《网康所写“ICG5.3与深信服AC2.0对比”的驳斥.doc》由会员分享,可在线阅读,更多相关《网康所写“ICG5.3与深信服AC2.0对比”的驳斥.doc(35页珍藏版)》请在三一办公上搜索。
1、网康所写“ICG5.3与深信服AC2.0对比”的驳斥 -2009.11月网康ICG与深信服AC产品对比对比项目ICG 5.3AC 2.01产品定位网康所写网康所写 驳斥1.1产品定位 网康自成立之初即专注于上网行为管理领域,基于网络应用层,对“人”主体的网络行为与传输的内容进行监控、过滤与控制,保障正常的网络活动,阻止限制不当网络行为,保障员工工作效率,防止敏感信息外泄,提升网络资源利用价值。 产品设计实现与应用紧紧围绕“用户”和“上网行为”这两个核心元素,准确识别用户身份、精确识别与控制各种网络应用、完整审计传输内容,通过丰富的报表,为设备管理人员、企业管理人员提供完整的多视角上网行为报告,
2、为企业落实员工上网行为管理提供完善的技术保障。 产品的每一个功能都经过细致的设计与完整的实现,不仅适合广大的中小企业,而且由于采用了网康发明专利技术,大幅度提升了系统性能,充分满足大流量高并发的高端客户。 AC属于UTM产品,包括VPN、防火墙、杀毒、反垃圾邮件、IPS、准出等庞杂的功能,专注度与专业性较差。功能虽然比较齐全,但多数比较简单、粗糙,功能实现深度离真正的UTM有很大距离,而且如果开启多个功能,性能会急剧下降。因此许多功能仅提供了概念级的实现,不具备实际应用价值。这样的产品定位更适合低端用户,对于大流量高并发、专业程度要求高的高端客户不适合。 产品设计方面,受传统网络安全产品的影响
3、,产品中有过多的技术概念堆砌,功能设计围绕着IP、端口、连接等概念展开,只有非常专业的技术人员才能理解,不能很好地体现“人”和“上网行为”的核心角色,不是一款面向管理的专业产品。以前AC曾定位为UTM过,但自05年开始AC即转变产品思路,2006年正式推出了专业上网行为管理网关。AC的产品思路是:用户使用电脑访问互联网而产生上网行为,所以“用户、终端、上网行为”是管理的核心元素;上网行为管理不是简单的一个网关管理的技术,而应该涵盖网关/终端和行为/内容的整体管理方案,作为专业上网行为管理解决方案供应商,深信服科技不仅是第一家提出上网行为管理理念的厂商,而且为用户提供用户识别+终端识别+应用识别
4、+内容识别的精确识别技术,以精准识别为基础结合全面灵活的管理手段:授权、流控和审计,为客户轻松应对互联网所带来的安全、效率、泄密以及法律风险等多种挑战提供整体方案,同时上网加速、上网安全,为客户提供更可靠、稳定、高效的内部网.2产品功能2.1网页过滤 网康04年成立之初为一家URL库厂商,后续在发现上网行为管理商机后才推出ICG产品。因此不难看出网康为何大力宣传其静态URL库。但上网行为是否就是网页访问行为?专业的上网行为管理网关是围绕网页管理?还是围绕网页、应用、流量、行为、内容、用户、终端、安全等全面管理?URL库分类模式采用国际上最先进的基于行为后果的URL预分类模式 通过基于网页全息分
5、析的爬虫技术对网页进行分类,能够从网页的结构、上下文、网页相似度等多角度对其进行全面解析与自动分类。在此基础上,网康拥有超过20人的专业团队对上述分析结果进行人工审核,网页分类的精确率超过95%。沿用传统的基于关键字匹配的网页分类模式。 使用的爬虫技术处于初级阶段,在人工智能方面与ICG存在明显差距,不具有多维分析和机器学习等智能特性,网页分类的错误率高。Google说互联网独立网页超过一万亿个,独立域名超过1.8亿个,同属域名下却含有数百万网页,这些是静态URL库远远无法管理的。网康04年成立时即为一家URL库厂商,后续在发现上网行为管理商机后才推出ICG产品。其1400万条的静态URL库确
6、为国内翘楚。但静态URL库的先天缺陷决定其无法管理海量网页。AC设备内置融合中科院人工智能的网页智能分类功能,确保用户自己的AC设备即可实现未知网页的自动识别、自动分类。URL库规模及准确率提供全球最大的中文URL分类库,规模达1400万条,分类精准率接近100% 支持43个一级分类,以及8个二级子分类。对google搜索引擎任意关键字的前100条搜索结果,ICG的网页分类识别率高达95%以上,且识别分类精准率接近于100%。URL库规模声称1000万,实际不足400万,且不支持二级分类,分类精准率不足50% 从实际测试效果来看,其对Google搜索结果的网页分类识别率不足50%,准确率明显不
7、足。网康所列举的“接近100%、95%、50%等”均为其厂家一面之词,并未有第三方机构评测印证。网康成立初即为一家URL库厂商,所以其静态URL库在国内有一定地位。面对一万亿个网页、1.8亿个域名,即使1400万条的URL地址库也是远远不够的。AC则通过网页智能分类技术应对网页膨胀发展的挑战;URL库更新能力URL每天更新量超过300万条 网康URL库更新快速,对于新生、变更、消亡的URL,通过网康自主研发的内容分类引擎(crawler/spider),7x24小时在互联网上进行URL抓取,每天更新超过300万条,并自动分类。每天更新不超过5000条 AC的URL库更新频率低,且无更新日志记录
8、,用户无法查询、验证URL库在何时、是否更新过。URL库更新不及时,将会引发严重的网页误封堵或无法有效封堵的现象。网康自称“每天”更新“300万”条,但具体情况只有厂家的一面之词,客户对具体细节却一无所知; 以上网康网站URL库更新记录显示:8月10日到9月5日共25天只更新了一次。 深信服始终认为静态URL库是无法有效管理海量网页的,所以需要静态URL库+网页智能分类技术相辅相成。而AC内置URL库平均10天左右更新一次;客户定期自动获得最新URL库支持 使用者可设定每天的什么时间从网康服务器获得最新URL库。不支持 管理界面中仅有一个“开启自动更新”选项,AC设备什么时间以怎样的频率更新U
9、RL库用户无法掌控。AC网关不仅控制台上直观显示更新情况,同时深信服网站 也及时展现URL库、应用识别规则库、网关版本的升级更新情况;客户未分类URL回传再分类支持 网康产品支持未分类URL自动回传、再分类下发功能,使得通过一段时间的积累,客户管控的URL范围快速收敛,提高客户处URL分类的广度和精准度。不支持如上即AC的“未识别URL自动上传”页面,网康诋毁不攻自破.自定义URL组支持 能够对预置URL分类及自定义的URL分类自由整合,构建符合实际需要的自定义URL分组,方便策略的定制和后期维护。不支持 为不同的用户群每制定一条网页过滤策略时,管理员都必须要繁琐的挑选需要过滤的网页分类名称。
10、手工创建URL地址及URL组,AC和网康都支持;网康支持将已有的多个URL组(如色情、成人、反动等URL组)作为组员加入到某个新建的XX URL组(如新建“非法URL组”)中,这一点AC不支持。但当使用AC和网康设备禁止某用户访问非法网址时,在配置界面上AC要针对该用户依次过滤色情、成人、反动等URL组;在配置界面上网康针对该用户过滤先前新建的“非法URL组”即可。但该“非法URL组”新建时一样需要选择“成人、色情、反动URL组”。网康偷换概念而已,并未给客户带来实际价值。IP类URL过滤支持 目前国内外所有上网行为管理产品的网页过滤功能都基于网页域名进行控制,而某些用户为了逃避管理,会直接使
11、用违禁网页的IP地址进行访问。据分析,目前大量的色情、违法网站均建议用户通过IP地址访问。ICG能够帮助IT部门有效管控这类试图通过域名解析到的IP地址访问违禁网站的用户行为,确保网页过滤的全面。不支持 IT部门即便对不良网站的访问严加控制,但违规用户只要转变一下网页访问方式,就能轻松逃脱管理。AC2.0支持识别和过滤以IP方式访问网页的行为;自定义违规提示页面支持 IT部门能够自定义警示信息,对违反策略的网页访问行为进行提示,当用户因访问违禁网站而被禁止时,能够清楚的知道自身产生了违规行为,不会因为误认为此问题由断网引起,而对IT部门频繁求助或进行投诉,该功能体现了网康产品的人性化。不支持
12、由于没有在禁止违规行为的同时提供清晰的提示,容易造成用户的不满和误解,尤其是在设备部署对用户透明的情况下,这一问题将更加突出,IT部门必然面临用户的质疑和频繁求助。 当用户访问色情、反动等组织封禁的网址时,AC和网康都会弹出提醒页面,用以告知用户封禁原因,此时二者并未有区别。AC还可以将该提示页面完全隐藏掉,或跳转到指定网址(如百度等),确保给用户的影响最小。另外对于用户访问含有木马的网页、访问含有恶意脚本/危险插件的网页,AC也能给出提示和警告,但网康却无法识别此类危险网页访问行为,组织内网安全无法保障。网站访问黑白名单支持 对于禁止访问的网站列入黑名单,对于无需过滤的网站列入白名单,如防病
13、毒软件的自动更新。不支持“网站访问黑白名单”是网康厂商自造词汇,AC可以实现一样的效果。AC支持Bypass IP/域名功能,即用户/防毒软件自动更新等访问该IP/域名时直接通过AC而不受管控,与网康所说的“白名单”效果一样;AC支持将禁止访问的网站创建到新的URL组中,并禁止所有用户访问该新建URL组,与网康所说的“黑名单”效果一样。2.2互联网内容审计审计范围全面 1.网页审计 2.IM(QQ/MSN/YAHOO) 3.论坛发帖 4.邮件(POP3/SMTP/126、163、sina、TOM、Gmail、yahoo、sohu等十余项主流webmail邮件) 5.文件传输(HTTP、IM、邮
14、件、发帖、FTP) 6.搜索引擎关键字 7.流量审计粒度较粗 1.网页审计 2.IM(QQ/MSN/YAHOO) 3.论坛发帖 4.邮件(POP3/SMTP) 5.文件传输(邮件、发帖、FTP) 6.搜索引擎关键字 7.流量审计AC起步早、用户多、研发实力强,提供的功能更全面:1. AC能审计只含指定关键字的网页内容,网康不能;2. AC能审计Gtalk、飞信、MSNShell等聊天内容,网康不能;3. AC能让用户登录论坛看贴,但不准发帖,网康不能;AC能审计用户在SSL加密论坛、BBS上的发帖,网康不能;4. AC能对外发邮件拦截审核后再外发,网康不能;AC能审计在SSL加密Webmail
15、站点收发的邮件,网康不能;AC能审计SSL加密的Foxmail/outlook等客户端形式的邮件外发行为,网康不能;5. 以HTTP、FTP、Email附件等形式,删除/篡改扩展名、压缩/加密在外发的文件,AC能识别,报警,网康不能;AC能单独封堵MSN聊天和MSN传文件;网康不能区分MSN聊天和MSN传文件,要封堵就全封堵;6.7. AC憨500多条应用识别规则,所以对流量的分类统计更精细;网康只能识别170余种应用,很多流量网康不能统计出来;.网页浏览审计支持 1.记录访问网页的用户、时间、URL地址、访问内容的分类、允许/阻断、匹配的控制策略等信息; 2.可审计用户访问HTTPS加密网站
16、的行为。 3.可记录网页标题信息。 4.支持网页快照,可以记录网页内容信息。支持 网康对SSL加密网址过滤功能与深信服的专利(200710072997.1)极为雷同。AC能记录用户在SSL加密的论坛、BBS、Webmail网站上的发帖、发邮件行为,网康不能;而网康所谓的“HTTPS加密网站审计”效果如下: 即审计:时间、用户、该SSL加密网站证书颁发者、证书所有者、证书有效期等,这些信息无意义、且普通用户很难看懂。记录网页快照支持支持AC能只记录含指定关键字的网页正文内容,网康不能;QQ审计支持 1.可记录QQ聊天内容 2.可记录QQ聊天双方的账号、昵称 3.可记录QQ的语音视频行为 4.可记
17、录QQ文件传输名称和类型支持 仅可审计QQ聊天内容和双方账号AC可审计QQ聊天内容、帐号、昵称、语音视频、传文件行为。目前AC无法审计QQ传文件的文件名。因为我们认为IM传文件是对信息保护的威胁,应该予以阻断。所以AC能封堵10种IM传文件行为,网康只能封堵3种IM传文件行为;MSN审计支持 1.可记录MSN聊天内容及双方昵称 2.可记录MSN的语音视频行为 3.可记录并还原MSN文件传输名称、类型和内容支持 仅可审计MSN聊天内容和双方账号 AC能记录MSN、MSNShell聊天内容、昵称、音视频行为、传文件行为。 目前AC不能记录MSN传文件的文件名等。因为我们认为IM传文件是对信息保护的
18、威胁,应该予以阻断。所以AC能封堵10种IM传文件行为,网康只能封堵3种IM传文件行为; 网康如果封堵MSN传文件即将MSN聊天封堵掉。论坛发帖审计支持 可记录用户在任何论坛上发帖的主题和正文内容 可定义无需审计的论坛地址支持 论坛发帖审计粒度比较粗 AC可记录SSL加密论坛、BBS上的发帖内容,还可实现看贴不准发帖效果。这些网康都不支持;网康ICG5.3操作手册中说:网康ICG开启优化审计功能后,在非网康指定论坛上发帖时,网康ICG将不记录发帖内容,但何为“网康指定论坛”用户却不得而知!邮件收发审计支持 1.可记录收发邮件的发信人地址、收信人地址、主题、正文、附件内容 2.能够基于用户名、时
19、间、发送账户、接收帐号、主题关键字、正文关键字、附件名称、附件类型、附件大小等条件灵活调节外发邮件的审计粒度,具有很强的灵活性; 3.可以由针对性的仅审计需要关注的内容。如对邮件主题、正文、附件名中包含如“机密”、“财务”等敏感关键字的外发邮件进行监控;对研发部门发送的带有“.h”类型程序代码附件的外发邮件进行监管;支持 审计粒度粗,无法基于邮件特征有针对性的审计邮件内容。 外发邮件存在泄密风险;接收邮件面临垃圾邮件、病毒邮件、钓鱼邮件风险。所以从客户需求出发,AC支持外发邮件的过滤、外发邮件的延迟审计,SSL加密外发邮件的过滤和审计、外发邮件正文和附件的审计,包括篡改/删除扩展名、压缩/加密
20、的文件通过Email附件外发,AC也能识别。对接收邮件AC能过滤可能的垃圾邮件,查杀邮件中潜藏的病毒,通过邮件访问可能的钓鱼网站时AC也能识别和过滤。从客户需求出发可见网康所谓的“细粒度”功能更多的是噱头,并未给客户带来价值。同时网康不支持邮件延迟审计、不支持SSL加密邮件的过滤和审计,不能识别篡改/删除扩展名、压缩/加密的文件通过Email附件外发的行为,无法过滤垃圾邮件,不能对邮件中潜藏的病毒进行查杀等。搜索引擎关键字审计支持 1.能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字。 2.可以基于搜索类别审计用户在搜索引擎搜索的关键字内容。如不记录用户从百度搜索mp3歌
21、曲的行为支持 审计粒度粗,无法定义仅审计制定的敏感关键字,无法基于搜索类别审计关键字搜索内容。通过搜索引擎搜索不当关键字将给组织带来法律、政治风险等。客户通常需要禁止搜索某些关键字,而并不区分其是在搜索视频、MP3还是图片、新闻。AC能过滤搜索关键字,但不基于搜索类别过滤;网康只能对百度、Google等少数几个搜索引擎基于类别进行关键字过滤,并不全面。文件传输审计支持 1.审计范围全面,包括HTTP、FlashGet、FTP、IM、MAIL等上传下载文件的名称和内容; 2.审计粒度精细,可基于上传、下载的源、目的地址(或账号)审计文件传输内容,也可基于文件特征(名称、类型、大小)审计文件传输内
22、容(如,不审计从“华军软件”网站下载的文件,但审计从“迅雷”网站下载的文件。);不支持 仅可审计FTP上传、下载的文件名称,无法还原文件原文; 且FTP审计粒度粗,无法基于文件传输路径及文件特征审计FTP文件传输行为。外发文件引发泄密风险;文件下载占用带宽或下载恶意工具、下载含毒文件、下载含恶意插件的文件等。基于客户需求AC提供:对HTTP、FTP、Email附件形式外发文件的过滤(即使篡改/删除扩展名、压缩加密再外发文件也可识别)和审计,封堵Foxy、BT、迅雷等P2P外发文件行为,封堵10种IM文件传输行为,确保机密性;对于下载文件,AC能对P2P进行限速、基于类型过滤下载文件,查杀含病毒
23、的下载文件,过滤含恶意插件的下载文件,并审计文件下载行为。而网康不支持:篡改/删除扩展名、压缩加密后再通过HTTP/FTP/Email附件形式外发文件的识别和审计,不能封堵Foxy共享文件行为、只能封堵三种IM传文件行为,组织面临外发文件的巨大风险;网康不能过滤含病毒文件的下载,含恶意插件文件的下载,又让组织网络面临安全风险。FTP命令明文传输,审计和控制的技术实现较为简单,所以网康大力围绕FTP做文章,实际上却忽略了客户的根本需求;Telnet审计支持 审计粒度精细,能够基于用户、时间段审计Telnet内容信息,包括客户端和服务器的IP/端口、登陆名、指令内容、执行结果等信息,帮助IT部门获
24、取试图违规修改网络设备配置信息的情况。支持 审计粒度粗,功能单一。 Telnet常用作登录网络设备、操作系统、BBS发帖之用,给组织的最大威胁是外发不当Telnet命令与内容。基于客户需求AC能详细记录所有Telnet外发命令和内容。网康不能记录通过Telnet登录BBS的发帖内容,不能记录Telnet登录windows操作系统是外发的命令。实际上Telnet以明文传输数据,对其审计技术上并不困难,因此越来越多的客户使用加密的SSH替代明文的Telnet。审计粒度精细 1.基于时间范围和用户范围 2.基于应用内容特征 邮件(邮箱地址、主题正文关键字、附件名称类型) IM(账号、传输文件类型和名
25、称) BBS发帖(论坛名称、发帖关键字) 搜索关键字(搜索类别、敏感关键字)粗糙 仅能基于用户范围审计用户行为内容; 无法基于时间范围审计用户行为内容; 无法基于应用内容特征审计用户行为内容。 利用组织的网络,恶意用户只会上班时间泄密,下班时间不泄密?非法用户借助组织网络下班时间外发恶意言论、访问反动网站,网监就不追查组织的责任?显然不是!所以基于时间范围审计用户上网行为不仅不会带来价值,反而会给组织留下审计漏洞、让组织被法律追究却又无据可查。组织出于法律风险规避应该记录所有上网行为,但应避免总裁行为被记录而泄密的风险,普通用户行为日志被泄露的风险。而这些风险通过AC的免审计key、日志审查K
26、ey得以避免;反观网康将组织推入无据可查的尴尬境地,同时又无法避免总裁被审计、普通用户日志被泄露的风险;即使审计IM聊天、邮件、发帖,网康也有很多致命缺陷:不能审计MSNShell、飞信、Gtalk聊天内容;不能审计SSL加密的发帖内容、Webmail邮件内容、和SSL加密的Foxmail/outlook等客户端外发邮件内容;2.3互联网内容过滤控制网页过滤过滤粒度精细、控制能力精准 基于用户群、时间段、网页分类、URL特征、网页安全性等多维度过滤网页浏览行为; 通过厂商维护的全球最大中文网页预分类库,全面、精准的过滤用户网页浏览行为。管控粒度粗糙,且误封堵、漏封堵情况严重 网页预分类库规模小
27、、更新频率慢,且分类精准度低。绝大多数网页需要靠网页正文关键字来封堵,但该网页过滤技术早已过时,误封堵、漏封堵问题严重。 如过滤包含“疆独”的网页,那么包含“一种新疆独有的稀有石种被发现”这样的网页也将被封堵。 首先AC内置800万条URL库,识别众多常用国内网址;网康有1400万条,数量上确实比AC多。 第二,AC通过中科院人工智能技术,根据网页代码、特征、文字、Keyword、Title等综合判断,实现未知网页智能识别,网康只能依赖其静态URL库,无法应对互联网海量网页的挑战; 第三,AC内置的色情、成人、反动、赌博、网络钓鱼这几类风险最大的URL地址库国内最全,比网康全,可以测试以验证;
28、 第三,很多网页很有病毒,AC可以查杀,网康不能; 第四,网页挂载木马、含有恶意脚本、危险插件,AC可以过滤,网康也不能,组织网络可用性、可靠性面临威胁。邮件过滤过滤粒度精细 基于用户群、时间段、发信人账号、收信人账号、发信方邮箱域名、收信方邮箱域名、邮件主题敏感信息、邮件正文敏感信息、邮件附件类型和名称等多维度单一条件控制或多维度组合方式过滤邮件外发内容。 邮件过滤的灵活性将给管理员的日常使用带来极大的便利,如可禁止企业员工向竞争厂商邮件服务器发送涉密邮件。过滤粒度粗糙 不支持邮箱账号、收信方邮箱域名,以及附件名称过滤邮件外发行为。外发邮件存在泄密风险。所以从客户需求出发,AC支持外发邮件的
29、过滤、外发邮件的延迟审计,SSL加密外发邮件的过滤和审计、外发邮件正文和附件的审计,包括篡改/删除扩展名、压缩/加密的文件通过Email附件外发,AC也能识别。而网康不支持邮件延迟审计、不支持SSL加密邮件的过滤和审计,不能识别篡改/删除扩展名、压缩/加密的文件通过Email附件外发的行为等。IM即时通讯过滤支持 可基于聊天账号、传输文件名称和类型过滤IM即时通讯内容。不支持 网康只能对MSN聊天行为基于聊天帐号、传输文件名/类型等过滤,而中国用户用的最多的QQ,网康就不支持,飞信、Skype、雅虎通、Gtalk等也不支持。 IM行为给组织的危害是:影响工作效率,泄密,即法律风险。所以AC封堵
30、37种IM软件、封堵10种IM传文件行为,记录QQ/MSN/MSNSHell/Yahoo/飞信/Gtalk/Skype等7种IM聊天内容。 反观网康只能封堵15种IM软件,封堵3种IM传文件行为,记录MSN/Yahoo/QQ等3种聊天内容。文件传输过滤支持,过滤维度全面、粒度精细 1.支持HTTP、FTP、邮件附件、IM、论坛发帖附件、FlashGet等文件传输内容过滤; 2.除基于用户群和时间段过滤文件传输行为外,还支持基于文件传输方向,传输文件的应用内容特征等多维度精细过滤文件传输行为。 如:允许通过MSN接收文件,但禁止通过MSN外发文件; 禁止邮件主题或正文包含“机密”二字且带有附件的
31、邮件外发行为; 允许从华军软件网站下载.zip文件,但禁止从迅雷网站下载.zip文件过滤粒度粗糙 仅可基于文件类型控制HTTP和FTP的文件下载、上传行为; 不支持IM文件传输内容过滤; 文件传输控制条件无法与传输文件的应用其它特征组合。 如:无法实现禁止企业员工向商业竞争对手的邮箱发送.doc/.xls后缀的文件。网康所举的例子“允许通过MSN接收文件,但禁止通过MSN外发文件”,网康只对MSN有这个效果,其他诸如QQ、飞信、雅虎通、Skype等统统无此功能。网康所举例子“允许从华军软件网站下载.zip文件,但禁止从迅雷网站下载.zip文件”。下载文件给组织的最大风险是下载恶意工具文件,下载
32、含毒文件,下载含恶意插件的文件等。而AC可以对下载文件查杀病毒,过滤含恶意插件的文件下载行为,网康则不能。外发文件给组织带来的最大风险是泄密。AC提供:对HTTP、FTP、Email附件形式外发文件的过滤(即使篡改/删除扩展名、压缩加密再外发文件也可识别)和审计,封堵Foxy、BT、迅雷等P2P外发文件行为,封堵10种IM文件传输行为,确保机密性而网康不支持:篡改/删除扩展名、压缩加密后再通过HTTP/FTP/Email附件形式外发文件的识别和审计,不能封堵Foxy共享文件行为、只能封堵三种IM传文件行为,组织面临外发文件泄密的巨大风险;论坛发帖过滤支持 基于时间段、用户群、发帖地址、发帖内容
33、关键字过滤敏感信息外发行为; 当用户违反策略规定,发送敏感信息后,ICG在阻塞此发帖行为的同时,还可向管理员发出邮件报警信息。支持发帖关键字过滤,但不支持报警外发帖子将给组织带来泄密和违法风险,所以需要过滤和审计,而且应该是精准的过滤和全面的审计。而并非基于时间段、基于发帖地址忽略掉某些外发帖子内容。AC支持看贴不准发帖效果,用户在SSL加密的论坛/BBS上发帖,AC也能基于关键字过滤和审计。这些网康都不支持。当匹配指定关键字的发帖行为发生时,AC同样可以向管理员邮件告警。搜索引擎关键字过滤支持,过滤粒度灵活,精准度高 可基于关键字搜索类别过滤搜索引擎的关键字搜索行为。例如,同样是搜索“艳照门
34、”这一关键字,如果用户是在百度新闻类别中搜索,会被允许,因为用户可以了解相关新闻事件,但如果用户是在百度图片类别中搜索,则被禁止。不支持基于搜索类别的关键字搜索过滤 采用一刀切式的方式对搜索关键字进行过滤,控制的精细程度存在不足,而且其提供的实际上是URL过滤,即过滤的是带有关键字的URL地址,并非真正的搜索引擎关键字 网康所诋毁的“即过滤的是带有关键字的URL地址”,请问网康是否存在含有“艳照门”三个关键字的URL地址? 网康基于类别的搜索关键字过滤只对百度、Google等几个网站有效;而且当类似“艳照门”等网络事件来袭,管理员能否肯定含“艳照门”的网页就是新闻网页而非含有大量艳照图片的帖子
35、?所以客户往往处于法律风险考虑,应该过滤所有搜索“艳照门”相关的行为。网康的该功能不过是噱头,不能带来价值,反而会给客户带来风险。2.4应用识别管控协议库组织架构三级树状应用协议分类架构,清晰易懂 这种构架为建立和修改应用管控策略提供了极大的便利,降低了用户操作和理解的复杂度。以QQ为例,用户既能够一键式选中QQ协议进行整体策略控制,又可以独立选择聊天、游戏、文件传输等子协议进行独立控制。仅支持平面级别的二级分类 在分类粒度方面存在差距,用户在进行子协议精确管控时存在不便。此外,虽然个别应用进行了子应用细分,却被分隔放置在不同的组织目录下,分类的逻辑层次感较差,同时不利于实际操作。例如QQ聊天
36、划分到即时聊天类,而QQ游戏划分到游戏类,如果用户希望对QQ进行全面控制,则需要在每个大类中挑出各个子分类,不仅操作复杂,而且子协议漏选很难避免。 AC和网康对应用协议的分类刚好说明两家研发思路的不同。网康从技术实现简单方面考虑,将应用协议树型分类。AC则从客户需求角度对应用协议分类。 举例:组织要提高工作效率,要封堵网络游戏。用AC只需将游戏类全部封堵,则QQ游戏、MSN游戏、各种网络游戏等统统被封堵;而网康则需要单独到QQ协议树中将QQ游戏封堵,再到MSN协议树中将MSN游戏封堵,再到网络游戏协议树中封堵其他网络游戏。又如组织要避免外发文件泄密风险。用AC只需将“传文件类”一次性封堵即可。
37、而网康则需分别到QQ、MSN、迅雷等处将各种传文件行为分别一一封堵。理性的看,两种协议分类方式各有优缺点。盲目诋毁一方是幼稚且不负责任的。协议库规模支持14大类,260种协议 全面涵盖IM即时通讯、P2P共享下载、流媒体以及在线游戏等所有互联应用,同时支持子协议的三级细分。支持近250种协议 协议划分粒度的合理性较差,控制某一类应用通常需要选取多个应用协议规则才能实现,反而造成用户操作难度的增大。从实际达到的管控能力来看,仅相当于ICG的100余种协议分类,不足ICG的一半。而且其协议命名过于技术化,即使IT部门专业人员也难于理解各个子协议所起的控制作用,不利于实际使用。此外,大部分应用控制需
38、要采取用户自定义规则的方式实现,规则设置比较技术化,操作复杂,而且采用IP、端口、包特征等条件配置自定义规则,识别准确性不足。 AC内置500多条识别规则,识别340多种网络协议;而网康只能识别170多种网络协议。2009年7月22日对AC和网康最新应用识别规则库做过对比,结果显示:有超过175种应用协议是深信服AC能识别,而网康ICG无法识别的,包括:51挂挂/chikka/Digsby/Doshow/Gizmo/IceChat/ispeak/KC网络电话/KuBao/Miranda/PaLTALK/raketu/Skype语音视频/慧聪发发/卡盟登录/歪歪语音/新浪UT语音/XChat/阿
39、里旺旺/FastTV/NETiTV/P2PSrv/ppFilm/PPRich/QVOD/RealCast/RealLink/RealPlayer/STV/VGO/WebPlayer/蚂蚁电视/猫眼电视/球皇/Foxy/QQ旋风/MSN炒股/ok178彩票/安信行情/操盘手/诚浩证券/大智慧/方正证劵/股道/股票行情/仟家信/申银万国E通/双子星绿色通道/文华财经/银河证券/中投证劵/中信建投/DameWare/NetOp/Radmin/TeamView/波尔远程/灰鸽子/Netmeeting/SIP协议/UUCall/和悦网络电话/DB2/MySql/Postgresql/Hotspot-Sh
40、ield/HTTP-Tunnel/vidalia-bundle/安全网关/Byshell远控/Cybernetic/DGRAT远控/FreeRat远控/暗组远控/炽天使/海盗远控/木马帝国远控/上兴远控/RTSP/Gtalk传文件/QQ离线传文件/阿里旺旺传文件/飞信传文件/慧聪发发传文件/网易PoPo传文件/雅虎通传文件/BBGame游戏大厅/SD敢达OL/Tom在线游戏/UU棋牌/UU游戏/赤壁/传奇世界/春秋Q传/多多视频游戏/风雷游戏/封神榜/互动游戏中心/华夏/黄金岛/机战/金游戏世界/开心Online/口袋西游/赖子游戏/联众好友/路尼亚战记/梦幻龙族/墨香/奇迹世界/千年/亲朋游
41、戏/热舞派对/神鬼传奇/生死格斗/盛大富翁/水浒Q传/水浒棋牌游戏/唐人游戏/特种部队/天龙八部/天台同城游戏中心/天下贰/王者世界/武林外传/仙剑OL/新浪游戏大厅/星尘传说/倚天剑与屠龙刀/英雄岛/游戏中心/远航通/诛仙/卓越之剑等。应用策略灵活性灵活性高 基于用户、时间、应用、控制动作等维度构建应用控制策略,控制手段灵活。灵活性差,无法定义生效的时间范围 所有策略均无法定义生效的时间范围,不支持按上、下班时间管控应用,只能定义日期范围。 如:无法实现上班时间禁止QQ聊天和游戏行为,但午休和下班后允许QQ聊天和游戏行为。基于时间段管控上网权限是非常基础的一个功能,网康居然诋毁AC不能实现?
42、滑稽! 反而是网康ICG,每天只能设定两个时间段、且每周七天所设时间段必须相同,缺乏灵活性;封堵P2P下载能够准确识别并封堵近30种P2P应用 如BT、eMule、迅雷、web迅雷、QQ旋风、脱兔、比特精灵、Gnutella等,能够识别并控制未知的P2P协议。 另外,ICG可以精细的对各个P2P的子应用进行分别控制,如允许使用迅雷做HTTP多线程下载,但禁止迅雷的P2P下载。能够识别10余种P2P应用,仅为ICG的一半 不支持KaZaA/WinMX/Winny/ Share等协议。而且分类的层次性较差,不支持P2P下载软件的子应用控制,各种协议散落在P2P及文件下载两大类目录中,不利于构建策略
43、。此外,其对加密P2P协议的识别依赖于客户端插件,用户实际使用存在不便。“200610156977.8”是深信服的P2P智能识别技术的专利证明。P2P智能识别自07年深信服AC即具备,网康直到08年底才有该功能,具体效果可通过实际测试验证(即大带宽的网络,分别部署AC和网康ICG,启用两者的P2P封堵策略,观察哪台设备可以将流量降的更低,则说明哪家设备能封堵更多的P2P行为).深信服AC部署于香港酒店:Kimberley Hotel、Bonaparte Hotel、Rosedale On The Park Hotel、Prudential Hotel,即采用AC的P2P智能识别技术,实现对来自
44、全球各地房客P2P软件的有效管理。通过AC的P2P智能识别技术,无论该P2P软件种类、版本、是否变种等,AC都能识别和管理,远比网康基于协议库的P2P管理方式更高效、更彻底、更全面。封堵即时消息控制维度全面、灵活,易于操作 能够对IM软件各项应用控制采用树状结构,即可一键全面封堵IM工具的各种行为,也可对每一种子应用进行独立控制而不影响其它子应用的正常使用,除分别控制IM工具的聊天、游戏和文件传输行为外,还可控制IM工具的语音视频行为。如:允许MSN和QQ的文字聊天,但禁止MSN和QQ的语音视频行为。控制粒度粗糙,且操作复杂 无法单独控制QQ和MSN的音视频行为; 实现某项IM控制需要在多个界
45、面中进行多项复杂操作,不利于IT人员掌握和使用。 AC能封堵37种IM软件,封堵Skype/QQ/MSN/雅虎通/UUCall的语音视频行为,封堵10种IM传文件行为,记录QQ/MSN/MSNSHell/Yahoo/飞信/Gtalk/Skype等7种IM聊天内容。反观网康只能封堵15种IM软件,封堵QQ/MSN的语音视频行为,封堵3种IM传文件行为,记录MSN/Yahoo/QQ等3种聊天内容。具体协议组织方式优劣,请参见“协议库组织架构”部分的说明;封堵网络游戏支持对近40种流行网络游戏的识别和封堵 联众游戏 / 魔兽世界 / 梦幻西游 / 泡泡堂 / 浩方游戏平台 / 跑跑卡丁车 / 新浪UT Game / 中国游戏中心 / 热血江湖 / 劲舞团 / 街头篮球 / 远航游戏 / 大话西游 / 搜狐游戏 / 边锋游戏 / 刀剑游戏 / 征服游戏 / 征途 / 完美世界 / 游戏茶苑 / 三国群英传online / 娱网棋牌 / 绍兴同城游 等支持30种网络游戏 很多当前主流游戏均无法识别,例如中国游戏中心/征服游戏/三国群雄传/网娱棋牌/绍兴同城游。 2009年7月22日研究显示,有175种应用协议AC可以识别、而网康不能识别。其中AC能识别、网康不能识别的网络游戏有48种,如下:BBGame游戏大厅/SD敢达OL/Tom在线游戏/U