TB-ACC2000系列上网行为管理
一、产品特点
(1)快速部署
针对企业存在多个分支需要互联,前端大量设备上线,如何实现业务快速部署,如何屏蔽一线技术水平的参差不齐,成为管理员最头疼的问题。TB-ACC2000系列推出了U盘零配置上线功能,根据管理员预先定义好的配置信息,通过U盘零启动的方式,直接解密加载配置信息,大大减少了前端运维人员的压力以及配置上线的阻力。部署快易、配置准确、方法简洁。
(2)分级分权
TB-ACC2000系列产品可将管理模式切换为三权模式,切换后每个管理账号被赋予不同的权限,相互之间形成权限制约,制约超级管理员权限,保障设备安全。管理员之间各司其职、分工明确。
(3)一体化策略管理
TB-ACC2000系列产品的策略配置集成应用控制、行为审计、身份认证、安全防护等多个维度于一体,一条策略即可完成多个功能模块配置,可以根据不同的管控需求,为不同的用户定制不同的管理策略,灵活方便,维护简单。
(4)高性能架构
TB-ACC2000系列产品采用先进的多核架构,结合安全的操作系统,采用协议特征库树形存储、流扫描处理、并行DPI/DFI等技术,整个解析过程一次完成,保证开启多项行为管理功能后依然保证高速低时延的处理。
(5)VPN安全互联
TB-ACC2000系列产品的VPN模块具有业界领先技术,在复杂网络环境下大大简化了管理员的维护工作量。配合集中管理和数据分析系统,可实现VPN快速零配置上线,隧道接口感兴趣流等无需配置自动协商,整个VPN网络全自动收敛,自适应多线路,完美的解决了分支运维能力弱的问题。创新的推出了IPsecVPN冷备份,在提供数据加密的同时,提升了数据传输可靠性。而独创的主备切换0丢包技术,可实现TCP业务不中断,完美的实现HA切换VPN业务不中断。
(6)精细的网络应用管理
TB-ACC2000系列产品上网行为管理控制层面不再局限对网络应用的阻断,更能深入识别应用的内置动作。例如对QQ的控制力度不仅仅是“登录动作”,更可识别到“收文件”、“发文件”、“收消息”、“发消息”、“注销”、“语音”“所有动作”等精细化动作,对微信也可识别控制多种行为动作,通过对应用的更精细化管理让网络更有序。
(7)精细的带宽管理
TB-ACC2000系列产品采用基于应用特征库等七元组流控、精准阻断、智能路由等技术,将网络出口带宽划分为逻辑通道,并支持在通道中再划分子通道,完美进行带宽限制和带宽保障。同时支持将类型复杂的网络流量分布到不同的网络出口转发,是企业提升带宽利用率、保护带宽投资的最佳利器。
(8)自定义应用
针对审计设备应用库中不存在的应用,设备无法对其进行审计、控制。TB-ACC2000系列产品支持针对某一个非知名应用的某一个特征,利用URL、端口、IP、域名等多维度自定义应用,并支持策略配置与审计。扩大管理员的审计范围,做到非知名应用的透明审计。
(9)清晰的事后审计
TB-ACC2000系列产品支持详细、清晰、易用的日志特性,可以全面记录审计用户上网行为、使用流量、访问网站、所用终端系统及设备类型平台等信息;日志支持定制化过滤器,可根据IP地址、认证用户、访问应用、访问URL、发帖内容等要素进行搜索,让事后审计省时省力。同时,TB-ACC2000系列产品提供丰富美观的报表,以柱状图、饼状图、百分比等形式最直观地体现网络运行状况,让网络管理规划有据可循、有的放矢。
二、产品规格
硬件规格
|
型号 |
ACC2000-A |
ACC2000-AX |
ACC2000-H |
ACC2000-HE |
ACC2000-RE |
ACC2000-KE |
|
管理接口 |
2个专用带外管理GE口 |
2个专用带外管理GE口 |
2个专用带外管理GE口 |
2个专用带外管理GE口 |
2个专用带外管理GE口 |
2个专用带外管理GE口 |
|
固化接口数量 |
4GE(电)+1GE(光) |
6GE(电)+1万兆(光)
|
8GE(光)+4GE(电)+4万兆(光) |
8GE(光)+8GE(电)+8万兆(光) |
10GE(光)+12GE(电)+8万兆(光)+2 QSFP |
12GE(光)+12GE(电)+8万兆(光)+4 QSFP |
|
扩展槽位数 |
2 |
2 |
4 |
4 |
4 |
4 |
|
转发性能 |
审计带宽1Gbps 并发连接数300万 每秒新建连接数10000/秒 |
审计带宽2Gbps 并发连接数500万 每秒新建连接数18000/秒 |
审计带宽5Gbps 并发连接数800万 每秒新建连接数30000/秒 |
审计带宽8Gbps 并发连接数1100万 每秒新建连接数43000/秒 |
审计带宽10Gbps 并发连接数1800万 每秒新建连接数55000/秒 |
审计带宽15Gbps 并发连接数2300万 每秒新建连接数80000/秒 |
|
可靠性 |
≥150,000小时 |
≥150,000小时 |
≥150,000小时 |
≥150,000小时 |
≥150,000小时 |
≥150,000小时 |
软件规格
|
一级指标 |
二级指标 |
|
协议检查 |
DNS、ICMP、TCP、UDP等协议链路检查检查、自定义协议链路检查检查 |
|
TCP、UDP、ICMP、TCP SYN、UDP等协议的超时时间设置、无响应UDP超时时间设置,可按照新建会话和总会话比例设置老化开始或结束,加速协议老化速度 |
|
|
网络适应性 |
路由、旁路、网桥、混合模式,切换模式无需重启 |
|
L2TP、GRE、LWAPP、CAPWAP、IPSEC、SSL等协议剥离、自定义协议剥离 |
|
|
网页监控 |
内置海量URL库且支持手工创建、支持基于URL地址/搜索词条/网页正文内容包含的关键字过滤网页访问行为;同时可基于关键字过滤网络发帖、Webmail邮件外发行为,支持能看帖但不准发帖、能收邮件但不准发邮件的细致管控功能;对于未包含在URL库里的其他海量网页通过网页智能识别管控; |
|
支持过滤SSL加密网址,并能基于关键字过滤SSL加密的网络发帖和Webmail;能够识别和过滤使用公网代理或自由门/无界浏览器等加密代理软件来师徒规避管理的行为;能够管控通过安装代理软件将自己的上网权限共享给其他人的行为; |
|
|
安全防护 |
会话限制 |
|
黑名单 |
|
|
文件控制 |
支持HTTP上传/FTP/Email附件等形式的外发文件行为,支持基于扩展名识别并拦截外发文件;支持控制通过web IM传文件的行为,支持审计IM传文件行为及内容; |
|
行为与流量统计 |
记录上网流量信息,如用户名、IP地址、MAC地址、访问时间、访问策略名称、访问规则类型、违规类型以及上网详情 |
|
支持通过NetbIOS 协议自动扫描内网的终端信息,扫描内网终端信息包括:终端IP 地址、终端MAC 地址和主机名等,管理员可以将其加入某个用户组中 |
|
|
可以根据不同的时间段,进行差异化的流量管理。 |
|
|
对搜索引擎中输入的关键词进行过滤,自动对搜索到的网址页面进行屏蔽,帮组企事业单位将涉及低俗的、非法的、带有病毒的网站彻底封堵掉。 |
|
|
结合应用协议识别功能,可以根据IP的应用协议类别进行流量管理。 |
|
|
对每个用户上网流量的源,目以及服务进行设置最大上下行会话数指标 |
|
|
业务告警 |
可通过syslog、短信、邮件、日志、企业微信、钉钉等多种方式告警,并可以多种方式任意组合 |
|
支持对违规网站、违规搜索、违规帖子、违规上传、违规邮件等上网行为产生告警,还可以对其他潜在威胁的上网行为产生告警 |
|
|
根据会话流的数据解析及深度会话还原技术,对电子邮件、HTTP、FTP等应用的传输内容进行文件还原。对文档、图片、压缩文件等敏感信息检测,精准识别各场景敏感词汇,违规内容及时响应告警。 |
|
|
网络检测 |
监控线路实时流量趋势、各类型应用流量、各用户流量,并可统计分析出每条出口链路的负载情况 |
|
能检测操作系统版本/补丁、系统进程、硬盘文件、注册表信息等终端特征、并能调用管理员自写脚本实现个性化检测;不满足组织相关IT规定而未能通过检测的终端予以提示或禁止其上网;支持win 8 64位操作系统,支持在旁路模式部署下生效 |
|
|
支持提供设备实时CPU、内存、硬盘占有率、会话数、在线用户数、系统时间、网络接口等设备资源信息;支持实时提供在线用户信息、应用流量排名、连接排名、所有线路应用流速趋势、流量管理状态、连接监控信息等;支持实时查看各带宽通道的使用情况;支持实时显示当天的安全状况、最后发生安全事件的时间、类型、总次数、源对象、上网用户web访问质量检测(可对整体网络质量评级) |
|
|
第三方认证 |
短信认证、微信认证、LDAP认证、POP3认证 |
|
支持自定义认证页面,认证通过后跳转指定企业入口网页 |
|
|
支持portal联动 |
|
|
用户管理 |
AD域单点登录 |
|
日志记录 |
网站日志&应用审计日志导出 |
|
详细的黑名单、防共享和终端发现日志,查看匹配策略记录和终端等信息 |
|
|
支持多种报表,包括流量报表、时长报表、行为统计报表、趋势报表、汇总报表、自定义报表等常规报表,以及风险智能报表、关键字报表、热帖报表等高级报表;支持数据下钻查询、支持递进查询等多维度查询方式;实现用户及用户组的上网流量、时间、行为的查询、统计、排行等各类统计报表功能、网站访问时长排行等数百种细节报表 |
|
|
流量限额 |
流量时长日、月限额 |
|
链路负载均衡 |
服务器负载均衡 |
|
应用缓存 |
应用缓存 |
|
APP被动缓存 |
|
|
APP模糊匹配 |
