iMCUBA用户行为审计组件介绍

1、更多企业学院： 中小企业管理理全能版183套讲座+897000份资料总经理、高层层管理49套讲座+116388份份资料中层管理学院院46套讲座+66020份资料国学智慧、易易经46套讲座人力资源学院院56套讲座+227123份份资料各阶段员工培培训学院77套讲座+ 324份资料员工管理企业业学院67套讲座+ 8720份份资料工厂生产管理理学院52套讲座+ 139200份资料财务管理学院院53套讲座+ 179455份资料销售经理学院院56套讲座+ 143500份资料销售人员培训训学院72套讲座+ 4879份份资料iMC UBAA用户行为审审计组件产品详细介绍产品概述iMC UBAA用户行为审审计

2、组件通过过与多种网络络设备共同组组网，用来对对终端用户的的上网行为进进行事后审计计，追查用户户的非法网络络行为，满足足相关部门对对用户网络访访问日志进行行审计的硬性性要求。UBA用户行为为审计组件提提供NAT11.0日志、FLOOW1.0日日志、NettStreaam V5日日志、DIGG日志的查询询审计功能，网网络管理员可可以根据网络络日志对上网网用户的网络络行为进行审审计。产品特点全面的日志采集集UBA用户行为为审计组件可可支持多种网网络日志的采采集（包括NNAT1.00、FLOW11.0、NetSttream V5），对对于不支持上上述日志的设设备，可以通通过设备的镜镜像端口或TTAP分

3、流器器采集网络流流量生成DIIG格式的日日志。分布式部署。UBA用户行为为审计组件采采用分布式的的体系结构，支支持多点采集集，统一Weeb界面审计计分析，可以以同时采集多多个设备的日日志信息，为为网络管理员员监控网络提提供了灵活有有效的支持。强大的日志审计计功能UBA用户行为为审计组件可可根据用户需需要，通过接接入用户名、上上网时间、用用户访问网页页的URL、ftp操作文文件及发送邮邮件的主题等等各种条件的的组合对网络络日志进行快快速审计，并并对审计结果果提供灵活的的排序、分组组、保存等功功能。网络管理员可以以从海量的网网络日志中精精确审计终端端用户的上网网行为。终端端用户何时访访问了某网站站

4、、何时访问问了某网页、发发送了哪些EEmail、向向外发送了哪哪些文件等信信息均可通过过日志审计得得出结果，日日志审计包括括：通用日志审审计：审计内内容包括接入入用户名、用用户上网起止止时间、来源源/目的IP地址、来来源/目的端口、使使用的协议及及应用名。 Webb访问审计：审计内容包包括接入用户户名、用户上上网起止时间间、来源/目的IP地址、端端口、用户访访问的站点、用用户访问的网网页等。 文件传输审计计：审计内容容包括接入用用户名、用户户传输文件起起止时间、来来源/目的IP地址、端端口、ftpp用户名、传传输文件名、传传输方式（上上传/下载）等。邮邮件审计：审审计内容包括括接入用户名名、邮

5、件发送送时间、来源源/目的IP地址、发发件人、收件件人、邮件主主题等。地址址转换审计：审计内容包包括接入用户户名、用户上上网起止时间间、来源/目的IP地址、来来源/目的端口、使使用的协议及及应用名、NNAT转换后后IP地址/端口等。图1-1 日志志审计界面 基于用用户的行为审审计结合EAD端点点准入解决方方案，UBAA用户行为审审计组件可高高效地管理网网络用户，建建立详细的用用户访问互联联网的日志，提提供行之有效效的网络管理理和用户行为为跟踪审计策策略，帮助管管理员分析用用户的上网行行为。 七层应应用审计端口不固定的应应用，如P22P等应通过过报文应用层层数据的特征征进行识别。基基于七层应用用

6、的识别和分分类，UBAA可基于用户户全面审计网网络中的七层层应用使用信信息。组件已经将大部部分常见的端端口不固定的的应用设定为为组件预定义义的应用，如如：BT、DC、eDonkkey、Gnuteella、 Kazaaa、MSN、QQ、AIM等。用用户可根据需需要，定义其其它的应用识识别。七层应应用识别只对对DIG日志有有效，对其他他类型的日志志无效。 任务式审计计UBA用户行为为审计组件提提供基于任务务的自动跟踪踪审计功能，可可以根据接入入用户名、用用户访问网页页的URL等各种种查询审计条条件灵活制定定审计任务。任任务一旦制定定，组件将自自动跟踪审计计当前时间段段内满足查询询条件的所有有用户及

7、日志志信息。审计计任务 包括：地址址转换、Weeb访问、文文件传输、邮邮件、通用等等多种类型。 日志转转储UBA用户行为为审计组件支支持对海量日日志进行转储储。用户可以以将敏感日志志和由于数据据库空间限制制无法存储的的日志定时导导出到数据文文件中进行异异地保存，同同时组件提供供转储日志查查询工具，用用户可直接对对转储日志进进行查询操作作。 审计报报表UBA系统提供供专业的报表表，包括访问问站点、会话话数、应用分分布、未知应应用的ToppN报表，SMTTP、HTTP、FTP的应用用分析报表，每每种报表都可可以按照天、周周等周期和图图形、列表等等形式输出。通通过使用这些些自带的报表表，管理员可可以

8、非常清楚楚的了解当前前用户对网络络的使用情况况。图1-2 用户户访问站点TTopN日报报表组网应用 NettStreaam/NATT/FLOWW日志审计组组网方式该组网方式可以以为宽带运营营商或教育网网提供网络日日志审计功能能，便于对访访问非法站点点的用户行为为进行跟踪。该该组网方式非非常灵活，可可以根据运营营商或教育网网等不同的运运营特点，实实现多种方式式的日志记录录与审计能力力。例如，如如果在Intternett出口需要作作NAT转换，并并且使用了HH3C设备的的NAT功能，用用户行为审计计组件就可以以接收NATT日志进行处处理。如果在在Interrnet出口口不需要做NNAT转换，则则可

9、以通过FFLOW格式式或NetSStreamm V5格式式的日志记录录用户的上网网行为。该组组网方式下，需需要配套设备备支持NATT、FLOW或NetSttream日日志输出。图1-1 NeetStreeam/NAAT/FLOOW日志审计计组网方式 DIGG探针组网方方式探针式采集器能能够与任何支支持端口镜像像功能的交换换机或集线器器配合，采集集网络中的报报文信息，并并为用户行为为审计提供统统计信息。该该组网方式最最大的优点在在于不用依赖赖于具体设备备，从而可以以更有效的保保护用户的已已有投资，主主要面向出口口容量不大的的教育或行业业用户。图1-2 DIIG日志审计计组网方式UBA用户行为为审

10、计组件是是H3C公司自自主开发的网网络日志审计计产品，用户户可以根据实实际需求选购购相应配置。型号产品描述H3C iMCC-智能管理理平台标准版版(不含节点)-纯软件(DVVD)必配。H3C iMCC-UBA用用户行为审计计组件(含1000用户户)-纯软件(CDD)对用户日志进行行审计时必配配，完成用户户日志采集、处处理、分析与与审计，提供供配置、告警警功能H3C iMCC-UBA用用户行为审计计组件10000用户Liceense费用用选配，10000用户Liceense费用用H3C iMCC-UBA用用户行为审计计组件50000用户Liceense费用用选配，50000用户Liceense费

11、用用H3C iMCC-DIG日日志探针组件件授权包费用用选配，配合探针针组网方式使使用性参数硬件平台用户行为审计服服务器： PC服务器：CCPU主频3GHz、CPU个数或或CPU核数2、内存6G、硬盘700G、48倍速光驱驱、10/1100/10000Mb自自适应以太网网卡、声卡探针：PC服务器：CCPU主频3GHz、内内存2G、硬盘盘100G、22个10/1100/10000Mb自自适应以太网网卡* 说明：CPPU、内存和和硬盘配置与与流量采集大大小直接相关关，根据具体体网络流量采采集大小确定定实际硬件配配置。操作系统用户行为审计服服务器： Windowss Servver 20003 /W

12、Windowws Serrver20008Red Hatt Enteerprisse Linnux 5 or 5.5DIG探针服务务器：Redhat AS5.00或ES 3.0操作系统统浏览器：IE 6及以上版版本、Firrefox 3.0及以以上版本。数据库Windowss 平台：SQLL Servver 20005，SQL SServerr 20088Linux平台台：Oraclle 11GG硬件配配置由网络规规模决定，具具体配置请咨咨询H3C当当地办事处。业界第一款应用用控制与行为为监管网关H3C SeccPath ACG（Appliicatioon Conntrol Gatewway）

13、是业业界识别最全全面、控制手手段最丰富的的高性能应用用控制网关，能能对网络中的的P2P/IIM带宽滥用用、网络游戏戏、炒股、网网络视频、网网络多媒体、非非法网站访问问等行为进行行精细化识别别和控制，保保障网络关键键应用和服务务的带宽，对对网络流量、用用户上网行为为进行深入分分析与全面的的审计，进而而帮助用户全全面了解网络络应用模型和和流量趋势，优优化其带宽资资源，开展各各项业务提供供有力的支撑撑。产品特点最全面的应用识识别能力通过H3C长期期积累的状态态机检测、流流量交互检测测技术，能精精确检测Thhunderr/Web Thundder（迅雷雷/Web迅雷雷）、BittTorreent、eM

14、ulee（电骡）/eeDonkeey（电驴）、QQQ、MSN、PPLivve等P2P/IIM/网络游游戏/炒股/网络视频/网络多媒体体等应用。精细化的流量管管理功能采用基于队列（Each Flow Queuing）的流量处理机制，通过通道、子通道、子通道下的子通道等区分服务模式，并结合时间段、用户/用户组、上行/下行、区域等，易于对每个业务“流”队列，设置不同的优先级策略，实现最小带宽、最大带宽、最大会话数、每会话带宽、新建连接数等控制，实现带宽借用、Qos优先级标记等，真正实现端到端的精细化流量管理。丰富的报表提供实时的业务务流量趋势图图、流量分布布图、Topp N用户列列表、Topp N应

15、用协协议列表等报报表，并支持持按照用户名名/用户组、使使用频度、使使用时段、应应用分类、应应用协议、流流量大小等进进行多维度组组合定制报表表，使用户能能全面掌握网网络中的流量量、应用和业业务分布，为为合理规划网网络、制定流流量控制策略略提供依据。完善的安全审计计系统可对各种P2PP/IM、网网络游戏、网网络多媒体、文文件共享、邮邮件收发、数数据传输、数数据库应用等等各种上网行行为提供全方方面的行为监监控和记录；同时，通过过综合分析、检检测用户网络络流量与流向向趋势，对历历史数据进行行分析，为用用户提供细粒粒度的网络应应用审计管理理系统。强大的过滤功能能通过自定义IPP地址、主机机名、正则表表达

16、式等方式式设置URLL特征库，支支持根据不同同的URL策略设设置不同的响响应方式，支支持根据时间间表对不同的的URL策略设设置不同的响响应动作，避避免保密信息息的外泄，免免受非法信息息的干扰，确确保网络的健健康使用。高性能、高可靠靠性基于新一代多核核CPU+FFPGA硬件件架构，业务务与转发相分分离，实现了了千兆级线速速业务处理能能力，仅有微微秒级时延；通过掉电保保护（PFCC，无源Byppass）、软软件二层回退退、双电源冗冗余等高可靠靠性设计，保保证SecPPath AACG在断电电、软硬件故故障或链路故故障、流量过过载的情况下下，网络链路路仍然畅通。及时的特征库更更新H3C专业特征征库团

17、队密切切跟踪应用变变化，并对应应用协议特征征库及时更新新；支持对协协议特征库的的在线自动/手动升级、本本地升级，且且升级过程无无需重启系统统，不影响系系统业务运行行。系统规格项目SecPathh ACG22000-MM管理接口1个Consoole口 + 2个GE Coombo口业务接口2个GE Coombo口（最最大2个GE Coombo口 + 166个GE电口）扩展槽2接口模块4GE电口/44GE光口/8GEE电口尺寸（高宽深）44mm 442mmm 4660mm额定功率150W电源1002400VAC/55060HHz可靠性支持二层回退、双双电源冗余、外外置掉电保护护环保标准通过欧盟严格的

18、的环保标准RRoHS认证证重量7.5 KgP2P应用识别别Thunderr/Web Thundder（迅雷雷/Web迅雷雷）、BittTorreent、eMulee（电骡）/eeDonkeey（电驴）等等IM应用识别QQ、ICQ、MSN MMessennger、Yahooo Messsengerr、新浪UC、阿里旺旺旺（淘宝版版）、飞信等等炒股应用识别大智慧、同花顺顺、指南针、证证券之星、钱钱龙、大策略略等网络多媒体应用用识别PPLive、PPStrream、QQLivve、沸点网网络电视、QQQLivee、沸点网络络、UUSeee、千千静静听等网络游戏应用识识别魔兽世界、QQQ游戏、联众众、

19、Halff-Lifee、劲舞团、征征途、梦幻西西游、泡泡堂堂等其他支持SQL SServerr/Oraccle等数据据库和Lottus nootes等企企业应用识别别行为审计支持对P2P/IM、网络络游戏、网络络多媒体、文文件共享、邮邮件收发、数数据传输等各各种上网行为为进行审计数据库审计支持对Oraccle、Sybasse、MySQLL、SQL SServerr等数据库的的审计URL过滤支持自定义IPP地址、主机机名、正则表表达式设置UURL库控制策略支持告警、限流流、阻断、干干扰、带宽保保障等控制策策略管理方式支持本地Webb图形化管理理、SecCCenterr集中管理在线部署 适适用于大

20、中型型企业用户，以以透明方式在在线部署于网网络出口；无无需改变网络络拓扑 对对P2P/IIM/网络游游戏/炒股/网络视频/网络多媒体体/非法网站访访问等各种应应用进行监控控和管理，保保障关键应用用和服务的带带宽 对对用户上网行行为进行分析析与审计 支支持MPLSS/GRE/L2TP/VLAN/PPPoEE等复杂网络络环境；支持持多台分布式式部署的统一一管理旁挂部署 适适用于大中型型企业用户，以以旁挂方式部部署于核心设设备旁；不影影响网络结构构，部署简单单 对对用户P2PP/IM/网网络游戏/炒股/网络视频/网络多媒体体/非法网站访访问等的流量量、行为进行行分析及审计计 支支持MPLSS/GRE

21、/L2TP/VLAN/PPPoEE等复杂网络络环境；支持持多台分布式式部署的统一一管理1) SSecPatth ACGG2000-M主机选购购一览表项目数量备注SecPathh ACG22000 -M主机1必配HIM接口模块块02选配（支持4GGE、8GE两种接接口卡）H3C SeccPath PFC主机机设备01选配（需配置PPFC接口模模块）H3C SeccCenteer组件-ACGG Manaager应用用控制与审计计管理系统-纯软件(CDD)01选配H3C SeccPath ACG20000-M/H3C SSecBlaade ACCG 应用识识别特征库升升级服务-11年无限制选配(2)

22、 SecPaath ACCG20000-M主机HIM接口模模块选购一览览表接口模块描述备注4端口10/1100/10000Basse-T接口口模块02选配4端口10000M以太网光光接口模块02选配，须另配SSFP模块8端口10/1100/10000Basse-T接口口模块02选配(3) SecPaath PFFC主机接口口模块选购一一览表接口模块描述备注H3C SeccPath PFC 88电口保护模模块01选配H3C SeccPath PFC 44光口保护模模块04选配H3C SeccPath U200-S统一威胁胁管理产品H3C SeccPath U200-S是H3C公司面面向中小型企企

23、业/分支机构设设计的新一代代UTM（Uniteed Thrreat MManageement，统统一威胁管理理)设备，采用用高性能的多多核、多线程程安全平台，保保障全部安全全功能开启时时不降低性能能，产品具有有极高的性价价比。在提供供传统防火墙墙、VPN功能基基础上，同时时提供病毒防防护、URLL过滤、漏洞洞攻击防护、垃垃圾邮件防护护、P2P/IM应用层层流量控制和和用户行为审审计等安全功功能。H3C公司的SSecPatth U2000-S不仅仅能够全面有有效的保证用用户网络的安安全，还支持持SNMP和TR-0669网管方式式，最大化减减少设备运营营成本和维护护复杂性。产品特点市场领先的安全全

24、防护功能l 完善的防火火墙功能：提提供安全区域域划分、静态态/动态黑名单单功能、MAAC和IP绑定、访访问控制列表表（ACL）和攻攻击防范等基基本功能，还还提供基于状状态的检测过过滤、虚拟防防火墙、VLLAN透传等等功能。能够够防御ARPP欺骗、TCPP报文标志位位不合法、LLarge ICMP报报文、CC、SYN fflood、地地址扫描和端端口扫描等多多种恶意攻击击。l 丰富的VPNN特性：支持持L2TP VPN、GRE VVPN、IPSecc VPN等等远程安全接接入方式，同同时设备集成成硬件加密引引擎实现高性性能的VPNN处理。l 实时的病毒毒防护：采用用Kaspeersky公公司的流

25、引擎擎查毒技术，从从而迅速、准准确查杀网络络流量中的病病毒等恶意代代码。l 实时的垃圾圾邮件防护：可以拦截垃垃圾邮件，净净化邮件系统统，解决垃圾圾邮件对正常常工作的干扰扰问题。l 先进的URLL过滤：实现现基于用户的的URL访问控控制，防止因因浏览恶意或或未授权的网网站(如网络钓鱼鱼攻击网站)而带来的安安全威胁。l 全面的流量量管理：能精精确检测BiitTorrrent、Thundder（迅雷雷）、QQ等P2P/IIM应用，提提供告警、限限速、干扰或或阻断等多种种方式，保障障网络核心业业务正常应用用。l 细致的行为为审计：可对对各种P2PP/IM、网网络游戏、邮邮件和数据传传输等行为提提供细致

26、的监监控和记录，实实现细粒度的的网络行为审审计管理。l NAT应用：提供多对一一、多对多、静静态网段、双双向转换 、Easy IP和DNS映射等等NAT应用方方式；支持多多种应用协议议正确穿越NNAT，提供供DNS、FTP、H.3233、NBT等NAT AALG功能。电信级设备高可可靠性l 采用H3C公司拥拥有自主知识识产权的软、硬硬件平台。产产品应用从电电信运营商到到中小企业用用户，经历了了多年的市场场考验。l 支持双机状状态热备功能能，支持Acctive/Activve和Activve/Passsive两两种工作模式式，实现负载载分担和业务务备份。l 36年的平均均无故障时间间(MTBFF

27、)智能图形化的管管理l 简单易用的的Web UUI管理。l 支持基于SNNMP和TR-0669协议的管管理。l 通过H3C UTM管理理软件实现统统一管理。l 通过H3C SecCeenter安安全管理中心心实现统一管管理。组网应用l 多功能集成成，实现全网网应用层安全全防护l 多核、多线线程硬件平台台，具有强大大的处理能力力l 双机状态热热备技术，高高可靠网络设设计l 统一Web界面，降降低管理复杂杂度H3C SeccPath U200-M统一威胁胁管理产品H3C SeccPath U200-M是H3C公司面面向中小型企企业/分支机构设设计的新一代代UTM（Uniteed Thrreat M

28、Manageement，统统一威胁管理理)设备，采用用高性能的多多核、多线程程安全平台，保保障全部安全全功能开启时时不降低性能能，产品具有有极高的性价价比。在提供供传统防火墙墙、VPN功能基基础上，同时时提供病毒防防护、URLL过滤、漏洞洞攻击防护、垃垃圾邮件防护护、P2P/IM应用层层流量控制和和用户行为审审计等安全功功能。H3C公司的SSecPatth U2000-M不仅仅能够全面有有效的保证用用户网络的安安全，还支持持SNMP和TR-0669网管方式式，最大化减减少设备运营营成本和维护护复杂性。产品特点市场领先的安全全防护功能l 完善的防火火墙功能：提提供安全区域域划分、静态态/动态黑名单单功能、MAAC和IP绑定、访访问控制列表表（ACL）和攻攻击防范等基基本功能，还还提供基于状状态的检测过过滤、虚拟防防火墙、VLLAN透传等等功能。能够够防御ARPP欺骗、TCPP报文标志位位不合法、LLarge ICMP报报文、CC、SYN