当前位置:文档之家 › 网康、深信服上网行为管理功能对比解析

网康、深信服上网行为管理功能对比解析

  • 格式:pdf
  • 大小:136.42 KB
  • 文档页数:11

下载文档原格式

  / 11

合集下载

安全设备比较

安全设备比较
日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、传输、存储、分析、报告等解决方案。
日志审计
报表
支持Syslog日志和二进制日志;支持NAT日志记录;支持流日志,能够对网络流量、DDoS攻击流量、P2P流量等进行统计分析排序,并自动输出图形报表
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤;
支持URL、关键字过滤;
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤;
支持基于IP地址、端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤;
支持URL、关键字过滤;
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤;
基于IP地址、MAC地址、域名、端口和协议、时间、用户的访问控制
支持对HTTP、SMTP、POP3、FTP等协议的细粒度控制
DNS攻击
连接耗尽
CC
(m)STREAM FLOOD
串联部署
串联集群
旁路部署
日志
Syslog,本地无
Web安全设备
绿盟
web安全防护系统
WAF
NDE-WAFP600A-01
WAF P600A引擎模块,1U,含交流单电源,1*RS232串口,1*FE管理口,4*FE电口(Bypass)。标准配置提供1路电口WAF防护,支持BYPASS
2个10/100/1000M探测端口(光口)、1个10/100M管理端口(电口)、1个配置串口。

上网行为管理

上网行为管理

上网行为管理一解释上网行为管理是指帮助互联网用户控制和管理对互联网的使用。

其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

比如,限制公司员工访问某一些网页,限制使用QQ、微信等软件,针对每台电脑带宽做限制等。

二为什么要管理上网行为1.防止员工使用像迅雷、BT等为代表的P2P应用,占用大量带宽资源,导致网速变慢。

2.有效预防内部员工带来的安全隐患,像浏览了有安全风险的网络内容。

3.防止员工在工作期间发生聊天、游戏、炒股等行为,严重影响办公效率。

4.预防内部员工在网上发布违反法律的信息。

5.网络故障时,可以即时找到故障根源。

三主要功能1.网页访问过滤根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的页网页。

2.网络应用控制制定有效的网络控制策略,封堵与业务无关的网络应用。

3.带宽流量控制对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入。

4.信息内容审计制定全面的信息收到监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。

5.上网行为分析用户可以实时了解、统计、分析网络使用状况,并根据分析结果对管理策略做调整和优化。

四其他功能NAT、路由、防火墙、VPN等功能。

五部署1.路由模式设备相当于路由器,一般在出口位置,具备路由转发和地址转换功能。

一般这种部署时替换客户原有的防火墙、路由器设备。

这种模式对客户的影响大,需要清楚的知道内网需要代理上网的地址段,需要映射到公网的业务等等,如不是非用此模式不可,一般不建议采用。

2.网桥模式这种模式对客户的网络基本没有改动,设备就是二层设备,只有在设备上架的短时间影响网络,推荐使用。

网桥模式不支持NAT、VPN、DHCP等功能,网桥模式支持硬件bypass,如果设备故障自动启用此功能,不会影响客户网络。

3.旁路部署模式此模式用于审计,不影响客户网络环境。

深信服上网行为管理-基本功能介绍

深信服上网行为管理-基本功能介绍
深信服上网行为管理
基本功能介绍
培训内容 上网行为管理产品应用背景
培训目标
1. 了解上网行为管理产品应用背景 2. 了解上网行为管理产品管理标准
SANGFOR AC 基本功能介绍 1. 了解SANGFOR AC产品的基本功能
SANGFOR SG 基本功能介绍 1.了解上网优化产品的应用背景和基本功能
数据分析:可视化网络管理
透视网络应用现状,实时验证管理效果
数据分析:上网行为记录
保留行为日志,响应公安部相关要求,防止舆论与法律风险 定位违规行为,追踪泄密事件
数据分析:报表分析
了解应用现状,验证管理效果,是制定和调整策略的依据
SANGFOR SG基本功能介绍
SG上网优化基本功能介绍
SANGFOR SG上网优化网关具备AC上网行为管理的所 有功能,并在此基础上新增了上网加速和代理功能,从速度 和安全两大方面为广大用户提供更优化的服务。
带宽管理
最细致流控
多线路流控
合理流控
父子通道
+ 虚拟通道
•基于用户/时间 /应用/网站/文件 •WAN LAN
•虚拟线路 •多线路复用 •多线路选路
ቤተ መጻሕፍቲ ባይዱ
•带宽限制 •带宽保障 •带宽借用
用户间 •动态分配 •竞争分配
行为管理:应用授权—带宽管理
行为管理:移动终端管理
识别无线智能终端的接入,防止无线智能终端设备接入引起无线安 全漏洞导致泄密
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据

深信服上网行为管理产品功能

深信服上网行为管理产品功能

深信服上网行为管理主要作用:能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等独特的敏感内容拦截和安全审计功能,防止机密泄露全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表再辅以SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全通过采用SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果:1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率上班时间从事私人活动,是办公室皆知的秘密。

管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。

而通过SANGFOR AC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。

2.流量控制、带宽管理,提升带宽利用率对严重吞噬带宽的P2P行为,SANGFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。

基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。

3.修补安全漏洞、提升内网安全级别色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SANGFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SANGFOR AC亦能侦测发现,从而修复内网安全短板。

4.防范信息机密外泄、保护组织信息资产安全员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。

上网行为管理

上网行为管理

1.上网行为管理目前市场主流厂商:深信服、网康典型案例2.1 提升内网业务操作效率——封堵非业务应用解决方案方案背景:日益发达的互联网让企业员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。

以上行为实实在在地存在于我们的办公网中。

事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。

凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。

上网行为管理解决方案——合理封堵非业务网络应用随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。

与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。

、如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。

上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率。

方案价值:1、全方位封堵p2p ,确保正常办公业务带宽P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。

P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。

鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。

对于加密BT、不常用的和未知版本的P2P软件,独有的网络行为智能分析技术使其同样难逃法网。

有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。

深信服上网行为管理产品功能简介

深信服上网行为管理产品功能简介
使组织能够应对内网大规模发的蠕虫病毒或是僵尸网络激活对组织网络造成的极大冲击
防ARP欺骗
防范因ARP欺骗导致的内网用户大规模断网的情况
防病毒引擎
集成欧洲领先防毒厂的杀毒引擎、提供对HTTP、FTP、Mail等容易携带病毒的网络内容的检测和病毒查杀、形成对组织能够应对组织病毒防护的管理的有益补充
深信服
类别
功能
功能说明
审计
邮件延迟审计
对处发邮伯进行延迟,特定审核人员审核后才能发出,确保信息资产不外泄
实时监控
实时监控员工上网行为,支持临时冻结员工或中断指定连接
内网监控
监控员工的各种网络行为,记录包括QQ、MSN等聊天内容(如果聊天内容是加密的则需要安装准入客户端);浏览网页的网址、网页标题、整个网页正文内容(监控正文内容比较消耗设备资源,一般不建议采用);网络发贴、WebMail正文及附件;收发的Email正文及附件;上传下载的文件等各种行为进行详细记录、防止组织机构内部机密、情报等外漏、并做到有据可查
5.可以限定某些服务的最大带宽,例如P2P的最大带宽
6.当带宽资源紧张时,可以通过优先级来区分服务的重要性从而优先尽量保证这些服务的带宽
7.用户的带宽分配策略较以前灵活,可以实现平均分配和自由抢占2种方式
8.支持限定单个用户的最大带宽,支持流控生效时间设置
9.可以排除某些服务,不进行流控
10.当网络空闲时,除了被限制上限带宽的服务外,其他网络行为都可以竭尽所能,享有所需要的带宽
IP/MAC绑定
灵活的ip、mac绑定策略、且在三层网络环境中实现ip-mac绑定
网站过滤
海量url库、黑白名单,多种关键字识别技术、过滤色情、反动、新闻等网站
SSL网站过滤

深网DEEPNET vs北京网康、上网海新网程、深信服

上海深腾信息技术有限公司厂家 对比项深网DEEPNET网络督察网康深信服产品形态 软硬件一体化专用设备 软硬件一体化专用设备 软硬件一体化专用设备 软硬件一体化专用设备 产品定位 上网行为管理产品上网行为管理产品。

上网行为管理产品。

上网行为管理产品。

产品外观 全新的不锈钢外壳,结实美观 全部采用烤漆工业,外观粗糙 部分采用烤漆工艺 全部采用烤漆工业,外观粗糙 研发力量集团化的企业、雄厚的资金实力、研发人员超过100人。

研发人员较少50人左右。

研发人员较少50人左右。

研发人员较少50人左右。

界面亲和力界面友好,窗体利用率高,操作便捷较差,窗体利用率极低。

1024分辨率下设备操作界面区域很小。

沿用以前防火墙的设置界面和操作习惯,不能完整利用窗体显示面积,做一些简单的操作也需要很复杂的步骤(比如进行邮件内容的关键字查询,需要新建一个查询,然后定义查询条件和查询范围)。

UTM 式的设备,功能分类不明确,用户使用起来不方便,界面繁琐。

操作系统Safe os 、自主研发的独有的操作系统,系统稳定性和安全性超强。

负荷少,使用专业嵌入式系统,断电等非正常关机不会引起系统故障,运行稳定。

Linux 通用操作系统,照搬操作系统默认配置,使用关系型数据库,断电等非正常关机引起文件系统故障的概率较大,稳定性有较大隐患。

Linux 通用操作系统,照搬操作系统默认配置,使用关系型数据库,断电等非正常关机引起文件系统故障的概率较大,稳定性有较大隐患。

Linux 通用操作系统,UTM 集成产品,开了防火墙等多项功能,有的产品甚至集安全审计、防火墙、过滤邮件等于一身,严重影响产品性能。

智能路由独有的智能路由技术,而是采用智能的识别方式,对每一个通过的数据包进行鉴别,找到最快的通信线路建立连接。

保证网格时时畅通、网络更快。

不支持,当网络出现阻赛现象时没有有效地避免措施。

不支持,当网络出现阻赛现象时没有有效地避免措施。

不支持,当网络出现阻赛现象时没有有效地避免措施。

D-网康与深信服对比

深信服提供串口,但用户无法通过串口登陆系统进行管理
串口作为一种重要的设备管理方式,在Cisco、Juniper、各种网络设备中都有提供并起到了重要作用。如果无法通过串口进行管理,在设备故障失效的时候,无法通过一个有效的备用管理手段进行故障诊断;甚至当忘记设备的IP地址时就无法对设备进行管理。
设备必须可以提供独立于LAN,WAN,DMZ接口的管理口
可以基于发信人、收信人、主题、正文、附件名关键字对webmail外发邮件内容进行审计、过滤、报警
深信服对webmail只能基于关键字匹配,不能区分发信人、收信人等多种条件
webmail作为一个重要的信息外发手段,需要进行精细化的审计和管理,配合不同的条件,可以做到如发给领导的webmail不做审计,避免领导问责,或阻断发给竞争对手的webmail,管理更灵活,单纯的依靠简单的关键字来进行过滤做法过于粗犷。
可以对搜索非法关键字的行为进行阻断、报警,并且能够保留阻断的关键字
深信服阻断非法关键字搜索行为后不能保留原文留证,阻断不进行报警,只有审计可报警
该对比的客户价值说明:
由于管理员不可能实时的盯着设备看,因此当个别违规行为发生后管理员很可并不知道,因此及时的告警通知到管理员是十分必要的。因此这个要求是完全合理的,必要的。对于阻断的原文不留证,一旦发生投诉,无证可查。
网康与信服对比
对比项
网康
深信服
对比功能对客户的重要性
产品资质
中国软件评测中心(CSTC)出具的《信息安全产品测试报告》
深信服没有此测试报告
中国软件评测中心是工信部直属的国家一级科研事业单位,是国内最具权威性的国家级软硬件产品和信息系统测试实验室,依据标准GB/T 18336.2-2008、GB/T 20945-2007、GA/T 698-2007对产品进行严格的测试。

NETSYS AC-Q与深信服和网康产品对比 (version 3)

仅支持网关为IP和PPPOE的静态路由支持不支持以VLAN ID等作为新用户名自动创建帐户不支持不支持仅支持强制下线方式不支持支持支持程度有限,不能对活跃会话和新建会话进行统计,服务分析统计中不能递进式统计每种服务在多条出口线路的使用情况不支持单独对服务类型进行统计分析支持程度有限,不能对活跃会话和新建会话进行统计,用户分析统计中不能进一步统计每个用户在多出口线路的使用情况、每个用户访问的网站/网站类型流量统计分析支持程度有限,不能对活跃会话和新建会话进行统计,用户分析统计中不能进一步统计每个用户在多出口线路的使用情况、每个用户访问的网站/网站类型流量统计分析不支持单独对每个网站的流量/会话进行统计分析不支持单独对每个网站类型的流量/会话进行统计分析不支持单独对每条线路进行统计分析支持支持支持(支持的最详细)支持,需要额外收费,而且开在大流量下消耗大量性支持,需要额外收费(和F-PORT合作),更新不及时,开启消耗性能大,基本无用支持支持支持双桥和多桥支持镜像模式仅支持网关为IP和PPPOE的静态路由不支持策略路由支持仅支持简单的接口带宽权重进行链路选择,不能算作真正意义的负载均衡不支持不支持不支持防火墙功能支持不支持仅支持arp防护告警不支持不支持不支持支持支持支持支持总共支持 310种应用识别,不支持自定义协议特征识别库,只支持4层的自定义服务支持能够准确识别近 40 多种P2P应用,并能对各种P2P 应用进行封堵和带宽控制支持支持支持支持不支持以VLAN ID等作为新用户名自动创建帐户支持,配置方式不同支持,配置方式不同支持,配置方式不同仅支持每天的流量配额来控制用户,用户达到流量配额禁止上网不支持支持(而且可以针对每个应用或者用户做)不支持不支持仅支持强制下线方式不支持支持有限,但是用户无法通过设备了解到设备物理端口的真实运行状态(包含总的数据包和丢弃的数据包)支持数据中心不支持数据中心不支持支持程度有限,不能对活跃会话和新建会话进行统计,服务分析统计中不能递进式统计每种服务在多条出口线路的使用情况以及哪些用户/用户组在使用,及每个用户的使用情况不支持单独对服务类型进行统计分析支持程度有限,不能对活跃会话和新建会话进行统计,用户分析统计中不能进一步统计每个用户在多出口线路的使用情况支持程度有限,不能对活跃会话和新建会话进行统计,用户分析统计中不能进一步统计每个用户在多出口线路的使用情况不支持单独对每个网站的会话进行统计分析不支持单独对每个网站类型的会话进行统计分析不支持单独对每条线路进行统计分析支持支持支持不支持不支持支持。

深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。

对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。

AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。

SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。

上网行为的管理必须以识别为基础。

SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。

表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

三级树状应用协议分类架构,清晰易懂,支持
14 大类, 260 仅支持平面级别的二级分类,支持近 250 种协议
可限定每个用户在一天之内累计上网时间额度;但不支持 对单个应用设置策略;
提供全球最大的中文 URL分类库, 规模达 1400 万条, 分类精 准率接近 100% 支持 43 个一级分类,以及 8 个二级子分类。对 google 搜索 引擎任意关键字的前 100 条搜索结果, ICG 的网页分类识别 率高达 95%以上。 URL库每天更新 300 万条; 客户可设置自动升级或手动更新; 且支持客户未分类 URL回传再分类;
支持 POP3邮件账号用户识别;
支持 Kerberos 单点识别;
支持 PPPoE认证账号单点识别;
可识别 BASIC、 NTLM方式的代理服务器的用户;
支持第三方用户信息识别。
支持微软 AD域的联动认证;
支持 LADP服务器的联动认证;
支持 Radius 服务器的联动认证;
支持 POP3认证;支持 ESMTP认证;
以树状架构对用户进行管理,实现完全ቤተ መጻሕፍቲ ባይዱ照企业的组织结构
多级划分用户组;
且支持横向逻辑权限组,大大提高管理方便性;
支持 IP 段自动分组;
支持用户信息外部导入;
支持二层和三层网络环境下的 需安装客户端;
IP/MAC 绑定,且实现该功能无
可基于 IP 进行用户的身份识别;
可基于 MAC地址进行身份识别;
支持无客户端的 AD域用户识别;
外部用户访问内网主机。 (4) 支持通过集中管理平台对分布部署的设备进行统一策略
制定与管理。
深信服科技公司,总部在深圳,以 IPsec-VPN 起家,后来 做 SSL-VPN、防火墙和 UTM。其 UTM产品功能较多,其中包 含有上网行为管理功能。
软硬件一体产品 仅某些型号支持硬件 bypass ; 不支持软件 bypass 和一键 bypass 功能。 开机和关机过程中无 bypass 功能。
支持基于预分类的 URL 类别进行过滤控制; 支持用户自定义 网站类别过滤; 支持 URL类别的二级子类控制; 支持对以 IP 方式访问网站过滤控制; 支持基于网站分类过滤 HTTPS加密的网站;
URL 库规模声称 1000 万,实际不足 400 万,且不支持二 级分类,分类精准率不足 50% 。
支持 URL 库更新
基于应用控制用 户每日上网时长 网页非 WEB 浏览 控制(网页视频、
网页游戏等)
支持基于 URL关键字进行过滤控制; 支持基于文件类型进行过滤控制; 支持基于网页文件大小进行过滤控制; 对于违反策略的网页访问,支持弹出警示页面,警示页面内 容支持自定义; 支持网站黑、白名单设置;
支持网站黑、白名单设置;
支持基于预分类的 URL 类别进行过滤控制;支持用户自定 义网站类别过滤; 支持过滤 HTTPS加密的网站; 支持基于 URL关键字进行过滤控制; 对于违反策略的网页访问,支持弹出警示页面;
-3-
应用封堵功能
协议库组织架构 及规模
封堵 P2P 下载
封堵 IM 即时通信
封堵网络游戏
封堵炒股软件
封堵网络电视
支持客户端本地认证;支持互联网准入认证。
不支持
以树状架构对用户进行管理;不支持用户导入,但可以手 工批量生成用户; 支持 IP/MAC 跨三层绑定;
可基于 IP 进行身份识别; 可基于 MAC地址进行身份识别; 支持 AD域用户识别; 支持 POP3邮件账号用户识别;
支持微软 AD域的联动认证; 支持 LADP服务器的联动认证; 支持客户端本地认证;支持互联网准入认证; 支持网关设备本地 Web登录认证方式; 可定义免认证 IP 网段;
-2-
用户每日上网时 长限额
网页过滤功能
URL 库规模及准 确率
URL 库时效性 URL 过滤能力
支持网关设备本地 Web登录认证方式; 提供与第三方认证系统联动的接口; 可与华三 CAMS系统联动实现单点认证。 可为不同 IP 网段开启不同的用户认证方式; 同一 IP 网段可同时开启多种认证方式。 可控制认证账号是否可在多台计算机设备上同时登陆; 支持认证账号黑名单控制; 支持认证账号有效期控制,到期后账号自动失效; 可定义免认证 IP 网段,支持用户访问指定的服务器无需认 证; 支持用户自定义认证窗口的提示信息; 用户可修改自身 LDAP认证密码; 可限定每个用户在一天之内累计上网时间额度; 可单独控制用户的某项互联网应用每日上网时长限额; 可同时控制用户的多项互联网应用每日上网时长限额;
保障网络畅通; 3. 设备面板有一键按钮 bypass 4. 开机和关机过程中自动切换 bypass 。 支持硬盘发生故障时,设备可以切换到备份系统,由备份系 统执行互联网行为管控功能; 硬盘发生逻辑损坏时,设备支持自修复功能; (1) 产品可通过透明桥接、网关、旁路三种方式接入网络。 (2) 产品在透明网桥接入模式下,支持双链路、双网桥部署。 (3) 产品在网关模式下,支持 DNAT 内网 IP/ 端口映射,便于
网康、深信服的功能对比
本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考。
参数列表 基本参数
厂商及产品简介
产品形态 避免单点故障
系统冗余容错 部署方式
网康科技
深信服
网康科技公司,总部在北京,国内第一家专业“上网行为管 理”设备生产厂家;网康 ICG 是国内“上网行为管理”一线 品牌,其主要特点是 URL库、应用库庞大,性能稳定,功能 配置灵活,界面友好易操作等;在日本及中亚市场也占有相 当份额。 软硬件一体产品 1. 支持断电 Bypass 功能; 2. 支持非断电模式下的智能硬件 bypass 功能,任何故障均
仅硬盘上存有操作系统
支持网关、单 / 双路串接、镜像旁路等部署方式
代理服务器功能
用户管理功能
用户管理
用户识别
用户认证
(5) 支持外置日志中心,可以实现离线日志查询。 可作为专业代理服务器部署,实现员工通过代理上网; 支持 HTTP代理功能,并可自定义代理端口; 支持 HTTPS代理,可自定义安全端口; 支持 SOCKS代理,并提供代理认证功能; 可以设定缓存大小、缓存有效期、不缓存网页列表,并实时 监控请求数、命中率等代理服务状态。