华三H3C ACG1000-EE应用控制网关设备 NS-SecPath ACG1000-EE(H3C SecPath ACG1000-EE 应用控制网关设备(12GE电口+12SFP+4SFP+))
H3C SecPath ACG1000系列应用控制网关
SecPath ACG1000系列是H3C推出的最新一代应用控制网关。该产品可以路由模式、透明桥接模式、旁路模式以及混合模式部署在网络的关键节点。其融合了应用控制、行为审计、网络优化等全面功能,为用户提供一个综合、完整的全业务应用场景解决方案。
SecPath ACG1000系列采用了MIPS多核架构。在硬件架构上运行了虚拟OS,其高效并行调度算法和内存管理机制在提高流量转发报文效率的同时,也对数据进行2-7层的全面检查和分析。
可深度识别、精准管控和高效审计IM聊天软件、P2P下载软件、炒股软件、网络游戏、流媒体、在线视频等近千种常见应用。
利用多级七元组流控、精准阻断、智能路由等技术使其拥有强大的带宽管理特性。
配合清晰日志管理、无线场景上网合规等功能,为用户提供了最全面、最清晰、最直观的上网行为解决方案。
产品特点
快速部署
针对企业存在多个分支需要互联,前端大量设备亟待上线,如何实现业务快速部署,如何屏蔽一线技术水平的参差不齐,成为管理员最头疼的问题。SecPath ACG1000系列推出了U盘零配置上线功能,根据管理员预先定义好的配置信息,通过U盘零启动的方式,直接解密加载配置信息,大大减少了前端运维人员的压力以及配置上线的阻力。部署快易、配置准确、方法简洁。
全面高端管理
传统的账号密码设备管理方式安全性较低,容易被黑客截获破译,且认证唯一性难以保障。SecPath ACG1000系列产品提供双因子认证功能,用户登陆设备界面时,需在PC终端插入U-Key,同时进行账号密码校验,此功能极大的提高了网络设备的安全性,且操作简单,携带方便。
SecPath ACG1000系列产品内置中文、英文两种语言,管理员可根据场景需求,切换使用界面的语种,可完全适应海外市场。
SecPath ACG1000系列产品可将管理模式切换为三权模式,切换后每个管理账号被赋予不同的权限,相互之间形成权限制约,制约超级管理员权限,保障设备安全。管理员之间各司其职、分工明确。
一体化策略管理
SecPath ACG1000系列产品的策略配置集成应用控制、行为审计、身份认证、安全防护等多个维度于一体,一条策略即可完成多个功能模块配置,可以根据不同的管控需求,为不同的用户定制不同的管理策略,灵活方便,维护简单。
全面身份认证
H3C以用户需求为导向,实现了丰富的身份认证手段:
本地认证:Web 认证、用户名/密码认证、IP/MAC/IP-MAC 绑定;
单点登录:标准AD 域,一次登录,多次认证;
第三方认证:RADIUS、LDAP等;
APP认证:不需要借助数据中心软件,无需APP修改,避免协调沟通成本;
微信认证:连接商家WIFI,自动弹出“一键微信连WIFI”并关注微信公众号;
混合认证:界面配置选择多种认证方式,用户可根据需要更换认证方式;
免认证:用户免认证上线。
多业务高性能
SecPath ACG1000系列产品采用先进的多核架构,结合H3C的安全操作系统,采用协议特征库树形存储、流扫描处理、并行DPI/DFI等技术,整个解析过程一次完成,保证开启多项行为管理功能后依然保证高速低时延的处理。
快易可靠的VPN安全互联
SecPath ACG1000系列产品的VPN模块具有业界领先技术,在复杂网络环境下大大简化了管理员的维护工作量。配合集中管理和数据分析系统,可实现VPN快速零配置上线,隧道接口感兴趣流等无需配置自动协商,整个VPN网络全自动收敛,自适应多线路,完美的解决了分支运维能力弱的问题。创新的推出了IPsecVPN冷备份,在提供数据加密的同时,提升了数据传输可靠性。而独创的主备切换0丢包技术,可实现TCP业务不中断,完美的实现HA切换VPN业务不中断。
SecPath ACG1000系列产品支持4G网络并支持4G IPsecVPN加密连接,无需改变原有网络架构,在主线路故障时主动承接和中心端的网络加密通信,具备数据完整性、数据传输安全、高性价比、网络无改变等特性,可让管理员高枕无忧。
细致的网络应用管理
SecPath ACG1000系列产品上网行为管理控制层面不再局限对网络应用的阻断,更能深入识别应用的内置动作。例如对QQ的控制力度不仅仅是“登录动作”,更可识别到“收文件”、“发文件”、“收消息”、“发消息”、“注销”、“语音”“所有动作”等精细化动作,对微信也可识别控制多种行为动作,通过对应用的更精细化管理让网络更有序。
精细的带宽管理
SecPath ACG1000系列产品采用基于应用特征库等七元组流控、精准阻断、智能路由等技术,将网络出口带宽划分为逻辑通道,并支持在通道中再划分子通道,完美进行带宽限制和带宽保障。同时支持将类型复杂的网络流量分布到不同的网络出口转发,是企业提升带宽利用率、保护带宽投资的最佳利器。
基于用户的行为轨迹跟踪分析
通过对用户网络账号、行为动作、上网设备及时间等多维度信息进行关联数据分析,H3C上网行为与管理产品真正实现了基于用户的上网行为管理与审计的可视化,将用户的上网行为轨迹清晰直观的加以呈现,有助于网络管理人员制定更有针对性的网络管理策略,保障网络资源的合理有效利用和工作效率提升,自学习型和模糊匹配是其两大特色。
自定义应用
针对审计设备应用库中不存在的应用(OA、ERP等),设备无法对其进行审计、控制。SecPath ACG1000系列产品支持针对某一个非知名应用的某一个特征,利用URL、端口、IP、域名等多维度自定义应用,并支持策略配置与审计。扩大管理员的审计范围,做到非知名应用的透明审计。
智能APP应用缓存
SecPath ACG1000系列产品创新的将APP缓存在设备本地,当用户下载时直接推送,几十M的文件只要几秒钟,极大的提升了出口带宽利用率的同时大大加速了用户下载速率,提升了用户体验;并且支持iOS和安卓APP的缓存,支持精确缓存、动态缓存、自动更新APP、模糊匹配,业界技术领先;在低成本的投入下同时为客户的终端营销推广开辟了新的方向。配合APP身份认证,可强制推广商户的APP,提高商户的APP安装率,拥有更多的可转化潜在用户。
广告推送
SecPath ACG1000系列产品支持对用户进行广告推送的功能。支持自定义广告类型、内容、位置,PC最多支持三个方位的广告定制,终端支持全屏广告,广告推送作为电子商务营销阶段的应用,具有灵活性、互动性和目标受众准确的特点,极大的降低了广告投放的费用,广告推送为大量的广告主服务,把互联网广告以合适的方式推送给合适的消费者,广告投放的精准性高,转化率高。
清晰的事后审计
SecPath ACG1000系列产品支持详细、清晰、易用的日志特性,可以全面记录审计用户上网行为、使用流量、访问网站、所用终端系统及设备类型平台等信息;日志支持定制化过滤器,可根据IP地址、认证用户、访问应用、访问URL、发帖内容等要素进行搜索,让事后审计省时省力。同时,SecPath ACG1000系列产品提供丰富美观的报表,以柱状图、饼状图、百分比等形式最直观地体现网络运行状况,让网络管理规划有据可循、有的放矢。
SSL网站解密&邮箱解密
为了保障企业有清晰的事后审计,保护企业机密,SecPath ACG1000系列产品提供了HTTPS审计和邮箱解密功能,SecPath ACG1000系列产品采用特有的加密流量识别技术,能够对主流的加密网站、加密网站搜索记录、加密邮件等进行行为识别。管理员可以采用自定义的方式,定向审计用户和加密网站,让网络运行情况更加清晰明了。
DNS透明代理
业务告警
无线非经合规
根据国家GAWA3011.(1~5)-2015公共场所无线上网安全管理系统无线上网接入要求规范,如咖啡馆、酒吧、KTV等提供网络接入的公共场所,需实现规范的准入管理制度,上传审计信息到网监后端平台,否则会面临业务下线、停业整改、罚款等风险。
SecPath ACG1000系列产品提供无线非经合规特性。并可适用于集中式部署、分布式部署、旁路对接多种场景,从而易于客户网络平滑升级。公安部提出了标准要求,但各地市的对接标准不一,后端对接厂商众多,也给客户带来了升级困扰。SecPath ACG1000系列产品支持任子行、派博、洪旭、爱思、网博等多家主流后端对接厂商平台,对接地区广,对接经验丰富。有在银行、运营商、零售连锁等多种场景丰富的对接经验,超高的应用识别率、定制开发能力,为客户场景的安全合规提供保障。
产品规格
硬件规格
| 项目 | SecPath ACG1000-BE | SecPath ACG1000-BE-PWR | SecPath ACG1000-SE | SecPath ACG1000-SE-PWR | SecPath ACG1000-TE |
| 管理接口 | 任一业务接口 | 任一业务接口 | 任一业务接口 | 任一业务接口 | 专用带外管理GE口 |
| 接口数量 | 10GE+1SFP | 10GE+1SFP(支持4口POE Port 7-10支持POE) |
4GE(Combo)+10GE | 4GE(Combo)+10GE(支持8口POE Port 6-13支持POE) |
12GE(光)+12GE(电 |
| 尺寸(长×高×深/mm) | 320*44*205 | 320*44*205 | 440*44*263 | 440*44*263 | 440*44*263 |
| 额定功率 | 25W | 25W+60W | 25W | 25W+120W | 120W |
| 电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
| 可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
| 项目 | SecPath ACG1000-ME | SecPath ACG1000-AE | SecPath ACG1000-EE | SecPath ACG1000-PE | SecPath ACG1000-XE1 |
| 管理接口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 |
| 接口数量 | 12GE(光)+12GE(电) | 12GE(光)+12GE(电)+2万兆 | 12GE(光)+12GE(电)+4万兆 | 12GE(光)+12GE(电)+4万兆 | 12GE(光)+12GE(电)+8万兆 |
| 尺寸(长×高×深/mm) | 440*44*263 | 440*86*300 | 440*86*415 | 440*86*415 | 440*86*415 |
| 额定功率 | 120W | 120W | 300W | 300W | 300W |
| 电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
| 可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
软件规格
| 一级SPEC | 二级SPEC |
| 网络适应性 | 路由 |
| 网络特性 | |
| 行为审计、控制 | 应用 |
| HTTPS解密 | |
| 安全防护 | 会话限制 |
| 黑名单 | |
| 增强功能 | 支持IPsecVPN |
| HA | |
| 4G路由 | |
| 防私接 | |
| 服务质量 | |
| 行为与流量统计 | 行为与流量统计 |
| 无线非经 | 数据库表 |
| 对接平台厂商 | |
| 认证数据 | |
| 跨三层审计 | |
| 数据上报周期 | |
| 标准API接口 | |
| 系统维护设定 | U盘零配置启动 |
| 多配置管理 | |
| 第三方认证 | 支持伪portal抑制 |
| https弹portal | |
| 支持portal联动 | |
| U-key双因子用户认证 | U-key双因子用户认证 |
| 用户管理 | AD域单点登录 |
| 应用 | 预定义应用 |
| 日志记录 | 网站日志&应用审计日志导出 |
| 业务告警 | |
| 流量限额 | 流量时长日、月限额 |
| 流量控制 | 支持基于用户、源目的接口、源目的地址、应用特征、会话、时间、服务等进行带宽控制 |
| 用户标签 | 用户标签 |
| 链路负载均衡 | 服务器负载均衡 |
| IPV4特性 | 花生壳DDNS |
| DNS-DNAT | |
| 基于流量权重DNS透明代理 | |
| 应用缓存 | 应用缓存 |
| APP被动缓存 | |
| APP模糊匹配 |
组网应用
路由部署
适用于大中型企业用户,以透明方式在线部署于网络出口;无需改变网络拓扑;
对网络社区/P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等各种应用进行监控和管理,保障关键应用和服务的带宽;
对用户上网行为进行分析与审计;
支持VPN/MPLS/ VLAN/PPPoE等复杂网络环境;
支持设备本地日志记录和集中分析处理,可多台分布式部署统一管理。
旁挂部署
适用于不改变网络拓扑,仅做行为审计的场景,一般部署于核心层;
针对用户上网行为进行分析和审计;
提供日志记录、日志导出功能。
透明部署
适用于数据中心机房,可灵活的以串行路由或者透明方式部署于数据中心机房出口,根据实际网络环境署简单;
提供身份认证功能,验证上网用户身份合法性;
对网络社区/P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等各种应用进行监控和管理,保障关键应用和服务的带宽;
支持设备本地日志记录,日志也可发送到集中管理和数据分析中心处理,并可进行数据分析。
发表评论