UAG3000系列产品FAQ1. UAG功能相关问题 (3)1.1 Q:流控和审计产品为什么要合一？ (3)1.2 Q:流控和审计产品为什么配置病毒防护？ (3)1.3 Q:是否支持本地认证？认证流程如何？ (3)1.4 Q:对加密的IM聊天工具如何审计，如QQ、MSN等？ (3)1.5 Q:如何处理加密、未知的P2P流量？ (4)1.6 Q:如何处理HTTPS流量？ (4)1.7 Q: 由于全网用户是DHCP动态分配地址，怎么样添加例外用户了？ (4)1.8 Q: 如果评估网络带宽流量所产生的日志量？形成的日志是否支持压缩？ (4)1.9 Q: UAG接口必须成对使用吗？如果一对接口中一个接口断掉，另外的接口是否同步停用？ (4)1.10 Q: UAG提供独立的管理接口？ (4)1.11 Q: 透明部署情况下，有2条（或多条）链路，上先行交换机接口都各自进行聚合，设备识别是否有问题？通过路由协议进行负载分担是否有问题？ (4)1.12 Q: 对未识别流量如何处理？ (4)1.13 Q: 在做限速时是通过哪种机制实现？ (4)1.14 Q: 支持的第三方认证有哪些？实现方式如何？ (4)1.15 Q: Portal认证（即Web认证）部署要求是什么？基本流程是什么？Radius服务器有什么要求？ (5)1.16 Q: 如要部署在NAT之后实现方式如何精确审计及流控？ (6)1.17 Q: 在做限速时是通过哪种机制实现？ (6)1.18 Q: 经过带宽（限速）管理后，带宽资源是否要减少？ (6)1.19 Q: PFP掉电什么时候工作？ (6)1.20 Q: PPPoE报文是否可审计？ (6)1.21 Q: UAG可以满足那些认证标准？ (6)1.22 Q：UAG支持多少Portal用户认证？ (7)1.23 Q: UAG对数据库审计能做到什么程度？ (7)1.24 Q: UAG能否提供地址信息库？ (7)第 1 页 /总 8 页1.25 Q：UAG的直路和旁路部署模式分别应用于哪些场景？ (7)1.26 Q：流控设备最小（颗粒度）限流可以做到多少？都基于什么方式限速？ (7)1.27 Q: UAG能否实现IP地址屏蔽？如运营商带宽租用的场景下，运营商不希望终端用户看到IP。

(7)A:可以实现 (7)2. UAG配置相关问题 (7)2.1 Q:是否必须配置UMC管理软件？ (7)2.2 Q:PFP怎么配置？ (7)2.3 Q:万兆XFP产品掉电保护如何实现？ (7)2.4 Q:URL特征库为免费集成，如何进行升级？ (8)2.5 Q:UAG支持USBKEY吗？有什么销售限制？ (8)2.6 Q：用户数/本地认证用户数分别指的是什么，两者之间有什么关系？ (8)2.7 UAG能否实现Radius认证？能否对手机用户的认证? (8)2.8 UAG是否可以指定某个网段的用户做认证？ (8)第 2 页 /总 8 页1. UAG功能相关问题1.1Q:流控和审计产品为什么要合一？A：流控与审计两者是相辅相成，不可分割的：●从用户使用角度看，需要的是提升企业竞争力的产品，行为审计可提高员工工作效率，流量管理可提升核心业务网络应用能力，因此两者合一●从技术实现角度看，行为审计与流量控制都是对协议的识别和管理，只是侧重点不一样，因此两者合一●从市场推广角度看，为降低用户投入费用和维护成本，多功能集成更能体现人性化设计、降低TCO，因此两者合一因此，流控和审计功能合一是趋势，符合用户使用需求、贴合技术发展趋势、适于产品推广。

1.2Q:流控和审计产品为什么配置病毒防护？A：流控与审计是UAG产品主要定位，也是用户购买产品的原始需求，配置病毒防护（尤其是国际知名的卡巴斯基），主要是为了确保上述两种功能的有效性、全面性。

因此配置病毒防护的原因归纳如下：●集成卡巴斯基病毒，可实现网关防毒，与终端防毒软件配合，实现二重防护●可避免病毒引起的异常流量而导致流量控制不精确●病毒可能导致终端行为异常，不进行病毒防护，会导致审计失效1.3Q:是否支持本地认证？认证流程如何？A：UAG支持多种认证方式:本地Web认证、第三方认证(Radius、AD、城市热点），与第三方认证时可以实现实名制认证，即不是简单对应到IP，可现实为具体用户姓名。

无论选择哪种认证方式，如果选择UAG进展认证处理，当用户试图上网时，UAG会弹出web 认证页面。

●如果为本地认证，这由UAG直接返回结果●如果为第三方认证，这由UAG向第三方服务器发送信息，根据其返回结果确定是否认证成功1.4Q:对加密的IM聊天工具如何审计，如QQ、MSN等？A：加密的即时通信软件，在数据离开终端机器是已经为密文，无法进行解析和审计。

当前主流的解决技术有2种：在终端安装软件和截取用户密码。

注：在终端安装软件的方式存在一定弊端。

首先，终端使用者会反感，感觉侵犯个人隐私；其次，终端应用、系统等环境复杂，对软件兼容性要求过高。

因此，技术上已经具备，实际中用户使用较少。

截取用户密码方式：用户第一次经过UAG时，提示其登录受到限制，将其牵引到腾讯的安全中心进行重新登录，在这个过程中获取密码，解决加密密钥。

注意避免引起用户反感。

第 3 页 /总 8 页1.5Q:如何处理加密、未知的P2P流量？A：P2P软件变化莫测，如果识别不及时、不全面，会导致整个网络流量管理失效。

UAG采用自主的智能识别方式，提炼出P2P本源，可确保全面流量审计。

UAG采用DPI与DFI综合检测技术：●DPI(Deep Packet Inspection，深度包检测):特征码检测/端口号检测/报文大小●DFI(Deep/Dynamic Flow Inspection，深度/动态流检测):网络直径/连接行为/贝叶斯流分类（数据挖掘分类）/流特征统计1.6Q:如何处理HTTPS流量？A：当前主要三种方式：1、通过导入各种网银网站的服务器证书，防止各种假网银网站的钓鱼攻击；2、仅作记录五元组，并提供HTTPS流量中提供的证书信息审计，提供访问日志记录；3、设备作为代理，通过对HTTPS的加密/解密过程进行内容识别和审计，但因HTTPS加密/解密消耗资源较大,实际操作较难(暂时不支持)。

UAG支持前两种方式。

1.7Q: 由于全网用户是DHCP动态分配地址，怎么样添加例外用户了？A：通过添加用户名方式实现。

1.8Q: 如果评估网络带宽流量所产生的日志量？形成的日志是否支持压缩？A：各种情况不同，产生日志量差异较大，一般可按照带宽10倍考虑，如1G带宽1天全功能开启全线速可产生10G日志信息。

计算公式为：输出日志量L/24h=流量F(Mbps)*10。

压缩为可选择项，默认为不压缩。

1.9Q: UAG接口必须成对使用吗？如果一对接口中一个接口断掉，另外的接口是否同步停用？A：在不同模式下UAG的接口情况不同，在透明/网桥模式下需要接口成对使用。

组成接口对后，只有要接口断掉，接口对中所有接口都会断掉。

1.10Q: UAG提供独立的管理接口？A：UAG任何接口都可以作为管理接口，只要网络路由可达即可。

1.11Q: 透明部署情况下，有2条（或多条）链路，上先行交换机接口都各自进行聚合，设备识别是否有问题？通过路由协议进行负载分担是否有问题？A：不影响。

UAG按照指定信息（IP、MAC、应用类型等）进行识别和控制，可以不局限于指定接口，因此这种方式下UAG识别和部署都没有问题。

1.12Q: 对未识别流量如何处理？A：对于非识别的流量(实际上就是未知流量)可以进行限制与控制，每IP地址最小限速单位为12Kbps。

1.13Q: 在做限速时是通过哪种机制实现？A：UAG按照应用不同分别进行细粒度限速，例如TCP的报文通过调整滑动窗口的大小来限速，UDP的报文通过应用层的限速策略来实现。

1.14Q: 支持的第三方认证有哪些？实现方式如何？A：UAG支持标准Radius、LDAP协议的第三方认证，如CAMS、AD、城市热点等。

第 4 页 /总 8 页1.15Q: Portal认证（即Web认证）部署要求是什么？基本流程是什么？Radius服务器有什么要求？A：Portal认证要在线部署，客户侧安不安装软件无关紧要，当用户想上外网时，UAG会先第 5 页 /总 8 页其推送IE页面，当用户输入正确的用户名/密码后可以正常上网，否则无法外联。

Portal认证可以支持标准的Radius/LDAP认证，TAC Manger内置Radius服务器，可进行简单用户名/密码认证，如果更细粒度用户功能配置，需要购买第三方认证系统。

1.16Q: 如要部署在NAT之后实现方式如何精确审计及流控？A：UAG提供插件下载（无需认证），可推送页面让用户下载安装，不安装无法上网，只需安装一次。

通过插件可获取用户实际IP地址等信息，无论中间是否经过NAT，或经过几次NAT。

1.17Q: 在做限速时是通过哪种机制实现？A：UAG按照应用不同分别进行细粒度限速，例如TCP的报文通过调整滑动窗口的大小来限速，UDP的报文通过应用层的限速策略来实现。

1.18Q: 经过带宽（限速）管理后，带宽资源是否要减少？A：UAG支持“0”损失的技术，可以不降低带宽资源，从而实现真正的带宽管理。

实现原理就是抑制远端发送源，让不合理流量不能到达网络出口，从而提高带宽利用率，而不是丢失带宽。

1.19Q: PFP掉电什么时候工作？A：无论内置、外置PFP 模块，都是通过UAG内部继电器控制。

当设备重启、掉电时，PFP 会启动工作，在设备启动完成后，会通过继电器通知PFP失效，流量重新交由设备处理。

1.20Q: PPPoE报文是否可审计？A：支持，旁路和在线部署都可进行审计。

为提高处理性能，PPPoE报文协商阶段的“压缩”选项要禁用。

1.21Q: UAG可以满足那些认证标准？A：第 6 页 /总 8 页GB/T 18336.2-2008 是EAL 认证标准,UAG通过了EAL 1级认证就符合要求.GB/T 20945-2007 是公安部认证标准,获取销售许可证就符合要求;GA/T 698-2007 是一个内容过滤标准, 我们基本上都是满足的,可以说达到要求,但是没有一个证书来证明.1.22Q：UAG支持多少Portal用户认证？A: UAG的认证有两种模式：一是本地认证，即在UAG本地存储账号密码，功能简单。

二是认证转发，即与第三方认证系统配合（也可以用TAC Manager）。

规格请参考服务器上的规格表。

1.23Q: UAG对数据库审计能做到什么程度？A:UAG的主要功能是上网行为审计，兼顾部分数据库审计（主要是经过网络的SQL访问，可记录申请和返回信息）。