天玥网络安全审计系IBJ660HF1 天玥网络安全审计产品的价值体现1.1提高工作效率,提高网络使用效率天玥网络安全审计产品,可以对所有与工作无关的应用进行设置,例如阻断IM,网络游戏,网络电视,炒股软件等应用软件,工作时间只能开展与工作相关的业务。而且,启明星辰提供了针对网络站点的分类,在经过严格、******的站点分类的基础上,启明星辰天玥网络安全审计产品能够******的识别各种分类站点,并能够根据用户的策略对不允许访问的站点进行屏蔽,从而保障工作效率。
1.2避免机密外泄以及法律风险为避免内部人员将单位的机密信息泄露以及在互联网上发表不法言论,天玥网络安全审计产品对所有外发信息进行详细地监控和记录,监控的外发信息包括BBS发帖、邮件、博客等,如果外发信息中包括非法内容,则进行阻断。
同时用户所有的外发信息都会一一记录,保存在本地磁盘,以供管理者在需要时提供必要的司法依据。
天玥网络安全审计产品提供了对非法事件的报警功能。根据用户设置的非法事件定义,天玥网络安全审计产品能够******时间针对用户的非法事件产生报警信息,并可根据设置将报警信息发送给相关责任人。
1.3网络带宽管理,防止网络资源滥用针对网络资源滥用的问题,天玥网络安全审计产品可以通过多种策略方式的设置,对P2P下载工具,在线视频,网络电视等进行流量限制,对ERP,视频会议,邮件等关键业务和正常业务进行带宽保障。
1.4丰富的统计报表,实现上网行为审计天玥网络安全审计产品提供了对上网用户使用信息的分时段、分应用等查询,通过自动生成的TOP-N 排名报表、上网时间统计报表、上网时间高峰段报表等数据统计报表(图),以便网络管理员能够确切的知道每个局域网用户使用网络的时间、流量、排名,并据此制定相应的管理策略,提高互联网使用效率,更好的管理网络。
1.5多终端共享检测,防私接由于个人无线终端的丰富,面对员工有私接无线热点, “一拖N”的现象。系统提供多终端共享检测,可以为企业制定有针对性的防私接管理功能,来对私接热点或路由器的情况进行监管和屏蔽等操作。
2 IBJ660HF规格参数| 产品型号 | IBJ660HF |
| 性能 | ******用户数 | 10000用户 |
| 单口处理能力 | 1 Gbps |
| 整机处理能力 | 3Gbps |
| ******新建连接数 | 50000 |
| ******并发会话数 | 300万 |
| 硬件特性 | 网络接口 | 6个10/100/1000M自适应电口,4个千兆SFP扩展插槽 |
| bypass | 3对bypass |
| 存储介质(硬盘) | 1T |
| 电源模式支持 | 双电源 |
| 重量 | 9Kg |
| 机箱高度 | 2U |
| 外形尺寸mm(宽*深*高) | 500*440*89 mm |
| 输入电压AC | 100-240V 47-63Hz |
| 额定电流 | 4.5-2A |
| 额定功率/功耗 | 300W |
| 工作温度 | 0~45℃ |
| 相对湿度 | 5%-95% RH 不凝结 |
1 IBJ660HF功能介绍1.1基础模块网络行为管理系统采用数据包过滤的方式,对内外网络的交换数据进行必要的审查和过滤,能够有效的减低网络内部的安全风险。其中包括路由功能、轻型防火墙功能和防DDoS攻击功能。
1.1.1 路由功能产品内置静态与动态路由功能,在网络接入环境中可以实现路由,从而协助用户达到节省投资简化管理的目的。
1.1.2 防火墙功能通过建立访问控制列表(ACL),限制和管理内网用户和外网的访问请求,同时能够禁止外网用户到内部网络的病毒和攻击。
1.1.3 防DDOS攻击采用了数理分析统计的概率和随机过程概念,不基于特定规则的防DDOS攻击能够可防御各类DOS和DDOS攻击及其变种,如SYN Flood、UDP Flood、(M)Stream Flood和ICMP Flood、Ping of Death、Land、Tear Drop、WinNuke等。保护内部主机和网络的安全和服务的连续性。
另外,通过网络地址转换(NAT)功能,能够有效地隐藏内部的网络结构和内部网络地址,从而也提高了网络的安全性。
1.2认证网络的使用是基于账号和密码的数据库认证方式,用户只需在web页面中输入用户账号和密码通过网关的认证,便可使用网络资源。为确保用户能够查询使用网络资源的情况,还提供一些附加功能,如即时查询使用时间、流量等费用信息。
1.2.1 认证方式天玥网络安全审计产品提供本地数据库认证、远程认证、LDAP认证、Windows域认证、Radius认证、短信认证以及微信认证。
认证数据库可与远程、LDAP、Windows域和Radius认证相结合,同步第三方认证系统的认证数据,对认证用户实行权限管理。用户上网前的认证采用Web页面登陆的方式,用户上网只需要三步:连接网线、启动计算机和打开浏览器,网络行为管理综合网关将用户强制连接到设定的访问页面,输入用户名和密码进行用户身份认证,无需下载客户端软件和更改用户端设置,即插即用,非常方便用户的使用。
当用户通过系统认证后,在一段时间内无需再次认证,插上网线***可以继续使用网络,同时网关也对该用户进行计费,不需要硬件的支持。用户还可以通过网页来查看上网的时间和流量等网络使用的信息。系统还提供方便的退出机制,用户可以直接在Web页面上Logout、关闭驻留页面、关机、拔掉网线方式来退出和停止使用网络资源。
1.2.2 微信认证天玥网络安全审计产品提供的微信认证是针对无线网络用户,所以连接无线网络的用户,需通过关注微信公众号进行认证才可访问网络。该认证方式适用于非经营性场所,如咖啡厅、酒店、机场等场所。
1.2.3 短信认证天玥网络安全审计产品的短信认证功能针对外来访客临时用户,当有外来人员想要访问内部网络时,天玥网络安全审计产品可以提供临时账号,用户通过短信获取临时账号及密码即可访问网络。且可以设置临时用户的有效期及失效期以进行限制。
1.3用户通过输入用户名和密码之后,用户的认证信息将通过加密的方式发送到多功能网关,在与数据库的数据进行匹配之后,网关将根据系统已经设置完成的用户权限返回对应的用户或用户组,用户将根据得到的使用网络资源。
根据不同的用户和用户组,设定用户的上网权限,包括用户上网使用的计算机,用户接入网络的IP地址,用户的上网时间段,用户禁止浏览的网站,用户上网的每天或每月能够上网的总计时长。
1.4计费对用户的计费是基于多种策略的,包括时间段、流量、时长优惠、流量优惠、包时包月等等。可以根据用户的需要选择基于时间、流量、包时、费用封顶等多种灵活的计费方式,且可选择付费方式为预付费或后付费,并可打印完善的收费账单,或者提供与其它管理系统的接口数据以形成整体的计费管理系统。
1.5接入管理1.5.1 即插即用网络行为管理综合网关是真正的即插即用设备,能够实现用户端即插即用,不论用户采用的是自动分配IP地址的方式还是用户已经设定好了网络适配器的网络IP地址等参数,都无需修改这些参数(如IP、Mask、Gateway、DNS和DHCP等任何参数)即可上网。极大的简化了网络的管理,提高了网络的******性。
1.5.2 IP/MAC/VLAN ID绑定系统支持地址和端口绑定,采用用户账号和VLAN编号、IP地址以及MAC地址绑定的方式,能够防止用户的账号被盗用,同时也******用户使用网络的统计信息更加******。
1.6用户管理1.6.1 用户识别系统默认支持PPPOE拨号用户自动识别,可选择按IP识别或按MAC地址识别。
1.6.2 用户管理天玥网络安全审计产品用户分为认证用户、IP用户及用户组。认证用户可与IP地址、MAC地址进行绑定,以确保其******性。认证用户及IP用户添加时需选择用户组,用户组在添加时可设置权限,如WEB访问权限、时间策略、URL策略组以及认证方式。对于外来访客系统还提供临时用户账号,可允许用户临时访问内部网络一定时长。临时用户打开浏览器输入获取账号及密码。
1.7流量管理天玥网络安全审计产品是以应用为基础,以优先级为条件,辅以连接数、连接速率以及传输方向进行带宽管理策略设置。合理的策略设置能够使当前的网络为更多的网络用户和应用服务,并可以通过优先级设置、权限设置等多种带宽管理方式来管理或限制网络娱乐或其它非业务应用对网络的占用,******关键业务和正常业务的畅通。网络应用能够通过系统的多种管理形式来设定和控制用户的网络使用带宽。
1.8行为管理与审计1.8.1 WEB 访问控制Ø 记录用户访问的URL 地址。系统采用URL 智能过滤算法,滤掉浏览器自动访问的URL地址,仅记录用户实际点击的URL地址,******记录的有效性。
Ø 86大类URL分类库、2000万条以上URL,支持自定义的URL分类。
Ø 基于网站分类、URL关键字、网页内容的URL控制策略。
Ø 实时查看用户访问的URL地址。
1.8.2 外发信息及邮件审计控制Ø 表单的自动分类(如Web登录、Web邮件、BBS 等分类)和统计。
Ø 支持IMAP、SMTP、POP3协议下的邮件收发审计,支持按收/发地址、关键字、主题、附件、邮件大小等因素设置邮件管理策略。
Ø 支持对发件人、收件人、标题内容、正文内容、附件名称、邮件大小的审计,邮件内容和附件的下载。
1.8.3 网盘上传文件记录Ø 可审计乐视云盘、腾讯微云、新浪微盘、360云盘、华为网盘、网盘、迅雷快传。
Ø 审计内容包括上传文件名称、文件大小、上传字节大小、IP地址、MAC地址、上传起始时间等信息。
Ø 支持按网盘类型、文件名称对网盘文件上传进行控制。
1.8.4 即时监控Ø 支持ICQ、QQ、雅虎通、UC、POPO、飞信、淘宝旺旺、Skype、YY等,记录帐号、上下线时间、持续时间、内容、收发动作等信息。
Ø 支持按IM号码及内容设置策略。
Ø 记录ICQ、飞信、雅虎通等的有关文件上传、下载的动作,提供本地下载审核。
1.8.5 FTP/HTTP传输审计Ø 记录FTP 登陆帐号、密码、服务器IP 地址。
Ø 记录传输文件的时间、文件名称、传输方向、大小等信息。
Ø 记录HTTP下载的文件名、时间等信息。
1.8.6 P2P 协议监控Ø 支持对BT、eMule、迅雷、网际快车、QQ旋风、酷狗、酷我、PP点点通、搜娱、汉魅、RaySource 、WinMX 、Gnutella 、iMesh 、Applejuice 、百宝 、Souleseek 、Waste、XDCC 、Mute 、Ares 、Direct Connect、Kazaa 、盛大下载器、天网maze 、屁屁狗、POCO、Pando、Shareaza 、Frostwirte、哇噶、千千静听等常见P2P应用的封堵和限速。
1.8.7 网络游戏审计Ø 支持Web游戏、QQ游戏、魔兽世界、劲舞团、跑跑卡丁车、征途、******世界、武林外传、热血江湖、大话西游II、梦幻西游、街头篮球、冒险岛、联众游戏等。
Ø 记录网络游戏的在线开始时间、结束时间、游戏时间段等。
Ø 支持对网络游戏进行阻断、告警、免审计策略等管理。
1.8.8 软件监控Ø 记录用户开始使用炒股软件的时间、用户IP等信息。
Ø 支持钱龙、大智慧、指南针、同花顺、龙卷风、通达信、证券之星等。
Ø 可对炒股软件的使用进行控制(阻断或限制)。
1.8.9 网络电视监控Ø 记录用户使用网络电视的开始时间、结束时间以及所使用客户端等信息;
Ø 支持WEB视频、PPLIVE、QQLIVE、PPStream、BBSee、沸点、UUSee、TVAnts、风行、新浪直播、皮皮、暴风影音、电影网播放器、奇艺、迷你电视、乐视、硕鼠、飞速土豆、影音等
Ø 可针对网络电视自主的设置管理规则:或限制在某一时段开启、或******阻断。
1.8.10 异常网络流量监控Ø 实时监控网络流量状态,例如针对内网ARP流量的监控;
Ø 统计警告网络中的异常流量,例如网络内部的异常ARP状态,并给出异常流量告警。
1.8.11 审计设置Ø 用户黑白名单:所有规则设置中优先级******。白名单中的用户可以设置是否审计,黑名单中的用户无法访问网络,并可设置列入黑名单的时间长度。
Ø URL黑白名单:优先级仅低于用户黑白名单。白名单中的可以设置是否记录,黑名单中的,可以设置是否生成报警信息。
Ø 协议黑白名单:优先级低于用户、URL黑白名单。可对白名单中的协议设置是否记录,黑名单中的协议进行报警信息设置。
Ø 应用规则/内容规则设置:优先级低于用户、URL、协议黑白名单。可具体针对应用,IP,时间,优先级等设置策略。
Ø 全局审计规则:优先级******。对全局数据是否进行记录的设置。
Ø 的保障。
1.9多终端共享检测,防私接1.9.1 多终端共享检测系统独设多终端共享检测,有效防止多个用户终端私接网络,如利用无线路由器开放网络,使多个PC或手机终端共享网络,系统能够检测到共享终端数量,并根据设置多终端共享阈值限制私接状况,阻断该用户访问网络。
1.9.2 阻断日志通过设置多终端共享阈值控制多终端共享人数,当连接人数超过设置的阈值后,系统将进行锁定并记录其日志,记录信息包括用户名、IP地址、MAC地址、终端数、发生时间、锁定时间、解锁时间。
1.9.3 超限日志多终端共享人数超过设置的阈值后系统会记录日志且可以产生报警信息日志内容包括用户名、IP地址、MAC地址、终端数及发生时间。
1.10日志查询系统提供了多种根据时间段、用户类型、应用类型的日志信息查询,便于管理。了解用户的网络行为,且可选择将日志导出。
1.11 丰富的统计报表,实现上网行为审计1.11.1 翔实的网络全局报表l 用户行为:基于网页浏览、网页提交、SMTP、POP3等应用的访问记录报表;
l 流量分析:基于累积流量******应用排名、流量时间走势、累计流量******用户排名、累计流量******组排名、流量对比报表;
l 时间走势:基于流量时间走势、WEB时间走势、BBS时间走势、收发邮件时间走势、消息时间走势、其他应用时间走势;
l 用户统计:基于累计流量******用户排名、访问网站***多用户排名、发帖***多用户排名、收发邮件***多用户排名、IM消息数***多用户排名、其他应用***多用户排名、报警***多用户排名;
l 组统计:基于累计流量******组排名、访问网站***多组排名、发帖***多组排名、收发邮件***多组排名、IM消息数***多组排名、其他应用***多组排名、报警***多组排名;
l 应用排名:基于站点类别排名、发帖站点排名、邮件类型排名、IM类型排名、其他应用类型排名;
l 网站访问:基于站点类别排名、WEB时间走势、请求站点排名、访问网站***多用户排名、访问网站***多组排名、WEB对比报表;
l 论坛发帖:基于发帖站点排名、发帖***多用户排名、BBS时间走势、发帖***多组排名、BBS对比报表;
l 邮件收发:基于邮件类型排名、收发邮件***多用户排名、收发邮件时间走势、收发邮件***多组排名、邮件信息对比报表;
l 基于IM类型排名、IM消息数***多用户排名、消息时间走势、IM消息数***多组排名、IM对比报表;
l 其他应用:基于其他应用类型排名、其他应用***多用户排名、其他应用时间走势、其他应用***多组排名、其他应用对比报表;
l 对比报表:基于IM对比报表、WEB对比报表、流量对比报表、邮件信息对比报表、BBS对比报表、其他应用对比报表;
1.11.2 全文检索利用系统剩余资源进行全文检索,保障设备高效稳定运行,检索进度条查看检索完成情况,方便管理。
1.11.3 报表定制定时将报表发往设定邮箱,在无法登录系统的情况下,便于审计数据的查看,同时信息得以保存,可作为事后取证之用。
1.12 性能优化,******系统稳定运行1.12.1 HA双机热备通过尽量缩短因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机时间,以提高系统和应用的可用性。系统的HA服务给系统提供软件容错、磁盘热备、负载均衡、故障恢复等功能,能够有效提高系统的******性、可维护性和运行效率。
1.12.2 BYPASS以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通,从而使网络继续运行。系统提供软件BYPASS及硬件BYPASS,切换时间小于10S,能******系统在特殊情况下的正常运行。
1 IBJ660HF产品优势1.1USAP高性能的数据通讯平台高速数据通信平台USAP:模块化通用安全应用平台。可以根据用户的实际需求制定相应策略来配置系统,达到对用户实际需求的无缝契合。模块化设计,使系统具有很高的灵活性,具备海量处理数据的功能,可提供电信级万兆互联网管理解决方案。
1.2专家会诊系统(Expert Consultation System)USAP采用了专家会诊系统,对多个安全处理单元一次并行处理,可以使得数据包分析处理时间大幅度缩减。
假如n个安全功能中***耗时的一项功能共计耗时Tm,则USAP处理一个包的时间理论上为T=Tm,其中 Tm=Max {T1, t2, Tm,… Tn}。
由此看出USAP的数据包处理速度有大幅度提高,而且具有安全功能越多,*性越好的特性,这项技术的应用成为启明星辰的安全网关产品的一大性能突破。
1.3零拷贝技术(ZERO-COPY 技术)传统的网络数据报处理,需要经过网络设备到操作系统内存空间,系统内存空间到用户应用程序空间这两次拷贝,同时还需要经历用户向系统发出的系统调用。
而零拷贝技术则首先利用DMA技术将网络数据报直接传递到系统内核预先分配的地址空间中,避免CPU的参与;同时,将系统内核中存储数据报的内存区域映射到检测程序的应用程序空间,检测程序直接对这块内存进行访问,从而减少了系统内核向用户空间的内存拷贝,同时减少了系统调用的开销,实现了真正的“零拷贝”。
从而,改善了数据分析过程,减少数据复制过程,降低CPU负载,提高系统效率。并且避免了数据拷贝过程中因资源占用而导致的数据丢包现象。
天玥网络安全审计产品 结合了专家会诊系统(ECS)、ZERO-COPY等多种******技术,大大提高了数据的处理能力,并在一定程度上增强了系统的稳定性。
1.4高******性作为多用途的网络行为管理系统如果以路由或桥接模式接入到网络中时,难免会存在造成网络单点故障的风险,鉴于此,启明星辰网络行为管理系统提供如下解决方案以降低风险:
硬件采用ByPass设计,避免产生网络中断
系统方面采用高******性的HA设计,天玥网络安全审计产品具有双机热备功能
1.5DPI与DFI相结合数据分析技术DPI: 即“Deep Packet Inspection”,称为“深度数据包检测”。
DPI不仅分析IP包头的五元组(源地址、目的地址、源端口、目的端口以及协议类型),而且还增加了应用层分析,识别各种应用及其内容,如下图所示:
DFI:即“Deep/Dynamic Flow Inspection”深度/动态数据流检测技术.
DFI技术采用的是一种基于流量行为的应用识别技术,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型。
鉴于DPI在应用区分、识别精度、功能扩展等方面优势明显,而DFI在对新应用和加密协议的识别方面有一定的优势。启明星辰采用了以DPI分析技术为主,传统普通报文分析和DFI技术来处理分析加密应用协议为辅的方式综合分析数据包,综合分析应用层特征值和应用协议行为;UDP/TCP 端口、端口范围和端口列表;IP 地址、地址范围、子网或主机列表;MAC地址;VLAN标签、MPLS 标签、IP PRECEDENCE、MPLS EXP;传输方向等。以此来达到******分析应用和协议的目的。
1.6层进式设计
接入管理:
当客户需要接入网络时,对客户进行识别,确定用户的合法身份。网络的使用是基于账号和密码的认证方式,用户只需在web 页面中输入用户名和密码,用户的认证信息***会通过加密的方式发送到网关,在与数据库的数据进行匹配之后,网关将根据系统已经设置完成的用户权限返回对应的用户或用户组,用户将根据得到的使用网络资源。
权限管理:
跟据不同的用户和用户组,设定用户的上网权限,包括用户上网使用的计算机,用户接入网络的IP 地址,用户的上网时间段,用户禁止浏览的网站,用户上网的每天或每月能够上网的总计时长等等。
应用管理:
在权限管理基础之上,进一步精细的针对网络应用进行管理,例如:针对P2P下载以及下载速度的权限管理、针对收发的权限管理以及针对工具的使用权限的管理等。从而实现对用户流量的管理。
内容管理:
对用户网络应用的内容进行识别并管理。比如对BBS、BLOG、论坛、社区等网络发帖的内容进行记录;并可针对关键字报警以及阻断发帖;对使用ICQ、飞信等网络软件进行的内容进行关键字过滤以及报警,防止非法信息传播,同时还对这些内容进行加密保存,必要时可提供给安全部门作为司法证据。
1.7分角色管理天玥网络安全审计产品还具有多角色管理划分的特性,灵活地按用户角色或者分组对用户上网行为进行有效控制,不但支持分级多用户管理和集中式管理,还应支持多权限管理。
不同的管理账号具备不同的管理权限,比如普通的浏览权限和全局的配置权限等。另外,它还具备很强的权限体系,敏感数据必须只有特别的用户才能使用,以防止系统本身造成信息的。
1.8即插即用天玥网络安全审计产品是真正的即插即用设备,能够实现用户端即插即用,不论用户采用的是自动分配IP地址的方式,还是已经设定好了网络适配器的网络IP地址等参数,都无需修改这些参数(如IP、Mask、Gateway、DNS 和DHCP等任何参数)插上网线即可上网。极大的简化了网络的管理,提高了网络的******性。
1.9******完善的URL分类库系统中集成了默认的URL分类库,这些分类库是根据中国的当前情况而进行了合理的采集及分类,符合我国用户的网络使用环境的需求。目前URL分类库已进行******分类的域名达到500余万条,是由启明星辰公司组织专门的团队进行人工分类的,并参照国内专业机构所提供的专业数据,分类结果较为******,所涵盖的URL地址类型也较为全面,基本覆盖了在国内用户中有一定访问量的URL地址。
1.10详细丰富的应用协议库系统内置的应用协议库包括P2P下载、IM即时通信、网络网络传输:文件传输、IM传输、P2P传输;
网页游戏:魔力学堂、热血三国、音视视频:SIP、H323、在线视频;
其他应用:Telnet、FTP、SSL、DOMAIN、SMB、远程桌面、自定义应用、移动应用。
1.11定期更新URL库及应用库为******URL分类库的******性及实时性,系统会定期更新URL分类库;由于系统是基于应用对数据进行分析的,因此在当前诸如QQ等即时软件,钱龙、大智慧等软件以及P2P下载软件等等的应用特征码不断更新的情况下,也会定期更新系统的应用协议库,以******对所有网络应用的******识别。
2 IBJ660HF产品部署天玥网络安全审计产品可以采用多种方式灵活部署,通过分析处理流入和流出的数据包,有效地实现对网络数据的监控。
2.1路由或网桥部署模式路由模式和网桥模式都属于串联式的部署模式,都是通过将设备直接串接在用户网络链路中实现的。
网桥模式:可以实现对内网数据监控、控制和管理功能,主要适用于不希望更改网络结构、路由配置、IP 配置的用户使用。
路由模式:可以实现对所有数据的审计、控制和拦截功能,适用于对网络拓扑的更改不敏感的用户使用。
2.2 旁路部署模式旁路部署模式,是采用与交换机的镜像端口相连,通过抓包的方式,实现对网络数据的审计。它的优点是******性高,安全性好,不增加网络延迟,设备故障时不影响整个网络运行。
5.2 集中管理的部署模式集中管理部署模式主要适合大中型企业、政府、教育城域网等有分支机构的单位。它的特点是在中心和各分支机构都部署天玥网络安全审计产品;中心集中管理平台可以向所有的天玥网络安全审计产品统一下发策略,并监控所有天玥网络安全审计产品设备状态;定时上传分支机构的日志记录。
