2024年10月27日发(作者:干念)
UAG3000系列产品FAQ
1. UAG功能相关问题 .......................................................... 3
1.1 Q:流控和审计产品为什么要合一? ....................................... 3
1.2 Q:流控和审计产品为什么配置病毒防护? ................................. 3
1.3 Q:是否支持本地认证?认证流程如何? ................................... 3
1.4 Q:对加密的IM聊天工具如何审计,如QQ、MSN等? ........................ 3
1.5 Q:如何处理加密、未知的P2P流量? ..................................... 4
1.6 Q:如何处理HTTPS流量? ............................................... 4
1.7 Q: 由于全网用户是DHCP动态分配地址,怎么样添加例外用户了? ........... 4
1.8 Q: 如果评估网络带宽流量所产生的日志量?形成的日志是否支持压缩? ...... 4
1.9 Q: UAG接口必须成对使用吗?如果一对接口中一个接口断掉,另外的接口是否同
步停用? ..................................................................... 4
1.10 Q: UAG提供独立的管理接口? ......................................... 4
1.11 Q: 透明部署情况下,有2条(或多条)链路,上先行交换机接口都各自进行聚
合,设备识别是否有问题?通过路由协议进行负载分担是否有问题? ................. 4
1.12 Q: 对未识别流量如何处理? ........................................... 4
1.13 Q: 在做限速时是通过哪种机制实现? ................................... 4
1.14 Q: 支持的第三方认证有哪些?实现方式如何? ........................... 4
1.15 Q: Portal认证(即Web认证)部署要求是什么?基本流程是什么?Radius服务
器有什么要求? ............................................................... 5
1.16 Q: 如要部署在NAT之后实现方式如何精确审计及流控? ................... 6
1.17 Q: 在做限速时是通过哪种机制实现? ................................... 6
1.18 Q: 经过带宽(限速)管理后,带宽资源是否要减少? ..................... 6
1.19 Q: PFP掉电什么时候工作? ........................................... 6
1.20 Q: PPPoE报文是否可审计? ........................................... 6
1.21 Q: UAG可以满足那些认证标准? ....................................... 6
1.22 Q:UAG支持多少Portal用户认证? .................................... 7
1.23 Q: UAG对数据库审计能做到什么程度? ................................. 7
1.24 Q: UAG能否提供地址信息库? ......................................... 7
1.25 Q:UAG的直路和旁路部署模式分别应用于哪些场景? ..................... 7
1 / 8
1.26 Q:流控设备最小(颗粒度)限流可以做到多少?都基于什么方式限速? ..... 7
1.27 Q: UAG能否实现IP地址屏蔽?如运营商带宽租用的场景下,运营商不希望终端
用户看到IP。 ................................................................ 7
A:可以实现 ................................................................... 7
2. UAG配置相关问题 .......................................................... 7
2.1 Q:是否必须配置UMC管理软件? ......................................... 7
2.2 Q:PFP怎么配置? ..................................................... 7
2.3 Q:万兆XFP产品掉电保护如何实现? ..................................... 7
2.4 Q:URL特征库为免费集成,如何进行升级? ............................... 7
2.5 Q:UAG支持USBKEY吗?有什么销售限制? ................................ 8
2.6 Q:用户数/本地认证用户数分别指的是什么,两者之间有什么关系? ......... 8
2.7 UAG能否实现Radius认证?能否对手机用户的认证? ....................... 8
2.8 UAG是否可以指定某个网段的用户做认证? ............................... 8
2 / 8
1.
UAG功能相关问题
1.1
Q:流控和审计产品为什么要合一?
A:流控与审计两者是相辅相成,不可分割的:
从用户使用角度看,需要的是提升企业竞争力的产品,行为审计可提高员工工作效率,
流量管理可提升核心业务网络应用能力,因此两者合一
从技术实现角度看,行为审计与流量控制都是对协议的识别和管理,只是侧重点不一
样,因此两者合一
从市场推广角度看,为降低用户投入费用和维护成本,多功能集成更能体现人性化设
计、降低TCO,因此两者合一
因此,流控和审计功能合一是趋势,符合用户使用需求、贴合技术发展趋势、适于产品推
广。
1.2
Q:流控和审计产品为什么配置病毒防护?
A:流控与审计是UAG产品主要定位,也是用户购买产品的原始需求,配置病毒防护(尤其
是国际知名的卡巴斯基),主要是为了确保上述两种功能的有效性、全面性。因此配置病毒
防护的原因归纳如下:
集成卡巴斯基病毒,可实现网关防毒,与终端防毒软件配合,实现二重防护
可避免病毒引起的异常流量而导致流量控制不精确
病毒可能导致终端行为异常,不进行病毒防护,会导致审计失效
1.3
Q:是否支持本地认证?认证流程如何?
A:UAG支持多种认证方式:本地Web认证、第三方认证(Radius、AD、城市热点),与第三方
认证时可以实现实名制认证,即不是简单对应到IP,可现实为具体用户姓名。
无论选择哪种认证方式,如果选择UAG进展认证处理,当用户试图上网时,UAG会弹出web
认证页面。
如果为本地认证,这由UAG直接返回结果
如果为第三方认证,这由UAG向第三方服务器发送信息,根据其返回结果确定是否认
证成功
1.4
Q:对加密的IM聊天工具如何审计,如QQ、MSN等?
A:加密的即时通信软件,在数据离开终端机器是已经为密文,无法进行解析和审计。当前
主流的解决技术有2种:在终端安装软件和截取用户密码。
注:在终端安装软件的方式存在一定弊端。首先,终端使用者会反感,感觉侵犯个人隐私;
其次,终端应用、系统等环境复杂,对软件兼容性要求过高。因此,技术上已经具备,实际中
用户使用较少。
截取用户密码方式:用户第一次经过UAG时,提示其登录受到限制,将其牵引到腾讯的安
全中心进行重新登录,在这个过程中获取密码,解决加密密钥。注意避免引起用户反感。
3 / 8
1.5
Q:如何处理加密、未知的P2P流量?
A:P2P软件变化莫测,如果识别不及时、不全面,会导致整个网络流量管理失效。UAG采
用自主的智能识别方式,提炼出P2P本源,可确保全面流量审计。UAG采用DPI与DFI综合检测
技术:
DPI(Deep Packet Inspection,深度包检测):特征码检测/端口号检测/报文大小
DFI(Deep/Dynamic Flow Inspection, 深度/动态流检测):网络直径/连接行为/贝叶
斯流分类(数据挖掘分类)/流特征统计
1.6
Q:如何处理HTTPS流量?
A:当前主要三种方式:1、通过导入各种网银网站的服务器证书,防止各种假网银网站的
钓鱼攻击;2、仅作记录五元组,并提供HTTPS流量中提供的证书信息审计,提供访问日志记录;
3、设备作为代理,通过对HTTPS的加密/解密过程进行内容识别和审计,但因HTTPS加密/解密
消耗资源较大,实际操作较难(暂时不支持)。UAG支持前两种方式。
1.7
Q: 由于全网用户是DHCP动态分配地址,怎么样添加例外用户了?
A:通过添加用户名方式实现。
1.8
Q: 如果评估网络带宽流量所产生的日志量?形成的日志是否支持压缩?
A:各种情况不同,产生日志量差异较大,一般可按照带宽10倍考虑,如1G带宽1天全功
能开启全线速可产生10G日志信息。计算公式为:输出日志量L/24h=流量F(Mbps)*10。
压缩为可选择项,默认为不压缩。
1.9
Q: UAG接口必须成对使用吗?如果一对接口中一个接口断掉,另外的接口是否同步停用?
A:在不同模式下UAG的接口情况不同,在透明/网桥模式下需要接口成对使用。组成接口
对后,只有要接口断掉,接口对中所有接口都会断掉。
1.10
Q: UAG提供独立的管理接口?
A:UAG任何接口都可以作为管理接口,只要网络路由可达即可。
1.11
Q: 透明部署情况下,有2条(或多条)链路,上先行交换机接口都各自进行聚合,设备
识别是否有问题?通过路由协议进行负载分担是否有问题?
A:不影响。UAG按照指定信息(IP、MAC、应用类型等)进行识别和控制,可以不局限于指
定接口,因此这种方式下UAG识别和部署都没有问题。
1.12
Q: 对未识别流量如何处理?
A:对于非识别的流量(实际上就是未知流量)可以进行限制与控制,每IP地址最小限速单
位为12Kbps。
1.13
Q: 在做限速时是通过哪种机制实现?
A:UAG按照应用不同分别进行细粒度限速,例如TCP的报文通过调整滑动窗口的大小来限
速,UDP的报文通过应用层的限速策略来实现。
1.14
Q: 支持的第三方认证有哪些?实现方式如何?
A:UAG支持标准Radius、LDAP协议的第三方认证,如CAMS、AD、城市热点等。
认证模式
UAG进行认证
协议类型
Radius/LDAP
认证软件
全部
4 / 8
描述
UAG将认证信息中转,同时记录
/本地
第三方反馈认证结果,从而判断是
否通过认证,同时UAG将相关用户信
息主动发送到UMC,UMC上可以直接
显示用户名等信息
UAG不进行认证
Radius
CAMS(H3C)
在CAMS安装补丁,动态将认证
信息发送到UMC UAG Manager,实现
基于实名制的日志审计
城市热点(第三方
商业软件)
提供标准接口,将认证信息实
时传输到UMC UAG Manager,实现基
于实名制的日志审计。
局点:宁波理工学院 河北经贸
大学 浙江中医院大学
深澜(第三方商业
软件)
闪讯(浙江电信)
ACK(四川电信)
标准协议软件
局点:浙江大学
局点:浙江计量学院
局点:四川电信
1.类似与城市热点做法,给我
们提供接口(需要开发)
2.我们获取Radius报文,从
Radius报文中获取用户名和IP的
对应信息(需要开发)
LDAP
AD域认证(微软)
认证信息经过UAG设备,UAG
设备获取用户信息,将相关用户信
息发送给UMC,针对AD附带的其他
信息(如用户所属部门)需要通过
手工导入到UMC UAG Manager
标准协议软件
1.在LDAP服务器上安装补丁,
用户认证之后将用户信息发送给
UMC
2.镜像LDAP认证报文,获取用
户信息
1.15
Q: Portal认证(即Web认证)部署要求是什么?基本流程是什么?Radius服务器有什么
要求?
A:Portal认证要在线部署,客户侧安不安装软件无关紧要,当用户想上外网时,UAG会先
其推送IE页面,当用户输入正确的用户名/密码后可以正常上网,否则无法外联。
Portal认证可以支持标准的Radius/LDAP认证,TAC Manger内置Radius服务器,可进行
5 / 8
简单用户名/密码认证,如果更细粒度用户功能配置,需要购买第三方认证系统。
1.16
Q: 如要部署在NAT之后实现方式如何精确审计及流控?
A:UAG提供插件下载(无需认证),可推送页面让用户下载安装,不安装无法上网,只需安
装一次。通过插件可获取用户实际IP地址等信息,无论中间是否经过NAT,或经过几次NAT。
1.17
Q: 在做限速时是通过哪种机制实现?
A:UAG按照应用不同分别进行细粒度限速,例如TCP的报文通过调整滑动窗口的大小来限
速,UDP的报文通过应用层的限速策略来实现。
1.18
Q: 经过带宽(限速)管理后,带宽资源是否要减少?
A:UAG支持“0”损失的技术,可以不降低带宽资源,从而实现真正的带宽管理。实现原理
就是抑制远端发送源,让不合理流量不能到达网络出口,从而提高带宽利用率,而不是丢失带
宽。
1.19
Q: PFP掉电什么时候工作?
A:无论内置、外置PFP 模块,都是通过UAG内部继电器控制。当设备重启、掉电时,PFP
会启动工作,在设备启动完成后,会通过继电器通知PFP失效,流量重新交由设备处理。
1.20
Q: PPPoE报文是否可审计?
A:支持,旁路和在线部署都可进行审计。为提高处理性能,PPPoE报文协商阶段的“压缩”
选项要禁用。
1.21
Q: UAG可以满足那些认证标准?
A:
GB/T 18336.2-2008 是EAL 认证标准,UAG通过了EAL 1级认证就符合要求.
GB/T 20945-2007 是公安部认证标准,获取销售许可证就符合要求;
6 / 8
GA/T 698-2007 是一个内容过滤标准, 我们基本上都是满足的,可以说达到要求,但是没有
一个证书来证明.
1.22
Q:UAG支持多少Portal用户认证?
A: UAG的认证有两种模式:一是本地认证,即在UAG本地存储账号密码,功能简单。二是
认证转发,即与第三方认证系统配合(也可以用TAC Manager)。规格请参考服务器上的规格表。
1.23
Q: UAG对数据库审计能做到什么程度?
A:UAG的主要功能是上网行为审计,兼顾部分数据库审计(主要是经过网络的SQL访问,可
记录申请和返回信息)。等保中可满足数据库审计的大项要求,但一般不主动作为数据库审计销
售。
1.24
Q: UAG能否提供地址信息库?
A:支持应用层协议库和特征库,URL地址库包含在特征库中,可记录用户访问目的/源地址。
1.25
Q:UAG的直路和旁路部署模式分别应用于哪些场景?
A:如果仅审计不控制,可选择旁路部署,镜像/分光都可。如果要控制,可选择逻辑在线,
如旁挂/串行接入。
1.26
Q:流控设备最小(颗粒度)限流可以做到多少?都基于什么方式限速?
A:控制1k(bit)为最小单位。限速方式:可按照IP/用户组/帐号为控制对象,基于接口
和全局为范围的限速策略,也可禁止其使用。
1.27
Q: UAG能否实现IP地址屏蔽?如运营商带宽租用的场景下,运营商不希望终端用户看到
IP。
A:可以实现
2.
UAG配置相关问题
2.1
Q:是否必须配置UMC管理软件?
A:对配置硬盘的型号,可直接记录信息,通过Web页面可配置、查看信息,能满足基本要
求。针对没有硬盘的型号和需要更细粒度报表的用户,可配置UMC+UAG Manager组件实现。
2.2
Q:PFP怎么配置?
A:PFP主机自带4个接口槽位,根据需要选择PFP接口模块插入即可。一般4个接口保护1
个线路,1台PFP只能保护1台UAG。
2.3
Q:万兆XFP产品掉电保护如何实现?
A:PFP提供光口接口模块,模块接口为LC连接器,可全面接入SFP/XFP,因此配置PFP后
可以实现对千兆/万兆接口的掉电防护。
2.4
Q:URL特征库为免费集成,如何进行升级?
A:URL特征库控制License包含在协议特征库包中,通过独立License进行升级管理。
7 / 8
2.5
Q:UAG支持USBKEY吗?有什么销售限制?
A:支持USBKEY(采用防火墙中相关报价即可),主要用于两种认证:接入用户认证和UMC查
询认证。公司原则上不鼓励配套UAG销售USBKEY,因为会涉及大量维护问题,建议用户自行购
买。
注意:USBKEY正常是需要CA证书的,如我司提供USBKEY的正式,在下单时要通知供应链
进行特殊准备,因为证书烧制要研发指导,并且要明确证书的规模。
2.6
Q:用户数/本地认证用户数分别指的是什么,两者之间有什么关系?
A:用户数是指设备支持的推荐并发用户数,不涉及认证;本地认证用户数是指支持在我司
设备进行认证的最大用户数,本地认证只在设备上配置简单账号/密码。两者之间没有关联。
2.7
UAG能否实现Radius认证?能否对手机用户的认证?
A:Radius认证在认证服务器上做,UAG和服务器联动。手机用户的认证由第三方认证服务
器完成,UAG与其关联得到认证用户的信息,如手机号码。
2.8
UAG是否可以指定某个网段的用户做认证?
A:可以
[文档可能无法思考全面,请浏览后下载,另外祝您生活愉快,工作顺利,万事如意!]
8 / 8
2024年10月27日发(作者:干念)
UAG3000系列产品FAQ
1. UAG功能相关问题 .......................................................... 3
1.1 Q:流控和审计产品为什么要合一? ....................................... 3
1.2 Q:流控和审计产品为什么配置病毒防护? ................................. 3
1.3 Q:是否支持本地认证?认证流程如何? ................................... 3
1.4 Q:对加密的IM聊天工具如何审计,如QQ、MSN等? ........................ 3
1.5 Q:如何处理加密、未知的P2P流量? ..................................... 4
1.6 Q:如何处理HTTPS流量? ............................................... 4
1.7 Q: 由于全网用户是DHCP动态分配地址,怎么样添加例外用户了? ........... 4
1.8 Q: 如果评估网络带宽流量所产生的日志量?形成的日志是否支持压缩? ...... 4
1.9 Q: UAG接口必须成对使用吗?如果一对接口中一个接口断掉,另外的接口是否同
步停用? ..................................................................... 4
1.10 Q: UAG提供独立的管理接口? ......................................... 4
1.11 Q: 透明部署情况下,有2条(或多条)链路,上先行交换机接口都各自进行聚
合,设备识别是否有问题?通过路由协议进行负载分担是否有问题? ................. 4
1.12 Q: 对未识别流量如何处理? ........................................... 4
1.13 Q: 在做限速时是通过哪种机制实现? ................................... 4
1.14 Q: 支持的第三方认证有哪些?实现方式如何? ........................... 4
1.15 Q: Portal认证(即Web认证)部署要求是什么?基本流程是什么?Radius服务
器有什么要求? ............................................................... 5
1.16 Q: 如要部署在NAT之后实现方式如何精确审计及流控? ................... 6
1.17 Q: 在做限速时是通过哪种机制实现? ................................... 6
1.18 Q: 经过带宽(限速)管理后,带宽资源是否要减少? ..................... 6
1.19 Q: PFP掉电什么时候工作? ........................................... 6
1.20 Q: PPPoE报文是否可审计? ........................................... 6
1.21 Q: UAG可以满足那些认证标准? ....................................... 6
1.22 Q:UAG支持多少Portal用户认证? .................................... 7
1.23 Q: UAG对数据库审计能做到什么程度? ................................. 7
1.24 Q: UAG能否提供地址信息库? ......................................... 7
1.25 Q:UAG的直路和旁路部署模式分别应用于哪些场景? ..................... 7
1 / 8
1.26 Q:流控设备最小(颗粒度)限流可以做到多少?都基于什么方式限速? ..... 7
1.27 Q: UAG能否实现IP地址屏蔽?如运营商带宽租用的场景下,运营商不希望终端
用户看到IP。 ................................................................ 7
A:可以实现 ................................................................... 7
2. UAG配置相关问题 .......................................................... 7
2.1 Q:是否必须配置UMC管理软件? ......................................... 7
2.2 Q:PFP怎么配置? ..................................................... 7
2.3 Q:万兆XFP产品掉电保护如何实现? ..................................... 7
2.4 Q:URL特征库为免费集成,如何进行升级? ............................... 7
2.5 Q:UAG支持USBKEY吗?有什么销售限制? ................................ 8
2.6 Q:用户数/本地认证用户数分别指的是什么,两者之间有什么关系? ......... 8
2.7 UAG能否实现Radius认证?能否对手机用户的认证? ....................... 8
2.8 UAG是否可以指定某个网段的用户做认证? ............................... 8
2 / 8
1.
UAG功能相关问题
1.1
Q:流控和审计产品为什么要合一?
A:流控与审计两者是相辅相成,不可分割的:
从用户使用角度看,需要的是提升企业竞争力的产品,行为审计可提高员工工作效率,
流量管理可提升核心业务网络应用能力,因此两者合一
从技术实现角度看,行为审计与流量控制都是对协议的识别和管理,只是侧重点不一
样,因此两者合一
从市场推广角度看,为降低用户投入费用和维护成本,多功能集成更能体现人性化设
计、降低TCO,因此两者合一
因此,流控和审计功能合一是趋势,符合用户使用需求、贴合技术发展趋势、适于产品推
广。
1.2
Q:流控和审计产品为什么配置病毒防护?
A:流控与审计是UAG产品主要定位,也是用户购买产品的原始需求,配置病毒防护(尤其
是国际知名的卡巴斯基),主要是为了确保上述两种功能的有效性、全面性。因此配置病毒
防护的原因归纳如下:
集成卡巴斯基病毒,可实现网关防毒,与终端防毒软件配合,实现二重防护
可避免病毒引起的异常流量而导致流量控制不精确
病毒可能导致终端行为异常,不进行病毒防护,会导致审计失效
1.3
Q:是否支持本地认证?认证流程如何?
A:UAG支持多种认证方式:本地Web认证、第三方认证(Radius、AD、城市热点),与第三方
认证时可以实现实名制认证,即不是简单对应到IP,可现实为具体用户姓名。
无论选择哪种认证方式,如果选择UAG进展认证处理,当用户试图上网时,UAG会弹出web
认证页面。
如果为本地认证,这由UAG直接返回结果
如果为第三方认证,这由UAG向第三方服务器发送信息,根据其返回结果确定是否认
证成功
1.4
Q:对加密的IM聊天工具如何审计,如QQ、MSN等?
A:加密的即时通信软件,在数据离开终端机器是已经为密文,无法进行解析和审计。当前
主流的解决技术有2种:在终端安装软件和截取用户密码。
注:在终端安装软件的方式存在一定弊端。首先,终端使用者会反感,感觉侵犯个人隐私;
其次,终端应用、系统等环境复杂,对软件兼容性要求过高。因此,技术上已经具备,实际中
用户使用较少。
截取用户密码方式:用户第一次经过UAG时,提示其登录受到限制,将其牵引到腾讯的安
全中心进行重新登录,在这个过程中获取密码,解决加密密钥。注意避免引起用户反感。
3 / 8
1.5
Q:如何处理加密、未知的P2P流量?
A:P2P软件变化莫测,如果识别不及时、不全面,会导致整个网络流量管理失效。UAG采
用自主的智能识别方式,提炼出P2P本源,可确保全面流量审计。UAG采用DPI与DFI综合检测
技术:
DPI(Deep Packet Inspection,深度包检测):特征码检测/端口号检测/报文大小
DFI(Deep/Dynamic Flow Inspection, 深度/动态流检测):网络直径/连接行为/贝叶
斯流分类(数据挖掘分类)/流特征统计
1.6
Q:如何处理HTTPS流量?
A:当前主要三种方式:1、通过导入各种网银网站的服务器证书,防止各种假网银网站的
钓鱼攻击;2、仅作记录五元组,并提供HTTPS流量中提供的证书信息审计,提供访问日志记录;
3、设备作为代理,通过对HTTPS的加密/解密过程进行内容识别和审计,但因HTTPS加密/解密
消耗资源较大,实际操作较难(暂时不支持)。UAG支持前两种方式。
1.7
Q: 由于全网用户是DHCP动态分配地址,怎么样添加例外用户了?
A:通过添加用户名方式实现。
1.8
Q: 如果评估网络带宽流量所产生的日志量?形成的日志是否支持压缩?
A:各种情况不同,产生日志量差异较大,一般可按照带宽10倍考虑,如1G带宽1天全功
能开启全线速可产生10G日志信息。计算公式为:输出日志量L/24h=流量F(Mbps)*10。
压缩为可选择项,默认为不压缩。
1.9
Q: UAG接口必须成对使用吗?如果一对接口中一个接口断掉,另外的接口是否同步停用?
A:在不同模式下UAG的接口情况不同,在透明/网桥模式下需要接口成对使用。组成接口
对后,只有要接口断掉,接口对中所有接口都会断掉。
1.10
Q: UAG提供独立的管理接口?
A:UAG任何接口都可以作为管理接口,只要网络路由可达即可。
1.11
Q: 透明部署情况下,有2条(或多条)链路,上先行交换机接口都各自进行聚合,设备
识别是否有问题?通过路由协议进行负载分担是否有问题?
A:不影响。UAG按照指定信息(IP、MAC、应用类型等)进行识别和控制,可以不局限于指
定接口,因此这种方式下UAG识别和部署都没有问题。
1.12
Q: 对未识别流量如何处理?
A:对于非识别的流量(实际上就是未知流量)可以进行限制与控制,每IP地址最小限速单
位为12Kbps。
1.13
Q: 在做限速时是通过哪种机制实现?
A:UAG按照应用不同分别进行细粒度限速,例如TCP的报文通过调整滑动窗口的大小来限
速,UDP的报文通过应用层的限速策略来实现。
1.14
Q: 支持的第三方认证有哪些?实现方式如何?
A:UAG支持标准Radius、LDAP协议的第三方认证,如CAMS、AD、城市热点等。
认证模式
UAG进行认证
协议类型
Radius/LDAP
认证软件
全部
4 / 8
描述
UAG将认证信息中转,同时记录
/本地
第三方反馈认证结果,从而判断是
否通过认证,同时UAG将相关用户信
息主动发送到UMC,UMC上可以直接
显示用户名等信息
UAG不进行认证
Radius
CAMS(H3C)
在CAMS安装补丁,动态将认证
信息发送到UMC UAG Manager,实现
基于实名制的日志审计
城市热点(第三方
商业软件)
提供标准接口,将认证信息实
时传输到UMC UAG Manager,实现基
于实名制的日志审计。
局点:宁波理工学院 河北经贸
大学 浙江中医院大学
深澜(第三方商业
软件)
闪讯(浙江电信)
ACK(四川电信)
标准协议软件
局点:浙江大学
局点:浙江计量学院
局点:四川电信
1.类似与城市热点做法,给我
们提供接口(需要开发)
2.我们获取Radius报文,从
Radius报文中获取用户名和IP的
对应信息(需要开发)
LDAP
AD域认证(微软)
认证信息经过UAG设备,UAG
设备获取用户信息,将相关用户信
息发送给UMC,针对AD附带的其他
信息(如用户所属部门)需要通过
手工导入到UMC UAG Manager
标准协议软件
1.在LDAP服务器上安装补丁,
用户认证之后将用户信息发送给
UMC
2.镜像LDAP认证报文,获取用
户信息
1.15
Q: Portal认证(即Web认证)部署要求是什么?基本流程是什么?Radius服务器有什么
要求?
A:Portal认证要在线部署,客户侧安不安装软件无关紧要,当用户想上外网时,UAG会先
其推送IE页面,当用户输入正确的用户名/密码后可以正常上网,否则无法外联。
Portal认证可以支持标准的Radius/LDAP认证,TAC Manger内置Radius服务器,可进行
5 / 8
简单用户名/密码认证,如果更细粒度用户功能配置,需要购买第三方认证系统。
1.16
Q: 如要部署在NAT之后实现方式如何精确审计及流控?
A:UAG提供插件下载(无需认证),可推送页面让用户下载安装,不安装无法上网,只需安
装一次。通过插件可获取用户实际IP地址等信息,无论中间是否经过NAT,或经过几次NAT。
1.17
Q: 在做限速时是通过哪种机制实现?
A:UAG按照应用不同分别进行细粒度限速,例如TCP的报文通过调整滑动窗口的大小来限
速,UDP的报文通过应用层的限速策略来实现。
1.18
Q: 经过带宽(限速)管理后,带宽资源是否要减少?
A:UAG支持“0”损失的技术,可以不降低带宽资源,从而实现真正的带宽管理。实现原理
就是抑制远端发送源,让不合理流量不能到达网络出口,从而提高带宽利用率,而不是丢失带
宽。
1.19
Q: PFP掉电什么时候工作?
A:无论内置、外置PFP 模块,都是通过UAG内部继电器控制。当设备重启、掉电时,PFP
会启动工作,在设备启动完成后,会通过继电器通知PFP失效,流量重新交由设备处理。
1.20
Q: PPPoE报文是否可审计?
A:支持,旁路和在线部署都可进行审计。为提高处理性能,PPPoE报文协商阶段的“压缩”
选项要禁用。
1.21
Q: UAG可以满足那些认证标准?
A:
GB/T 18336.2-2008 是EAL 认证标准,UAG通过了EAL 1级认证就符合要求.
GB/T 20945-2007 是公安部认证标准,获取销售许可证就符合要求;
6 / 8
GA/T 698-2007 是一个内容过滤标准, 我们基本上都是满足的,可以说达到要求,但是没有
一个证书来证明.
1.22
Q:UAG支持多少Portal用户认证?
A: UAG的认证有两种模式:一是本地认证,即在UAG本地存储账号密码,功能简单。二是
认证转发,即与第三方认证系统配合(也可以用TAC Manager)。规格请参考服务器上的规格表。
1.23
Q: UAG对数据库审计能做到什么程度?
A:UAG的主要功能是上网行为审计,兼顾部分数据库审计(主要是经过网络的SQL访问,可
记录申请和返回信息)。等保中可满足数据库审计的大项要求,但一般不主动作为数据库审计销
售。
1.24
Q: UAG能否提供地址信息库?
A:支持应用层协议库和特征库,URL地址库包含在特征库中,可记录用户访问目的/源地址。
1.25
Q:UAG的直路和旁路部署模式分别应用于哪些场景?
A:如果仅审计不控制,可选择旁路部署,镜像/分光都可。如果要控制,可选择逻辑在线,
如旁挂/串行接入。
1.26
Q:流控设备最小(颗粒度)限流可以做到多少?都基于什么方式限速?
A:控制1k(bit)为最小单位。限速方式:可按照IP/用户组/帐号为控制对象,基于接口
和全局为范围的限速策略,也可禁止其使用。
1.27
Q: UAG能否实现IP地址屏蔽?如运营商带宽租用的场景下,运营商不希望终端用户看到
IP。
A:可以实现
2.
UAG配置相关问题
2.1
Q:是否必须配置UMC管理软件?
A:对配置硬盘的型号,可直接记录信息,通过Web页面可配置、查看信息,能满足基本要
求。针对没有硬盘的型号和需要更细粒度报表的用户,可配置UMC+UAG Manager组件实现。
2.2
Q:PFP怎么配置?
A:PFP主机自带4个接口槽位,根据需要选择PFP接口模块插入即可。一般4个接口保护1
个线路,1台PFP只能保护1台UAG。
2.3
Q:万兆XFP产品掉电保护如何实现?
A:PFP提供光口接口模块,模块接口为LC连接器,可全面接入SFP/XFP,因此配置PFP后
可以实现对千兆/万兆接口的掉电防护。
2.4
Q:URL特征库为免费集成,如何进行升级?
A:URL特征库控制License包含在协议特征库包中,通过独立License进行升级管理。
7 / 8
2.5
Q:UAG支持USBKEY吗?有什么销售限制?
A:支持USBKEY(采用防火墙中相关报价即可),主要用于两种认证:接入用户认证和UMC查
询认证。公司原则上不鼓励配套UAG销售USBKEY,因为会涉及大量维护问题,建议用户自行购
买。
注意:USBKEY正常是需要CA证书的,如我司提供USBKEY的正式,在下单时要通知供应链
进行特殊准备,因为证书烧制要研发指导,并且要明确证书的规模。
2.6
Q:用户数/本地认证用户数分别指的是什么,两者之间有什么关系?
A:用户数是指设备支持的推荐并发用户数,不涉及认证;本地认证用户数是指支持在我司
设备进行认证的最大用户数,本地认证只在设备上配置简单账号/密码。两者之间没有关联。
2.7
UAG能否实现Radius认证?能否对手机用户的认证?
A:Radius认证在认证服务器上做,UAG和服务器联动。手机用户的认证由第三方认证服务
器完成,UAG与其关联得到认证用户的信息,如手机号码。
2.8
UAG是否可以指定某个网段的用户做认证?
A:可以
[文档可能无法思考全面,请浏览后下载,另外祝您生活愉快,工作顺利,万事如意!]
8 / 8