MCUBA用户行为审计组件介绍

1、更多企业学学院： 中小企业业管理全能能版183套讲讲座+899700份份资料总经理、高层管理理49套讲座座+163388份资料中层管理理学院46套讲座座+60220份资料国学智慧慧、易经46套讲座座人力资源源学院56套讲座座+271123份资料各阶段员员工培训学学院77套讲座座+ 3224份资料员工管理理企业学院院67套讲座座+ 87720份资料工厂生产产管理学院院52套讲座座+ 133920份份资料财务管理理学院53套讲座座+ 177945份份资料销售经理理学院56套讲座座+ 144350份份资料销售人员员培训学院院72套讲座座+ 48879份资料iMC UUBA用户户行为审计计组件产品详细

2、介介绍产品概述iMC UUBA用户户行为审计计组件通过过与多种网网络设备共共同组网，用用来对终端端用户的上上网行为进进行事后审审计，追查查用户的非非法网络行行为，满足足相关部门门对用户网网络访问日日志进行审审计的硬性性要求。UBA用户户行为审计计组件提供供NAT11.0日志志、FLOOW1.00日志、NeetStrream V5日志志、DIGG日志的查查询审计功功能，网络络管理员可可以根据网网络日志对对上网用户户的网络行行为进行审审计。产品特点全面的日志志采集UBA用户户行为审计计组件可支支持多种网网络日志的的采集（包包括NATT1.0、FLOWW1.0、NetSStreaam V55），对于

3、于不支持上上述日志的的设备，可可以通过设设备的镜像像端口或TTAP分流流器采集网网络流量生生成DIGG格式的日日志。分布式部署署。UBA用户户行为审计计组件采用用分布式的的体系结构构，支持多多点采集，统统一Webb界面审计计分析，可可以同时采采集多个设设备的日志志信息，为为网络管理理员监控网网络提供了了灵活有效效的支持。强大的日志志审计功能能UBA用户户行为审计计组件可根根据用户需需要，通过过接入用户户名、上网网时间、用用户访问网网页的URRL、ftp操作作文件及发发送邮件的的主题等各各种条件的的组合对网网络日志进进行快速审审计，并对对审计结果果提供灵活活的排序、分组、保保存等功能能。网络管理

4、员员可以从海海量的网络络日志中精精确审计终终端用户的的上网行为为。终端用用户何时访访问了某网网站、何时时访问了某某网页、发发送了哪些些Emaiil、向外外发送了哪哪些文件等等信息均可可通过日志志审计得出出结果，日日志审计包包括：通用日日志审计：审计内容容包括接入入用户名、用户上网网起止时间间、来源/目的IP地址、来源/目的端口口、使用的的协议及应应用名。 Web访问问审计：审审计内容包包括接入用用户名、用用户上网起起止时间、来源/目的IP地址、端口、用用户访问的的站点、用用户访问的的网页等。 文件传输输审计：审审计内容包包括接入用用户名、用用户传输文文件起止时时间、来源源/目的IP地址、端口、

5、fftp用户户名、传输输文件名、传输方式式（上传/下载）等等。邮件审审计：审计计内容包括括接入用户户名、邮件件发送时间间、来源/目的IP地址、发件人、收件人、邮件主题题等。地址址转换审计计：审计内内容包括接接入用户名名、用户上上网起止时时间、来源源/目的IP地址、来源/目的端口口、使用的的协议及应应用名、NNAT转换换后IP地址/端口等。图1-1 日志审计计界面 基于用用户的行为为审计结合EADD端点准入入解决方案案，UBAA用户行为为审计组件件可高效地地管理网络络用户，建建立详细的的用户访问问互联网的的日志，提提供行之有有效的网络络管理和用用户行为跟跟踪审计策策略，帮助助管理员分分析用户的的

6、上网行为为。 七层应应用审计端口不固定定的应用，如如P2P等应应通过报文文应用层数数据的特征征进行识别别。基于七七层应用的的识别和分分类，UBBA可基于于用户全面面审计网络络中的七层层应用使用用信息。组件已经将将大部分常常见的端口口不固定的的应用设定定为组件预预定义的应应用，如：BT、DC、eDonnkey、Gnuttellaa、 Kazzaa、MSN、QQ、AIM等。用户可根根据需要，定定义其它的的应用识别别。七层应应用识别只只对DIGG日志有效效，对其他他类型的日日志无效。 任务式式审计UBA用户户行为审计计组件提供供基于任务务的自动跟跟踪审计功功能，可以以根据接入入用户名、用户访问问网页

7、的UURL等各各种查询审审计条件灵灵活制定审审计任务。任务一旦旦制定，组组件将自动动跟踪审计计当前时间间段内满足足查询条件件的所有用用户及日志志信息。审审计任务 包括：地地址转换、Web访问问、文件传传输、邮件件、通用等等多种类型型。 日志转转储UBA用户户行为审计计组件支持持对海量日日志进行转转储。用户户可以将敏敏感日志和和由于数据据库空间限限制无法存存储的日志志定时导出出到数据文文件中进行行异地保存存，同时组组件提供转转储日志查查询工具，用用户可直接接对转储日日志进行查查询操作。 审计报报表UBA系统统提供专业业的报表，包包括访问站站点、会话话数、应用用分布、未未知应用的的TopNN报表，

8、SMMTP、HTTPP、FTP的应应用分析报报表，每种种报表都可可以按照天天、周等周周期和图形形、列表等等形式输出出。通过使使用这些自自带的报表表，管理员员可以非常常清楚的了了解当前用用户对网络络的使用情情况。图1-2 用户访问问站点ToopN日报报表组网应用 NettStreeam/NNAT/FFLOW日日志审计组组网方式该组网方式式可以为宽宽带运营商商或教育网网提供网络络日志审计计功能，便便于对访问问非法站点点的用户行行为进行跟跟踪。该组组网方式非非常灵活，可可以根据运运营商或教教育网等不不同的运营营特点，实实现多种方方式的日志志记录与审审计能力。例如，如如果在Innternnet出口口需

9、要作NNAT转换换，并且使使用了H33C设备的的NAT功能能，用户行行为审计组组件就可以以接收NAAT日志进进行处理。如果在IInterrnet出出口不需要要做NATT转换，则则可以通过过FLOWW格式或NeetStrream V5格式式的日志记记录用户的的上网行为为。该组网网方式下，需需要配套设设备支持NNAT、FLOWW或NetSStreaam日志输输出。图1-1 NetSStreaam/NAAT/FLLOW日志志审计组网网方式 DIGG探针组网网方式探针式采集集器能够与与任何支持持端口镜像像功能的交交换机或集集线器配合合，采集网网络中的报报文信息，并并为用户行行为审计提提供统计信信息。该

10、组组网方式最最大的优点点在于不用用依赖于具具体设备，从从而可以更更有效的保保护用户的的已有投资资，主要面面向出口容容量不大的的教育或行行业用户。图1-2 DIG日日志审计组组网方式UBA用户户行为审计计组件是HH3C公司司自主开发发的网络日日志审计产产品，用户户可以根据据实际需求求选购相应应配置。型号产品描述H3C iiMC-智智能管理平平台标准版版(不含节点点)-纯软件件(DVDD)必配。H3C iiMC-UUBA用户户行为审计计组件(含10000用户)-纯软件件(CD)对用户日志志进行审计计时必配，完完成用户日日志采集、处理、分分析与审计计，提供配配置、告警警功能H3C iiMC-UUBA

11、用户户行为审计计组件10000用户户Liceense费费用选配，10000用户户Liceense费费用H3C iiMC-UUBA用户户行为审计计组件50000用户户Liceense费费用选配，50000用户户Liceense费费用H3C iiMC-DDIG日志志探针组件件授权包费费用选配，配合合探针组网网方式使用用性参数硬件平台用户行为审审计服务器器： PC服务器器：CPUU主频3GHzz、CPU个数数或CPUU核数2、内存6G、硬盘盘700GG、48倍速光光驱、100/1000/10000Mb自自适应以太太网卡、声声卡探针：PC服务器器：CPUU主频3GHzz、内存2G、硬硬盘100GG、2

12、个110/1000/10000Mbb自适应以以太网卡* 说明：CPU、内内存和硬盘盘配置与流流量采集大大小直接相相关，根据据具体网络络流量采集集大小确定定实际硬件件配置。操作系统用户行为审审计服务器器： Windoows SServeer 20003 /Winddows Servver20008Red HHat EEnterrprisse Liinux 5 orr 5.55DIG探针针服务器：Redhaat ASS5.0或或ES 33.0操作作系统浏览器：IIE 6及及以上版本本、Firrefoxx 3.00及以上版版本。数据库Windoows 平平台：SQQL Seerverr 20005，

13、SQL Servver 22008Linuxx平台：Oraccle 111G硬件配配置由网络络规模决定定，具体配配置请咨询询H3C当当地办事处处。业界第一款款应用控制制与行为监监管网关H3C SSecPaath AACG（Appllicattion Conttrol Gateeway）是是业界识别别最全面、控制手段段最丰富的的高性能应应用控制网网关，能对对网络中的的P2P/IM带宽宽滥用、网网络游戏、炒股、网网络视频、网络多媒媒体、非法法网站访问问等行为进进行精细化化识别和控控制，保障障网络关键键应用和服服务的带宽宽，对网络络流量、用用户上网行行为进行深深入分析与与全面的审审计，进而而帮助用户

14、户全面了解解网络应用用模型和流流量趋势，优优化其带宽宽资源，开开展各项业业务提供有有力的支撑撑。产品特点最全面的应应用识别能能力通过H3CC长期积累累的状态机机检测、流流量交互检检测技术，能能精确检测测Thunnder/Web Thunnder（迅迅雷/Weeb迅雷）、BitTTorreent、eMulle（电骡骡）/eDDonkeey（电驴驴）、QQQ、MSN、PPLiive等P2P/IM/网网络游戏/炒股/网络视频频/网络多媒媒体等应用用。精细化的流流量管理功功能采用基于队队列（Eaach FFlow Queuuing）的的流量处理理机制，通通过通道、子通道、子通道下下的子通道道等区分服服

15、务模式，并并结合时间间段、用户户/用户组、上行/下行、区区域等，易易于对每个个业务“流”队列，设设置不同的的优先级策策略，实现现最小带宽宽、最大带带宽、最大大会话数、每会话带带宽、新建建连接数等等控制，实实现带宽借借用、Qoos优先级级标记等，真真正实现端端到端的精精细化流量量管理。丰富的报表表提供实时的的业务流量量趋势图、流量分布布图、Toop N用用户列表、Top N应用协协议列表等等报表，并并支持按照照用户名/用户组、使用频度度、使用时时段、应用用分类、应应用协议、流量大小小等进行多多维度组合合定制报表表，使用户户能全面掌掌握网络中中的流量、应用和业业务分布，为为合理规划划网络、制制定流

16、量控控制策略提提供依据。完善的安全全审计系统统可对各种PP2P/IIM、网络络游戏、网网络多媒体体、文件共共享、邮件件收发、数数据传输、数据库应应用等各种种上网行为为提供全方方面的行为为监控和记记录；同时时，通过综综合分析、检测用户户网络流量量与流向趋趋势，对历历史数据进进行分析，为为用户提供供细粒度的的网络应用用审计管理理系统。强大的过滤滤功能通过自定义义IP地址、主机名、正则表达达式等方式式设置URRL特征库库，支持根根据不同的的URL策略略设置不同同的响应方方式，支持持根据时间间表对不同同的URLL策略设置置不同的响响应动作，避避免保密信信息的外泄泄，免受非非法信息的的干扰，确确保网络的

17、的健康使用用。高性能、高高可靠性基于新一代代多核CPPU+FPPGA硬件件架构，业业务与转发发相分离，实实现了千兆兆级线速业业务处理能能力，仅有有微秒级时时延；通过过掉电保护护（PFCC，无源Byypasss）、软件件二层回退退、双电源源冗余等高高可靠性设设计，保证证SecPPath ACG在在断电、软软硬件故障障或链路故故障、流量量过载的情情况下，网网络链路仍仍然畅通。及时的特征征库更新H3C专业业特征库团团队密切跟跟踪应用变变化，并对对应用协议议特征库及及时更新；支持对协协议特征库库的在线自自动/手动升级级、本地升升级，且升升级过程无无需重启系系统，不影影响系统业业务运行。系统规格项目Se

18、cPaath AACG20000-MM管理接口1个Connsolee口 + 22个GE CComboo口业务接口2个GE Combbo口（最最大2个GE CComboo口 + 116个GE电口）扩展槽2接口模块4GE电口口/4GEE光口/8GGE电口尺寸（高宽深）44mm 4442mm 4660mm额定功率150W电源1002240VAAC/50060HHz可靠性支持二层回回退、双电电源冗余、外置掉电电保护环保标准通过欧盟严严格的环保保标准RooHS认证证重量7.5 KKgP2P应用用识别Thundder/WWeb TThundder（迅迅雷/Weeb迅雷）、BitTTorreent、eMul

19、le（电骡骡）/eDDonkeey（电驴驴）等IM应用识识别QQ、ICCQ、MSN Messsengeer、Yahooo Meessennger、新浪UCC、阿里旺旺旺（淘宝宝版）、飞飞信等炒股应用识识别大智慧、同同花顺、指指南针、证证券之星、钱龙、大大策略等网络多媒体体应用识别别PPLivve、PPSttreamm、QQLiive、沸沸点网络电电视、QQQLivee、沸点网网络、UUUSee、千千静听听等网络游戏应应用识别魔兽世界、QQ游戏、联众、HHalf-Lifee、劲舞团团、征途、梦幻西游游、泡泡堂堂等其他支持SQLL Serrver/Oraccle等数数据库和LLotuss nott

20、es等企企业应用识识别行为审计支持对P22P/IMM、网络游游戏、网络络多媒体、文件共享享、邮件收收发、数据据传输等各各种上网行行为进行审审计数据库审计计支持对Orraclee、Sybaase、MySQQL、SQL Servver等数数据库的审审计URL过滤滤支持自定义义IP地址、主机名、正则表达达式设置UURL库控制策略支持告警、限流、阻阻断、干扰扰、带宽保保障等控制制策略管理方式支持本地WWeb图形形化管理、SecCCenteer集中管管理在线部署 适用于于大中型企企业用户，以以透明方式式在线部署署于网络出出口；无需需改变网络络拓扑 对P2P/IM/网网络游戏/炒股/网络视频频/网络多媒媒

21、体/非法网站站访问等各各种应用进进行监控和和管理，保保障关键应应用和服务务的带宽 对用户户上网行为为进行分析析与审计 支持MPLLS/GRRE/L22TP/VVLAN/PPPooE等复杂杂网络环境境；支持多多台分布式式部署的统统一管理旁挂部署 适用于于大中型企企业用户，以以旁挂方式式部署于核核心设备旁旁；不影响响网络结构构，部署简简单 对用户户P2P/IM/网网络游戏/炒股/网络视频频/网络多媒媒体/非法网站站访问等的的流量、行行为进行分分析及审计计 支持MPLLS/GRRE/L22TP/VVLAN/PPPooE等复杂杂网络环境境；支持多多台分布式式部署的统统一管理1) SeccPathh A

22、CGG20000-M主机机选购一览览表项目数量备注SecPaath AACG20000 -M主机1必配HIM接口口模块02选配（支持持4GE、8GE两种种接口卡）H3C SSecPaath PPFC主机机设备01选配（需配配置PFCC接口模块块）H3C SSecCeenterr组件-ACCG Maanageer应用控控制与审计计管理系统统-纯软件(CCD)01选配H3C SSecPaath AACG20000-MM/H3CC SeccBladde ACCG 应用用识别特征征库升级服服务-1年无限制选配(2) SeecPatth ACCG20000-M主主机HIMM接口模块块选购一览览表接口模块

23、描述备注4端口100/1000/10000Basse-T接接口模块02选配4端口10000M以以太网光接接口模块02选配，须另另配SFPP模块8端口100/1000/10000Basse-T接接口模块02选配(3) SeecPatth PFFC主机接接口模块选选购一览表表接口模块描述备注H3C SSecPaath PPFC 88电口保护护模块01选配H3C SSecPaath PPFC 44光口保护护模块04选配H3C SSecPaath UU200-S统一威威胁管理产产品H3C SSecPaath UU200-S是H3C公司司面向中小小型企业/分支机构构设计的新新一代UTTM（Unitted

24、 TThreaat Maanageementt，统一威威胁管理)设备，采采用高性能能的多核、多线程安安全平台，保保障全部安安全功能开开启时不降降低性能，产产品具有极极高的性价价比。在提提供传统防防火墙、VVPN功能能基础上，同同时提供病病毒防护、URL过滤滤、漏洞攻攻击防护、垃圾邮件件防护、PP2P/IIM应用层层流量控制制和用户行行为审计等等安全功能能。H3C公司司的SeccPathh U2000-S不不仅能够全全面有效的的保证用户户网络的安安全，还支支持SNMMP和TR-0069网管管方式，最最大化减少少设备运营营成本和维维护复杂性性。产品特点市场领先的的安全防护护功能l 完善善的防火墙墙

25、功能：提提供安全区区域划分、静态/动态黑名名单功能、MAC和IP绑定、访问控制制列表（AACL）和和攻击防范范等基本功功能，还提提供基于状状态的检测测过滤、虚虚拟防火墙墙、VLAAN透传等等功能。能能够防御AARP欺骗骗、TCPP报文标志志位不合法法、Larrge IICMP报报文、CCC、SYN floood、地址址扫描和端端口扫描等等多种恶意意攻击。l 丰富富的VPNN特性：支支持L2TTP VPPN、GRE VPN、IPSeec VPPN等远程程安全接入入方式，同同时设备集集成硬件加加密引擎实实现高性能能的VPNN处理。l 实时时的病毒防防护：采用用Kaspperskky公司的的流引擎查

26、查毒技术，从从而迅速、准确查杀杀网络流量量中的病毒毒等恶意代代码。l 实时时的垃圾邮邮件防护：可以拦截截垃圾邮件件，净化邮邮件系统，解解决垃圾邮邮件对正常常工作的干干扰问题。l 先进进的URLL过滤：实实现基于用用户的URRL访问控控制，防止止因浏览恶恶意或未授授权的网站站(如网络钓钓鱼攻击网网站)而带来的的安全威胁胁。l 全面面的流量管管理：能精精确检测BBitToorrennt、Thunnder（迅迅雷）、QQQ等P2P/IM应用用，提供告告警、限速速、干扰或或阻断等多多种方式，保保障网络核核心业务正正常应用。l 细致致的行为审审计：可对对各种P22P/IMM、网络游游戏、邮件件和数据传传

27、输等行为为提供细致致的监控和和记录，实实现细粒度度的网络行行为审计管管理。l NAAT应用：提供多对对一、多对对多、静态态网段、双双向转换 、Easyy IP和和DNS映射射等NATT应用方式式；支持多多种应用协协议正确穿穿越NATT，提供DNNS、FTP、H.3223、NBT等NAT ALG功功能。电信级设备备高可靠性性l 采用用H3C公司司拥有自主主知识产权权的软、硬硬件平台。产品应用用从电信运运营商到中中小企业用用户，经历历了多年的的市场考验验。l 支持持双机状态态热备功能能，支持AActivve/Acctivee和Actiive/PPassiive两种种工作模式式，实现负负载分担和和业

28、务备份份。l 366年的平均均无故障时时间(MTTBF)智能图形化化的管理l 简单单易用的WWeb UUI管理。l 支持持基于SNNMP和TR-0069协议议的管理。l 通过过H3C UTM管管理软件实实现统一管管理。l 通过过H3C SecCCenteer安全管管理中心实实现统一管管理。组网应用l 多功功能集成，实实现全网应应用层安全全防护l 多核核、多线程程硬件平台台，具有强强大的处理理能力l 双机机状态热备备技术，高高可靠网络络设计l 统一一Web界面面，降低管管理复杂度度H3C SSecPaath UU200-M统一威威胁管理产产品H3C SSecPaath UU200-M是H3C公司

29、司面向中小小型企业/分支机构构设计的新新一代UTTM（Unitted TThreaat Maanageementt，统一威威胁管理)设备，采采用高性能能的多核、多线程安安全平台，保保障全部安安全功能开开启时不降降低性能，产产品具有极极高的性价价比。在提提供传统防防火墙、VVPN功能能基础上，同同时提供病病毒防护、URL过滤滤、漏洞攻攻击防护、垃圾邮件件防护、PP2P/IIM应用层层流量控制制和用户行行为审计等等安全功能能。H3C公司司的SeccPathh U2000-M不不仅能够全全面有效的的保证用户户网络的安安全，还支支持SNMMP和TR-0069网管管方式，最最大化减少少设备运营营成本和维维护复杂性性。产品特点市场领先的的安全防护护功能l 完善善的防火墙墙功能：提提供安全区区域划分、静态/动态黑名名单功能、MAC和IP绑定、访问控制制列表（AACL）和和攻击防范范等基本功功能，还提提供基于状状态的检测测过滤、虚虚拟防火墙墙、VLAAN透传等等功能。能能够防御AARP欺骗骗、TCPP报文标志志位不合法法、Larrge IICMP报报文、CCC、SYN flooo