iMC UBA用戶行為審計組件

iMC UBA用戶行為審計組件產(chǎn)品詳細(xì)介紹產(chǎn)品概述iMC UBA用戶行為審計組件通過與多種網(wǎng)絡(luò)設(shè)備共同組網(wǎng)，用來對終端用戶的上網(wǎng)行為進(jìn)行事后審計，追查用戶的非法網(wǎng)絡(luò)行為，滿足相關(guān)部門對用戶網(wǎng)絡(luò)訪問日志進(jìn)行審計的硬性要求。UBA用戶行為審計組件提供NAT1.0日志、FLOW1.0日志、NetStream V5日志、DIG日志的查詢審計功能，網(wǎng)絡(luò)管理員可以根據(jù)網(wǎng)絡(luò)日志對上網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行審計。產(chǎn)品特點全面的日志采集UBA用戶行為審計組件可支持多種網(wǎng)絡(luò)日志的采集（包括NAT1.0、FLOW1.0、NetStream V5），對于不支持上述日志的設(shè)備，可以通過設(shè)備的鏡像端口或TAP分流器采集網(wǎng)絡(luò)流量生成DIG格式的日志。分布式部署。UBA用戶行為審計組件采用分布式的體系結(jié)構(gòu)，支持多點采集，統(tǒng)一Web界面審計分析，可以同時采集多個設(shè)備的日志信息，為網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)提供了靈活有效的支持。強大的日志審計功能UBA用戶行為審計組件可根據(jù)用戶需要，通過接入用戶名、上網(wǎng)時間、用戶訪問網(wǎng)頁的URL、ftp操作文件及發(fā)送郵件的主題等各種條件的組合對網(wǎng)絡(luò)日志進(jìn)行快速審計，并對審計結(jié)果提供靈活的排序、分組、保存等功能。網(wǎng)絡(luò)管理員可以從海量的網(wǎng)絡(luò)日志中精確審計終端用戶的上網(wǎng)行為。終端用戶何時訪問了某網(wǎng)站、何時訪問了某網(wǎng)頁、發(fā)送了哪些Email、向外發(fā)送了哪些文件等信息均可通過日志審計得出結(jié)果，日志審計包括：通用日志審計：審計內(nèi)容包括接入用戶名、用戶上網(wǎng)起止時間、來源/目的IP地址、來源/目的端口、使用的協(xié)議及應(yīng)用名。 Web訪問審計：審計內(nèi)容包括接入用戶名、用戶上網(wǎng)起止時間、來源/目的IP地址、端口、用戶訪問的站點、用戶訪問的網(wǎng)頁等。 文件傳輸審計：審計內(nèi)容包括接入用戶名、用戶傳輸文件起止時間、來源/目的IP地址、端口、ftp用戶名、傳輸文件名、傳輸方式（上傳/下載）等。郵件審計：審計內(nèi)容包括接入用戶名、郵件發(fā)送時間、來源/目的IP地址、發(fā)件人、收件人、郵件主題等。地址轉(zhuǎn)換審計：審計內(nèi)容包括接入用戶名、用戶上網(wǎng)起止時間、來源/目的IP地址、來源/目的端口、使用的協(xié)議及應(yīng)用名、NAT轉(zhuǎn)換后IP地址/端口等。圖1-1 日志審計界面l 基于用戶的行為審計結(jié)合EAD端點準(zhǔn)入解決方案，UBA用戶行為審計組件可高效地管理網(wǎng)絡(luò)用戶，建立詳細(xì)的用戶訪問互聯(lián)網(wǎng)的日志，提供行之有效的網(wǎng)絡(luò)管理和用戶行為跟蹤審計策略，幫助管理員分析用戶的上網(wǎng)行為。l 七層應(yīng)用審計端口不固定的應(yīng)用，如P2P等應(yīng)通過報文應(yīng)用層數(shù)據(jù)的特征進(jìn)行識別?；谄邔討?yīng)用的識別和分類，UBA可基于用戶全面審計網(wǎng)絡(luò)中的七層應(yīng)用使用信息。組件已經(jīng)將大部分常見的端口不固定的應(yīng)用設(shè)定為組件預(yù)定義的應(yīng)用，如：BT、DC、eDonkey、Gnutella、 Kazaa、MSN、QQ、AIM等。用戶可根據(jù)需要，定義其它的應(yīng)用識別。七層應(yīng)用識別只對DIG日志有效，對其他類型的日志無效。 任務(wù)式審計UBA用戶行為審計組件提供基于任務(wù)的自動跟蹤審計功能，可以根據(jù)接入用戶名、用戶訪問網(wǎng)頁的URL等各種查詢審計條件靈活制定審計任務(wù)。任務(wù)一旦制定，組件將自動跟蹤審計當(dāng)前時間段內(nèi)滿足查詢條件的所有用戶及日志信息。審計任務(wù) 包括：地址轉(zhuǎn)換、Web訪問、文件傳輸、郵件、通用等多種類型。l 日志轉(zhuǎn)儲UBA用戶行為審計組件支持對海量日志進(jìn)行轉(zhuǎn)儲。用戶可以將敏感日志和由于數(shù)據(jù)庫空間限制無法存儲的日志定時導(dǎo)出到數(shù)據(jù)文件中進(jìn)行異地保存，同時組件提供轉(zhuǎn)儲日志查詢工具，用戶可直接對轉(zhuǎn)儲日志進(jìn)行查詢操作。l 審計報表UBA系統(tǒng)提供專業(yè)的報表，包括訪問站點、會話數(shù)、應(yīng)用分布、未知應(yīng)用的TopN報表，SMTP、HTTP、FTP的應(yīng)用分析報表，每種報表都可以按照天、周等周期和圖形、列表等形式輸出。通過使用這些自帶的報表，管理員可以非常清楚的了解當(dāng)前用戶對網(wǎng)絡(luò)的使用情況。圖1-2 用戶訪問站點TopN日報表組網(wǎng)應(yīng)用l NetStream/NAT/FLOW日志審計組網(wǎng)方式該組網(wǎng)方式可以為寬帶運營商或教育網(wǎng)提供網(wǎng)絡(luò)日志審計功能，便于對訪問非法站點的用戶行為進(jìn)行跟蹤。該組網(wǎng)方式非常靈活，可以根據(jù)運營商或教育網(wǎng)等不同的運營特點，實現(xiàn)多種方式的日志記錄與審計能力。例如，如果在Internet出口需要作NAT轉(zhuǎn)換，并且使用了H3C設(shè)備的NAT功能，用戶行為審計組件就可以接收NAT日志進(jìn)行處理。如果在Internet出口不需要做NAT轉(zhuǎn)換，則可以通過FLOW格式或NetStream V5格式的日志記錄用戶的上網(wǎng)行為。該組網(wǎng)方式下，需要配套設(shè)備支持NAT、FLOW或NetStream日志輸出。圖1-1 NetStream/NAT/FLOW日志審計組網(wǎng)方式l DIG探針組網(wǎng)方式探針式采集器能夠與任何支持端口鏡像功能的交換機或集線器配合，采集網(wǎng)絡(luò)中的報文信息，并為用戶行為審計提供統(tǒng)計信息。該組網(wǎng)方式最大的優(yōu)點在于不用依賴于具體設(shè)備，從而可以更有效的保護(hù)用戶的已有投資，主要面向出口容量不大的教育或行業(yè)用戶。圖1-2 DIG日志審計組網(wǎng)方式UBA用戶行為審計組件是H3C公司自主開發(fā)的網(wǎng)絡(luò)日志審計產(chǎn)品，用戶可以根據(jù)實際需求選購相應(yīng)配置。型號產(chǎn)品描述H3C iMC-智能管理平臺標(biāo)準(zhǔn)版(不含節(jié)點)-純軟件(DVD)必配。H3C iMC-UBA用戶行為審計組件(含1000用戶)-純軟件(CD)對用戶日志進(jìn)行審計時必配，完成用戶日志采集、處理、分析與審計，提供配置、告警功能H3C iMC-UBA用戶行為審計組件1000用戶License費用選配，1000用戶License費用H3C iMC-UBA用戶行為審計組件5000用戶License費用選配，5000用戶License費用H3C iMC-DIG日志探針組件授權(quán)包費用選配，配合探針組網(wǎng)方式使用性參數(shù)硬件平臺用戶行為審計服務(wù)器： PC服務(wù)器：CPU主頻3GHz、CPU個數(shù)或CPU核數(shù)2、內(nèi)存6G、硬盤700G、48倍速光驅(qū)、10/100/1000Mb自適應(yīng)以太網(wǎng)卡、聲卡探針：PC服務(wù)器：CPU主頻3GHz、內(nèi)存2G、硬盤100G、2個10/100/1000Mb自適應(yīng)以太網(wǎng)卡* 說明：CPU、內(nèi)存和硬盤配置與流量采集大小直接相關(guān)，根據(jù)具體網(wǎng)絡(luò)流量采集大小確定實際硬件配置。操作系統(tǒng)用戶行為審計服務(wù)器： Windows Server 2003 /Windows Server2008Red Hat Enterprise Linux 5 or 5.5DIG探針服務(wù)器：Redhat AS5.0或ES 3.0操作系統(tǒng)瀏覽器：IE 6及以上版本、Firefox 3.0及以上版本。數(shù)據(jù)庫Windows 平臺：SQL Server 2005，SQL Server 2008Linux平臺：Oracle 11G硬件配置由網(wǎng)絡(luò)規(guī)模決定，具體配置請咨詢H3C當(dāng)?shù)剞k事處。業(yè)界第一款應(yīng)用控制與行為監(jiān)管網(wǎng)關(guān)H3C SecPath ACG（Application Control Gateway）是業(yè)界識別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對網(wǎng)絡(luò)中的P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)多媒體、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制，保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用和服務(wù)的帶寬，對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的審計，進(jìn)而幫助用戶全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，優(yōu)化其帶寬資源，開展各項業(yè)務(wù)提供有力的支撐。產(chǎn)品特點最全面的應(yīng)用識別能力通過H3C長期積累的狀態(tài)機檢測、流量交互檢測技術(shù)，能精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應(yīng)用。精細(xì)化的流量管理功能采用基于隊列（Each Flow Queuing）的流量處理機制，通過通道、子通道、子通道下的子通道等區(qū)分服務(wù)模式，并結(jié)合時間段、用戶/用戶組、上行/下行、區(qū)域等，易于對每個業(yè)務(wù)“流”隊列，設(shè)置不同的優(yōu)先級策略，實現(xiàn)最小帶寬、最大帶寬、最大會話數(shù)、每會話帶寬、新建連接數(shù)等控制，實現(xiàn)帶寬借用、Qos優(yōu)先級標(biāo)記等，真正實現(xiàn)端到端的精細(xì)化流量管理。豐富的報表提供實時的業(yè)務(wù)流量趨勢圖、流量分布圖、Top N用戶列表、Top N應(yīng)用協(xié)議列表等報表，并支持按照用戶名/用戶組、使用頻度、使用時段、應(yīng)用分類、應(yīng)用協(xié)議、流量大小等進(jìn)行多維度組合定制報表，使用戶能全面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略提供依據(jù)。完善的安全審計系統(tǒng)可對各種P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸、數(shù)據(jù)庫應(yīng)用等各種上網(wǎng)行為提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網(wǎng)絡(luò)流量與流向趨勢，對歷史數(shù)據(jù)進(jìn)行分析，為用戶提供細(xì)粒度的網(wǎng)絡(luò)應(yīng)用審計管理系統(tǒng)。強大的過濾功能通過自定義IP地址、主機名、正則表達(dá)式等方式設(shè)置URL特征庫，支持根據(jù)不同的URL策略設(shè)置不同的響應(yīng)方式，支持根據(jù)時間表對不同的URL策略設(shè)置不同的響應(yīng)動作，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡(luò)的健康使用。高性能、高可靠性基于新一代多核CPU+FPGA硬件架構(gòu)，業(yè)務(wù)與轉(zhuǎn)發(fā)相分離，實現(xiàn)了千兆級線速業(yè)務(wù)處理能力，僅有微秒級時延；通過掉電保護(hù)（PFC，無源Bypass）、軟件二層回退、雙電源冗余等高可靠性設(shè)計，保證SecPath ACG在斷電、軟硬件故障或鏈路故障、流量過載的情況下，網(wǎng)絡(luò)鏈路仍然暢通。及時的特征庫更新H3C專業(yè)特征庫團(tuán)隊密切跟蹤應(yīng)用變化，并對應(yīng)用協(xié)議特征庫及時更新；支持對協(xié)議特征庫的在線自動/手動升級、本地升級，且升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運行。系統(tǒng)規(guī)格項目SecPath ACG2000-M管理接口1個Console口 + 2個GE Combo口業(yè)務(wù)接口2個GE Combo口（最大2個GE Combo口 + 16個GE電口）擴展槽2接口模塊4GE電口/4GE光口/8GE電口尺寸（高寬深）44mm 442mm 460mm額定功率150W電源100240VAC/5060Hz可靠性支持二層回退、雙電源冗余、外置掉電保護(hù)環(huán)保標(biāo)準(zhǔn)通過歐盟嚴(yán)格的環(huán)保標(biāo)準(zhǔn)RoHS認(rèn)證重量7.5 KgP2P應(yīng)用識別Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）等IM應(yīng)用識別QQ、ICQ、MSN Messenger、Yahoo Messenger、新浪UC、阿里旺旺（淘寶版）、飛信等炒股應(yīng)用識別大智慧、同花順、指南針、證券之星、錢龍、大策略等網(wǎng)絡(luò)多媒體應(yīng)用識別PPLive、PPStream、QQLive、沸點網(wǎng)絡(luò)電視、QQLive、沸點網(wǎng)絡(luò)、UUSee、千千靜聽等網(wǎng)絡(luò)游戲應(yīng)用識別魔獸世界、QQ游戲、聯(lián)眾、Half-Life、勁舞團(tuán)、征途、夢幻西游、泡泡堂等其他支持SQL Server/Oracle等數(shù)據(jù)庫和Lotus notes等企業(yè)應(yīng)用識別行為審計支持對P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為進(jìn)行審計數(shù)據(jù)庫審計支持對Oracle、Sybase、MySQL、SQL Server等數(shù)據(jù)庫的審計URL過濾支持自定義IP地址、主機名、正則表達(dá)式設(shè)置URL庫控制策略支持告警、限流、阻斷、干擾、帶寬保障等控制策略管理方式支持本地Web圖形化管理、SecCenter集中管理在線部署l 適用于大中型企業(yè)用戶，以透明方式在線部署于網(wǎng)絡(luò)出口；無需改變網(wǎng)絡(luò)拓?fù)鋖 對P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體/非法網(wǎng)站訪問等各種應(yīng)用進(jìn)行監(jiān)控和管理，保障關(guān)鍵應(yīng)用和服務(wù)的帶寬l 對用戶上網(wǎng)行為進(jìn)行分析與審計l 支持MPLS/GRE/L2TP/VLAN/PPPoE等復(fù)雜網(wǎng)絡(luò)環(huán)境；支持多臺分布式部署的統(tǒng)一管理旁掛部署l 適用于大中型企業(yè)用戶，以旁掛方式部署于核心設(shè)備旁；不影響網(wǎng)絡(luò)結(jié)構(gòu)，部署簡單l 對用戶P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體/非法網(wǎng)站訪問等的流量、行為進(jìn)行分析及審計l 支持MPLS/GRE/L2TP/VLAN/PPPoE等復(fù)雜網(wǎng)絡(luò)環(huán)境；支持多臺分布式部署的統(tǒng)一管理1) SecPath ACG2000-M主機選購一覽表項目數(shù)量備注SecPath ACG2000 -M主機1必配HIM接口模塊02選配（支持4GE、8GE兩種接口卡）H3C SecPath PFC主機設(shè)備01選配（需配置PFC接口模塊）H3C SecCenter組件-ACG Manager應(yīng)用控制與審計管理系統(tǒng)-純軟件(CD)01選配H3C SecPath ACG2000-M/H3C SecBlade ACG 應(yīng)用識別特征庫升級服務(wù)-1年無限制選配(2) SecPath ACG2000-M主機HIM接口模塊選購一覽表接口模塊描述備注4端口10/100/1000Base-T接口模塊02選配4端口1000M以太網(wǎng)光接口模塊02選配，須另配SFP模塊8端口10/100/1000Base-T接口模塊02選配(3) SecPath PFC主機接口模塊選購一覽表接口模塊描述備注H3C SecPath PFC 8電口保護(hù)模塊01選配H3C SecPath PFC 4光口保護(hù)模塊04選配H3C SecPath U200-S統(tǒng)一威脅管理產(chǎn)品H3C SecPath U200-S是H3C公司面向中小型企業(yè)/分支機構(gòu)設(shè)計的新一代UTM（United Threat Management，統(tǒng)一威脅管理)設(shè)備，采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時提供病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能。H3C公司的SecPath U200-S不僅能夠全面有效的保證用戶網(wǎng)絡(luò)的安全，還支持SNMP和TR-069網(wǎng)管方式，最大化減少設(shè)備運營成本和維護(hù)復(fù)雜性。產(chǎn)品特點市場領(lǐng)先的安全防護(hù)功能l 完善的防火墻功能：提供安全區(qū)域劃分、靜態(tài)/動態(tài)黑名單功能、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測過濾、虛擬防火墻、VLAN透傳等功能。能夠防御ARP欺騙、TCP報文標(biāo)志位不合法、Large ICMP報文、CC、SYN flood、地址掃描和端口掃描等多種惡意攻擊。l 豐富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等遠(yuǎn)程安全接入方式，同時設(shè)備集成硬件加密引擎實現(xiàn)高性能的VPN處理。l 實時的病毒防護(hù)：采用Kaspersky公司的流引擎查毒技術(shù)，從而迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。l 實時的垃圾郵件防護(hù)：可以攔截垃圾郵件，凈化郵件系統(tǒng)，解決垃圾郵件對正常工作的干擾問題。l 先進(jìn)的URL過濾：實現(xiàn)基于用戶的URL訪問控制，防止因瀏覽惡意或未授權(quán)的網(wǎng)站(如網(wǎng)絡(luò)釣魚攻擊網(wǎng)站)而帶來的安全威脅。l 全面的流量管理：能精確檢測BitTorrent、Thunder（迅雷）、QQ等P2P/IM應(yīng)用，提供告警、限速、干擾或阻斷等多種方式，保障網(wǎng)絡(luò)核心業(yè)務(wù)正常應(yīng)用。l 細(xì)致的行為審計：可對各種P2P/IM、網(wǎng)絡(luò)游戲、郵件和數(shù)據(jù)傳輸?shù)刃袨樘峁┘?xì)致的監(jiān)控和記錄，實現(xiàn)細(xì)粒度的網(wǎng)絡(luò)行為審計管理。l NAT應(yīng)用：提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換 、Easy IP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。電信級設(shè)備高可靠性l 采用H3C公司擁有自主知識產(chǎn)權(quán)的軟、硬件平臺。產(chǎn)品應(yīng)用從電信運營商到中小企業(yè)用戶，經(jīng)歷了多年的市場考驗。l 支持雙機狀態(tài)熱備功能，支持Active/Active和Active/Passive兩種工作模式，實現(xiàn)負(fù)載分擔(dān)和業(yè)務(wù)備份。l 36年的平均無故障時間(MTBF)智能圖形化的管理l 簡單易用的Web UI管理。l 支持基于SNMP和TR-069協(xié)議的管理。l 通過H3C UTM管理軟件實現(xiàn)統(tǒng)一管理。l 通過H3C SecCenter安全管理中心實現(xiàn)統(tǒng)一管理。組網(wǎng)應(yīng)用l 多功能集成，實現(xiàn)全網(wǎng)應(yīng)用層安全防護(hù)l 多核、多線程硬件平臺，具有強大的處理能力l 雙機狀態(tài)熱備技術(shù)，高可靠網(wǎng)絡(luò)設(shè)計l 統(tǒng)一Web界面，降低管理復(fù)雜度H3C SecPath U200-M統(tǒng)一威脅管理產(chǎn)品H3C SecPath U200-M是H3C公司面向中小型企業(yè)/分支機構(gòu)設(shè)計的新一代UTM（United Threat Management，統(tǒng)一威脅管理)設(shè)備，采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時提供病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能。H3C公司的SecPath U200-M不僅能夠全面有效的保證用戶網(wǎng)絡(luò)的安全，還支持SNMP和TR-069網(wǎng)管方式，最大化減少設(shè)備運營成本和維護(hù)復(fù)雜性。產(chǎn)品特點市場領(lǐng)先的安全防護(hù)功能l 完善的防火墻功能：提供安全區(qū)域劃分、靜態(tài)/動態(tài)黑名單功能、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測過濾、虛擬防火墻、VLAN透傳等功能。能夠防御ARP欺騙、TCP報文標(biāo)志位不合法、Large ICMP報文、CC、SYN flood、地址掃描和端口掃描等多種惡意攻