序号 | 模块 | 功能 | 参数 |
1 | 基本要求 基本要求 | 部署模式 | 系统部署简单,支持旁路或串联部署,支持命令行与B/S模式管理,提供系统首页图形化展示功能,可展示设备面板状态、CPU状态、内存状态、硬盘状态、在线用户、报警统计等信息;部署模式切换无需重启,不影响设备正常使用。 |
兼容性 | 支持国产信创服务器和PC电脑 |
售后保证 | 整套硬件系统五年维保和病毒库、特征码的升级服务。 |
设备可靠性 | 设备提供硬件BYPASS功能,支持双操作系统冷备、双机热备,在单机模式下,提供独立系统逃生工具。 |
设备准入 | 支持准入设备黑/白名单管理,可根据所应用的不同准入模式,设置黑/白名单终端IP、MAC、协议、端口、VLAN号等信息,以便针对该名单中设备进行入网控制。 |
入网终端健康检查 | 支持入网终端健康检查,对检查项可进行权重、修复向导自定义设置。 检查项包括:(略) |
外联检测 | 支持终端非法外联监控,可判断通过http、telnet、ping等方式检测主机违规外联行为,给予违规处理方式(不处理、重启、断网、提示),并信息提示。 支持Windows PC端的外联行为进行检测,包括拨号行为,使用双网卡,无线网卡,连接非法WIFI,4G网卡,使用非法网关,连接外网,使用代理,以及自定义非法外联,等行为进行检测,对违规的用户可禁止上网。 |
资产管理 | 支持资产管理功能,可管理不同类型入网资产; 支持提供交换机网络设备管理功能,可查看交换机设备接口状态、主机连接等详细信息。 支持对入网资产可发现、可审批入网。 支持将识别的资产自动或者手动添加只至资产管理页面,可以对资产进行新增、删除、移动、批量导入、导出、加入组织结果、清空、查询等操作。 |
2 | 硬件性能 | 性能指标 | 采用专用硬件架构与专用安全操作系统(非Windows平台),设备≥2U高度,≥4个千兆电口,≥2个千兆或万兆光口;内存大小:(略) 性能参数:(略) |
3 | 网络适应性 | 分时分区上网 | 支持用户拥有多个网络区域访问权限时,可以实现用户在任意时刻只能访问一个网络,切换网络需要用户点击切换按钮,无需管理员干预,在不影响多网络使用的同时,实现网络逻辑隔离,加强网络访问安全。 支持自定义8个网络区域(7个自定义区域+互联网区域)。 支持根据域名划分网络区域。 |
双机模式 | 支持两台及设备同时做主机的部署模式; 桥模式下必须支持接口联动,配置同步; |
网络功能 | 支持基于应用层服务和SAAS的策略路由,可基于IP、国家列表、ISP自动地址表和域名来控制目的地址; 支持ISP自动地址表(电信、移动、网通、铁通等)的策略路由的选路方式; 支持基于轮询的多链路负载均衡算法; 支持DHCP Replay/Server;支持静态路由、gre、vlan透传、单臂路由。 支持基于链路的上行、下行、总流量自动均衡的多链路负载均衡算法,支持基于固定指派链路的自动均衡算法,支持基于最佳路径的多链路负载均衡算法; |
代理功能 | 支持http代理、https透明代理、全透明代理、二级代理、DNS代理、dns缓存 |
4 | 设备管理 | 设备登录 | 必须支持ssl加密方式登录设备,支持ssh管理。 |
网关策略 | 支持基于ip的网管策略,防止恶意ip探测攻击设备,增加网关的安全性。 |
管理认证 | 支持通过Radius、AD、LDAP等认证后才能登录设备。 |
排障工具 | 支持提供图形化排障及抓包工具,操作界面友好、具有可管理性,管理员可进行准入系统的维护、升级、诊断分析等操作; 支持图形化方式展示各类型数据所占磁盘状态,并提供备份、恢复、清理功能,便于管理员排查策略错误等故障。 支持一键下载设备健康信息,当设备发生故障时如丢包、宕机、异常重启等问题时可以通过设备健康信息获取有效数据,能够快速定位问题。 |
集中管理 | 行为管理支持分布式部署,通过部署集中管理平台,加入集中管理设备之后,可以实现策略下发、设备状态监控、设备日志、用户日志上传。 |
终端信息认证 | 支持终端信息绑定认证,能够直接显示已认证且在组织结构中、已认证但不在组织结构中、以及未通过的认证的用户状态。 支持以用户名、所属组、终端IP、终端MAC、用户名、用户类型、绑定检查、时间、交换机IP、交换机端口、终端硬件ID等多要素信息等参数查询用户。 |
5 | 安全防护 | 安全策略 | 支持基于策略方向、源地址、目的地址、服务、生效时间的安全策略。 |
Nat规则 | 支持内网代理、一对一地址转换、端口映射、服务器池、Nat(略)、Nat(略)。 |
移动终端接入类型管控 | 支持接入的移动终端区分出IOS终端、安卓终端,并可以根据所区分出的终端类型设置告警和拒绝动作。 |
防ARP欺骗 | 支持ARP欺骗防护,支持arp保护对象以及arp广播间隔设置。 |
DOS/DDOS防护 | 支持DOS/DDOS防护功能,支持ARP洪水攻击防护,基于数据包攻击、异常报文侦测和扫描防护等功能。 |
6 | IPV6 | Ipv6网络配置 | 支持IPv4和IPv6在一个系统版本内,同时支持V4和V6网络; 支持接口配置ipv6地址、支持ipv6地址簿、支持ipv6策略路由、NAT(略)、NAT(略)、DNS(略)等相关配置 |
Ipv6审计 | 支持ipv6流量审计 |
Ipv6控制 | 支持ipv6环境下认证、流量控制、行为控制和防火墙策略 |
7 | 无线环境管理 | AP MAC地址获取 | 支持AP MAC地址获取,支持读取用户真实MAC |
8 | 用户管理 | 自动创建用户和绑定 | 对于未创建的用户,可根据其IP 地址、MAC地址、主机名或者VLAN ID等作为新用户名自动创建帐户,并可同时绑定 IP、绑定 MAC、绑定 IP+MAC、绑定VLAN,并自动分配到指定用户组,享有指定网络权限。 对于创建好的用户也支持绑定 IP、绑定 MAC、绑定 IP+MAC、VLAN绑定。 支持用户认证时强制绑定手机/邮箱。 |
离线用户到期自动删除 | 支持自动删除离线时间超过指定时间的用户,可根据分钟、小时、天来设置指定时间的单位与范围。 |
用户密码策略 | 支持认证用户首次登陆修改密码,支持自定义密码复杂度(包括长度、英文字母、数字、特殊字符的多种组合方式),另外支持密码有效期。 |
9 | 用户管理 | NetbIOS 协议扫描 | 可通过 NetbIOS 协议扫描内网的主机信息,扫描结果将列出每个主机的 IP 地址、MAC地址和主机名等,然后可以将其加入某个用户组中,逐步完善组织结构的管理。 |
跨三层mac识别 | 支持通过snmp服务读取下层三层设备的arp表象获取客户真实的mac地址。 |
基于MAC免认证 | 支持基于识别mac地址来实现免认证,可全局或者局部用户配置免认证。 支持指定免认证有效期,或者在有限期内登录更新有效期两种模式。 |
单点登录 | 支持AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点、web认证、深信服或天融信CSP和ESP平台等系统进行认证单点登录,简化用户操作; |
第三方服务器认证 | 支持Ad域、LDAP、Radius、POP3、Proxy等第三方认证服务器; |
Dkey双因子认证 | 支持Dkey工具实现双因子认证,可实现免认证(只插Dkey,不需认证),和特权用户(不审计、不管控)。 |
(略) | 行为管控 | 告警 | 设备内存、cpu、会话、接口速率支持告警设置; 支持时间告警,支持黑名单告警; 支持违规网站、违规搜索、违规帖子、违规上传、违规邮件、还有潜在威胁的告警行为; 告警策略要支持syslog、短信、邮件、日志记录,以及任意的方式组合。 |
白名单 | 支持url白名单,添加到白名单的url不受策略控制和审计。 支持ip、用户/用户组白名单,添加到白名单的ip不受策略控制和审计。 白名单策略可实现基于时间段的控制。 支持设置完全放通(不审计,不控制),或者审计但是不统计和控制流量。 |
加密网站识别和控制 | 支持https网站识别,支持加密网站搜索,支持ssl论坛加密发帖内容识别,支持基于关键字的控制。 支持授权证书的推送和下载后双击可自动执行安装; 支持基于授权签名的方式实现https审计免除告警的行为。 |
(略) | 流量管理 | 基于连接数限制 | 支持每个用户的源,服务等,进行最大上下行会话数控制,避免网络滥用 |
智能带宽 | 可根据预设总带宽,实时智能识别策略匹配上线用户,并依照预设总带宽将流量对匹配用户进行智能平均分配。 |
(略) | 安全准入 | 计划任务规则 | 可以针对Windows PC端,设置任务计划,在指定的时间执行指定的任务。 |
杀软规则 | 支持对Windows PC端的杀毒软件的安装情况,以及版本进行检测,并设定规则,对于违规操作的用户可选择禁止上网,或者仅记录。 |
外联控制 | 支持控制Windows PC端访问指定的IP地址范围,或者不允许访问指定IP地址范围 |
外设管理 | 支持设置移动存储,网络设备,蓝牙设备,摄像头,打印机,等外设设备的允许或者阻止,并可以设置外设白名单。 |
广告弹窗拦截 | 支持阻拦终端用户的广告弹窗,至少支持WinRAR、快压、(略)安全卫士、(略)画报、金山毒霸、热点资讯、今日热点等广告弹窗。 |
可与同公司的终端检测防御系统实现联动 | 支持与同公司的终端检测防御系统联动,实现安装了终端检测防御系统的终端才能入网,没有安装的不允许入网。 |
进程准入 | 支持检测Windows PC是否运行,或者没有运行配置要求的进程,如符合准入要求,可放行终端入网,否则禁止。 |
(略) | 上网日志分析 | 独立报表中心 | 为了日志安全性,设备必须支持独立硬盘存放审计日志,不能与审计系统共用硬盘。 |
内置报表中心 | 设备必须支持内置报表中心,默认自带数据库无需再安装数据库。 |
日志备份 | 支持通过集中管理平台或者ftp方式备份日志。 |
Telnet | 支持记录用户telnet访问行为,记录访问的人员、命令信息。 |
数据库审计 | 支持记录数据库的执行SQL语句等信息 |
阻断记录 | 支持防火墙模块阻断、流量模块阻断、行为管控模块阻断记录 |
会话日志 | 支持所有访问的会话日志记录,包括:(略) |
个人统计分析 | 基于个人的所有行为监控报表,包括:(略) |
接入日志记录 | 支持记录用户认证日志,包括用户名、IP/MAC、时间等信息; 支持详细的黑名单、防共享和终端发现日志,查看匹配策略记录和终端等信息; 支持记录合规准入的详细信息,包括用户名、IP/MAC、时间、策略名称、规则类型、违规类型和详情等信息。 |
(略) | 用户行为分析 | 失陷主机监测 | 支持检测网络中的失陷主机,并依据风险程度,区分出高风险主机和潜在风险主机。 |
上网态势分析 | 从内网整体网络的宏观角度展现网络使用概况、上网目的地分布、热门应用流量分布、网站类型分析、终端类型分析、在线人群趋势、高风险任人群排名、违规行为统计等多维度全方位展现网络的使用综合态势,给网络管理提供依据 |
(略) | 日志外发 | Syslog | 系统能够支持多个Syslog等第三方日志服务器系统。 |
