imc uba用户行为审计组件介绍

n更多企业学院： 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料iMC UBA用户行为审计组件产品详细介绍产品概述iMC UBA用户行为审计组件通过与多种网络设备共同组网，用来对终端用户的上网行为进行事后审计，追查用户的非法网络行为，满足相关部门对用户网络访问日志进行审计的硬性要求。UBA用户行为审计组件提供NAT1.0日志、FLOW1.0日志、NetStream V5日志、DIG日志的查询审计功能，网络管理员可以根据网络日志对上网用户的网络行为进行审计。产品特点全面的日志采集UBA用户行为审计组件可支持多种网络日志的采集（包括NAT1.0、FLOW1.0、NetStream V5），对于不支持上述日志的设备，可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG格式的日志。分布式部署。UBA用户行为审计组件采用分布式的体系结构，支持多点采集，统一Web界面审计分析，可以同时采集多个设备的日志信息，为网络管理员监控网络提供了灵活有效的支持。强大的日志审计功能UBA用户行为审计组件可根据用户需要，通过接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计，并对审计结果提供灵活的排序、分组、保存等功能。网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果，日志审计包括：通用日志审计：审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、来源/目的端口、使用的协议及应用名。 Web访问审计：审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、端口、用户访问的站点、用户访问的网页等。 文件传输审计：审计内容包括接入用户名、用户传输文件起止时间、来源/目的IP地址、端口、ftp用户名、传输文件名、传输方式（上传/下载）等。邮件审计：审计内容包括接入用户名、邮件发送时间、来源/目的IP地址、发件人、收件人、邮件主题等。地址转换审计：审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、来源/目的端口、使用的协议及应用名、NAT转换后IP地址/端口等。图1-1 日志审计界面l 基于用户的行为审计结合EAD端点准入解决方案，UBA用户行为审计组件可高效地管理网络用户，建立详细的用户访问互联网的日志，提供行之有效的网络管理和用户行为跟踪审计策略，帮助管理员分析用户的上网行为。l 七层应用审计端口不固定的应用，如P2P等应通过报文应用层数据的特征进行识别。基于七层应用的识别和分类，UBA可基于用户全面审计网络中的七层应用使用信息。组件已经将大部分常见的端口不固定的应用设定为组件预定义的应用，如：BT、DC、eDonkey、Gnutella、 Kazaa、MSN、QQ、AIM等。用户可根据需要，定义其它的应用识别。七层应用识别只对DIG日志有效，对其他类型的日志无效。 任务式审计UBA用户行为审计组件提供基于任务的自动跟踪审计功能，可以根据接入用户名、用户访问网页的URL等各种查询审计条件灵活制定审计任务。任务一旦制定，组件将自动跟踪审计当前时间段内满足查询条件的所有用户及日志信息。审计任务 包括：地址转换、Web访问、文件传输、邮件、通用等多种类型。l 日志转储UBA用户行为审计组件支持对海量日志进行转储。用户可以将敏感日志和由于数据库空间限制无法存储的日志定时导出到数据文件中进行异地保存，同时组件提供转储日志查询工具，用户可直接对转储日志进行查询操作。l 审计报表UBA系统提供专业的报表，包括访问站点、会话数、应用分布、未知应用的TopN报表，SMTP、HTTP、FTP的应用分析报表，每种报表都可以按照天、周等周期和图形、列表等形式输出。通过使用这些自带的报表，管理员可以非常清楚的了解当前用户对网络的使用情况。图1-2 用户访问站点TopN日报表组网应用l NetStream/NAT/FLOW日志审计组网方式该组网方式可以为宽带运营商或教育网提供网络日志审计功能，便于对访问非法站点的用户行为进行跟踪。该组网方式非常灵活，可以根据运营商或教育网等不同的运营特点，实现多种方式的日志记录与审计能力。例如，如果在Internet出口需要作NAT转换，并且使用了H3C设备的NAT功能，用户行为审计组件就可以接收NAT日志进行处理。如果在Internet出口不需要做NAT转换，则可以通过FLOW格式或NetStream V5格式的日志记录用户的上网行为。该组网方式下，需要配套设备支持NAT、FLOW或NetStream日志输出。图1-1 NetStream/NAT/FLOW日志审计组网方式l DIG探针组网方式探针式采集器能够与任何支持端口镜像功能的交换机或集线器配合，采集网络中的报文信息，并为用户行为审计提供统计信息。该组网方式最大的优点在于不用依赖于具体设备，从而可以更有效的保护用户的已有投资，主要面向出口容量不大的教育或行业用户。图1-2 DIG日志审计组网方式UBA用户行为审计组件是H3C公司自主开发的网络日志审计产品，用户可以根据实际需求选购相应配置。型号产品描述H3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD)必配。H3C iMC-UBA用户行为审计组件(含1000用户)-纯软件(CD)对用户日志进行审计时必配，完成用户日志采集、处理、分析与审计，提供配置、告警功能H3C iMC-UBA用户行为审计组件1000用户License费用选配，1000用户License费用H3C iMC-UBA用户行为审计组件5000用户License费用选配，5000用户License费用H3C iMC-DIG日志探针组件授权包费用选配，配合探针组网方式使用性参数硬件平台用户行为审计服务器： PC服务器：CPU主频3GHz、CPU个数或CPU核数2、内存6G、硬盘700G、48倍速光驱、10/100/1000Mb自适应以太网卡、声卡探针：PC服务器：CPU主频3GHz、内存2G、硬盘100G、2个10/100/1000Mb自适应以太网卡* 说明：CPU、内存和硬盘配置与流量采集大小直接相关，根据具体网络流量采集大小确定实际硬件配置。操作系统用户行为审计服务器： Windows Server 2003 /Windows Server2008Red Hat Enterprise Linux 5 or 5.5DIG探针服务器：Redhat AS5.0或ES 3.0操作系统浏览器：IE 6及以上版本、Firefox 3.0及以上版本。数据库Windows 平台：SQL Server 2005，SQL Server 2008Linux平台：Oracle 11G硬件配置由网络规模决定，具体配置请咨询H3C当地办事处。业界第一款应用控制与行为监管网关H3C SecPath ACG（Application Control Gateway）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。产品特点最全面的应用识别能力通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用。精细化的流量管理功能采用基于队列（Each Flow Queuing）的流量处理机制，通过通道、子通道、子通道下的子通道等区分服务模式，并结合时间段、用户/用户组、上行/下行、区域等，易于对每个业务“流”队列，设置不同的优先级策略，实现最小带宽、最大带宽、最大会话数、每会话带宽、新建连接数等控制，实现带宽借用、Qos优先级标记等，真正实现端到端的精细化流量管理。丰富的报表提供实时的业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表，并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。完善的安全审计系统可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，对历史数据进行分析，为用户提供细粒度的网络应用审计管理系统。强大的过滤功能通过自定义IP地址、主机名、正则表达式等方式设置URL特征库，支持根据不同的URL策略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。高性能、高可靠性基于新一代多核CPU+FPGA硬件架构，业务与转发相分离，实现了千兆级线速业务处理能力，仅有微秒级时延；通过掉电保护（PFC，无源Bypass）、软件二层回退、双电源冗余等高可靠性设计，保证SecPath ACG在断电、软硬件故障或链路故障、流量过载的情况下，网络链路仍然畅通。及时的特征库更新H3C专业特征库团队密切跟踪应用变化，并对应用协议特征库及时更新；支持对协议特征库的在线自动/手动升级、本地升级，且升级过程无需重启系统，不影响系统业务运行。系统规格项目SecPath ACG2000-M管理接口1个Console口 + 2个GE Combo口业务接口2个GE Combo口（最大2个GE Combo口 + 16个GE电口）扩展槽2接口模块4GE电口/4GE光口/8GE电口尺寸（高宽深）44mm 442mm 460mm额定功率150W电源100240VAC/5060Hz可靠性支持二层回退、双电源冗余、外置掉电保护环保标准通过欧盟严格的环保标准RoHS认证重量7.5 KgP2P应用识别Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）等IM应用识别QQ、ICQ、MSN Messenger、Yahoo Messenger、新浪UC、阿里旺旺（淘宝版）、飞信等炒股应用识别大智慧、同花顺、指南针、证券之星、钱龙、大策略等网络多媒体应用识别PPLive、PPStream、QQLive、沸点网络电视、QQLive、沸点网络、UUSee、千千静听等网络游戏应用识别魔兽世界、QQ游戏、联众、Half-Life、劲舞团、征途、梦幻西游、泡泡堂等其他支持SQL Server/Oracle等数据库和Lotus notes等企业应用识别行为审计支持对P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为进行审计数据库审计支持对Oracle、Sybase、MySQL、SQL Server等数据库的审计URL过滤支持自定义IP地址、主机名、正则表达式设置URL库控制策略支持告警、限流、阻断、干扰、带宽保障等控制策略管理方式支持本地Web图形化管理、SecCenter集中管理在线部署l 适用于大中型企业用户，以透明方式在线部署于网络出口；无需改变网络拓扑l 对P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等各种应用进行监控和管理，保障关键应用和服务的带宽l 对用户上网行为进行分析与审计l 支持MPLS/GRE/L2TP/VLAN/PPPoE等复杂网络环境；支持多台分布式部署的统一管理旁挂部署l 适用于大中型企业用户，以旁挂方式部署于核心设备旁；不影响网络结构，部署简单l 对用户P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等的流量、行为进行分析及审计l 支持MPLS/GRE/L2TP/VLAN/PPPoE等复杂网络环境；支持多台分布式部署的统一管理1) SecPath ACG2000-M主机选购一览表项目数量备注SecPath ACG2000 -M主机1必配HIM接口模块02选配（支持4GE、8GE两种接口卡）H3C SecPath PFC主机设备01选配（需配置PFC接口模块）H3C SecCenter组件-ACG Manager应用控制与审计管理系统-纯软件(CD)01选配H3C SecPath ACG2000-M/H3C SecBlade ACG 应用识别特征库升级服务-1年无限制选配(2) SecPath ACG2000-M主机HIM接口模块选购一览表接口模块描述备注4端口10/100/1000Base-T接口模块02选配4端口1000M以太网光接口模块02选配，须另配SFP模块8端口10/100/1000Base-T接口模块02选配(3) SecPath PFC主机接口模块选购一览表接口模块描述备注H3C SecPath PFC 8电口保护模块01选配H3C SecPath PFC 4光口保护模块04选配H3C SecPath U200-S统一威胁管理产品H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。H3C公司的SecPath U200-S不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性。产品特点市场领先的安全防护功能l 完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。l 丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。l 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。l 实时的垃圾邮件防护：可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。l 先进的URL过滤：实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。l 全面的流量管理：能精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。l 细致的行为审计：可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。l NAT应用：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。电信级设备高可靠性l 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。l 支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。l 36年的平均无故障时间(MTBF)智能图形化的管理l 简单易用的Web UI管理。l 支持基于SNMP和TR-069协议的管理。l 通过H3C UTM管理软件实现统一管理。l 通过H3C SecCenter安全管理中心实现统一管理。组网应用l 多功能集成，实现全网应用层安全防护l 多核、多线程硬件平台，具有强大的处理能力l 双机状态热备技术，高可靠网络设计l 统一Web界面，降低管理复杂度H3C SecPath U200-M统一威胁管理产品H3C SecPath U200-M是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。H3C公司的SecPath U200-M不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性。产品特点市场领先的安全防护功能l 完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、S