网康、深信服的功能对比
本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考
参数列表 网康科技 深信服 基本参数 厂商及产品简介 网康科技公司,总部在北京,国内第一家专业“上网行为管 理”设备深信服科技公司,总部在深圳,以 点是 URL库、应用库庞大,性能稳定,功能 配置灵活,界面友好易上网行为管理功能。 操作等;在日本及中亚市场也占有相 当份额。 产品形态 避免单点故障 软硬件一体产品 1. 支持断电Bypass功能; 2. 支持非断电模式下的智能硬件 保障网络畅通; 3. 设备面板有一键按钮 bypass 4. 开机和关机过程中自动切换 bypass。 系统冗余容错 支持硬盘发生故障时,设备可以切换到备份系统,由备份系 统执行互仅硬盘上存有操作系统 联网行为管控功能; 硬盘发生逻辑损坏时,设备支持自修复功能; 部署方式 (1) 产品可通过透明桥接、网关、旁路三种方式接入网络。 (2) 产品在透明网桥接入模式下,支持双链路、双网桥部署。 (3) 产品在网关模式下,支持 DNAT内网IP/端口映射,便于 外部用户访问内网主机。 (4) 支持通过集中管理平台对分布部署的设备进行统一策略 制定与管 IPsec-VPN起家,后来 生产厂家;网康 ICG是国内“上网行为管理”一线 品牌,其主要特做SSL-VPN防火墙和 UTM其UTM产品功能较多,其中包 含有软硬件一体产品 仅某些型号支持硬件 bypass ; bypass功能,任何故障均 不支持软件bypass和一键bypass功能。 开机和关机过程中无 bypass功能。 支持网关、单/双路串接、镜像旁路等部署方式 理。 (5)支持外置日志中心,可以实现离线日志查询。 代理服务器功能 可作为理服务器部署,实现员工通过代理上网; 支持HTTP代理功能,并可自定义代理端口; 支持HTTPS代理,可自定义安全端口; 支持SOCKS弋理,并提供代理认证功能; 可以设定缓存大小、缓存有效期、不缓存网页列表,并实时 监控请求数、命中率等代理服务状态。 不支持 用户管理功能 用户管理 以树状架构对用户进行管理,实现完全按照企业的组织结构 多级划以树状架构对用户进行管理;不支持用户导入,但可以手 工批量分用户组; 且支持横向逻辑权限组,大大提高管理方便性; 支持IP段自动分组; 支持用户信息外部导入; 支持二层和三层网络环境下的 需安装客户端; 用户识别 可基于IP进行用户的身份识别; 可基于MAC地址进行身份识别; 支持无客户端的 AD域用户识别; 支持POP3邮件账号用户识别; 支持Kerberos单点识别; 支持PPPoE认证账号单点识别; 可识别BASIC NTLM方式的代理服务器的用户; 支持第三方用户信用户认证 息识别。 支持微软AD域的联动认证; 支持LADP服务器的联动认证; 支持Radius服务器的联动认证; 支持微软AD域的联动认证; 支持LADP服务器的联动认证; 可基于IP进行身份识别; 可基于MAC地址进行身份识别; 支持AD域用户识别; 支持POP3邮件账号用户识别; IP/MAC绑定,且实现该功能无 生成用户; 支持IP/MAC跨三层绑定; 支持POP3认证;支持 ESMTF认证; 支持客户端本地认证;支持支持客户端本地认证;支持互联网准入认证; 支持网关设备本地 Web登录认证方式; 可定义免认证IP网段; 互联网准入认证。 支持网关设备本地 Web登录认证方式; 提供与第三方认证系统联动的接口; 可与华三CAM喙统联动实现单点认证。 可为不冋IP网段开启不冋的用户认证方式; 冋一 IP网段可冋时开启多种认证方式。 可控制认证账号是否可在多台计算机设备上同时登陆; 支持认证账号黑名单控制; 支持认证账号有效期控制,到期后账号自动失效; 可定义免认证IP网段,支持用户访问指定的服务器无需认 证; 支持用户自定义认证窗口的提示信息; 用户可修改自身 LDAP认证密码; 用户每日上网时 长限额 可限定每个用户在一天之内累计上网时间额度; 可单独控制用户的可限定每个用户在一天之内累计上网时间额度;但不支持 对单个某项互联网应用每日上网时长限额; 可同时控制用户的多项互联网应应用设置策略; 用每日上网时长限额; 网页过滤功能 URL库规模及准 确率 提供全球最大的中文 URL分类库,规模达1400万条,分类精 准率URL库规模声称1000万,实际不足 400万,且不支持二 级分类,接近100% 支持43个一级分类,以及 8个二级子分类。对 google搜索 引擎任意关键字的前 率咼达95%以上。 URL库时效性 URL过滤能力 URL库每天更新300万条;客户可设置自动升级或手动更新; 且支支持URL库更新 持客户未分类 URL回传再分类; 支持基于预分类的 URL类别进行过滤控制;支持用户自定义 网站类支持基于预分类的 URL类别进行过滤控制;支持用户自定 义网站别过滤; 支持URL类别的二级子类控制; 支持对以IP方式访问网站过滤控制; 分类精准率不足 50%。 100条搜索结果,ICG的网页分类识别 类别过滤; 支持过滤HTTPS加密的网站; 支持基于URL关键字进行过滤控制; 对于违反策略的网页访冋,支持弹出警示页面; 支持基于网站分类过滤 HTTPS加密的网站; 支持基于URL关键字进行过滤控制; 支持基于文件类型进行过滤控支持网站黑、白名单设置; 制; 支持基于网页文件大小进仃过滤控制; 对于违反策略的网页访冋,支持弹出警示页面,警示页面内 容支持自定义; 支持网站黑、白名单设置; 应用封堵功能 协议库组织架构 及三级树状应用协议分类架构,清晰易懂,支持 种协议; 规模 封堵P2P下载 14大类,260 仅支持平面级别的二级分类,支持近 250种协议 能够准确识别并封堵近 30种P2P应用,如:迅雷,BT,电 驴等; 能够识别10余种P2P应用 对于加密的下载协议也能识别控制; 封堵IM即时通信 支持QQ MSN网易泡泡、Skype、飞信、淘宝旺旺、新浪 UC 等多种支持QQ MSN网易泡泡、Skype、飞信、淘宝旺旺、新浪 UC等多种聊天工具; 聊天工具; 对于每一种应用的子协议,如聊天、文件传输、视频,能够 进行控制 支持对近40种流行网络游戏的识别和封堵, 幻西游、联众、浩方等; 支持对近20种主流炒股软件的识别和封堵, 花顺,钱龙等; 支持对近35种流行网络电视的识别和封堵, 豆网,酷6, 6间房等; 封堵网络游戏 如魔兽世界、梦 女口:大智慧,冋 支持30种网络游戏 封堵炒股软件 封堵网络电视 覆盖度不足 女口: PPLive, 土 覆盖度不足 不支持 不支持 基于应用控制用 户支持 每日上网时长 网页非WEB浏览 控制支持 (网页视频、 网页游戏等) 流控功能 带宽通道管理 支持基于带宽通道的流量控制, 可设定多个不冋的带宽通道, 每个带宽通道提供保障速率和突发速率; 支持带宽通道优先级的定义,保障核心业务拥有带宽保障; 支持空闲带宽借用,实现带宽资源统计复用; 支持基于带宽通道的流量控制,可设定多个不冋的带宽通 道;支持带宽通道优先级的定义,但仅有 3个优先级; 带宽策略设置 可设置基于人/部门的带宽管理策略; 可设置基于应用的带宽管理策略,避免非业务应用对主流应 用的影响; 可设置人/部门某一种或多种应用的组合带宽策略; 可设置部门成员的平均带宽策略,避免个体成员独占部门带 宽; 可根据时间段设置带宽管理策略; 可设置基于人/部门的带宽管理策略; 可设置基于应用的带 宽管理策略; 可设置人/部门某一种或多种应用的组合带宽策略; 可设置 部门成员的平均带宽策略,避免个体成员独占部门带宽; 外发内容过滤 邮件过滤 可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件; 可以控制可以控制用户发送邮件; 用户禁止发送主题或正文包含某关键字的邮件,且 对主题和正文关键不支持邮箱账号、收信方邮箱域名,以及附件名称过滤邮 件外发字可分别控制; 可禁止外发附件名称包含某关键字的邮件; 可控制允许外发邮件附件的大小范围; IM即时通讯过滤 文件传输过滤 论坛发帖过滤 可基于聊天账号、传输文件名称和类型过滤 容。 支持HTTP FTP邮件附件、IM、论坛发帖附件、FlashGet 等文件传输仅可基于文件类型控制 HTTP和FTP的文件下载、上传行为; 不内容过滤; 行为;可向管理员发出邮件报警信息。 搜索引擎关键字 过可基于关键字搜索类别过滤搜索引擎的关键字搜索行为。 滤 行为; 可以控制用户禁止发送主题或正文包含某关键字的邮件; IM即时通讯内 不支持 支持IM文件传输内容过滤; 基于时间段、用户群、发帖地址、发帖内容关键字过滤敏感 信息外发支持发帖关键字过滤,但不支持报警 不支持基于搜索类别的关键字搜索过滤 实时监控审计 设备运行监控 提供全面的设备运行状态信息,包括设备负载、设备持续运 可实时监控设备的运行状态, 包括CPU内存、硬盘等信息; 行时间长度、URL库和应用协议库更新状态、最近网络攻击 以及系统报警信息等,使管理员对设备运行监控状况一目了 然; 网页审计 记录访问网页的用户、时间、 URL地址、访问内容的分类、 允许/阻断、匹配的控制策略等信息; 可审计用户访冋 HTTPS加密网站的行为; 可查询被阻断的 web访冋纪录。可根据预设的web过滤策略, 实现对违禁访问网页行为的查询; 可记录网页标题信息;可以记录网页内容信息; 邮件审计 可按用户、用户组和时间段审计用户收发邮件内容,并可 还原原文及附件; 可按用户、用户组和时间段审计用户收发邮件内容,并可还 原原文及邮件审计内结果容包括:发件人、收发人、时间、主题、 正文、附件; 支持仅审计某邮箱地址发出或接收的邮件; 支持仅审计邮件主题中包含某关键字特征的邮件; 支持仅审计包含某类型附件的邮件收发内容; 可以定义免审计的邮箱地址; 邮件审计内结果容包括:发件人、收发人、时间、主题、正 文、附件等信息; 可记录被阻塞邮件外发行为、主题、发信人及收信人信息。 可识别审计非标准端口的 SMTP邮件传输行为和传输内容。 即时通信审计 可基于用户、用户组和时间段审计 IM上线,下线行为; 可以审计MSN2009及其以下版本聊天内容信息; 可审计MSN专输的文件名称与内容,支持文件还原查看; 可审计MSN勺音视频行为。 可以审计QQ2009及其以下版本聊天内容信息。 可以审计 QQ聊天双方的账号、昵称、聊天内容;可以审计 QQ群组聊天内容; 可以审计QQ文件传输行为及文件名称、大小;可以审计 记录访冋网页的用户、时间、 URL地址等信息; 可审计用户访冋 HTTPS加密网站的行为; 可记录网页标题信息; 附件等信息; 可以审计QQ MSN聊天内容信息; QQ 语音及视频行为; 论坛发贴审计 支持网页外发信息审计,可查找外发的附件; 间、论坛地址、正文,附件; 可自动过滤非论坛发帖的 POST记录,增强论坛发帖审计结果 中记录的可读性; 可自定义设置不需审计的发帖网址; 支持对发帖网址和发帖正文审计,记录内容包括:用户、 时间、支持对发帖网址和发帖正文关键字查找,记录内容包括:用 户、时论坛地址、正文,附件; 网络应用审计 可审计每种网络应用的用户、时间、流量等信息; 可记录基于IP、端口、协议五元组的网络会话连接的详细 信息; 可审计每种网络应用的用户、时间、流量等信息; 可针对每个网络应用进行任意日期范围、任意时段、任意用 户的查询; 可查询被策略阻塞的应用记录,包含匹配的策略名称; 可根据上网行为管理设备设置的管理策略,实现对违规行为 的查询; 可记录基于IP、端口、协议五元组的网络会话连接的详细信 息; 流量审计 可监控当前网络流量以及过去 可实时查看基于实时流量的 24小时网络流量; TOP N用户排名,并可针对具体 可监控当前网络流量以及过去 可实时查看基于实时流量的 24小时网络流量; TOP N用户排名; 用户进行管理查询,获得该用户在使用哪些应用; 可实时监控基于流量的 TOP N网络应用排名,并可针对具体 应用进行关联查询,获得哪些用户在使用这些应用; 搜索引擎关键字 能够审计用户通过搜索引擎输入的所有关键字,也可以只审 计指定能够审计用户通过搜索引擎输入的所有关键字; 的敏感关键字; 提供专门的检索工具,对用户的搜索历史进行查询; 按照搜索类别/用户进行统计; 文件传输审计 可以记录用户通过 HTTP FTP协议上传或下载文件的内容; 可以记录指疋下载源地、指疋类型、指疋大小的文件内容; 能够记录FTP帐号、服务器名称、文件名称、文件路径,能 够完整还原传输的文件; 不支持 可记录用户通过 MSN QQ专输的文件名,可欢迎 MSN专输的 原文; Telnet 审计 支持对用户通过 teln et 方式访问网络设备时执行的命令进 行监控,只支持单向审计 元整记录tel net的时间、IP、端口、命令和结果等 信息。 日志统计分析 日志导出备份 支持日志定期导出备份到存储服务器中; 支持日志通过 USB手工导出,日志内容可导入 浏览; 可通过FTP导出日志; 历史日志查询 提供丰富的查询条件,查询用户的上网行为细节数据。支持 按用户、部门、IP、策略名称、时间、应用进行查询,支持 组合条件查询方式;支持自定义查询条件模板,按模板进行 查询; 能够根据URL类别、网址关键字、控制方式、过滤策略进行 Web访问查询; 能够按照发件人、收件人、正文关键字、附件类型与大小对 邮件进行查询; 能够根据关键字对论坛发帖内容进行查询; 能够根据帐号、时间、用户对 IM聊天内容进行查询; 支持用户上网历史综合查询,可以将一个人,一个部门的网 页,应用,邮件,即时通讯,网站发帖的监控纪录在一个页 面中显示,便于全面的了解一个人员的行为情况; 支持查询用户上线历史信息,支持认证用户上线、下线历史 记录查询功能。可以基于时间和用户等多种关键字对通过认 证的用户,进行上线、下线历史信息的查询; 可基于时间段、用户、应用协议等多种条件进行筛选查询; 日志统计分析 支持日志定期导出备份到存储服务器中; Excel文件中 支持按用户、部门、IP、时间、应用进行查询,支持组合 条件查询方式; 支持用户上网历史综合查询; 可基于时间段、用户、应用协议等多种条件进行筛选查询; 可对某一时间段内各类应用所占用网络带宽的大小信息和时 长进行统计; 可对某一时间段内各类应用所占用网络带宽的大小信息和 时长进行统计; 可对用户组或用户的上网时长进行排名统计; 可对多个用户组组内用可自定义统计报告的top排名数量; 户的各类排名进行统计; 可自定义统计报告的top排名数量; 可定可定义柱状排名报告每图显示的排名数量; 义柱状排名报告每图显示的排名数量; 支持统计功能,支持按用户、支持统计功能,支持按用户、部门、 部门、 IP、时间、应用(网页、 提供TOP 件进行流量统计与行为统计,提供 邮件、IM、发帖)等条件进行流量统计与行为统计, IP、时间、应用等条 TOP N统计方式; TOP N统计方 支持按IP、协议等条件进行流量统计,提供 N统计方式,支持组合条件统计方式;统计数据支持下钻式 (drill-down )深入分析功能,例如:统计一周内应用流量 最大的用户排名后,可以点击数值详细查看具体的应用和各 应用的流量。便于从现象挖掘本质原因; 支持按IP、协议等条件进行流量统计, 提供TOPN统计方式, 统计结果按照柱图、饼图、线图、表格显示,并支持导出为 EXECL PDF等文件格式; 支持基于部门的横向排名统计报告,也支持跨部门的基于用 户的全局排名报告; 支持预置报告模版,用户可根据任意时间段、任意用户、任 意应用预定报表; 支持报告订阅,自动发送到指定邮箱; 支持对任意时间范围内的历史日志进行查询、统计; 式,统计结果按照柱图、饼图、线图、表格显示; 支持预置报告模版; 支持对任意时间范围内的历史日志进行查询、统计; 设备管理维护 管理方式 Web管理,但需要下载 ActiveX控件,而且依赖于IE 浏览器;设备提供基于 HTTPS协议的图形化管理界面,用户可以使用 各种浏米用 不支持本地串口管理;支持 Linux命令行,但不 览器进行设备的访问控制; 设备管理界面的访问不安装任何插件。 支持命令行方式对设备进行管理;支持本地串行接口管理, 用户可以使用超级终端连接设备进行基本配置; 支持远程协助管理; 策略设置 对用户开放; 可根据不冋用户设定策略,对冋一组内的不冋用户设置不冋 策略; 可根据不冋用户设定策略,对冋一组内的不冋用户设置不 同策略; 支持对某些用户免监控; 并支持一天内 2个时间段的划分; 可针对不同网络应用设定不同的策略; 支持策略优先级设置; 支持IP黑名单,动态或者静态的将某个 阻塞; 支持网页重疋向设置,使员工在一天内第一次上网时先访冋 指定的公告站点; 管理员密码修改 支持 IP地址放入黑名单 支持对某些用户免监控; 可按照不冋时间段设定策略,时间定义可基于星期、天、小 时、分钟,可针对不同网络应用设定不同的策略; 支持策略优先级设置; 支持IP黑名单,动态或者静态的将某个 单阻塞; IP地址放入黑名 不支持 不支持 超级管理员定义 的支持 策略普通管理 员无权更改 支持 配置改变无需重 启 策略批量生效— 支持 实时在线帮助: 本升级 支持日志中心 支持 保留用户日志的 版支持 不支持 不支持 不支持 不支持 支持日志中心,实现审计日志的海量存储与离线查询, 保障日志支持日志中心; 支持用户日志的全文检索; 数据的完整性与安全性; 支持用户日志的全文检索, 可通过关键字检索指定日期范围、 指定应用类型的用户日志记录 支持集中管理 支持对多台上网行为管理设备的统一集中管理; 集中控管功能的开启,无需在上网行为管控设备端做任何设 置; 要求集中管理端下发的策略,上网行为管理设备端不可更改; 可监控每台设备状态并对异常报警。 支持对多台上网行为管理设备的统一集中管理; 统一制定策略,下发至每台设备,实现全网行为控制与审计; 可查看每台设备的用户的上网日志; 汇总比较每台设备的流量信息; 安全与稳定性 异常流量防护 当由于病毒、蠕虫等原因,内网发生异常网络流量时,设备 可告警,支持对内网异常流量如 DDOS攻击的自动识别;支持对异常 流量并可以根据告警日志发现导致异常流量的人员和网 络行为。 可纪录异常流量的报文组成, 以及异常行为的报文发送频率, 确保管理人员能够快速的定位异常人员, 以及他的行为操作。 对于异常行为流量可以进行全部阻断,或者阻断超出标准值 的流量。 可以针对不冋的内网主机分别设置流量防护安全阀值。 攻击的防护; ARP攻击防护 支持ARP防护功能,能够在防护日志中查找到攻击源头的 地址 MAC :可防ARP欺骗;
