AC上网行为管理.docx
《AC上网行为管理.docx》由会员分享,可在线阅读,更多相关《AC上网行为管理.docx(30页珍藏版)》请在冰豆网上搜索。
AC上网行为管理
AC上网行为管理
作者:
日期:
AC6.0的上网行为管理产品招标参数
、性能及配置要求
项目
技术要求
吞吐量
>1.2Gb
并发会话数
>300,000
用户规模
>12000人
设备接口
6个千兆电口
4个千兆光口
1个RJ45串口
支持外网带宽
>300M
BYPASS
支持
电源
冗余电源
尺寸
标准1U架构
硬盘
>500GB
、功能要求
以下功能参数内容较多,在招标书实际编写时可只截取部分内容即可。
其中红色字体为重点差异化优
势
项目
指标
具体功能要求
部署
方式
网关模式
支持网关模式,支持NAT、路由转发、DHCP等功能;
网桥模式
支持网桥模式,以透明方式串接在网络中;
旁路模式
支持旁路模式,无需更改网络配置,实现上网行为审计;
多路桥接
必须支持多路桥接功能,最多可支持四进四岀四网桥模式;
★多主模式
必须支持两台及两台以上设备同时做主机的部署模式;
网关
管理
管理界面
支持SSL加密WEB方式、SSH命令行方式管理设备;
分级管理
不同用户组的管理权限支持分配给不同管理员;
集中管理
多台设备支持通过统一平台集中管理、集中配置等;被控设备加入统一平台必须支持以硬件证书验证身份;
告警管理
支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等;
关闭网管
在网关重启操作中支持关闭网关。
加密连接
必须具有IPSecVPN远程加密访问和连接的模块,并能提供IPSecVPN客
户端授权远程接入访问;(提供产品界面截图)
排障工具
提供图形化排障工具,便于管理员排查策略错误等故障;
上网故障排除系统
支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大;
实时
监控
设备资源信息
提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息;
流量状态
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;
安全状态
实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全;
上网行为监控
实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间;
★Web访问质量
检测
1、针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级
2、支持以列表形式展示访问质量差的用户名单
3、支持对单用户进行定向web访问质量检测
用户
管理
本地认证
支持触发式WEB认证,静态用户名密码认证等;
第三方认证
支持LDAP、Radius、POP3、Proxy等第三方认证;
支持ISA'IotusIdap'novelIdap'oracle、sqlserver、db2、mysql等数据
库等第三方认证;
★双因素认证
必须支持以USB-Key方式实现双因素身份认证;
IP、MAC认证
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;支持通过SNMP服务器跨三层获取MAC地址;
支持当用户MAC地址变动时,需要重新认证;
★短信认证
支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码;
短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义,编辑内容包括文字、颜色风格、图片,且图片支持轮询播放(提供界面证明)
★微信认证
1.支持与微信结合的认证方式,用户关注微信公众号后即通过身份认证,后
台记录用户ID(提供产品界面截图)
2.与第三方微信平台无缝对接,不需要修改第三方微信平台代码。
★二维码认证
支持二维码认证,管理员扫描访客的二维码后对其网络访问授权(提供产品界面截图)
新用户认证
根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则;
公用账户
支持多人使用同一帐号登录,且支持重复登陆检测机制;
账户有效期
指定账户支持有效期限制,并支持自动过期;
单点登录
支持AD、POP3、Proxy、PPPOE、H3CIMC/CAMS、锐捷SAM、城市
热点等系统进行认证单点登录,简化用户操作;
可强制指定用户、指定IP段的用户必须使用单点登录;
强制AD认证
指定用户必须用AD域账户登录操作系统,否则禁止上网;
安全组嵌套同步
支持AD安全组嵌套同步;
★LDAP服务器的
域对象的策略管理
与同步
主要目的是对已有的AC与LDAP服务器结合进行优化,便于客户实现策略管理在AC上进行,用户管理在域上进行,不需同步用户到本地组织结构中即可实现策略管理功能
认证失败
支持为认证失败用户提供基本网络访问权限机制;
认证后页面跳转
认证成功的用户支持页面跳转:
1.跳转到用户原本输入的URL地址;
2.跳转到管理员指定的URL地址;
3.跳转到该用户上网信息排行页面;
4.跳转到注销页面;
帐户导入
支持从本地导入和扫描导入,支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息;
支持从外部LDAP服务器导入账户及分组信息;
组织结构
用户分组支持树形结构,支持父组、子组、组内套组等;
用户状态查询
支持用户登录时间、注销时间、在线时长的查询;
自动注销
支持自动注销指定时间内无流量的已认证用户;
冻结用户
支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录;
★用户密码强度
可设置用户密码不能等于用户名;
新密码不能与旧密码相同;
可设置密码最小长度;
可设置密码必须包括数字或字母或特殊字符;(提供产品界面截图)
无线
管理
★有线无线统一的
管理界面
统一界面,能够直接查看到接入点状态、射频状态、无线网络状态、接入用户状态。
(所有项提供产品界面截图)
★内置无线控制器功能,直接管理AP
1.支持配置开放式,WPA-PSK/WPA2-PSK(个人)、WPA/WPA2(企业)
三种接入方式。
2.对接入点支持配置工作模式、视频参数、负载均衡。
3.支持入侵检测、Dos攻击防御,射频智能调整。
4.支持多种日志,接入点日志,系统日志,安全日志,用户认证日志。
5.支持实时显示接入点故障,并提供诊断工具下载。
(所有项提供产品界面截图)
★基于SSID的策
略
支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略。
(所有项提供产品界面截图)
终端
管理
★系统识别
支持识别终端操作系统版本、系统补丁安装情况;(必须提供自主知识产权证明,加盖厂商公章);
文件识别
支持识别终端硬盘指定目录下的文件情况;
★进程识别
支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(必须提供自主知识产权证明,加盖厂商公章);
注册表识别
支持识别终端系统注册表中指定的表项和键值;
自定义识别
支持终端调用管理员指定脚本/程序以满足个性化检查要求;
终端准入
支持win764位操作系统,支持在旁路模式部署下准入生效;支持禁止不满足终端检查要求的用户访问互联网;
应用
管理
★应用识别规则库
1、支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类;
2、支持给每个应用自定义标签;
3、支持根据标签选择一类应用做控制;
4、支持对每一种应用的定义和解释,帮助客户快速定位应用的分类;
5、支持给每一种应用列上图标,易于客户了解应用的特征。
(提供产品界面截图)
★应用控制
1、设备内置应用识别规则库,支持超过4600条应用规则数,支持超过
2100种以上的应用,650种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率;(提供产品界面截图)
2、支持根据应用的特征智能识别新更新的应用;
3、支持根据IP、端口、协议等自定义应用规则;
4、支持根据不同的应用类型或具体的某种应用设置允许或拒绝;
★应用细分控制
1.能够对新浪微博、腾讯微博、网易微博等进行细分控制,如:
登录、浏览、
发微博、上传附件等。
2.能够对QQ空间、豆瓣网、人人网等社交类应用做细分控制,如:
登录、浏览、发帖回帖、上传附件等。
3.能够对天涯论坛、猫扑社区、XX贴吧等论坛类应用做细分控制,如:
登录、浏览、发帖回帖、上传附件等。
4.能够对网易网盘、金山快盘、华为网盘等云盘类应用做细分控制,如:
登录、上传、下载等。
(提供产品界面截图)
★移动应用的细分
控制
支持对移动应用的细分权限控制,微信:
微信网页版、微信传文件、微信朋友圈、微信游戏。
移动QQ:
QQ传文件、QQ视频语音等。
端口控制
支持根据端口设定用户不允许访问的目标IP组提供的服务;
QQ白名单
支持基于用户组、终端类型、位置、SSID的QQ白名单功能。
代理控制
1、不允许使用外部HTTP代理;
2、不允许使用外部Sock4/5代理;
3、不允许在HTTP,SSL—些的标准端口上使用其他协议;(比如在80端口上传输非HTTP协议数据,在443端口上传输非HTTPS协议数据等)
★共享接入管理
(防共享)
设备能够发现私接路由(或者共享软件等)共享网络的行为:
1.支持自定义配置终端数量和冻结时间。
2.支持“仅统计电脑”和“统计所有终端”两种模式。
3.支持可选“冻结IP”还是“冻结用户名”。
4.支持添加信任列表
5.支持显示以IP或用户名的维度统计一段时间内的趋势图。
6.支持例外排除功能:
如冻结条件是2.指定例外条件1台PC,2个终端。
当PC或终端数超过例外条件才会被判定为共享。
(提供产品界面截图)
7.支持在数据中心报表中可查询通过共享上网的IP、用户,并能导岀报表;
(提供产品界面截图)
网页
管理
静态URL库
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;
★URL智能识别
必须支持未知网页的自动识别与分类(提供产品界面截图);必须支持根据用户输入的关键字、url、自动分类未知网页;
★SSL加密网页
识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等(必须提供自主知识产权证明,加盖厂商公章);
自定义URL
设备支持管理者自定义新的URL地址和URL分类;
关键字过滤
过滤同时匹配三个以上关键字的搜索行为;过滤同时匹配三个以上关键字的网页访问行为;
网页过滤
支持根据访问的URL、网页关键字进行网页过滤,支持设置拒绝以IP访问
网页行为;
支持在放行URL时,自动放行主域名的子链接中被禁止的网站,保证网页显
示完整;
发帖管理
过滤同时匹配三个以上关键字过滤的网络发帖行为;
必须支持允许用户浏览帖子但不准发帖功能;
★SSL发帖管理
必须支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为;
网页附件管理
支持根据文件类型限制http、FTP方式上传、下载行为;
文件
外发文件告警
支持对HTTP、FTP、Email附件等方式外发文件的识别、报警、过滤等管理
管理
措施;
支持根据外发文件类型、关键字等条件的过滤告警,
扩展名识别
支持基于外发文件的扩展名识别外发文件类型;
无扩展名识别
必须能识别删除扩展名的外发文件类型并报警
改扩展名识别
必须能识别篡改扩展名的外发文件类型并报警
压缩识别
必须能解压压缩文件后再识别内含真实文件类型并报警;
加密识别
必须能识别加密文件外发行为并报警;
邮件
管理
邮件地址过滤
支持根据源地址和目的地址过滤外发邮件;
邮件附件过滤
支持基于扩展名过滤含指定文件类型的邮件外发行为;
支持识别删除、篡改文件扩展名的邮件附件外发行为并报警;(提供产品界面截图);
支持根据附件大小、附件个数限制外发邮件;
邮件关键字过滤
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为;
Webmail管理
必须支持允许用户登录Webmail收邮件,而禁止发送Webmail邮件的功能;
邮件延迟审计
支持延迟外发问题邮件,人工审核后再外发的邮件处理机制;
支持根据收件人地址、邮件标题和内容包含关键字、邮件大小、附件个数、抄送人数等条件设置延迟审计的邮件;
支持当检测到有邮件被延迟审计时,系统自动发送一封通知发送到管理员邮箱;
SSL邮件管理
必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密
邮件的行为;
加密Webmail管
理
必须能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的
行为,比如gmail;
★加密SMTP邮件
过滤
支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端的邮件进行关键字过滤;(提供实际测试效果图)
★加密SMTP、
POP3邮件审计
支持对加密HTTPS、P0P3-SSL、POP3、IMAP、IMAP-TLS、IMAP-SSL、
SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端邮件内容的审计。
(提供实际测试效果图)
上网
权限
管理
上网时长控制
支持统计和控制用户终端每天上网时间,并支持排除应用或特殊端口后的灵活流量统计方法;
时间配额
支持对单个用户/用户组设置一天内总上网时长;
并发连接控制
支持限制指定用户最大并发连接数;
上网时间提醒
用户指定应用上网时长超过预设阈值后,网关自动提醒该用户;
上网流速提醒
用户指定应用上网流速超过预设阈值后,网关自动提醒该用户;
策略复用
上网策略对象与用户无关联,同一条上网策略可复用、重用;
策略有效期
必须支持上网策略对象的自动过期功能;
排除IP
不控制、不监控目标为排除IP的上网行为;
排除域名
不控制、不监控目标为排除域名的上网行为;
★上网策略适用多种对象
(包括上网权限、上网审计、上网安
上网策略适用对象,适用于以下对象和应用类型
一、用户
1、本地组,2、安全组,3、域用户(ou和用户),4、域属性,5、源IP
二、位置
全等上网策略)
三、适用终端|
四、URL类型控制能够针对:
网上购物、成人内容、求职招聘、宗教、在
线影音及下载、游戏资讯、网上聊天、个人网站及博客、色情、赌博、非法药物、风水命理、娱乐场所、汽车、餐饮、钓鱼及恶意网站、网上银行、在线支付等各种URL类型做识别和分类,同时所有URL类型都支持区分“网站浏览”、“文件上传”、“其他上传”、“HTTPS”等细分行为并分别做
权限控制。
(提供产品界面截图)
流量
控制
带宽管理
必须支持在不同线路上,根据不同的应用、用户、用户组来保证或者限制流
量;
支持根据百分比或数值设置通道带宽,并支持设置各通道的优先级;
★多线路技术
网关必须能同时连接多条外网线路,且支持多条线路流量复用和智能选择流速最快线路的技术(必须提供自主知识产权证明,加盖厂商公章);
★虚拟多线路
必须支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;(提
供产品界面截图)
父子通道
必须支持流量父子通道技术,且至少支持三级父子通道;
★流控通道实时可
视化
能够实时看到各级流控通道的状态:
包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级,启用状态等。
(提供产品界面截图)
应用流控
支持基于应用类型、网站类型和文件类型划分与分配带宽;
★动态流控
支持在设置流量策略后,根据整体线路或者某流量通道内的空闲情况,自动启用和停止使用流量控制策略,以提升带宽的高使用率;
空闲值可自定义(提供产品界面截图)
★P2P智能流控
支持通过抑制P2P的下行流量,来减缓P2P的上行流量,从而解决网络岀口在做流控后仍然压力较大的问题;
单IP限制
支持限制单个IP的最大上行和下行带宽;
用户带宽分配
支持平均分配、自由竞争等方式实现用户间带宽分配;
★Wan-Ian流控
支持把每一个外网IP作为通道内的用户,使得通道的用户间公平分配带宽,以及单用户最高带宽属性对外网IP有效;
时间控制
支持基于时间段的带宽划分与分配策略;
目标IP流控
支持基于访问行为的目标IP/IP组实现带宽划分与分配;
流量配额
支持对单个用户/用户组设置日流量、月流量配额功能;
★流控策略适用多
种对象
流控策略适用对象,适用于以下对象:
一、用户
1、本地组,2、安全组,3、域用户(ou和用户),4、域属性,5、源IP
二、位置
三、适用终端
四、文件类型:
电影、音乐、图片、压缩文件、应用程序等
五、URL类型:
新闻门户、网上购物、在线影音及下载、非法及不良、网上聊天、软件下载等(提供产品界面截图)
上网
安全
管理
★上网安全桌面
支持在默认桌面上虚拟岀一个新的桌面,在虚拟桌面中上网,在推岀安全桌面后,一切还原到干净的默认桌面,防止PC和内网中毒;
支持通过设置安全桌面和默认桌面网络访问权限,实现互联网和内网的内外网隔离;
支持通过设置安全桌面访问默认桌面目录文件访问权限,防止被动泄密;(提
供产品界面截图)
恶意网址过滤
内置恶意网址库,支持对用户访问的URL进行恶意网址匹配和过滤;
★移动终端管理
(非法Wi-Fi热点
管控)
设备必须支持能自动发现网络中通过无线上网的热点和移动终端的IP和终
端类型;
支持管理员配置热点信任列表;
支持发现信任列表外非法接入的热点和终端,并阻止该热点/终端上网;
支持将非法热点接入网络的行为通过邮件告警通知管理员,并在数据中心支持行为记录和查询;
支持以图表方式显示移动终端接入趋势;
(提供产品界面截图)
★协议异常行为
必须能识别并封堵内网终端感染木马、间谍软件、黑客远程控制的行为及流量,防止内网感染(提供产品界面截图);
★危险插件管理
必须能识别网页中的插件,并过滤含有恶意插件的网页(必须提供自主知识产权证明,加盖厂商公章);
★危险脚本管理
必须能识别执行脚本的网页,并过滤脚本中隐藏木马等程序的网页;(必须提供自主知识产权证明,加盖厂商公章);
防范端口扫描
必须能识别并封堵端口扫描行为;
防范DOS攻击
必须能识别并封堵来自于内网或外网的DOS攻击;
防ARP欺骗
必须能防范三层网络环境中的ARP欺骗问题;
★病毒查杀
设备必须内置业界知名杀毒引擎;
必须支持HTTP下载、FTP下载、POP3、SMTP杀毒;支持对HTTP、FTP等下载中启用文件类型杀毒;
病毒库支持通过服务器或本地加载病毒库方式定期升级;
防火墙
必须具有防火墙功能模块;
上网
行为
审计
网站审计
支持记录全部或者指定类别URL、网页标题等信息;
网页审计
必须能审计记录网页正文内容;
必须支持只记录含有指定关键字的网页正文内容;必须支持记录SSL加密网页的内容;
审计分权限
支持对网页过滤和网页审计分开控制;
支持审计指定类型的URL,其他URL类型不予审计,以提高审计效率;支持在审计时,将行为与内容分离,即可分别设置只审计用户行为还是审计内容;
发帖审计
支持审计用户的明文发帖内容;
必须能审计用户在SSL加密论坛、BBS上的发帖内容;
★网页快照
支持网页内容审计后的网页快照功能;
Webmail审计
支持审计用户的Webmail邮件外发行为,支持webmail形式发送的附件审计,并能精准到原始邮件;
必须能审计用户通过SSL加密Webmail网站外发邮件的内容;
邮件审计
支持审计用户外发Email邮件的正文及附件;
必须能审计用户使用邮件客户端外发SSL加密邮件的邮件内容;
文件外发审计
支持审计用户通过HTTP、FTP、Email当方式外发的文件内容;必须能审计记录无后缀名的文件外发行为;
必须能审计记录篡改后缀名的文件外发行为;必须能将压缩包解压后识别文件类型并记录;必须能对加密文件外发行为识别并记录;
WebIM审计
记录Webqq、miniqq、Webmsn、qqmail等WebIM的聊天内容、
登陆和注销行为,且不需要安装插件;
审计用户通过iphone/ipad登陆webIM聊天行为和内容;
IM审计
支持记录QQ、MSN、skype、飞信、雅虎通等IM聊天行为和内容;
支持用户离线情况下审计IM聊天行为和内容;
支持根据QQ、MSN账号查询IM聊天行为和内容;
IM传文件内容审
计
记录QQ、MSN传文件动作和所传文件内容,并可指定记录传文件类型和
文件长度;
支持同时审计QQ聊天内容和QQ传文件内容。
微博审计
支持对新浪微博、腾讯微博、搜狐微博、网易微博、XX说吧、凤凰微博、
饭否、嘀咕网、天涯微博、轻微博行为和内容的审计;
支持对以上十大微博上传附件行为和附件内容的审计;
支持微博关键字排行、热门关键字用户排行;
支持通过iphone、ipad、android、symbian等手机终端发送微博的行为
和内容的审计;
移动APP审计
支持以下类型的移动APP内容审计:
论坛类(IOS和android):
天涯社区、猫扑社区、XX贴吧、新浪论坛、搜狐社区等
微博类(IOS和android):
新浪微博,腾讯微博
新闻评论类(IOS和android):
腾讯新闻、网易新闻、搜狐新闻、新浪新闻
金融类应用内容审
计
支持对阿里旺旺、万德(Wind)、路透等应用的聊天,群聊天等内容的审计。
FTP审计
支持审计通过FTP上传的文件名和内容;
支持审计通过FTP下载的文件名;
TELNET审计
支持审计TELNET执行的命令;
应用审计
审计用户使用P2P、流媒体、炒股、网络游戏、FTP、Telnet等应用行为;
时间审计
记录用户在指定时间段内的总上网时间;
记录用户在指定时间段内使用指定应用的总时长;
流量审计
支持统计在指定时间段内网络应用流量产生的总流量;
记录用户在指定时间段内使用指定应用的总流量;
危险行为审计
必须能审计木马、病毒、恶意脚本和插件、端口扫描等危险行为;
★Wan-lan审计
必须能审计来自外网访问内网站的行为;
必须能审计来自外网在内网服务器下载上传文件的行为;
必须能审计来自外网在内网服务器发帖的行为;
必须能审计来自外网从内网服务器上收发邮件的行为;
其他行为审计
支持记录其他网络行为,包括IP、端口等信息;
系统日志审计
支持审计管理员的操作日志、系统日志等;
★免审计Key
支持指定用户以USB-Key硬件方式免审计的功能;
免审计IP
免除审计目标为指定IP的上网行为;
免审计域名
免除审计目标为指定域名的上网行为;
上网
日志
管理
★数据中心
设备必须支持内置数据中心和独立数据中心(提供产品界面截图);
★高性能日志模式
升级会员 