《iMCUBA用户行为审计组件介绍》由会员分享,可在线阅读,更多相关《iMCUBA用户行为审计组件介绍(19页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页n更多企业学院: 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料iMC UBA用户行为审计组件产品详细介绍产品
2、概述iMC UBA用户行为审计组件通过与多种网络设备共同组网,用来对终端用户的上网行为进行事后审计,追查用户的非法网络行为,满足相关部门对用户网络访问日志进行审计的硬性要求。UBA用户行为审计组件提供NAT1.0日志、FLOW1.0日志、NetStream V5日志、DIG日志的查询审计功能,网络管理员可以根据网络日志对上网用户的网络行为进行审计。产品特点全面的日志采集UBA用户行为审计组件可支持多种网络日志的采集(包括NAT1.0、FLOW1.0、NetStream V5),对于不支持上述日志的设备,可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG格式的日志。分布式部署。UBA用户
3、行为审计组件采用分布式的体系结构,支持多点采集,统一Web界面审计分析,可以同时采集多个设备的日志信息,为网络管理员监控网络提供了灵活有效的支持。强大的日志审计功能UBA用户行为审计组件可根据用户需要,通过接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计,并对审计结果提供灵活的排序、分组、保存等功能。网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果,日志审计包括:通用日志审计:审计内容包括接入用户名、用户上
4、网起止时间、来源/目的IP地址、来源/目的端口、使用的协议及应用名。 Web访问审计:审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、端口、用户访问的站点、用户访问的网页等。 文件传输审计:审计内容包括接入用户名、用户传输文件起止时间、来源/目的IP地址、端口、ftp用户名、传输文件名、传输方式(上传/下载)等。邮件审计:审计内容包括接入用户名、邮件发送时间、来源/目的IP地址、发件人、收件人、邮件主题等。地址转换审计:审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、来源/目的端口、使用的协议及应用名、NAT转换后IP地址/端口等。图1-1 日志审计界面l 基于用户
5、的行为审计结合EAD端点准入解决方案,UBA用户行为审计组件可高效地管理网络用户,建立详细的用户访问互联网的日志,提供行之有效的网络管理和用户行为跟踪审计策略,帮助管理员分析用户的上网行为。l 七层应用审计端口不固定的应用,如P2P等应通过报文应用层数据的特征进行识别。基于七层应用的识别和分类,UBA可基于用户全面审计网络中的七层应用使用信息。组件已经将大部分常见的端口不固定的应用设定为组件预定义的应用,如:BT、DC、eDonkey、Gnutella、 Kazaa、MSN、QQ、AIM等。用户可根据需要,定义其它的应用识别。七层应用识别只对DIG日志有效,对其他类型的日志无效。 任务式审计U
6、BA用户行为审计组件提供基于任务的自动跟踪审计功能,可以根据接入用户名、用户访问网页的URL等各种查询审计条件灵活制定审计任务。任务一旦制定,组件将自动跟踪审计当前时间段内满足查询条件的所有用户及日志信息。审计任务 包括:地址转换、Web访问、文件传输、邮件、通用等多种类型。l 日志转储UBA用户行为审计组件支持对海量日志进行转储。用户可以将敏感日志和由于数据库空间限制无法存储的日志定时导出到数据文件中进行异地保存,同时组件提供转储日志查询工具,用户可直接对转储日志进行查询操作。l 审计报表UBA系统提供专业的报表,包括访问站点、会话数、应用分布、未知应用的TopN报表,SMTP、HTTP、F
7、TP的应用分析报表,每种报表都可以按照天、周等周期和图形、列表等形式输出。通过使用这些自带的报表,管理员可以非常清楚的了解当前用户对网络的使用情况。图1-2 用户访问站点TopN日报表组网应用l NetStream/NAT/FLOW日志审计组网方式该组网方式可以为宽带运营商或教育网提供网络日志审计功能,便于对访问非法站点的用户行为进行跟踪。该组网方式非常灵活,可以根据运营商或教育网等不同的运营特点,实现多种方式的日志记录与审计能力。例如,如果在Internet出口需要作NAT转换,并且使用了H3C设备的NAT功能,用户行为审计组件就可以接收NAT日志进行处理。如果在Internet出口不需要做
8、NAT转换,则可以通过FLOW格式或NetStream V5格式的日志记录用户的上网行为。该组网方式下,需要配套设备支持NAT、FLOW或NetStream日志输出。图1-1 NetStream/NAT/FLOW日志审计组网方式l DIG探针组网方式探针式采集器能够与任何支持端口镜像功能的交换机或集线器配合,采集网络中的报文信息,并为用户行为审计提供统计信息。该组网方式最大的优点在于不用依赖于具体设备,从而可以更有效的保护用户的已有投资,主要面向出口容量不大的教育或行业用户。图1-2 DIG日志审计组网方式UBA用户行为审计组件是H3C公司自主开发的网络日志审计产品,用户可以根据实际需求选购相
9、应配置。型号产品描述H3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD)必配。H3C iMC-UBA用户行为审计组件(含1000用户)-纯软件(CD)对用户日志进行审计时必配,完成用户日志采集、处理、分析与审计,提供配置、告警功能H3C iMC-UBA用户行为审计组件1000用户License费用选配,1000用户License费用H3C iMC-UBA用户行为审计组件5000用户License费用选配,5000用户License费用H3C iMC-DIG日志探针组件授权包费用选配,配合探针组网方式使用性参数硬件平台用户行为审计服务器: PC服务器:CPU主频3GHz、CPU个数或
10、CPU核数2、内存6G、硬盘700G、48倍速光驱、10/100/1000Mb自适应以太网卡、声卡探针:PC服务器:CPU主频3GHz、内存2G、硬盘100G、2个10/100/1000Mb自适应以太网卡* 说明:CPU、内存和硬盘配置与流量采集大小直接相关,根据具体网络流量采集大小确定实际硬件配置。操作系统用户行为审计服务器: Windows Server 2003 /Windows Server2008Red Hat Enterprise Linux 5 or 5.5DIG探针服务器:Redhat AS5.0或ES 3.0操作系统浏览器:IE 6及以上版本、Firefox 3.0及以上版本
11、。数据库Windows 平台:SQL Server 2005,SQL Server 2008Linux平台:Oracle 11G硬件配置由网络规模决定,具体配置请咨询H3C当地办事处。业界第一款应用控制与行为监管网关H3C SecPath ACG(Application Control Gateway)是业界识别最全面、控制手段最丰富的高性能应用控制网关,能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制,保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,进而帮助用户全面了解网络应用模型和流量趋势,优化其
12、带宽资源,开展各项业务提供有力的支撑。产品特点最全面的应用识别能力通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用。精细化的流量管理功能采用基于队列(Each Flow Queuing)的流量处理机制,通过通道、子通道、子通道下的子通道等区分服务模式,并结合时间段、用户/用户组、上行/下行、区域等,易于对每个业务“流”队列,设置不同的优先级策略,实现最小带宽、最大带宽、最大会
13、话数、每会话带宽、新建连接数等控制,实现带宽借用、Qos优先级标记等,真正实现端到端的精细化流量管理。丰富的报表提供实时的业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布,为合理规划网络、制定流量控制策略提供依据。完善的安全审计系统可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,对历史数据进行分析,
14、为用户提供细粒度的网络应用审计管理系统。强大的过滤功能通过自定义IP地址、主机名、正则表达式等方式设置URL特征库,支持根据不同的URL策略设置不同的响应方式,支持根据时间表对不同的URL策略设置不同的响应动作,避免保密信息的外泄,免受非法信息的干扰,确保网络的健康使用。高性能、高可靠性基于新一代多核CPU+FPGA硬件架构,业务与转发相分离,实现了千兆级线速业务处理能力,仅有微秒级时延;通过掉电保护(PFC,无源Bypass)、软件二层回退、双电源冗余等高可靠性设计,保证SecPath ACG在断电、软硬件故障或链路故障、流量过载的情况下,网络链路仍然畅通。及时的特征库更新H3C专业特征库团队密切跟踪应用变化,并对应用协议特征库及时更新;支持对协议特征库的在线自动/手动升级、本地升级,且升级过程无需重启系统,不影响系统业务运行。系统规格项目SecPath ACG2000-M管理接口1个Console口 + 2个GE Combo口业务接口2个GE Combo口(最大2个GE Combo口 + 16个GE电口)扩展槽2接口模块4GE电口/4GE光口/8GE电口尺寸(高宽深)44mm 442mm 460mm额定功率150W电源100240VAC/5060Hz可靠性支持二层回退、双电源冗余、外置掉电保护环保标准通过欧盟严格的环保标准RoHS认证重量7.5 KgP2P应用识别Thun
