*

基本要求

基本要求

部署模式

系统部署简单，支持旁路或串联部署，支持命令行与*/*模式管理，提供系统首页图形化展示功能，可展示设备面板状态、***状态、内存状态、硬盘状态、在线用户、报警统计等信息；部署模式切换无需重启，不影响设备正常使用。

兼容性

支持国产信创服务器和**电脑

售后保证

整套硬件系统五年维保和病毒库、特征码的升级服务。

设备可靠性

设备提供硬件******功能，支持双操作系统冷备、双机热备，在单机模式下，提供独立系统逃生工具。

设备准入

支持准入设备黑/白名单管理，可根据所应用的不同准入模式，设置黑/白名单终端**、***、协议、端口、****号等信息，以便针对该名单中设备进行入网控制。

入网终端健康检查

支持入网终端健康检查，对检查项可进行权重、修复向导自定义设置。

检查项包括：系统时间检查、系统运行时长检查、*****用户检查、*******文件共享检查、*******防火墙检查、必须/禁止运行进程检查、必须/禁止运行服务检查、必须/禁止安装软件检查、杀毒软件版本（小红伞、瑞星、金山毒霸、卡巴斯基、诺顿、***杀毒）等。

外联检测

支持终端非法外联监控，可判断通过****、******、****等方式检测主机违规外联行为，给予违规处理方式（不处理、重启、断网、提示），并信息提示。

支持******* **端的外联行为进行检测，包括拨号行为，使用双网卡，无线网卡，连接非法****，**网卡，使用非法网关，连接外网，使用代理，以及自定义非法外联，等行为进行检测，对违规的用户可禁止上网。

资产管理

支持资产管理功能，可管理不同类型入网资产；

支持提供交换机网络设备管理功能，可查看交换机设备接口状态、主机连接等详细信息。

支持对入网资产可发现、可审批入网。

支持将识别的资产自动或者手动添加只至资产管理页面，可以对资产进行新增、删除、移动、批量导入、导出、加入组织结果、清空、查询等操作。

*

硬件性能

性能指标

采用专用硬件架构与专用安全操作系统（非*******平台），设备≥**高度，≥*个千兆电口，≥*个千兆或万兆光口；
内存大小：≥****，硬盘容量：≥***** ***+≥***存储，
冗余电源。

性能参数：
网络层吞吐量（大包）：≥***，应用层吞吐量：≥*****，带宽性能：≥*****，支持在线用户数：≥****，
标配准入终端数：≥****个，
准入终端数的扩容上限：≥****个

*

网络适应性

分时分区上网

支持用户拥有多个网络区域访问权限时，可以实现用户在任意时刻只能访问一个网络，切换网络需要用户点击切换按钮，无需管理员干预，在不影响多网络使用的同时，实现网络逻辑隔离，加强网络访问安全。

支持自定义*个网络区域（*个自定义区域+互联网区域）。

支持根据域名划分网络区域。

双机模式

支持两台及设备同时做主机的部署模式；

桥模式下必须支持接口联动，配置同步；

网络功能

支持基于应用层服务和****的策略路由，可基于**、国家列表、***自动地址表和域名来控制目的地址；

支持***自动地址表（电信、移动、网通、铁通等）的策略路由的选路方式；

支持基于轮询的多链路负载均衡算法；

支持**** ******/******；支持静态路由、***、****透传、单臂路由。

支持基于链路的上行、下行、总流量自动均衡的多链路负载均衡算法，支持基于固定指派链路的自动均衡算法，支持基于最佳路径的多链路负载均衡算法；

代理功能

支持****代理、*****透明代理、全透明代理、二级代理、***代理、***缓存

*

设备管理

设备登录

必须支持***加密方式登录设备，支持***管理。

网关策略

支持基于**的网管策略，防止恶意**探测攻击设备，增加网关的安全性。

管理认证

支持通过******、**、****等认证后才能登录设备。

排障工具

支持提供图形化排障及抓包工具，操作界面友好、具有可管理性，管理员可进行准入系统的维护、升级、诊断分析等操作；

支持图形化方式展示各类型数据所占磁盘状态，并提供备份、恢复、清理功能，便于管理员排查策略错误等故障。

支持一键下载设备健康信息，当设备发生故障时如丢包、宕机、异常重启等问题时可以通过设备健康信息获取有效数据，能够快速定位问题。

集中管理

行为管理支持分布式部署，通过部署集中管理平台，加入集中管理设备之后，可以实现策略下发、设备状态监控、设备日志、用户日志上传。

终端信息认证

支持终端信息绑定认证，能够直接显示已认证且在组织结构中、已认证但不在组织结构中、以及未通过的认证的用户状态。

支持以用户名、所属组、终端**、终端***、用户名、用户类型、绑定检查、时间、交换机**、交换机端口、终端硬件**等多要素信息等参数查询用户。

*

安全防护

安全策略

支持基于策略方向、源地址、目的地址、服务、生效时间的安全策略。

***规则

支持内网代理、一对一地址转换、端口映射、服务器池、*****、*****。

移动终端接入类型管控

支持接入的移动终端区分出***终端、安卓终端，并可以根据所区分出的终端类型设置告警和拒绝动作。

防***欺骗

支持***欺骗防护，支持***保护对象以及***广播间隔设置。

***/****防护

支持***/****防护功能，支持***洪水攻击防护，基于数据包攻击、异常报文侦测和扫描防护等功能。

*

****

****网络配置

支持****和****在一个系统版本内，同时支持**和**网络；

支持接口配置****地址、支持****地址簿、支持****策略路由、*****、*****、*****等相关配置

****审计

支持****流量审计

****控制

支持****环境下认证、流量控制、行为控制和防火墙策略

*

无线环境管理

** ***地址获取

支持** ***地址获取，支持读取用户真实***

*

用户管理

自动创建用户和绑定

对于未创建的用户，可根据其** 地址、***地址、主机名或者**** **等作为新用户名自动创建帐户，并可同时绑定 **、绑定 ***、绑定 **+***、绑定****，并自动分配到指定用户组，享有指定网络权限。

对于创建好的用户也支持绑定 **、绑定 ***、绑定 **+***、****绑定。

支持用户认证时强制绑定手机/邮箱。

离线用户到期自动删除

支持自动删除离线时间超过指定时间的用户，可根据分钟、小时、天来设置指定时间的单位与范围。

用户密码策略

支持认证用户首次登陆修改密码，支持自定义密码复杂度（包括长度、英文字母、数字、特殊字符的多种组合方式），另外支持密码有效期。

*

用户管理

******* 协议扫描

可通过 ******* 协议扫描内网的主机信息，扫描结果将列出每个主机的 ** 地址、***地址和主机名等，然后可以将其加入某个用户组中，逐步完善组织结构的管理。

跨三层***识别

支持通过****服务读取下层三层设备的***表象获取客户真实的***地址。

基于***免认证

支持基于识别***地址来实现免认证，可全局或者局部用户配置免认证。

支持指定免认证有效期，或者在有限期内登录更新有效期两种模式。

单点登录

支持**、****、*****、*****、 *** ***/****、锐捷 ***、城市热点、***认证、深信服或天融信***和***平台等系统进行认证单点登录，简化用户操作；

第三方服务器认证

支持**域、****、******、****、*****等第三方认证服务器；

****双因子认证

支持****工具实现双因子认证，可实现免认证（只插****，不需认证），和特权用户（不审计、不管控）。

**

行为管控

告警

设备内存、***、会话、接口速率支持告警设置；

支持时间告警，支持黑名单告警；

支持违规网站、违规搜索、违规帖子、违规上传、违规邮件、还有潜在威胁的告警行为；

告警策略要支持******、短信、邮件、日志记录，以及任意的方式组合。

白名单

支持***白名单，添加到白名单的***不受策略控制和审计。

支持**、用户/用户组白名单，添加到白名单的**不受策略控制和审计。

白名单策略可实现基于时间段的控制。

支持设置完全放通（不审计，不控制），或者审计但是不统计和控制流量。

加密网站识别和控制

支持*****网站识别，支持加密网站搜索，支持***论坛加密发帖内容识别，支持基于关键字的控制。

支持授权证书的推送和下载后双击可自动执行安装；

支持基于授权签名的方式实现*****审计免除告警的行为。

**

流量管理

基于连接数限制

支持每个用户的源，服务等，进行最大上下行会话数控制，避免网络滥用

智能带宽

可根据预设总带宽，实时智能识别策略匹配上线用户，并依照预设总带宽将流量对匹配用户进行智能平均分配。

**

安全准入

计划任务规则

可以针对******* **端，设置任务计划，在指定的时间执行指定的任务。

杀软规则

支持对******* **端的杀毒软件的安装情况，以及版本进行检测，并设定规则，对于违规操作的用户可选择禁止上网，或者仅记录。

外联控制

支持控制******* **端访问指定的**地址范围，或者不允许访问指定**地址范围

外设管理

支持设置移动存储，网络设备，蓝牙设备，摄像头，打印机，等外设设备的允许或者阻止，并可以设置外设白名单。

广告弹窗拦截

支持阻拦终端用户的广告弹窗，至少支持******、快压、***安全卫士、***画报、金山毒霸、热点资讯、今日热点等广告弹窗。

可与同公司的终端检测防御系统实现联动

支持与同公司的终端检测防御系统联动，实现安装了终端检测防御系统的终端才能入网，没有安装的不允许入网。

进程准入

支持检测******* **是否运行，或者没有运行配置要求的进程，如符合准入要求，可放行终端入网，否则禁止。

**

上网日志分析

独立报表中心

为了日志安全性，设备必须支持独立硬盘存放审计日志，不能与审计系统共用硬盘。

内置报表中心

设备必须支持内置报表中心，默认自带数据库无需再安装数据库。

日志备份

支持通过集中管理平台或者***方式备份日志。

******

支持记录用户******访问行为，记录访问的人员、命令信息。

数据库审计

支持记录数据库的执行***语句等信息

阻断记录

支持防火墙模块阻断、流量模块阻断、行为管控模块阻断记录

会话日志

支持所有访问的会话日志记录，包括: 源**、目的**、协议类型、七层应用名称、源端口、目的端口、是否进行 *** 转换(可显示转换后的 ** 和端口)、会话产生的时间和会话持续时间.

个人统计分析

基于个人的所有行为监控报表，包括：网页标题记录、发贴记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、***访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件记录（详细内容、附件）、***登录信息/上传记录/下载记录；

接入日志记录

支持记录用户认证日志，包括用户名、**/***、时间等信息；

支持详细的黑名单、防共享和终端发现日志，查看匹配策略记录和终端等信息；

支持记录合规准入的详细信息，包括用户名、**/***、时间、策略名称、规则类型、违规类型和详情等信息。

**

用户行为分析

失陷主机监测

支持检测网络中的失陷主机，并依据风险程度，区分出高风险主机和潜在风险主机。

上网态势分析

从内网整体网络的宏观角度展现网络使用概况、上网目的地分布、热门应用流量分布、网站类型分析、终端类型分析、在线人群趋势、高风险任人群排名、违规行为统计等多维度全方位展现网络的使用综合态势，给网络管理提供依据

**

日志外发

******

系统能够支持多个******等第三方日志服务器系统。