网康深信服上网行为管理功能对比docx.docx
《网康深信服上网行为管理功能对比docx.docx》由会员分享,可在线阅读,更多相关《网康深信服上网行为管理功能对比docx.docx(32页珍藏版)》请在冰豆网上搜索。
网康深信服上网行为管理功能对比docx
.
网康、深信服的功能对比
本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考。
参数列表
网康科技
深信服
基本参数
厂商及产品简介
网康科技公司,总部在北京,国内第一家专业“上网行为管
深信服科技公司,总部在深圳,以
IPsec-VPN起家,后来
理”设备生产厂家;网康
ICG是国内“上网行为管理”一线
做SSL-VPN、防火墙和UTM。
其UTM产品功能较多,其中包
品牌,其主要特点是URL库、应用库庞大,性能稳定,功能
含有上网行为管理功能。
配置灵活,界面友好易操作等;在日本及中亚市场也占有相
当份额。
产品形态
软硬件一体产品
软硬件一体产品
避免单点故障
1.
支持断电Bypass功能;
仅某些型号支持硬件bypass;
2.
支持非断电模式下的智能硬件
bypass功能,任何故障均
不支持软件bypass和一键bypass功能。
保障网络畅通;
开机和关机过程中无bypass功能。
3.
设备面板有一键按钮
bypass
4.
开机和关机过程中自动切换
bypass。
系统冗余容错
支持硬盘发生故障时,设备可以切换到备份系统,由备份系
仅硬盘上存有操作系统
统执行互联网行为管控功能;
硬盘发生逻辑损坏时,设备支持自修复功能;
部署方式
(1)
产品可通过透明桥接、网关、旁路三种方式接入网络。
支持网关、单/双路串接、镜像旁路等部署方式
(2)
产品在透明网桥接入模式下,支持双链路、双网桥部署。
(3)
产品在网关模式下,支持
DNAT内网IP/端口映射,便于
外部用户访问内网主机。
(4)
支持通过集中管理平台对分布部署的设备进行统一策略
制定与管理。
.
(5)支持外置日志中心,可以实现离线日志查询。
代理服务器功能
可作为专业代理服务器部署,实现员工通过代理上网;
不支持
支持HTTP代理功能,并可自定义代理端口;
支持HTTPS代理,可自定义安全端口;
支持SOCKS代理,并提供代理认证功能;
可以设定缓存大小、缓存有效期、不缓存网页列表,并实时
监控请求数、命中率等代理服务状态。
用户管理功能
用户管理
以树状架构对用户进行管理,实现完全按照企业的组织结构
以树状架构对用户进行管理;不支持用户导入,但可以手
多级划分用户组;
工批量生成用户;
且支持横向逻辑权限组,大大提高管理方便性;
支持IP/MAC跨三层绑定;
支持IP段自动分组;
支持用户信息外部导入;
支持二层和三层网络环境下的
IP/MAC绑定,且实现该功能无
需安装客户端;
用户识别
可基于IP进行用户的身份识别;
可基于IP进行身份识别;
可基于MAC地址进行身份识别;
可基于MAC地址进行身份识别;
支持无客户端的AD域用户识别;
支持AD域用户识别;
支持POP3邮件账号用户识别;
支持POP3邮件账号用户识别;
支持Kerberos单点识别;
支持PPPoE认证账号单点识别;
可识别BASIC、NTLM方式的代理服务器的用户;
支持第三方用户信息识别。
用户认证
支持微软AD域的联动认证;
支持微软AD域的联动认证;
支持LADP服务器的联动认证;
支持LADP服务器的联动认证;
支持Radius服务器的联动认证;
支持客户端本地认证;支持互联网准入认证;
支持POP3认证;支持ESMTP认证;
支持网关设备本地Web登录认证方式;
支持客户端本地认证;支持互联网准入认证。
可定义免认证IP网段;
-2-
支持网关设备本地Web登录认证方式;
提供与第三方认证系统联动的接口;
可与华三CAMS系统联动实现单点认证。
可为不同IP网段开启不同的用户认证方式;
同一IP网段可同时开启多种认证方式。
可控制认证账号是否可在多台计算机设备上同时登陆;
支持认证账号黑名单控制;
支持认证账号有效期控制,到期后账号自动失效;
可定义免认证IP网段,支持用户访问指定的服务器无需认
证;
支持用户自定义认证窗口的提示信息;
用户可修改自身LDAP认证密码;
用户每日上网时可限定每个用户在一天之内累计上网时间额度;可限定每个用户在一天之内累计上网时间额度;但不支持
长限额可单独控制用户的某项互联网应用每日上网时长限额;对单个应用设置策略;
可同时控制用户的多项互联网应用每日上网时长限额;
网页过滤功能
URL库规模及准确
提供全球最大的中文
URL分类库,规模达1400万条,分类精
URL库规模声称
1000万,实际不足
400万,且不支持二级
率
准率接近100%
分类,分类精准率不足50%。
支持43个一级分类,以及8个二级子分类。
对google搜索
引擎任意关键字的前
100条搜索结果,ICG的网页分类识别
率高达95%以上。
URL库时效性
URL库每天更新300万条;客户可设置自动升级或手动更新;
支持URL库更新
且支持客户未分类
URL回传再分类;
URL过滤能力
支持基于预分类的
URL类别进行过滤控制;支持用户自定义
支持基于预分类的
URL类别进行过滤控制;支持用户自定
网站类别过滤;
义网站类别过滤;
支持URL类别的二级子类控制;
支持过滤HTTPS加密的网站;
支持对以IP方式访问网站过滤控制;
支持基于URL关键字进行过滤控制;
支持基于网站分类过滤
HTTPS加密的网站;
对于违反策略的网页访问,支持弹出警示页面;
-3-
支持基于URL关键字进行过滤控制;
支持网站黑、白名单设置;
支持基于文件类型进行过滤控制;
支持基于网页文件大小进行过滤控制;
对于违反策略的网页访问,支持弹出警示页面,警示页面内
容支持自定义;
支持网站黑、白名单设置;
应用封堵功能
协议库组织架构
三级树状应用协议分类架构,清晰易懂,支持
14大类,260
仅支持平面级别的二级分类,支持近
250种协议
及规模
种协议;
封堵P2P下载
能够准确识别并封堵近
30种P2P应用,如:
迅雷,BT,电驴
能够识别10余种P2P应用
等;
对于加密的下载协议也能识别控制;
封堵IM即时通信
支持QQ、MSN、网易泡泡、Skype、飞信、淘宝旺旺、新浪UC
支持QQ、MSN、网易泡泡、Skype、飞信、淘宝旺旺、新浪
等多种聊天工具;
UC等多种聊天工具;
对于每一种应用的子协议,如聊天、文件传输、视频,能够
进行独立控制
封堵网络游戏
支持对近
40种流行网络游戏的识别和封堵,
如魔兽世界、梦
支持30种网络游戏
幻西游、联众、浩方等;
封堵炒股软件
支持对近
20种主流炒股软件的识别和封堵,
如:
大智慧,同
覆盖度不足
花顺,钱龙等;
封堵网络电视
支持对近
35种流行网络电视的识别和封堵,
如:
PPLive,土
覆盖度不足
豆网,酷
6,6间房等;
基于应用控制用
支持
不支持
户每日上网时长
网页非WEB浏览
支持
不支持
控制(网页视频、
网页游戏等)
流控功能
-4-
带宽通道管理
支持基于带宽通道的流量控制,可设定多个不同的带宽通道,
支持基于带宽通道的流量控制,可设定多个不同的带宽通
每个带宽通道提供保障速率和突发速率;
道;支持带宽通道优先级的定义,但仅有
3个优先级;
支持带宽通道优先级的定义,保障核心业务拥有带宽保障;
支持空闲带宽借用,实现带宽资源统计复用;
带宽策略设置
可设置基于人/部门的带宽管理策略;
可设置基于人/部门的带宽管理策略;
可设置基于应用的带
可设置基于应用的带宽管理策略,避免非业务应用对主流应
宽管理策略;
用的影响;
可设置人/部门某一种或多种应用的组合带宽策略;
可设置
可设置人/部门某一种或多种应用的组合带宽策略;
部门成员的平均带宽策略,避免个体成员独占部门带宽;
可设置部门成员的平均带宽策略,避免个体成员独占部门带
宽;
可根据时间段设置带宽管理策略;
外发内容过滤
邮件过滤
可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;
可以控制用户发送邮件;
可以控制用户禁止发送主题或正文包含某关键字的邮件,且
不支持邮箱账号、收信方邮箱域名,以及附件名称过滤邮
对主题和正文关键字可分别控制;
件外发行为;
可禁止外发附件名称包含某关键字的邮件;
可以控制用户禁止发送主题或正文包含某关键字的邮件;
可控制允许外发邮件附件的大小范围;
IM即时通讯过滤
可基于聊天账号、传输文件名称和类型过滤
IM即时通讯内
不支持
容。
文件传输过滤
支持HTTP、FTP、邮件附件、IM、论坛发帖附件、FlashGet
仅可基于文件类型控制
HTTP和FTP的文件下载、上传行为;
等文件传输内容过滤;
不支持IM文件传输内容过滤;
论坛发帖过滤
基于时间段、用户群、发帖地址、发帖内容关键字过滤敏感
支持发帖关键字过滤,但不支持报警
信息外发行为;可向管理员发出邮件报警信息。
搜索引擎关键字
可基于关键字搜索类别过滤搜索引擎的关键字搜索行为。
不支持基于搜索类别的关键字搜索过滤
过滤
实时监控审计
设备运行监控提供全面的设备运行状态信息,包括设备负载、设备持续运可实时监控设备的运行状态,包括CPU、内存、硬盘等信息;
-5-
行时间长度、URL库和应用协议库更新状态、最近网络攻击
以及系统报警信息等,使管理员对设备运行监控状况一目了
然;
网页审计
记录访问网页的用户、时间、
URL地址、访问内容的分类、
记录访问网页的用户、时间、
URL地址等信息;
允许/阻断、匹配的控制策略等信息;
可审计用户访问HTTPS加密网站的行为;
可审计用户访问
HTTPS加密网站的行为;
可记录网页标题信息;
可查询被阻断的
web访问纪录。
可根据预设的web过滤策略,
实现对违禁访问网页行为的查询;
可记录网页标题信息;可以记录网页内容信息;
邮件审计
可按用户、用户组和时间段审计用户收发邮件内容,并可还
可按用户、用户组和时间段审计用户收发邮件内容,并可
原原文及附件;
还原原文及附件;
支持仅审计某邮箱地址发出或接收的邮件;
邮件审计内结果容包括:
发件人、收发人、时间、主题、
支持仅审计邮件主题中包含某关键字特征的邮件;
正文、附件等信息;
支持仅审计包含某类型附件的邮件收发内容;
可以定义免审计的邮箱地址;
邮件审计内结果容包括:
发件人、收发人、时间、主题、正
文、附件等信息;
可记录被阻塞邮件外发行为、主题、发信人及收信人信息。
可识别审计非标准端口的
SMTP邮件传输行为和传输内容。
即时通信审计
可基于用户、用户组和时间段审计
IM上线,下线行为;
可以审计QQ、MSN聊天内容信息;
可以审计MSN2009及其以下版本聊天内容信息;
可审计MSN传输的文件名称与内容,支持文件还原查看;
可审计MSN的音视频行为。
可以审计QQ2009及其以下版本聊天内容信息。
可以审计QQ聊天双方的账号、昵称、聊天内容;可以审计
QQ群组聊天内容;
可以审计QQ文件传输行为及文件名称、大小;可以审计
QQ
语音及视频行为;
-6-
论坛发贴审计
支持网页外发信息审计,可查找外发的附件;
支持对发帖网址和发帖正文审计,记录内容包括:
用户、
支持对发帖网址和发帖正文关键字查找,记录内容包括:
用
时间、论坛地址、正文,附件;
户、时间、论坛地址、正文,附件;
可自动过滤非论坛发帖的
POST记录,增强论坛发帖审计结果
中记录的可读性;
可自定义设置不需审计的发帖网址;
网络应用审计
可审计每种网络应用的用户、时间、流量等信息;
可审计每种网络应用的用户、时间、流量等信息;
可针对每个网络应用进行任意日期范围、任意时段、任意用
可记录基于IP、端口、协议五元组的网络会话连接的详细
户的查询;
信息;
可查询被策略阻塞的应用记录,包含匹配的策略名称;
可根据上网行为管理设备设置的管理策略,实现对违规行为
的查询;
可记录基于IP、端口、协议五元组的网络会话连接的详细信
息;
流量审计
可监控当前网络流量以及过去
24小时网络流量;
可监控当前网络流量以及过去
24小时网络流量;
可实时查看基于实时流量的
TOPN用户排名,并可针对具体
可实时查看基于实时流量的
TOPN用户排名;
用户进行管理查询,获得该用户在使用哪些应用;
可实时监控基于流量的
TOPN网络应用排名,并可针对具体
应用进行关联查询,获得哪些用户在使用这些应用;
搜索引擎关键字
能够审计用户通过搜索引擎输入的所有关键字,也可以只审
能够审计用户通过搜索引擎输入的所有关键字;
计指定的敏感关键字;
提供专门的检索工具,对用户的搜索历史进行查询;
按照搜索类别/用户进行统计;
文件传输审计
可以记录用户通过HTTP、FTP协议上传或下载文件的内容;
不支持
可以记录指定下载源地、指定类型、指定大小的文件内容;
能够记录FTP帐号、服务器名称、文件名称、文件路径,能
够完整还原传输的文件;
可记录用户通过MSN、QQ传输的文件名,可欢迎
MSN传输的
-7-
原文;
Telnet审计支持对用户通过telnet方式访问网络设备时执行的命令进只支持单向审计
行监控,完整记录telnet的时间、IP、端口、命令和结果等
信息。
日志统计分析
日志导出备份
支持日志定期导出备份到存储服务器中;
支持日志定期导出备份到存储服务器中;
支持日志通过USB手工导出,日志内容可导入Excel
文件中
浏览;
可通过FTP导出日志;
历史日志查询
提供丰富的查询条件,查询用户的上网行为细节数据。
支持
支持按用户、部门、IP、时间、应用进行查询,支持组合
按用户、部门、IP、策略名称、时间、应用进行查询,支持
条件查询方式;
组合条件查询方式;支持自定义查询条件模板,按模板进行
支持用户上网历史综合查询;
查询;
可基于时间段、用户、应用协议等多种条件进行筛选查询;
能够根据URL类别、网址关键字、控制方式、过滤策略进行
Web访问查询;
能够按照发件人、收件人、正文关键字、附件类型与大小对
邮件进行查询;
能够根据关键字对论坛发帖内容进行查询;
能够根据帐号、时间、用户对
IM聊天内容进行查询;
支持用户上网历史综合查询,可以将一个人,一个部门的网
页,应用,邮件,即时通讯,网站发帖的监控纪录在一个页
面中显示,便于全面的了解一个人员的行为情况;
支持查询用户上线历史信息,支持认证用户上线、下线历史
记录查询功能。
可以基于时间和用户等多种关键字对通过认
证的用户,进行上线、下线历史信息的查询;
可基于时间段、用户、应用协议等多种条件进行筛选查询;
日志统计分析
可对某一时间段内各类应用所占用网络带宽的大小信息和时
可对某一时间段内各类应用所占用网络带宽的大小信息和
长进行统计;
时长进行统计;
-8-
可对用户组或用户的上网时长进行排名统计;
可对多个用户组组内用户的各类排名进行统计;
可自定义统计报告的top排名数量;
可定义柱状排名报告每图显示的排名数量;
支持统计功能,支持按用户、部门、IP、时间、应用(网页、邮件、IM、发帖)等条件进行流量统计与行为统计,提供TOP
N统计方式,支持组合条件统计方式;统计数据支持下钻式(drill-down)深入分析功能,例如:
统计一周内应用流量最大的用户排名后,可以点击数值详细查看具体的应用和各应用的流量。
便于从现象挖掘本质原因;
支持按IP、协议等条件进行流量统计,提供TOPN统计方式,统计结果按照柱图、饼图、线图、表格显示,并支持导出为EXECL、PDF等文件格式;
支持基于部门的横向排名统计报告,也支持跨部门的基于用户的全局排名报告;
支持预置报告模版,用户可根据任意时间段、任意用户、任意应用预定报表;
支持报告订阅,自动发送到指定邮箱;
支持对任意时间范围内的历史日志进行查询、统计;
可自定义统计报告的top排名数量;
可定义柱状排名报告每图显示的排名数量;
支持统计功能,支持按用户、部门、IP、时间、应用等条
件进行流量统计与行为统计,提供TOPN统计方式;
支持按IP、协议等条件进行流量统计,提供TOPN统计方
式,统计结果按照柱图、饼图、线图、表格显示;
支持预置报告模版;
支持对任意时间范围内的历史日志进行查询、统计;
设备管理维护
管理方式
设备提供基于HTTPS协议的图形化管理界面,用户可以使用
采用Web管理,但需要下载ActiveX
控件,而且依赖于IE
各种浏览器进行设备的访问控制;
浏览器;不支持本地串口管理;支持
Linux命令行,但不
设备管理界面的访问不安装任何插件。
对用户开放;
支持命令行方式对设备进行管理;支持本地串行接口管理,
用户可以使用超级终端连接设备进行基本配置;
支持远程协助管理;
策略设置
可根据不同用户设定策略,对同一组内的不同用户设置不同
可根据不同用户设定策略,对同一组内的不同用户设置不
策略;
同策略;
-9-
支持对某些用户免监控;
支持对某些用户免监控;
可按照不同时间段设定策略,时间定义可基于星期、天、小
可针对不同网络应用设定不同的策略;
时、分钟,并支持一天内
2个时间段的划分;
支持策略优先级设置;
可针对不同网络应用设定不同的策略;
支持IP黑名单,动态或者静态的将某个
IP地址放入黑名
支持策略优先级设置;
单阻塞;
支持IP黑名单,动态或者静态的将某个
IP地址放入黑名单
阻塞;
支持网页重定向设置,使员工在一天内第一次上网时先访问
指定的公告站点;
管理员密码修改
支持
不支持
超级管理员定义
支持
不支持
的策略普通管理
员无权更改
配置改变无需重
支持
不支持
启
策略批量生效
支持
不支持
实时在线帮助
支持
不支持
保留用户日志的
支持
不支持
版本升级
支持日志中心
支持独立日志中心,实现审计日志的海量存储与离线查询,
支持独立日志中心;
保障日志数据的完整性与安全性;
支持用户日志的全文检索;
支持用户日志的全文检索,
可通过关键字检索指定日期范围、
指定应用类型的用户日志记录
支持集中管理
支持对多台上网行为管理设备的统一集中管理;
支持对多台上网行为管理设备的统一集中管理;
集中控管功能的开启,无需在上网行为管控设备端做任何设
置;
要求集中管理端下发的策略,上网行为管理设备端不可更改;
可监控每台设备状态并对异常报警。
-10-
统一制定策略,下发至每台设备,实现全网行为控制与审计;
可查看每台设备的用户的上网日志;
汇总比较每台设备的流量信息;
安全与稳定性
异常流量防护
当由于病毒、蠕虫
升级会员 