示页面内 容支持自定义; 支持网站黑、白名单设置; 支持网站黑、白名单设置; 应用封
9、堵功能 协议库组织架构 及规模 三级树状应用协议分类架构,清晰易懂,支持14 大类, 260 种协议; 仅支持平面级别的二级分类,支持近250 种协议 封堵 P2P 下载能够准确识别并封堵近30 种 P2P 应用,如:迅雷,BT,电 驴等; 对于加密的下载协议也能识别控制; 能够识别10 余种 P2P 应用 封堵 IM 即时通信支持 QQ 、MSN 、网易泡泡、 Skype、飞信、淘宝旺旺、新浪UC 等多种聊天工具; 对于每一种应用的子协议,如聊天、文件传输、视频,能够 进行独立控制 支持 QQ 、MSN 、网易泡泡、 Skype、飞信、淘宝旺旺、新浪 UC等多种聊天工具; 封堵网络游戏支持对
10、近40 种流行网络游戏的识别和封堵,如魔兽世界、 梦 幻西游、联众、浩方等; 支持 30 种网络游戏 封堵炒股软件支持对近20 种主流炒股软件的识别和封堵,如:大智慧, 同 花顺,钱龙等; 覆盖度不足 封堵网络电视支持对近35 种流行网络电视的识别和封堵,如:PPLive,土 豆网,酷6,6 间房等; 覆盖度不足 基于应用控制用 户每日上网时长 支持不支持 网页非 WEB 浏览 控制(网页视频、 网页游戏等) 支持不支持 流控功能 - 5 - 带宽通道管理支持基于带宽通道的流量控制,可设定多个不同的带宽通道, 每个带宽通道提供保障速率和突发速率; 支持带宽通道优先级的定义,保障核心业务拥有带宽
11、保障; 支持空闲带宽借用,实现带宽资源统计复用; 支持基于带宽通道的流量控制,可设定多个不同的带宽通 道;支持带宽通道优先级的定义,但仅有3 个优先级; 带宽策略设置可设置基于人 / 部门的带宽管理策略; 可设置基于应用的带宽管理策略,避免非业务应用对主流应 用的影响; 可设置人 / 部门某一种或多种应用的组合带宽策略; 可设置部门成员的平均带宽策略,避免个体成员独占部门带 宽; 可根据时间段设置带宽管理策略; 可设置基于人/ 部门的带宽管理策略;可设置基于应用的带 宽管理策略; 可设置人 / 部门某一种或多种应用的组合带宽策略;可设置 部门成员的平均带宽策略,避免个体成员独占部门带宽; 外发
12、内容过滤 邮件过滤可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件; 可以控制用户禁止发送主题或正文包含某关键字的邮件,且 对主题和正文关键字可分别控制; 可禁止外发附件名称包含某关键字的邮件; 可控制允许外发邮件附件的大小范围; 可以控制用户发送邮件; 不支持邮箱账号、收信方邮箱域名,以及附件名称过滤邮 件外发行为; 可以控制用户禁止发送主题或正文包含某关键字的邮件; IM 即时通讯过滤可基于聊天账号、传输文件名称和类型过滤IM 即时通讯内 容。 不支持 文件传输过滤支持HTTP 、FTP 、邮件附件、IM、论坛发帖附件、FlashGet 等文件传输内容过滤; 仅可基于文件类型控制HTTP
13、和 FTP的文件下载、 上传行为; 不支持 IM 文件传输内容过滤; 论坛发帖过滤基于时间段、用户群、发帖地址、发帖内容关键字过滤敏感 信息外发行为;可向管理员发出邮件报警信息。 支持发帖关键字过滤,但不支持报警 搜索引擎关键字 过滤 可基于关键字搜索类别过滤搜索引擎的关键字搜索行为。不支持基于搜索类别的关键字搜索过滤 实时监控审计 设备运行监控提供全面的设备运行状态信息,包括设备负载、设备持续运可实时监控设备的运行状态,包括 CPU 、 内存、硬盘等信息; - 6 - 行时间长度、URL 库和应用协议库更新状态、最近网络攻击 以及系统报警信息等,使管理员对设备运行监控状况一目了 然; 网页审
14、计记录访问网页的用户、时间、URL 地址、访问内容的分类、 允许 / 阻断、匹配的控制策略等信息; 可审计用户访问HTTPS 加密网站的行为; 可查询被阻断的web访问纪录。可根据预设的web过滤策略, 实现对违禁访问网页行为的查询; 可记录网页标题信息;可以记录网页内容信息; 记录访问网页的用户、时间、URL地址等信息; 可审计用户访问HTTPS 加密网站的行为; 可记录网页标题信息; 邮件审计可按用户、用户组和时间段审计用户收发邮件内容,并可还 原原文及附件; 支持仅审计某邮箱地址发出或接收的邮件; 支持仅审计邮件主题中包含某关键字特征的邮件; 支持仅审计包含某类型附件的邮件收发内容; 可
15、以定义免审计的邮箱地址; 邮件审计内结果容包括:发件人、收发人、时间、主题、正 文、附件等信息; 可记录被阻塞邮件外发行为、主题、发信人及收信人信息。 可识别审计非标准端口的SMTP 邮件传输行为和传输内容。 可按用户、用户组和时间段审计用户收发邮件内容,并可 还原原文及附件; 邮件审计内结果容包括:发件人、收发人、时间、主题、 正文、附件等信息; 即时通信审计可基于用户、用户组和时间段审计IM 上线,下线行为; 可以审计MSN2009及其以下版本聊天内容信息; 可审计 MSN 传输的文件名称与内容,支持文件还原查看; 可审计 MSN 的音视频行为。 可以审计QQ2009及其以下版本聊天内容信
16、息。 可以审计QQ聊天双方的账号、昵称、聊天内容;可以审计 QQ群组聊天内容; 可以审计QQ文件传输行为及文件名称、大小;可以审计QQ 语音及视频行为; 可以审计QQ 、MSN 聊天内容信息; - 7 - 论坛发贴审计支持网页外发信息审计,可查找外发的附件; 支持对发帖网址和发帖正文关键字查找,记录内容包括:用 户、时间、论坛地址、正文,附件; 可自动过滤非论坛发帖的POST记录,增强论坛发帖审计结果 中记录的可读性; 可自定义设置不需审计的发帖网址; 支持对发帖网址和发帖正文审计,记录内容包括:用户、 时间、论坛地址、正文,附件; 网络应用审计可审计每种网络应用的用户、时间、流量等信息; 可
17、针对每个网络应用进行任意日期范围、任意时段、任意用 户的查询; 可查询被策略阻塞的应用记录,包含匹配的策略名称; 可根据上网行为管理设备设置的管理策略,实现对违规行为 的查询; 可记录基于IP、端口、协议五元组的网络会话连接的详细信 息; 可审计每种网络应用的用户、时间、流量等信息; 可记录基于IP、端口、协议五元组的网络会话连接的详细 信息; 流量审计可监控当前网络流量以及过去24 小时网络流量; 可实时查看基于实时流量的TOP N用户排名,并可针对具体 用户进行管理查询,获得该用户在使用哪些应用; 可实时监控基于流量的TOP N网络应用排名,并可针对具体 应用进行关联查询,获得哪些用户在使
18、用这些应用; 可监控当前网络流量以及过去24 小时网络流量; 可实时查看基于实时流量的TOP N用户排名; 搜索引擎关键字能够审计用户通过搜索引擎输入的所有关键字,也可以只审 计指定的敏感关键字; 提供专门的检索工具,对用户的搜索历史进行查询; 按照搜索类别 / 用户进行统计; 能够审计用户通过搜索引擎输入的所有关键字; 文件传输审计可以记录用户通过HTTP 、FTP协议上传或下载文件的内容; 可以记录指定下载源地、指定类型、指定大小的文件内容; 能够记录FTP帐号、服务器名称、文件名称、文件路径,能 够完整还原传输的文件; 可记录用户通过MSN 、QQ 传输的文件名,可欢迎MSN 传输的 不
19、支持 - 8 - 原文; Telnet审计支持对用户通过telnet方式访问网络设备时执行的命令进 行监控,完整记录telnet的时间、 IP、端口、 命令和结果等 信息。 只支持单向审计 日志统计分析 日志导出备份支持日志定期导出备份到存储服务器中; 支持日志通过USB手工导出,日志内容可导入Excel 文件中 浏览; 可通过 FTP导出日志; 支持日志定期导出备份到存储服务器中; 历史日志查询提供丰富的查询条件,查询用户的上网行为细节数据。支持 按用户、部门、IP 、策略名称、时间、应用进行查询,支持 组合条件查询方式;支持自定义查询条件模板,按模板进行 查询; 能够根据URL类别、网址关
20、键字、控制方式、过滤策略进行 Web访问查询; 能够按照发件人、收件人、正文关键字、附件类型与大小对 邮件进行查询; 能够根据关键字对论坛发帖内容进行查询; 能够根据帐号、时间、用户对IM 聊天内容进行查询; 支持用户上网历史综合查询,可以将一个人,一个部门的网 页,应用,邮件,即时通讯,网站发帖的监控纪录在一个页 面中显示,便于全面的了解一个人员的行为情况; 支持查询用户上线历史信息,支持认证用户上线、下线历史 记录查询功能。可以基于时间和用户等多种关键字对通过认 证的用户,进行上线、下线历史信息的查询; 可基于时间段、用户、应用协议等多种条件进行筛选查询; 支持按用户、部门、IP、时间、应
21、用进行查询,支持组合 条件查询方式; 支持用户上网历史综合查询; 可基于时间段、用户、应用协议等多种条件进行筛选查询; 日志统计分析可对某一时间段内各类应用所占用网络带宽的大小信息和时 长进行统计; 可对某一时间段内各类应用所占用网络带宽的大小信息和 时长进行统计; - 9 - 可对用户组或用户的上网时长进行排名统计; 可对多个用户组组内用户的各类排名进行统计; 可自定义统计报告的top 排名数量; 可定义柱状排名报告每图显示的排名数量; 支持统计功能,支持按用户、部门、IP、时间、应用(网页、 邮件、 IM、发帖)等条件进行流量统计与行为统计,提供 TOP N 统计方式,支持组合条件统计方式
22、;统计数据支持下钻式 ( drill-down)深入分析功能,例如:统计一周内应用流量 最大的用户排名后,可以点击数值详细查看具体的应用和各 应用的流量。便于从现象挖掘本质原因; 支持按 IP、协议等条件进行流量统计,提供 TOP N统计方式, 统计结果按照柱图、饼图、线图、表格显示,并支持导出为 EXECL 、PDF等文件格式; 支持基于部门的横向排名统计报告,也支持跨部门的基于用 户的全局排名报告; 支持预置报告模版,用户可根据任意时间段、任意用户、任 意应用预定报表; 支持报告订阅,自动发送到指定邮箱; 支持对任意时间范围内的历史日志进行查询、统计; 可自定义统计报告的top 排名数量;
23、 可定义柱状排名报告每图显示的排名数量; 支持统计功能,支持按用户、部门、IP、时间、应用等条 件进行流量统计与行为统计,提供TOP N统计方式; 支持按 IP、协议等条件进行流量统计,提供TOP N统计方 式,统计结果按照柱图、饼图、线图、表格显示; 支持预置报告模版; 支持对任意时间范围内的历史日志进行查询、统计; 设备管理维护 管理方式设备提供基于HTTPS 协议的图形化管理界面,用户可以使用 各种浏览器进行设备的访问控制; 设备管理界面的访问不安装任何插件。 支持命令行方式对设备进行管理;支持本地串行接口管理, 用户可以使用超级终端连接设备进行基本配置; 支持远程协助管理; 采用 We
24、b管理,但需要下载ActiveX控件,而且依赖于IE 浏览器;不支持本地串口管理;支持Linux命令行,但不 对用户开放; 策略设置可根据不同用户设定策略,对同一组内的不同用户设置不同 策略; 可根据不同用户设定策略,对同一组内的不同用户设置不 同策略; - 10 - 支持对某些用户免监控; 可按照不同时间段设定策略,时间定义可基于星期、天、小 时、分钟,并支持一天内2 个时间段的划分; 可针对不同网络应用设定不同的策略; 支持策略优先级设置; 支持 IP 黑名单,动态或者静态的将某个IP 地址放入黑名单 阻塞; 支持网页重定向设置,使员工在一天内第一次上网时先访问 指定的公告站点; 支持对某
25、些用户免监控; 可针对不同网络应用设定不同的策略; 支持策略优先级设置; 支持 IP 黑名单,动态或者静态的将某个IP 地址放入黑名 单阻塞; 管理员密码修改支持不支持 超级管理员定义 的策略普通管理 员无权更改 支持不支持 配置改变无需重 启 支持不支持 策略批量生效支持不支持 实时在线帮助支持不支持 保留用户日志的 版本升级 支持不支持 支持日志中心支持独立日志中心,实现审计日志的海量存储与离线查询, 保障日志数据的完整性与安全性; 支持用户日志的全文检索,可通过关键字检索指定日期范围、 指定应用类型的用户日志记录 支持独立日志中心; 支持用户日志的全文检索; 支持集中管理支持对多台上网行
26、为管理设备的统一集中管理; 集中控管功能的开启,无需在上网行为管控设备端做任何设 置; 要求集中管理端下发的策略,上网行为管理设备端不可更改; 可监控每台设备状态并对异常报警。 支持对多台上网行为管理设备的统一集中管理; - 11 - 统一制定策略, 下发至每台设备,实现全网行为控制与审计; 可查看每台设备的用户的上网日志; 汇总比较每台设备的流量信息; 安全与稳定性 异常流量防护当由于病毒、蠕虫等原因,内网发生异常网络流量时,设备 可告警,并可以根据告警日志发现导致异常流量的人员和网 络行为。 可纪录异常流量的报文组成,以及异常行为的报文发送频率, 确保管理人员能够快速的定位异常人员,以及他的行为操作。 对于异常行为流量可以进行全部阻断,或者阻断超出标准值 的流量。 可以针对不同的内网主机分别设置流量防护安全阀值。 支持对内网异常流量如DDOS 攻击的自动识别;支持对异常 流量攻击的防护; ARP 攻击防护支持 ARP防护功能,能够在防护日志中查找到攻击源头的MAC 地址 可防 ARP欺骗;