任天行网络安全管理系统SURF-RAG产品概述20130527.doc

任天行网络安全管理系统任天行网络安全管理系统 SURF RAG SURF RAG 产品概述产品概述 文档编号文档编号1 0 密级密级公开 版本编号版本编号V1 0 日期日期2012 06 09 2012 任子行网络技术股份有限公司任子行网络技术股份有限公司 版权声明版权声明 本文中出现的任何文字叙述 文档格式 插图 照片 方法 过程等内容 除另有特别注明 版权均属任任 子行网络技术股份有限公司子行网络技术股份有限公司所有 受到有关产权及版权法保护 任何个人 机构未经任子行网络技术股份任子行网络技术股份 有限公司有限公司的书面授权许可 不得以任何方式复制或引用本文的任何片断 适用性声明适用性声明 本文档用于描述任天行网络安全管理系统 SURF RAG 系列的产品概述 本模板用于撰写任子行内外各种 正式文件 包括技术手册 标书 白皮书 会议通知 公司制度等文档使用 目录目录 一 产品介绍 1 二 核心价值 2 三 产品功能介绍 2 四 产品部署 10 4 1 旁路模式 10 4 2 网桥模式 10 4 3 路由模式 11 0 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 一一 产品介绍产品介绍 随着信息化程度的提高 多线程的下载 在线视频 在线游戏 P2P 应用 蠕虫病毒 以及 DoS DDoS 攻击等多种新型的流量在网络中大量出现 在不作控制的情况下 这些非关 键业务严重影响网络中正常业务的运行 导致网络资源的极大消耗 并由此引发了安全性威 胁 工作效率低 甚至法律纠纷等一系列问题 因此对网络流量的有效管理 是决定业务正 常开展的关键因素 任天行网络安全管理系统SURF RAG系列产品为您提供最具竞争力的解 决方案 任天行网络安全管理系统SURF RAG系列设备是应用层网络增值设备 提供专业的流量 分析控制 先进的上网行为管理和高效的防火墙功能 该系列产品广泛适用于政府 金融 保险 酒店 中小型企业 教育等行业的网络环境 任天行网络安全管理系统SURF RAG系列设备对网络流量提供三步循环的解决方案 可视 可控 可追溯 可视 指深层分析网络中运行的各种应用协议 网络行为 从而完 整的了解网络带宽的使用状况 可控 指根据对网络情况的了解 结合用户的实际需求 提供最有效的控制策略 让网络资源得到最合理的利用 可追溯 指对全网的使用情况进 行了详细的记录 并提供内容检索 模糊查询 自动报表等功能 方便管理者跟踪 追溯网 络的使用情况 帮助管理者定位网络问题 任天行网络安全管理系统SURF RAG系列设备支持网桥 路由模式的部署方式 同时支 持静态路由 策略路由 支持单网桥 多网桥 单出口 多出口 可满足不同用户的网络需 求 产品主要特点产品主要特点 智能的协议识别 专业的流量管理功能 先进的上网行为管理 高效的防火墙功能 丰富的用户认证方式 智能的酒店即插即用功能 多种算法的链路负载均衡 高可靠性 HA 1 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 完整的统计及报表功能 集中管理平台 二二 核心价值核心价值 上网有序规范化上网有序规范化 实现对上网的用户和终端机器的整体管理 保障上网从无序混乱到 有序规范 保障核心业务保障核心业务 通过对上网行为的管理和带宽控制 保障客户核心业务的顺利开展 避免法律纠纷避免法律纠纷 对上网行为进行管控 避免一些不良信息的传播 规避一定层次的法 律纠纷 网络信息安全网络信息安全 避免泄密信息外泄 提升网安程度提升网安程度 优化客户的网络使用环境 提升网络的安全等级 三三 产品功能介绍产品功能介绍 具体指标具体指标功能描述功能描述 1 部署模式 网桥模式 支持以网桥模式部署 包括单桥和多桥的部署模式 支持 Bypass 功 能 路由模式 支持路由模式部署 可以作为出口网关 包括单出口和多出口的部署 模式 并支持防火墙和 NAT 功能 旁路模式支持旁路模式部署 2 网管方式与网管策略 WEB 管理 支持以 HTTP 及 SSL 加密的 WEB 图形化接口进行设备配置和管理 支 持英语 简体中文 繁体中文接口 SSH 管理支持 SSH 命令行管理方式 Console 管理支持 Console 管理 1 管理权限分立 系统默认有超级管理员 审计管理员 只读管 理员 可根据需要灵活定制管理员角色 2 支持密码强度 口令尝试死锁 账户激活等安全管理功能 网管策略 3 通过网管策略 可允许部分 IP 能网管设备 以限制非法管理员 访问设备 3 网络功能 2 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 静态路由支持静态路由功能 策略路由支持策略路由功能 链路负载均衡支持链路的负载均衡 持续路由支持链路持续路由算法 链路备份支持主备链路的备份功能 PPPOE 拨号支持 PPPOE 拨号功能 支持多条 PPPOE 拨号做负载均衡 DHCP 服务器支持 DHCP 服务器功能 DHCP 中继支持 DHCP 中继功能 DNS 代理支持 DNS 代理功能 DNS 缓存设备作为 DNS 透明代理 缓存 DNS 记录 动态 DNS 功能支持动态 DNS 功能 花生壳 VLAN支持 VLAN 功能 4 安全防护 防火墙 支持基于状态监测的防火墙 不仅保障网关设备安全 还能保护组织 内网安全 NAT 转换 支持多对一的 PAT 转换 一对一的地址转换 端口映像等多种 NAT 转换策略 5 VPN 功能 GRE 隧道支持 GRE 隧道功能 PPTP VPN支持 PPTP VPN IPSec VPN支持标准的 IPSec VPN 功能 6 应用协议识别 常用协议如 FTP SMTP TFTP IMAP 等常用协议 1 可自定义基于协议和端口的协议 自定义协议2 可根据协议 端口 报文长度 报文特征 目的 IP 等等信息自 定义协议规则 HTTP 下载 WEB 下载 HTTP 多线程下载 伪 IE 下载等多种方式的 HTTP 下载行 为 WEB 视频 六间房 土豆 新浪视频 优酷视频 我乐网 酷六视频 搜狐视频 等 P2P 下载 电驴 迅雷 PP 点点通 酷狗 BT 网际快车 QQ 旋风 百度下吧 酷我八音盒等 流媒体 PPLive PPStream 蚂蚁电视 Qvod 风行网络电视 QQLive UUsee 网络电视 皮皮影视 PPFilm SopCast 等 网络游戏 QQ 游戏 浩方对战平台 新浪游戏大厅 梦幻西游 问道 武林外 传 泡泡堂 天龙八部 大话西游 征途 魔兽世界等 即时通讯 QQ TMQ MSN 网易泡泡 淘宝旺旺 雅虎通 阿里旺旺 百度 HI 新浪 UC 等 股票交易同花顺 大智慧 安信行情 齐鲁证券 大福星 通达信等 网上银行农业银行 建设银行 工商银行 招商银行等 网络电话Skype ET263 等 3 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 7 流量控制 流量优先级 可将应用流量划分为 高 中 低等共三个优先级 优先级越高的流 量 优先传送 父子通道支持流量父子通道技术 支持三级父子通道 最大带宽为某些用户或特定应用指定最大带宽 保障带宽 结合最大带宽和流量优先级 可为某些关键应用或者 VIP 客户保障一 定带宽 预留带宽 为某种特定应用或某些重点客户预留一定带宽 以保证在任何时间段 任何的网络使用环境中 某种流量都能得到预留的带宽 预留带宽不 能被其他流量使用 基于线路的流控可以根据线路进行流量管理 基于应用的流控 结合应用协议识别功能 可以根据用户的应用协议类别进行流量管理 基于 URL 的流控可以根据设定的 URL 进行流量管理 基于 IP 的流控根据源 IP 地址 地址组进行流量管理 基于用户组的流控可以为不同用户组采取不同的流量管理措施 基于时间段的流控可以根据不同的时间段 进行差异化的流量管理 可根据主机的 IP 地址或者用户名称 对单个主机进行如下控制 最大上行 下行带宽限制 最大会话控制 分类服务的带宽控制 即限制单主机的总带宽的同时 再对某些 服务进行控制 如限制单个主机的上行 下行带宽分别为 500K 1M 的 同时 再限制 P2P 的带宽为 100K 200K 网络电视为 100K 100K 等 基于单个用户的流控 以上参数均可分时段管理 8 流量实时监控 TOP 50 服务流量监控查看前五十名服务流量的实时监控 服务组流量监控将各服务分类统计 实时查看服务组流量监控图 活跃服务统计查看当前活跃服务的最新速率 最近一小时流量 最近一小时平均速 率 每个服务对应有哪些用户在使用 及每个用户的使用情况 所有服务统计查看当前活跃服务的最新速率 最近一小时流量 最近一小时平均速 率 每个服务对应有哪些用户在使用 及每个用户的使用情况 TOP 50 用户流量监 控 查看前五十名用户的传输速率 新建会话速率 活跃会话数 在线用户统计实时查看当前在用户的详细信息 在线流量 最新速率 会话数 上 线时间等信息 物理端口查看物理端口接收报文的情况 以及每个端口传输流量的趋势图 动态更新实时监控图支持动态显示网络流量监控图 9 用户管理 组织结构可建立与企业组织结构相同的网络组织结构 将用户划分到对应用户 组中 每个用户或用户组都可以有自己的上网策略及权限 4 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 临时账户管理支持临时用户自主申请临时账户 主要提供给外来的临时用户使用 支持自动审核和管理员手动审核的核定方法将临时账户加入到组织结 构中 减少管理员对临时账户的频繁配置 统一临时账户的上网权限 和使用期限的管理 本地认证将用户信息存储于设备内 认证时无须第三方服务器 AD 域认证支持 AD 域认证 便于与组织内部原有域认证融合 RADIUS 认证支持与第三方 RADIUS 服务器联动认证 LDAP 认证支持 LDAP 认证 便于与组织内部原有 LDAP 认证融合 POP3 认证支持与现存的 POP3 服务器中的账户信息进行联动认证 简化配置 方便部署 WEB 认证结合本地数据库 POP3 AD LDAP 或 RADIUS 服务器等认证方式 为接入用户提供 Web 认证功能 用户同步可将 LDAP AD 等外部服务器的用户信息同步到设备中 无须在手动 添加用户信息 用户导入可将已导出的用户信息的文件 或根据规定的用户格式编辑文件 批 量导入用户信息 自动创建账户对于未创建的账户 可根据其 IP 地址 MAC 地址 主机名或者 VLAN ID 等作为新用户名自动创建账户 并可同时绑定 IP 绑定 MAC 绑 定 IP MAC 绑定 VLAN 并自动分配到指定用户组 享有指定网络权 限 IP MAC 绑定支持绑定 IP 绑定 MAC 绑定 IP MAC VLAN 绑定支持 VLAN 绑定 免认证功能可设定特殊 IP 不需要认证即可访问网络 认证通过后显示指定 页面 可将认证通过的用户强制导向到企业入口网页 如组织的公告页面等 自定义认证页面支持自定义的用户认证登录页面 认证冲突处理 支持账户重复登入 当超出最大登入允许数后 支持是否踢掉前一次 登入 内网主机扫描 可通过 NetBIOS 协议扫描内网的主机信息 扫描结果将列出每个主 机的 IP 地址 MAC 地址和主机名等 然后可以将其加入某个用户组 中 逐步完善组织结构的管理 10 上网行为管理 10 1 即时通讯过滤 即时通讯行为过滤 对即时通讯协议进行阻断 及对文字聊天 语音聊天及文件传输进行 过滤 基于时间段的即时通 讯过滤 可以根据不同的时间段 进行差异化的即时通讯过滤 10 2 网页过滤 海量 URL 库预分类的海量 URL 地址库 支持手工添加新的 URL 地址和分类 URL 过滤支持 URL 过滤 5 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 非标准端口 URL 管 理 可以识别和管理部分论坛 网络聊天室等采用的非 TCP 80 端口的 URL 地址 引擎搜索关键词过滤 对搜索引擎中输入的关键词进行过滤 自动对搜索到的网址页面进行 屏蔽 帮组企事业单位将涉及低俗的 非法的 带有病毒的网站彻底 封堵掉 HTTPS 网页识别 对于互联网上日益泛滥的加密网页进行识别和过滤 防止用户访问钓 鱼网站 SSL 加密的色情 反动网站等 关键字过滤 过滤包含特定关键字的网络帖子和网页评论 可加强论坛管理 禁止 发布不良信息发布 HTTP 文件传输过滤 可识别 HTTP 网页的文件上传和文件下载 并对文件的上传和下载进 行过滤 FTP 文件传输过滤 可识别 FTP 网页的文件上传和文件下载 并对文件的上传和下载进行 过滤 非标准端口 FTP 过 滤 支持对非标准端口的 FTP 行为的识别 可过滤通过非标准端口的 FTP 进行文件的上传和下载 10 3 邮件过滤 基于发件人过滤邮件根据发件人的地址进行邮件发送的过滤 基于关键字过滤邮件根据邮件的标题或正文关键字进行邮件发送的过滤 基于附件类型过滤邮 件 根据邮件附件的类型进行邮件发送的过滤 基于附件大小过滤邮 件 根据邮件附件的大小进行邮件发送的过滤 WebMail 邮件过滤除了对 SMTP 发送过滤 同时也支持对 WeMail 邮件的发送过滤 10 4 策略管理 复用策略对象 用户上网权限以策略对象呈现 策略对象可复用 在用户或者用户组 里引用即可 策略继承子组可继承父组的策略对象 策略强制继承父组可强制子组继承其策略对象 10 5 黑名单管理 流量配额 可根据每日 每周 每月的流量配额来控制用户 当用户的流量超过 预设配额时 将用户进入黑名单 速率控制 当用户连续一段时间 如 5 分钟 内的上行或下行流量持续超过预设阀 值 将用户进入黑名单 并发会话数控制 当用户连续一段时间 如 5 分钟 内的上行或下行并发会话数持续超过 预设阀值 将用户进入黑名单 基于时间段控制 在某些时间段 如下班时间 凌晨 不对用户的速率和会话数进行 限制 用户产生的流量也不记入黑名单的流量配额内 多种惩罚方式 当用户进入黑名单后 可以将用户强制下线 也可以修改用户的上行 速率 下行速率 上行会话 下行会话等 加倍惩罚 在一周内 一月内 一季度内 连续进入黑名的次数超过预设次数 惩罚时间可以加长为原来的几倍 6 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 10 6 白名单管理 白名单管理 符合白名单策略规则的数据流 将不受 防火墙规则 流控规则 认 证策略规则 上网策略对象规则 黑名单规则 的控制 上网的流量 和行为将不被记录 基于内网用户的白名 单 可对内网用户 IP 地址 地址范围 地址簿 用户组 进行白名单的 控制 基于外网 IP 地址白 名单 可对内网用户访问特定的互联网 IP 地址 IP 地址 地址范围 地址簿 进行白名单的控制 基于 URL 的白名单可对内网用户访问特定的 URL 地址进行白名单的控制 基于即时通讯账号的 白名单 对内网用户使用即时通讯 MSN QQ Yahoo ICQ Fetion Gtalk 账 号进行白名单控制 基于时间段的控制可根据时间段进行白名单的控制 11 酒店管理 即插即用功能 由于酒店客人的电脑的 IP 地址配置各不相同 经常需要酒店网管人 员为其进行一番配置后才能正常上网 不管客人电脑的 IP 如何配置 开启酒店即插即用功能后 只要插上网线 客人即可上网 DNS 代理功能 若因客人的电脑配置了无效的 DNS 或外地 DNS 从而导致不能上网 或网速很慢 开启 DNS 代理功能 不论客人的 DNS 如何配置 都可 以正常上网 12 自身安全防护 高可靠性 HA 支持一主一备模式的 HA 功能 防 DOS 攻击防止设备自身遭受 DOS 攻击 ARP 欺骗定期发送 ARP 广播 防止设备 ARP 被篡改 会话加速老化对某些会话进行快速老化 防止会话表被写满 13 报表中心 内置报表中心 设备内置报表中心系统 实现上网行为记录与日志的存储 查询 审 计 以及报表的生成等 外置报表中心 将报表数据自动转存于外置独立服务器 以数据库形式存储 可避免 设备内置存储空间有限和对性能的影响 图形化日志统计工具 通过图形化的报表中心 方便用户对行为记录的查询 审计 统计 并支持以饼状图 柱状图 曲线图等形式直观显示统计结果 分层管理 根据管理员的权限 可以查看到只属于其管辖范围的用户的统计资料 报表生成 可将报表中心相关内容转换为 Excel PDF 报表 大大简化了管理员 手工制作报表 自动邮件告警对特定安全事件支持通过邮件自动告警 13 1 统计分析 7 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 设备资源 分时段对设备资源 包括 CPU 使用率 内存使用率 活跃会话数 在线用户数等信息进行统计分析 物理接口分时段对物理接口的收发的流量 速率等进行统计分析 用户统计 基于用户 对其流量 新建会话 活跃会话进行分时段统计分析 并 进一步统计分析每个用户使用了哪些服务 访问了哪些网站 通过了 哪些链路等更加详细的信息 用户组统计 基于用户组 对其流量 新建会话 活跃会话进行分时段统计分析 并进一步统计分析每个用户组使用了哪些服务 访问了哪些网站 通 过了哪些链路等更加详细的信息 服务统计 基于服务名称 对其流量 新建会话 活跃会话进行分时段统计分析 并进一步统计分析每种服务有哪些用户 用户组在使用 及每个用户 用户组的使用情况 以及每种服务在各条链路上的分配情况 服务类型统计 基于服务类型 对其流量 新建会话 活跃会话进行分时段统计分析 并进一步统计分析每种类型的服务有哪些用户 用户组在使用 及每 个用户 用户组的使用情况 以及每种服务类型在各条链路上的分配 情况 网站统计 基于 URL 对其流量 新建会话 活跃会话进行分时段统计分析 并 进一步统计分析每个 URL 的服务有哪些用户 用户组在使用 及每个 用户 用户组的使用情况 以及每种服务类型在各条链路上的分配情 况 网站类型统计 基于网站类型 对其流量 新建会话 活跃会话进行分时段统计分析 并进一步统计分析每种类型的网站有哪些用户 用户组在使用 及每 个用户 用户组的使用情况 以及每种服务类型在各条链路上的分配 情况 线路统计 基于出口链路 对其流量 新建会话 活跃会话进行分时段统计分析 并进一步统计分析每条链路上的用户 用户组 服务 服务类型 网 站 网站类型的详细信息 1 基于用户 用户组对 URL 的访问次数 进行统计排名 URL 排名 2 基于网站 网站类型被访问的次数 进行统计排名 1 基于用户 用户组 通过网页下载的文件次数 进行统计排名 网页文件下载排名 2 基于文件类型被下载的次数 进行统计排名 上网时长统计统计用户上网的总时长 并统计每类服务使用时间的情况 13 2 网页记录 记录网站的 URL能够记录用户所访问网站的 URL 地址 网络发帖记录 全面记录内网用户向公网 BBS 论坛 博客发布的内容及附件 网页评论记录记录用户对网页发表的评论 记录网页的标题记录用户所访问网页的标题内容 记录引擎搜索关键词对在搜索引擎中搜索的关键词进行记录 网页文件上传记录记录用户通过 HTTP 上传的文件信息和文件名 13 3 邮件记录 记录使用 SMTP 发送记录用户通过客户端 SMTP 协议 发送邮件的信息 包括 发件人 8 2020 任子行任子行 任天行网络安全管理系统任天行网络安全管理系统 SURF RAG 系列系列 产品概述产品概述 邮件的信息收件人 邮件主题 正文 附件 日期 邮件大小等 记录使用 POP3 接收 邮件的信息 记录用户通过客户端 POP3 协议 接收邮件的信息 包括 发件人 收 件人 邮件主题 正文 附件 日期 邮件大小等 记录使用 WebMail 发 送邮件的信息 记录用户通过 WebMail 发送邮件的信息 包括 发件人 收件人 邮件主题 正文 附件 日期 邮件大小 邮件提供商等 13 4 聊天工具行为记录 记录即时通讯信息 记录 MSN 雅虎通 QQ ICQ 等登入信息 聊天内容及文件传输记 录 13 5 其他行为记录 FTP 传输行为记录记录用户通过 FTP 下载的文件信息 记录上传的文件信息 Telnet 行为记录记录用户 Telnet 操作的详细信息 13 6 会话记录 会话记录 详细记录每一个会话的信息 包括 用户名 用户组 源 IP 端口 目的 IP 端口 转换 IP 端口 MAC 地址 协议类型 协议名称 发送 流量 接收流量 会话持续时间 会话结束时间 并可导出为 EXCEL 或者 HTML 格式的报表 13 7 阻断记录 防火墙阻断记录被防火墙规则阻断的数据量的详细信息 行为管理阻断记录被行为管理规则阻断的数据量的详细信息 流量管理阻断记录被流量管理规则阻断的数据量的详细信息 13 8 个人行为统计 个人行为分项统计 根据组织结构中的逻辑树结构 可逐个展示用户 并将每个用户的上 网行为分项统计 具体内容如后面的分项内容描述 个人网页统计 将每个用户的个人上网的网页标题记录 论坛发帖记录 网页评论记 录 搜索引擎上搜索的关键字记录 网页文件上传记录 URL 访问记 录分项统计并显示 个人即时通讯记录 将每个用户的 MSN