1、 .网康、深信服的功能对比本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考。网康科技厂商及产品简介 网康科技公司,总部在北京,国内第一家专业“上网行为管 深信服科技公司,总部在深圳,以 ipsec-vpn 起家,后来理”设备生产厂家;网康 icg 是国内“上网行为管理”一线 做 ssl-vpn、防火墙和utm。其 utm 产品功能较多,其中包品牌,其主要特点是 url 库、应用库庞大,性能稳定,功能 含有上网行为管理功能。配置灵活,界面友好易操作等;在日本及中亚市场也占有相当份额。产品形态软硬件一体产品软硬件一体产品避免单点故障1. 支持断电 bypass
2、 功能;仅某些型号支持硬件 bypass;2. 支持非断电模式下的智能硬件 bypass 功能,任何故障均 不支持软件 bypass 和一键 bypass 功能。保障网络畅通;开机和关机过程中无 bypass 功能。3. 设备面板有一键按钮 bypass4. 开机和关机过程中自动切换 bypass。硬盘发生逻辑损坏时,设备支持自修复功能;(1) 产品可通过透明桥接、网关、旁路三种方式接入网络。 支持网关、单/双路串接、镜像旁路等部署方式(2) 产品在透明网桥接入模式下,支持双链路、双网桥部署。(3) 产品在网关模式下,支持dnat 内网 ip/端口映射,便于外部用户访问内网主机。(4) 支持通
3、过集中管理平台对分布部署的设备进行统一策略制定与管理。. 不支持支持 https 代理,可自定义安全端口;支持 socks 代理,并提供代理认证功能;可以设定缓存大小、缓存有效期、不缓存网页列表,并实时监控请求数、命中率等代理服务状态。用户管理以树状架构对用户进行管理,实现完全按照企业的组织结构 以树状架构对用户进行管理;不支持用户导入,但可以手多级划分用户组;工批量生成用户;支持 ip/mac 跨三层绑定;支持用户信息外部导入;用户识别可基于 ip 进行身份识别;可基于 mac 地址进行身份识别;支持 ad 域用户识别;用户认证支持微软 ad 域的联动认证;支持 ladp 服务器的联动认证;
4、支持 radius 服务器的联动认证;支持 pop3 认证;支持 esmtp 认证;支持客户端本地认证;支持互联网准入认证。支持 ladp 服务器的联动认证;支持客户端本地认证;支持互联网准入认证;支持网关设备本地 web 登录认证方式;可定义免认证 ip 网段;- 2 - 支持网关设备本地 web 登录认证方式;提供与第三方认证系统联动的接口;可与华三 cams 系统联动实现单点认证。可为不同 ip 网段开启不同的用户认证方式;同一 ip 网段可同时开启多种认证方式。可控制认证账号是否可在多台计算机设备上同时登陆;支持认证账号黑名单控制;支持认证账号有效期控制,到期后账号自动失效;可定义免认
5、证 ip 网段,支持用户访问指定的服务器无需认证;支持用户自定义认证窗口的提示信息;用户可修改自身 ldap 认证密码;用户每日上网时 可限定每个用户在一天之内累计上网时间额度;可限定每个用户在一天之内累计上网时间额度;但不支持对单个应用设置策略;长限额url 库规模声称 1000 万,实际不足 400 万,且不支持二级分类,分类精准率不足 50%。提供全球最大的中文 url 分类库,规模达 1400 万条,分类精准率接近 100%确率支持 43 个一级分类,以及 8 个二级子分类。对 google 搜索引擎任意关键字的前 100 条搜索结果,icg 的网页分类识别率高达 95%以上。url
6、库每天更新 300 万条;客户可设置自动升级或手动更新;支持基于预分类的 url 类别进行过滤控制;支持用户自定义支持基于预分类的 url 类别进行过滤控制;支持用户自定义网站类别过滤;支持 url 类别的二级子类控制;支持对以 ip 方式访问网站过滤控制;支持基于网站分类过滤 https 加密的网站;支持基于 url 关键字进行过滤控制;对于违反策略的网页访问,支持弹出警示页面;- 3 - 支持网站黑、白名单设置;支持网站黑、白名单设置;协议库组织架构 三级树状应用协议分类架构,清晰易懂,支持 14 大类,260 仅支持平面级别的二级分类,支持近 250 种协议及规模种协议;能够准确识别并封
7、堵近 30 种 p2p 应用,如:迅雷,bt,电 能够识别 10 余种 p2p 应用驴等;对于加密的下载协议也能识别控制;封堵 im 即时通信 支持 qq、msn、网易泡泡、skype、飞信、淘宝旺旺、新浪uc 支持 qq、msn、网易泡泡、skype、飞信、淘宝旺旺、新浪等多种聊天工具;uc 等多种聊天工具;支持对近 20 种主流炒股软件的识别和封堵,如:大智慧,同 覆盖度不足花顺,钱龙等;支持对近 35 种流行网络电视的识别和封堵,如:pplive,土 覆盖度不足豆网,酷 6,6 间房等;基于应用控制用 支持户每日上网时长流控功能- 4 - 支持基于带宽通道的流量控制,可设定多个不同的带宽
8、通道, 支持基于带宽通道的流量控制,可设定多个不同的带宽通每个带宽通道提供保障速率和突发速率;道;支持带宽通道优先级的定义,但仅有 3 个优先级;可设置基于人/部门的带宽管理策略;可设置基于应用的带可设置基于应用的带宽管理策略,避免非业务应用对主流应 宽管理策略;用的影响;可设置人/部门某一种或多种应用的组合带宽策略;可设置部门成员的平均带宽策略,避免个体成员独占部门带宽;可根据时间段设置带宽管理策略;邮件过滤可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件; 可以控制用户发送邮件;可以控制用户禁止发送主题或正文包含某关键字的邮件,且 不支持邮箱账号、收信方邮箱域名,以及附件名称过滤邮对主题
9、和正文关键字可分别控制;件外发行为;可禁止外发附件名称包含某关键字的邮件;可控制允许外发邮件附件的大小范围;可以控制用户禁止发送主题或正文包含某关键字的邮件;容。支持 http、ftp、邮件附件、im、论坛发帖附件、flashget 仅可基于文件类型控制http 和 ftp 的文件下载、上传行为;等文件传输内容过滤; 不支持 im 文件传输内容过滤;不支持基于搜索类别的关键字搜索过滤设备运行监控提供全面的设备运行状态信息,包括设备负载、设备持续运 可实时监控设备的运行状态,包括 cpu、内存、硬盘等信息;- 5 - 网页审计邮件审计记录访问网页的用户、时间、url 地址、访问内容的分类、 记录
10、访问网页的用户、时间、url 地址等信息;允许/阻断、匹配的控制策略等信息;可审计用户访问 https 加密网站的行为;可审计用户访问 https 加密网站的行为;可查询被阻断的 web 访问纪录。可根据预设的 web 过滤策略,实现对违禁访问网页行为的查询;可记录网页标题信息;可记录网页标题信息;可以记录网页内容信息;可按用户、用户组和时间段审计用户收发邮件内容,并可还 可按用户、用户组和时间段审计用户收发邮件内容,并可原原文及附件;还原原文及附件;支持仅审计某邮箱地址发出或接收的邮件;支持仅审计邮件主题中包含某关键字特征的邮件;支持仅审计包含某类型附件的邮件收发内容;可以定义免审计的邮箱地
11、址;邮件审计内结果容包括:发件人、收发人、时间、主题、正文、附件等信息;可以审计 qq2009 及其以下版本聊天内容信息。可以审计 qq 聊天双方的账号、昵称、聊天内容;可以审计qq 群组聊天内容;可以审计 qq 文件传输行为及文件名称、大小;可以审计 qq语音及视频行为;- 6 - 论坛发贴审计网络应用审计支持网页外发信息审计,可查找外发的附件;支持对发帖网址和发帖正文审计,记录内容包括:用户、支持对发帖网址和发帖正文关键字查找,记录内容包括:用 时间、论坛地址、正文,附件;户、时间、论坛地址、正文,附件;可自定义设置不需审计的发帖网址;可审计每种网络应用的用户、时间、流量等信息;可审计每种
12、网络应用的用户、时间、流量等信息;可针对每个网络应用进行任意日期范围、任意时段、任意用 可记录基于 ip、端口、协议五元组的网络会话连接的详细户的查询;信息;可记录基于 ip、端口、协议五元组的网络会话连接的详细信息;流量审计可监控当前网络流量以及过去 24小时网络流量;可监控当前网络流量以及过去 24小时网络流量;可实时查看基于实时流量的 top n用户排名,并可针对具体 可实时查看基于实时流量的 top n用户排名;用户进行管理查询,获得该用户在使用哪些应用;可实时监控基于流量的 top n网络应用排名,并可针对具体搜索引擎关键字 能够审计用户通过搜索引擎输入的所有关键字,也可以只审 能够
13、审计用户通过搜索引擎输入的所有关键字;计指定的敏感关键字;可记录用户通过 msn、qq传输的文件名,可欢迎 msn传输的- 7 - 原文;telnet 审计支持对用户通过 telnet 方式访问网络设备时执行的命令进只支持单向审计行监控,完整记录telnet 的时间、ip、端口、命令和结果等信息。日志导出备份支持日志定期导出备份到存储服务器中;可通过 ftp 导出日志;历史日志查询提供丰富的查询条件,查询用户的上网行为细节数据。支持 支持按用户、部门、ip、时间、应用进行查询,支持组合按用户、部门、ip、策略名称、时间、应用进行查询,支持 条件查询方式;组合条件查询方式;支持自定义查询条件模板
14、,按模板进行 支持用户上网历史综合查询;查询;可基于时间段、用户、应用协议等多种条件进行筛选查询;能够根据 url 类别、网址关键字、控制方式、过滤策略进行web 访问查询;能够按照发件人、收件人、正文关键字、附件类型与大小对邮件进行查询;可对某一时间段内各类应用所占用网络带宽的大小信息和时 可对某一时间段内各类应用所占用网络带宽的大小信息和长进行统计; 时长进行统计;- 8 - 可自定义统计报告的 top排名数量;可定义柱状排名报告每图显示的排名数量;支持统计功能,支持按用户、部门、ip、时间、应用等条件进行流量统计与行为统计,提供 top n统计方式;可定义柱状排名报告每图显示的排名数量;
15、支持统计功能,支持按用户、部门、ip、时间、应用(网页、 支持按 ip、协议等条件进行流量统计,提供 top n统计方邮件、im、发帖)等条件进行流量统计与行为统计,提供 top 式,统计结果按照柱图、饼图、线图、表格显示;n 统计方式,支持组合条件统计方式;统计数据支持下钻式 支持预置报告模版;(drill-down)深入分析功能,例如:统计一周内应用流量 支持对任意时间范围内的历史日志进行查询、统计;最大的用户排名后,可以点击数值详细查看具体的应用和各应用的流量。便于从现象挖掘本质原因;支持按 ip、协议等条件进行流量统计,提供 top n统计方式,统计结果按照柱图、饼图、线图、表格显示,
16、并支持导出为execl、pdf等文件格式;支持报告订阅,自动发送到指定邮箱;管理方式设备提供基于 https协议的图形化管理界面,用户可以使用 采用 web管理,但需要下载 activex控件,而且依赖于 ie浏览器;不支持本地串口管理;支持 linux 命令行,但不策略设置可根据不同用户设定策略,对同一组内的不同用户设置不同 可根据不同用户设定策略,对同一组内的不同用户设置不策略; 同策略;- 9 - 支持对某些用户免监控;支持对某些用户免监控;可按照不同时间段设定策略,时间定义可基于星期、天、小 可针对不同网络应用设定不同的策略;时、分钟,并支持一天内 2 个时间段的划分;可针对不同网络应
17、用设定不同的策略;支持策略优先级设置;支持策略优先级设置;支持 ip 黑名单,动态或者静态的将某个 ip 地址放入黑名单阻塞;支持 ip 黑名单,动态或者静态的将某个 ip 地址放入黑名单阻塞;管理员密码修改 支持超级管理员定义 支持的策略普通管理员无权更改配置改变无需重 支持启不支持策略批量生效实时在线帮助支持支持保留用户日志的 支持版本升级支持用户日志的全文检索;支持用户日志的全文检索,可通过关键字检索指定日期范围、指定应用类型的用户日志记录要求集中管理端下发的策略,上网行为管理设备端不可更改;可监控每台设备状态并对异常报警。- 10 - 统一制定策略,下发至每台设备,实现全网行为控制与审计;可查看每台设备的用户的上网日志;汇总比