汉柏PA5500ACG系列上网行为管理产品白皮书V261.docx

汉柏PA5500ACG系列上网行为管理产品白皮书V261.docx

《汉柏PA5500ACG系列上网行为管理产品白皮书V261.docx》由会员分享，可在线阅读，更多相关《汉柏PA5500ACG系列上网行为管理产品白皮书V261.docx（17页珍藏版）》请在冰豆网上搜索。

汉柏PA5500ACG系列上网行为管理产品白皮书V261

汉柏科技上网行为管理系统

———PA-5500-ACG

汉柏ACG上网行为管理系统产品简介

版权说明

本文的内容是汉柏科技ACG上网行为管理系列产品宣传手册。

文中的资料、说明等相关内容归汉柏科技有限公司所有。

本文中的任何部分未经汉柏科技有限公司（以下简称“汉柏科技”）许可，不得转印、影印或复印、发行。

版权所有汉柏科技有限公司

商标声明

本手册中所谈及的ACG系列产品的名称是汉柏科技的商标。

手册中涉及的其他公司的注册商标属各商标注册人所有，恕不逐一列明。

联系信息

客服热线（CustomerServiceHotline）：

400-706-8366

公司邮箱（E-mail）：

PA-5500-ACG系列上网行为管理系统

一、产品概述

汉柏ACG上网行为管理系统主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题,可以针对用户上网行为实现“行为前、行为中、行为后”三位一体的管理。

通过对内网用户的网络行为管理和控制，从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用，以及对P2P软件、游戏软件股票软件、即时通信等各种应用软件的管理和控制，并实现对上述各种网络行为的管理和审计功能。

汉柏ACG上网行为管理系统能够解决企业信息系统及互联网面临的以下问题：

如何对接入互联网/外联网的终端进行有效的授权与控制

如何避免企业的重要信息泄露给竞争对手

如何规避由于内部过激或者敏感言论所带来的法律风险问题

怎样控制终端的网页访问权限

如何有效的记录并保存所有终端的应用行为

网络带宽怎样进行合理的分配

怎样有效的管理员工的上网行为，提高工作效率

二、主要特点

业界领先的架构设计

业界最佳的系统架构

ACG系列上网行为管理系统采用了控制平面、转发平面和管理平面严格分离的系统架构，对于应用层安全，采用高性能的通用处理器，以应对实时变化的威胁和应用；对于管理数据，给予最高优先级的处理，即使在应用层处理负载较重的时候，仍然能够轻松对设备进行管理和配置。

IronScreen双安全操作系统

ACG系列上网行为管理系统采用了基于汉柏专利多核技术的双安全操作系统，独创性的提出了基于安全领域在多核上的SMP（对称多处理）软件模型，该模型成功的应用了阿比达定律，有效的降低串行化执行代码在总执行代码中的比例，极大地发挥了多核下的并行计算能力。

除此之外，ACG系列上网行为管理系统使用了智能流分类系统，将大量的数据流均匀分散在不同的核上进行全流程处理，增加了数据Cache的命中率，极大的提高了系统的性能。

针对多核软件设计大量使用到的锁，汉柏设计并实现了自有专利的安全操作系统写时拷贝机制，使得90%的数据流在做并行化处理时都是免锁的，进一步保障了系统的稳定性和可靠性。

强大的识别引擎

ACG系列产品采用的是汉柏科技自主研发的高效安全的多核操作系统IronScreenOS（简称ISOS），不仅在产品的软件架构上，更针对所使用的硬件，在驱动、流量识别引擎、报文转发通路、排队和调度上，进行了非常深入和全面的性能优化，真正实现了HTTP新建连接30万的性能突破，不仅在国内，在国际上都处于领先地位。

基于行为识别、会话深层检测技术

ACG系列产品采用了多种基于应用识别和检测技术，不仅提供深层报文识别（DPI），同时提供基于会话的应用分类（DFI）机制，配合以智能的随机端口检测和重复连接侦测技术，以及专利技术TrixFlow（基于数学建模的P2P流量识别控制专利技术（专利号）的应用，对网络流量的交互特征、协议的有限状态机迁移情况、会话特征等综合指标，能够给予精确识别，实际网络中达到了85%以上。

丰富的应用识别支持、控制和管理

ACG系列产品提供了强大的应用控制和管理功能，不仅能够识别包括P2P下载、网页视频、网络电话、网络游戏、股票等在内的20个种类1400多种应用，还能够提供精准的P2P阻断、QoS保障和带宽限速在内的多种控制策略；同时，结合丰富的网页分类和URL数据库，ACG系列产品还可以提供40多种类型和2000多万登记在案的网页访问控制，能够对各种暴力、黄色、广告以及敏感类网站进行精准控制。

应用程序控制

汉柏科技ACG系列产品采用了多重识别技术，首先基于强大的深度报文检测和多达1400种的业界最丰富的协议库，对绝大部分的应用进行模式匹配；其次采用了启发式学习和DFI技术，采用汉柏专利技术进行深层次的行为挖掘；最后，对伪装成HTTP报文的应用，进行一致性还原比对。

在这三重技术的保障下，将应用识别率，特别是P2P流量的识别率，提高到远远超过了业界的其他竞争对手的程度。

网页访问控制

对不良或者敏感信息的浏览往往会将组织的声誉置于非常危险的境地，如何降低这方面的风险，需要全面而细致的网页访问控制功能。

ACG系列产品结合汉柏实时更新的URL数据库，能够提供多达70多种超过4000万域名的Web页面分类数据库，以及自定义的分类和页面关键字过滤，帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问，杜绝潜在的威胁。

除此之外，汉柏科技ACG系列产品不仅提供静态URL的封堵，还集成了独有的网页安全搜索的功能，能够实时监控各种网页搜索结果。

丰富的带宽管理机制

对于很多用户来说，VoIP、视频会议以及包括ERP、SCM、CRM是日常工作中最关键的IT应用，需要最低限度保障它们的可用性和体验质量，这不仅包括要避免带宽被P2P之类的应用吞噬造成无法使用，还要保证在各种情况下都能够保证语音、视频以及各种办公业务的流畅。

汉柏科技ACG系列产品提供多种带宽管理机制：

带宽限制：

根据策略对特定IP/IP组、应用协议进行带宽限制，避免这些IP/IP组、应用协议过度使用带宽而影响他人和整个网络，能够支持单个用户的单独限速；

带宽预留：

预留出一定的带宽给特定的IP/IP组或应用协议使用；

带宽保证：

带宽保证在其保证的带宽不能满足要求的时候，会从剩余的总带宽里借用所需带宽。

同时，汉柏ACG系列产品具有如下QoS保障机制

支持基于应用协议/协议组和IP/IP群组的速率控制；

支持阻断、限速、带宽保证和带宽预留；

支持策略嵌套，即在同一条管理策略里，既可以针对特定对象（IP或应用）进行总的数据通道控制，也可以单IP限速，同时可并列匹配“DSCP标记”、“对端抑制”等参数，实现策略的高度灵活性和简洁性；

支持流量DSCP标记以和路由器联动；

最小控制粒度为1kbps；

可根据时间和在线IP数等参数启用相应策略；

支持流量代理，将指定类型协议如P2P下载、网络电视等经由指定出口转发至外网，实现“一进多出”或“M进N出”；

支持优先级，可针对应用协议或IP实现，支持0-6七种优先级；

支持单IP应用协议/协议组的TCP、UDP和总并发连接数控制；

支持单IP到外网特定目标地址的TCP、UDP和总的应用并发连接数控制；

可根据数据链路、外网地址、内网地址和应用协议/协议组等参数指定连接数控制策略；

可根据时间和在线IP数等参数启用相应策略；

支持URL访问控制；

支持URL重定向和Web信息提示；

可根据内网IP、文件类型、访问方法（GET或POST）和目标URL等参数设置控制策略；

可根据时间和在线IP数等参数启用相应策略；

完整内容审计　 

MSN、雅虎通等IM软件聊天内容精细化审计；

文件传输内容审计和监控：

监控WEB外发文件内容，WEB下载文件内容，记录FTP外发文件内容，FTP下载文件内容等；

邮件内容内容审计和监控：

记录WEB外发邮件，SMTP外发邮件，POP3收邮件，包括发件人，收件人，抄送，秘送，主题，邮件内容，邮件附件内容等

网页浏览内容审计和监控：

记录网页浏览标题，网页链接，网站，访问时间，BBS发言等上网日志；

便捷的管理

可视化的安全管理

PA-5500-A系列上网行为管理系统提供了丰富的展现功能，提供包括应用排行、IP排行、P2P使用情况，在应用管理上，可以提供能够细致到当前用户的应用、占用的带宽、使用的连接，让安全管理者对已有的、潜在的和未知的安全威胁，以及网络中的各种应用和用户行为，都有着非常直观的感受，为用户创造出可视化安全的体验。

实时的应用库和URL库更新

上网行为管理网关系统，如何能够保证在新的应用出现的第一时间，就能够做到有效的洞悉和控制，不仅考验产品本身的应变能力，更考验安全厂商支持的力度和深度，以及响应的速度。

汉柏科技为上网行为管理网关系统配备了强大的应用开发服务团队，对不断涌现的新的应用，实时更新到汉柏应用和URL数据库中。

目前数据库已经有1000多条应用库，以及40多种分类2000多万条网页数据库。

三、特性列表

类别

特性说明

工作模式

透明模式、路由模式、混合模式,、

网络特性

物理接口、逻辑接口、子接口

端口汇聚

IP/MAC绑定

ARPInspection

PPPOEClient

DHCP中继、服务器、客户端

DNS客户端和中继

NTP

接口报文捕获

访问控制

对链路层、网络层、传输层及应用层的访问控制

基于MAC、IP、PORT、Protocol、APP、时间段等多种条件的过滤

通过对象组简化ACL配置

ACL条目插入、开关功能

地址转换

灵活多样的地址转换方式（一对一、一对多、多对多）

正向、反向的双向地址转换方式

地址别名、地址豁免、虚拟地址映射和端口重定向功能

通过NAT限制连接数

路由

静态路由

源路由、源接口路由、策略路由

良好的互操作性

用户认证

多种认证方式（Local、AD域认证、RADIUS、LDAP等）

WEB虚拟认证

系统管理认证

基于身份的授权和记账

网页过滤

内置URL分类库，具备40多种分类，2000万条以上URL地址，能够对国内外的网站进行识别过滤控制。

用户自定义网站类别进行过滤控制。

基于URL关键字进行网页过滤控制。

基于HTTP下载的文件类型进行过滤控制。

基于搜索内容关键字进行过滤控制。

基于下载文件名关键字进行过滤控制。

基于提交内容关键字进行过滤控制。

网站访问黑、白名单设置。

基于时间段访问网站的过滤控制。

网页游戏的过滤控制。

对于违反策略的网页访问，能够弹出警示页面同时警示内容支持用户自定义添加。

URL分类库定时更新

自定义URL分类库

应用封堵及控制

产品提供了能够覆盖主流互联网应用的协议识别库。

针对应用协议识别库提供定期更新，保障应用协议识别的准确性。

自定义添加应用协议。

可以识别和控制国内主流的P2P下载软件，如：

BT，电驴/电骡，Gnutella,KaZaA,PP点点通，Kugoo,Vagaa,迅雷，网际快车，QQ旋风，酷我，搜娱，WinMX,Winny,Share等，支持自定义应用协议的添加。

同时可以针对PSP下载信息进行详细的记录，内容包括部门、姓名、IP、MAC、开始时间、结束时间、上传流量、下载流量、上传报文数、下载报文数。

可以对主流的IM应用进行封堵控制，如：

QQ，MSN，Yahoo通，ICQ，新浪UC，飞信，POPO，淘宝旺旺，Skype等，同时可以针对聊天内容关键字、文件传输关键字进行过滤控制。

可以识别和控制skype/SIP通讯协议的使用，同时记录具体的信息。

可以识别合控制主流的网络电视应用，如：

PPLive、QQLive、PPStream、BBSee、沸点、UUSee、TVAnts、Mysee、Bbsee、TVAnts、风行、在线视频等,同时记录