iMC UBA用戶行為審計組件

iMC UBA用戶行為審計組件產(chǎn)品詳細介紹產(chǎn)品概述iMC UBA用戶行為審計組件通過與多種網(wǎng)絡設備共同組網(wǎng)，用來對終端用戶的上網(wǎng)行為進行事后審計，追查用戶的非法網(wǎng)絡行為，滿足相關部門對用戶網(wǎng)絡訪問日志進行審計的硬性要求。UBA用戶行為審計組件提供NAT1.0日志、FLOW1.0日志、NetStream V5日志、DIG日志的查詢審計功能，網(wǎng)絡管理員可以根據(jù)網(wǎng)絡日志對上網(wǎng)用戶的網(wǎng)絡行為進行審計。產(chǎn)品特點全面的日志采集UBA用戶行為審計組件可支持多種網(wǎng)絡日志的采集（包括NAT1.0、FLOW1.0、NetStream V5），對于不支持上述日志的設備，可以通過設備的鏡像端口或TAP分流器采集網(wǎng)絡流量生成DIG格式的日志。分布式部署。UBA用戶行為審計組件采用分布式的體系結構，支持多點采集，統(tǒng)一Web界面審計分析，可以同時采集多個設備的日志信息，為網(wǎng)絡管理員監(jiān)控網(wǎng)絡提供了靈活有效的支持。強大的日志審計功能UBA用戶行為審計組件可根據(jù)用戶需要，通過接入用戶名、上網(wǎng)時間、用戶訪問網(wǎng)頁的URL、ftp操作文件及發(fā)送郵件的主題等各種條件的組合對網(wǎng)絡日志進行快速審計，并對審計結果提供靈活的排序、分組、保存等功能。網(wǎng)絡管理員可以從海量的網(wǎng)絡日志中精確審計終端用戶的上網(wǎng)行為。終端用戶何時訪問了某網(wǎng)站、何時訪問了某網(wǎng)頁、發(fā)送了哪些Email、向外發(fā)送了哪些文件等信息均可通過日志審計得出結果，日志審計包括：通用日志審計：審計內(nèi)容包括接入用戶名、用戶上網(wǎng)起止時間、來源/目的IP地址、來源/目的端口、使用的協(xié)議及應用名。 Web訪問審計：審計內(nèi)容包括接入用戶名、用戶上網(wǎng)起止時間、來源/目的IP地址、端口、用戶訪問的站點、用戶訪問的網(wǎng)頁等。 文件傳輸審計：審計內(nèi)容包括接入用戶名、用戶傳輸文件起止時間、來源/目的IP地址、端口、ftp用戶名、傳輸文件名、傳輸方式（上傳/下載）等。郵件審計：審計內(nèi)容包括接入用戶名、郵件發(fā)送時間、來源/目的IP地址、發(fā)件人、收件人、郵件主題等。地址轉(zhuǎn)換審計：審計內(nèi)容包括接入用戶名、用戶上網(wǎng)起止時間、來源/目的IP地址、來源/目的端口、使用的協(xié)議及應用名、NAT轉(zhuǎn)換后IP地址/端口等。圖1-1 日志審計界面l 基于用戶的行為審計結合EAD端點準入解決方案，UBA用戶行為審計組件可高效地管理網(wǎng)絡用戶，建立詳細的用戶訪問互聯(lián)網(wǎng)的日志，提供行之有效的網(wǎng)絡管理和用戶行為跟蹤審計策略，幫助管理員分析用戶的上網(wǎng)行為。l 七層應用審計端口不固定的應用，如P2P等應通過報文應用層數(shù)據(jù)的特征進行識別?；谄邔討玫淖R別和分類，UBA可基于用戶全面審計網(wǎng)絡中的七層應用使用信息。組件已經(jīng)將大部分常見的端口不固定的應用設定為組件預定義的應用，如：BT、DC、eDonkey、Gnutella、 Kazaa、MSN、QQ、AIM等。用戶可根據(jù)需要，定義其它的應用識別。七層應用識別只對DIG日志有效，對其他類型的日志無效。 任務式審計UBA用戶行為審計組件提供基于任務的自動跟蹤審計功能，可以根據(jù)接入用戶名、用戶訪問網(wǎng)頁的URL等各種查詢審計條件靈活制定審計任務。任務一旦制定，組件將自動跟蹤審計當前時間段內(nèi)滿足查詢條件的所有用戶及日志信息。審計任務 包括：地址轉(zhuǎn)換、Web訪問、文件傳輸、郵件、通用等多種類型。l 日志轉(zhuǎn)儲UBA用戶行為審計組件支持對海量日志進行轉(zhuǎn)儲。用戶可以將敏感日志和由于數(shù)據(jù)庫空間限制無法存儲的日志定時導出到數(shù)據(jù)文件中進行異地保存，同時組件提供轉(zhuǎn)儲日志查詢工具，用戶可直接對轉(zhuǎn)儲日志進行查詢操作。l 審計報表UBA系統(tǒng)提供專業(yè)的報表，包括訪問站點、會話數(shù)、應用分布、未知應用的TopN報表，SMTP、HTTP、FTP的應用分析報表，每種報表都可以按照天、周等周期和圖形、列表等形式輸出。通過使用這些自帶的報表，管理員可以非常清楚的了解當前用戶對網(wǎng)絡的使用情況。圖1-2 用戶訪問站點TopN日報表組網(wǎng)應用l NetStream/NAT/FLOW日志審計組網(wǎng)方式該組網(wǎng)方式可以為寬帶運營商或教育網(wǎng)提供網(wǎng)絡日志審計功能，便于對訪問非法站點的用戶行為進行跟蹤。該組網(wǎng)方式非常靈活，可以根據(jù)運營商或教育網(wǎng)等不同的運營特點，實現(xiàn)多種方式的日志記錄與審計能力。例如，如果在Internet出口需要作NAT轉(zhuǎn)換，并且使用了H3C設備的NAT功能，用戶行為審計組件就可以接收NAT日志進行處理。如果在Internet出口不需要做NAT轉(zhuǎn)換，則可以通過FLOW格式或NetStream V5格式的日志記錄用戶的上網(wǎng)行為。該組網(wǎng)方式下，需要配套設備支持NAT、FLOW或NetStream日志輸出。圖1-1 NetStream/NAT/FLOW日志審計組網(wǎng)方式l DIG探針組網(wǎng)方式探針式采集器能夠與任何支持端口鏡像功能的交換機或集線器配合，采集網(wǎng)絡中的報文信息，并為用戶行為審計提供統(tǒng)計信息。該組網(wǎng)方式最大的優(yōu)點在于不用依賴于具體設備，從而可以更有效的保護用戶的已有投資，主要面向出口容量不大的教育或行業(yè)用戶。圖1-2 DIG日志審計組網(wǎng)方式UBA用戶行為審計組件是H3C公司自主開發(fā)的網(wǎng)絡日志審計產(chǎn)品，用戶可以根據(jù)實際需求選購相應配置。型號產(chǎn)品描述H3C iMC-智能管理平臺標準版(不含節(jié)點)-純軟件(DVD)必配。H3C iMC-UBA用戶行為審計組件(含1000用戶)-純軟件(CD)對用戶日志進行審計時必配，完成用戶日志采集、處理、分析與審計，提供配置、告警功能H3C iMC-UBA用戶行為審計組件1000用戶License費用選配，1000用戶License費用H3C iMC-UBA用戶行為審計組件5000用戶License費用選配，5000用戶License費用H3C iMC-DIG日志探針組件授權包費用選配，配合探針組網(wǎng)方式使用性參數(shù)硬件平臺用戶行為審計服務器： PC服務器：CPU主頻3GHz、CPU個數(shù)或CPU核數(shù)2、內(nèi)存6G、硬盤700G、48倍速光驅(qū)、10/100/1000Mb自適應以太網(wǎng)卡、聲卡探針：PC服務器：CPU主頻3GHz、內(nèi)存2G、硬盤100G、2個10/100/1000Mb自適應以太網(wǎng)卡* 說明：CPU、內(nèi)存和硬盤配置與流量采集大小直接相關，根據(jù)具體網(wǎng)絡流量采集大小確定實際硬件配置。操作系統(tǒng)用戶行為審計服務器： Windows Server 2003 /Windows Server2008Red Hat Enterprise Linux 5 or 5.5DIG探針服務器：Redhat AS5.0或ES 3.0操作系統(tǒng)瀏覽器：IE 6及以上版本、Firefox 3.0及以上版本。數(shù)據(jù)庫Windows 平臺：SQL Server 2005，SQL Server 2008Linux平臺：Oracle 11G硬件配置由網(wǎng)絡規(guī)模決定，具體配置請咨詢H3C當?shù)剞k事處。業(yè)界第一款應用控制與行為監(jiān)管網(wǎng)關H3C SecPath ACG（Application Control Gateway）是業(yè)界識別最全面、控制手段最豐富的高性能應用控制網(wǎng)關，能對網(wǎng)絡中的P2P/IM帶寬濫用、網(wǎng)絡游戲、炒股、網(wǎng)絡視頻、網(wǎng)絡多媒體、非法網(wǎng)站訪問等行為進行精細化識別和控制，保障網(wǎng)絡關鍵應用和服務的帶寬，對網(wǎng)絡流量、用戶上網(wǎng)行為進行深入分析與全面的審計，進而幫助用戶全面了解網(wǎng)絡應用模型和流量趨勢，優(yōu)化其帶寬資源，開展各項業(yè)務提供有力的支撐。產(chǎn)品特點最全面的應用識別能力通過H3C長期積累的狀態(tài)機檢測、流量交互檢測技術，能精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡游戲/炒股/網(wǎng)絡視頻/網(wǎng)絡多媒體等應用。精細化的流量管理功能采用基于隊列（Each Flow Queuing）的流量處理機制，通過通道、子通道、子通道下的子通道等區(qū)分服務模式，并結合時間段、用戶/用戶組、上行/下行、區(qū)域等，易于對每個業(yè)務“流”隊列，設置不同的優(yōu)先級策略，實現(xiàn)最小帶寬、最大帶寬、最大會話數(shù)、每會話帶寬、新建連接數(shù)等控制，實現(xiàn)帶寬借用、Qos優(yōu)先級標記等，真正實現(xiàn)端到端的精細化流量管理。豐富的報表提供實時的業(yè)務流量趨勢圖、流量分布圖、Top N用戶列表、Top N應用協(xié)議列表等報表，并支持按照用戶名/用戶組、使用頻度、使用時段、應用分類、應用協(xié)議、流量大小等進行多維度組合定制報表，使用戶能全面掌握網(wǎng)絡中的流量、應用和業(yè)務分布，為合理規(guī)劃網(wǎng)絡、制定流量控制策略提供依據(jù)。完善的安全審計系統(tǒng)可對各種P2P/IM、網(wǎng)絡游戲、網(wǎng)絡多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸、數(shù)據(jù)庫應用等各種上網(wǎng)行為提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網(wǎng)絡流量與流向趨勢，對歷史數(shù)據(jù)進行分析，為用戶提供細粒度的網(wǎng)絡應用審計管理系統(tǒng)。強大的過濾功能通過自定義IP地址、主機名、正則表達式等方式設置URL特征庫，支持根據(jù)不同的URL策略設置不同的響應方式，支持根據(jù)時間表對不同的URL策略設置不同的響應動作，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡的健康使用。高性能、高可靠性基于新一代多核CPU+FPGA硬件架構，業(yè)務與轉(zhuǎn)發(fā)相分離，實現(xiàn)了千兆級線速業(yè)務處理能力，僅有微秒級時延；通過掉電保護（PFC，無源Bypass）、軟件二層回退、雙電源冗余等高可靠性設計，保證SecPath ACG在斷電、軟硬件故障或鏈路故障、流量過載的情況下，網(wǎng)絡鏈路仍然暢通。及時的特征庫更新H3C專業(yè)特征庫團隊密切跟蹤應用變化，并對應用協(xié)議特征庫及時更新；支持對協(xié)議特征庫的在線自動/手動升級、本地升級，且升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務運行。系統(tǒng)規(guī)格項目SecPath ACG2000-M管理接口1個Console口 + 2個GE Combo口業(yè)務接口2個GE Combo口（最大2個GE Combo口 + 16個GE電口）擴展槽2接口模塊4GE電口/4GE光口/8GE電口尺寸（高寬深）44mm 442mm 460mm額定功率150W電源100240VAC/5060Hz可靠性支持二層回退、雙電源冗余、外置掉電保護環(huán)保標準通過歐盟嚴格的環(huán)保標準RoHS認證重量7.5 KgP2P應用識別Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）等IM應用識別QQ、ICQ、MSN Messenger、Yahoo Messenger、新浪UC、阿里旺旺（淘寶版）、飛信等炒股應用識別大智慧、同花順、指南針、證券之星、錢龍、大策略等網(wǎng)絡多媒體應用識別PPLive、PPStream、QQLive、沸點網(wǎng)絡電視、QQLive、沸點網(wǎng)絡、UUSee、千千靜聽等網(wǎng)絡游戲應用識別魔獸世界、QQ游戲、聯(lián)眾、Half-Life、勁舞團、征途、夢幻西游、泡泡堂等其他支持SQL Server/Oracle等數(shù)據(jù)庫和Lotus notes等企業(yè)應用識別行為審計支持對P2P/IM、網(wǎng)絡游戲、網(wǎng)絡多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為進行審計數(shù)據(jù)庫審計支持對Oracle、Sybase、MySQL、SQL Server等數(shù)據(jù)庫的審計URL過濾支持自定義IP地址、主機名、正則表達式設置URL庫控制策略支持告警、限流、阻斷、干擾、帶寬保障等控制策略管理方式支持本地Web圖形化管理、SecCenter集中管理在線部署l 適用于大中型企業(yè)用戶，以透明方式在線部署于網(wǎng)絡出口；無需改變網(wǎng)絡拓撲l 對P2P/IM/網(wǎng)絡游戲/炒股/網(wǎng)絡視頻/網(wǎng)絡多媒體/非法網(wǎng)站訪問等各種應用進行監(jiān)控和管理，保障關鍵應用和服務的帶寬l 對用戶上網(wǎng)行為進行分析與審計l 支持MPLS/GRE/L2TP/VLAN/PPPoE等復雜網(wǎng)絡環(huán)境；支持多臺分布式部署的統(tǒng)一管理旁掛部署l 適用于大中型企業(yè)用戶，以旁掛方式部署于核心設備旁；不影響網(wǎng)絡結構，部署簡單l 對用戶P2P/IM/網(wǎng)絡游戲/炒股/網(wǎng)絡視頻/網(wǎng)絡多媒體/非法網(wǎng)站訪問等的流量、行為進行分析及審計l 支持MPLS/GRE/L2TP/VLAN/PPPoE等復雜網(wǎng)絡環(huán)境；支持多臺分布式部署的統(tǒng)一管理1) SecPath ACG2000-M主機選購一覽表項目數(shù)量備注SecPath ACG2000 -M主機1必配HIM接口模塊02選配（支持4GE、8GE兩種接口卡）H3C SecPath PFC主機設備01選配（需配置PFC接口模塊）H3C SecCenter組件-ACG Manager應用控制與審計管理系統(tǒng)-純軟件(CD)01選配H3C SecPath ACG2000-M/H3C SecBlade ACG 應用識別特征庫升級服務-1年無限制選配(2) SecPath ACG2000-M主機HIM接口模塊選購一覽表接口模塊描述備注4端口10/100/1000Base-T接口模塊02選配4端口1000M以太網(wǎng)光接口模塊02選配，須另配SFP模塊8端口10/100/1000Base-T接口模塊02選配(3) SecPath PFC主機接口模塊選購一覽表接口模塊描述備注H3C SecPath PFC 8電口保護模塊01選配H3C SecPath PFC 4光口保護模塊04選配H3C SecPath U200-S統(tǒng)一威脅管理產(chǎn)品H3C SecPath U200-S是H3C公司面向中小型企業(yè)/分支機構設計的新一代UTM（United Threat Management，統(tǒng)一威脅管理)設備，采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、VPN功能基礎上，同時提供病毒防護、URL過濾、漏洞攻擊防護、垃圾郵件防護、P2P/IM應用層流量控制和用戶行為審計等安全功能。H3C公司的SecPath U200-S不僅能夠全面有效的保證用戶網(wǎng)絡的安全，還支持SNMP和TR-069網(wǎng)管方式，最大化減少設備運營成本和維護復雜性。產(chǎn)品特點市場領先的安全防護功能l 完善的防火墻功能：提供安全區(qū)域劃分、靜態(tài)/動態(tài)黑名單功能、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測過濾、虛擬防火墻、VLAN透傳等功能。能夠防御ARP欺騙、TCP報文標志位不合法、Large ICMP報文、CC、SYN flood、地址掃描和端口掃描等多種惡意攻擊。l 豐富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等遠程安全接入方式，同時設備集成硬件加密引擎實現(xiàn)高性能的VPN處理。l 實時的病毒防護：采用Kaspersky公司的流引擎查毒技術，從而迅速、準確查殺網(wǎng)絡流量中的病毒等惡意代碼。l 實時的垃圾郵件防護：可以攔截垃圾郵件，凈化郵件系統(tǒng)，解決垃圾郵件對正常工作的干擾問題。l 先進的URL過濾：實現(xiàn)基于用戶的URL訪問控制，防止因瀏覽惡意或未授權的網(wǎng)站(如網(wǎng)絡釣魚攻擊網(wǎng)站)而帶來的安全威脅。l 全面的流量管理：能精確檢測BitTorrent、Thunder（迅雷）、QQ等P2P/IM應用，提供告警、限速、干擾或阻斷等多種方式，保障網(wǎng)絡核心業(yè)務正常應用。l 細致的行為審計：可對各種P2P/IM、網(wǎng)絡游戲、郵件和數(shù)據(jù)傳輸?shù)刃袨樘峁┘氈碌谋O(jiān)控和記錄，實現(xiàn)細粒度的網(wǎng)絡行為審計管理。l NAT應用：提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換 、Easy IP和DNS映射等NAT應用方式；支持多種應用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。電信級設備高可靠性l 采用H3C公司擁有自主知識產(chǎn)權的軟、硬件平臺。產(chǎn)品應用從電信運營商到中小企業(yè)用戶，經(jīng)歷了多年的市場考驗。l 支持雙機狀態(tài)熱備功能，支持Active/Active和Active/Passive兩種工作模式，實現(xiàn)負載分擔和業(yè)務備份。l 36年的平均無故障時間(MTBF)智能圖形化的管理l 簡單易用的Web UI管理。l 支持基于SNMP和TR-069協(xié)議的管理。l 通過H3C UTM管理軟件實現(xiàn)統(tǒng)一管理。l 通過H3C SecCenter安全管理中心實現(xiàn)統(tǒng)一管理。組網(wǎng)應用l 多功能集成，實現(xiàn)全網(wǎng)應用層安全防護l 多核、多線程硬件平臺，具有強大的處理能力l 雙機狀態(tài)熱備技術，高可靠網(wǎng)絡設計l 統(tǒng)一Web界面，降低管理復雜度H3C SecPath U200-M統(tǒng)一威脅管理產(chǎn)品H3C SecPath U200-M是H3C公司面向中小型企業(yè)/分支機構設計的新一代UTM（United Threat Management，統(tǒng)一威脅管理)設備，采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、VPN功能基礎上，同時提供病毒防護、URL過濾、漏洞攻擊防護、垃圾郵件防護、P2P/IM應用層流量控制和用戶行為審計等安全功能。H3C公司的SecPath U200-M不僅能夠全面有效的保證用戶網(wǎng)絡的安全，還支持SNMP和TR-069網(wǎng)管方式，最大化減少設備運營成本和維護復雜性。產(chǎn)品特點市場領先的安全防護功能l 完善的防火墻功能：提供安全區(qū)域劃分、靜態(tài)/動態(tài)黑名單功能、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測過濾、虛擬防火墻、VLAN透傳等功能。能夠防御ARP欺騙、TCP報文標志位不合法、Large ICMP報文、CC、SYN flood、地址掃描和端口掃描等多種惡意攻