网康、深信服的功能对比
本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考。
参数列表 基本参数 厂商及产品简介 网康科技公司,总部在北京,国内第一家专业“上网行为管深信服科技公司,总部在深圳,以IPsec-VPN起家,后来理”设备生产厂家;网康ICG是国内“上网行为管理”一线做SSL-VPN、防火墙和UTM。其UTM产品功能较多,其中包品牌,其主要特点是URL库、应用库庞大,性能稳定,功能含有上网行为管理功能。 配置灵活,界面友好易操作等;在日本及中亚市场也占有相当份额。 产品形态 避免单点故障 软硬件一体产品 1. 支持断电Bypass功能; 2. 支持非断电模式下的智能硬件bypass功能,任何故障均保障网络畅通; 3. 设备面板有一键按钮bypass 4. 开机和关机过程中自动切换bypass。 支持硬盘发生故障时,设备可以切换到备份系统,由备份系统执行互联网行为管控功能; 硬盘发生逻辑损坏时,设备支持自修复功能; 软硬件一体产品 仅某些型号支持硬件bypass; 不支持软件bypass和一键bypass功能。 开机和关机过程中无bypass功能。 网康科技 深信服 系统冗余容错 仅硬盘上存有操作系统 部署方式 (1) 产品可通过透明桥接、网关、旁路三种方式接入网络。 支持网关、单/双路串接、镜像旁路等部署方式 (2) 产品在透明网桥接入模式下,支持双链路、双网桥部署。 (3) 产品在网关模式下,支持DNAT内网IP/端口映射,便于外部用户访问内网主机。 (4) 支持通过集中管理平台对分布部署的设备进行统一策略制定与管理。
(5) 支持外置日志中心,可以实现离线日志查询。 代理服务器功能 可作为专业代理服务器部署,实现员工通过代理上网; 支持HTTP代理功能,并可自定义代理端口; 支持HTTPS代理,可自定义安全端口; 支持SOCKS代理,并提供代理认证功能; 可以设定缓存大小、缓存有效期、不缓存网页列表,并实时监控请求数、命中率等代理服务状态。 不支持 用户管理功能 用户管理 以树状架构对用户进行管理,实现完全按照企业的组织结构多级划分用户组; 且支持横向逻辑权限组,大大提高管理方便性; 支持IP段自动分组; 支持用户信息外部导入; 支持二层和三层网络环境下的IP/MAC绑定,且实现该功能无需安装客户端; 可基于IP进行用户的身份识别; 可基于MAC地址进行身份识别; 支持无客户端的AD域用户识别; 支持POP3邮件账号用户识别; 支持Kerberos单点识别; 支持PPPoE认证账号单点识别; 可识别BASIC、NTLM方式的代理服务器的用户; 支持第三方用户信息识别。 支持微软AD域的联动认证; 支持LADP服务器的联动认证; 支持Radius服务器的联动认证; 支持POP3认证;支持ESMTP认证; 支持客户端本地认证;支持互联网准入认证。 以树状架构对用户进行管理;不支持用户导入,但可以手工批量生成用户; 支持IP/MAC跨三层绑定; 用户识别 可基于IP进行身份识别; 可基于MAC地址进行身份识别; 支持AD域用户识别; 支持POP3邮件账号用户识别; 用户认证 支持微软AD域的联动认证; 支持LADP服务器的联动认证; 支持客户端本地认证;支持互联网准入认证; 支持网关设备本地Web登录认证方式; 可定义免认证IP网段; - 2 -
支持网关设备本地Web登录认证方式; 提供与第三方认证系统联动的接口; 可与华三CAMS系统联动实现单点认证。 可为不同IP网段开启不同的用户认证方式; 同一IP网段可同时开启多种认证方式。 可控制认证账号是否可在多台计算机设备上同时登陆; 支持认证账号黑名单控制; 支持认证账号有效期控制,到期后账号自动失效; 可定义免认证IP网段,支持用户访问指定的服务器无需认证; 支持用户自定义认证窗口的提示信息; 用户可修改自身LDAP认证密码; 用户每日上网时长限额 可限定每个用户在一天之内累计上网时间额度; 可单独控制用户的某项互联网应用每日上网时长限额; 可同时控制用户的多项互联网应用每日上网时长限额; 可限定每个用户在一天之内累计上网时间额度;但不支持对单个应用设置策略; 网页过滤功能 URL库规模及准确率 提供全球最大的中文URL分类库,规模达1400万条,分类精准率接近100% 支持43个一级分类,以及8个二级子分类。对google搜索引擎任意关键字的前100条搜索结果,ICG的网页分类识别率高达95%以上。 URL库规模声称1000万,实际不足400万,且不支持二级分类,分类精准率不足50%。 URL库时效性 URL过滤能力 URL库每天更新300万条;客户可设置自动升级或手动更新;支持URL库更新 且支持客户未分类URL回传再分类; 支持基于预分类的URL类别进行过滤控制;支持用户自定义网站类别过滤; 支持URL类别的二级子类控制; 支持对以IP方式访问网站过滤控制; 支持基于网站分类过滤HTTPS加密的网站; 支持基于预分类的URL类别进行过滤控制;支持用户自定义网站类别过滤; 支持过滤HTTPS加密的网站; 支持基于URL关键字进行过滤控制; 对于违反策略的网页访问,支持弹出警示页面; - 3 -
支持基于URL关键字进行过滤控制; 支持基于文件类型进行过滤控制; 支持基于网页文件大小进行过滤控制; 对于违反策略的网页访问,支持弹出警示页面,警示页面内容支持自定义; 支持网站黑、白名单设置; 支持网站黑、白名单设置; 应用封堵功能 协议库组织架构及规模 封堵P2P下载 三级树状应用协议分类架构,清晰易懂,支持14大类,260种协议; 能够准确识别并封堵近30种P2P应用,如:迅雷,BT,电驴等; 对于加密的下载协议也能识别控制; 仅支持平面级别的二级分类,支持近250种协议 能够识别10余种P2P应用 封堵IM即时通信 支持QQ、MSN、网易泡泡、Skype、飞信、淘宝旺旺、新浪UC等多种聊天工具; 对于每一种应用的子协议,如聊天、文件传输、视频,能够进行独立控制 封堵网络游戏 封堵炒股软件 封堵网络电视 基于应用控制用户每日上网时长 支持对近40种流行网络游戏的识别和封堵,如魔兽世界、梦幻西游、联众、浩方等; 支持对近20种主流炒股软件的识别和封堵,如:大智慧,同花顺,钱龙等; 支持对近35种流行网络电视的识别和封堵,如:PPLive,土豆网,酷6,6间房等; 支持 支持QQ、MSN、网易泡泡、Skype、飞信、淘宝旺旺、新浪UC等多种聊天工具; 支持30种网络游戏 覆盖度不足 覆盖度不足 不支持 不支持 网页非WEB浏览支持 控制(网页视频、网页游戏等) 流控功能
- 4 -
带宽通道管理 支持基于带宽通道的流量控制,可设定多个不同的带宽通道,支持基于带宽通道的流量控制,可设定多个不同的带宽通每个带宽通道提供保障速率和突发速率; 道;支持带宽通道优先级的定义,但仅有3个优先级; 支持带宽通道优先级的定义,保障核心业务拥有带宽保障; 支持空闲带宽借用,实现带宽资源统计复用; 可设置基于人/部门的带宽管理策略; 可设置基于应用的带宽管理策略,避免非业务应用对主流应用的影响; 可设置人/部门某一种或多种应用的组合带宽策略; 可设置部门成员的平均带宽策略,避免个体成员独占部门带宽; 可根据时间段设置带宽管理策略; 可设置基于人/部门的带宽管理策略;可设置基于应用的带宽管理策略; 可设置人/部门某一种或多种应用的组合带宽策略;可设置部门成员的平均带宽策略,避免个体成员独占部门带宽; 带宽策略设置 外发内容过滤 邮件过滤 可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件; 可以控制用户禁止发送主题或正文包含某关键字的邮件,且对主题和正文关键字可分别控制; 可禁止外发附件名称包含某关键字的邮件; 可控制允许外发邮件附件的大小范围; 可以控制用户发送邮件; 不支持邮箱账号、收信方邮箱域名,以及附件名称过滤邮件外发行为; 可以控制用户禁止发送主题或正文包含某关键字的邮件; 不支持 仅可基于文件类型控制HTTP和FTP的文件下载、上传行为;不支持IM文件传输内容过滤; 支持发帖关键字过滤,但不支持报警 不支持基于搜索类别的关键字搜索过滤 IM即时通讯过滤 可基于聊天账号、传输文件名称和类型过滤IM即时通讯内容。 文件传输过滤 论坛发帖过滤 搜索引擎关键字过滤 支持HTTP、FTP、邮件附件、IM、论坛发帖附件、FlashGet等文件传输内容过滤; 基于时间段、用户群、发帖地址、发帖内容关键字过滤敏感信息外发行为;可向管理员发出邮件报警信息。 可基于关键字搜索类别过滤搜索引擎的关键字搜索行为。 实时监控审计 设备运行监控
提供全面的设备运行状态信息,包括设备负载、设备持续运可实时监控设备的运行状态,包括CPU、内存、硬盘等信息; - 5 -
网康、深信服上网行为管理功能对比解析
