上网行为管理_深信服上网行为管理解决方案模版

1、-2-1-上网行为管理方案建议书目录TOC o 1-5 h z第1章需求概述11.1背景介绍11.2上网行为管理需求1 HYPERLINK l bookmark2 1.2.1用户和终端多样化，管理复杂1 HYPERLINK l bookmark10 1.2.2应用和内容不可视，存在风险2 HYPERLINK l bookmark18 1.2.3网络流量识不全，控不住3 HYPERLINK l bookmark22 第2章可视可控、感知风险的上网管理方案5 HYPERLINK l bookmark24 2.1全面的上网可视可控5 HYPERLINK l bookmark26 2.2用户的可视与可

2、控5 HYPERLINK l bookmark28 2.2.1安全便捷的身份识别6 HYPERLINK l bookmark36 2.2.2安全可视的用户管理7 HYPERLINK l bookmark42 2.3行为的可视与可控8 HYPERLINK l bookmark44 2.3.1全面精准的应用识别8 HYPERLINK l bookmark46 2.3.2应用标签化管控8 HYPERLINK l bookmark48 2.3.3灵活细致的权限控制8 HYPERLINK l bookmark56 2.3.4非法的内容识别与管控9 HYPERLINK l bookmark62 2.3.5

3、全面完整的行为审计10 HYPERLINK l bookmark76 2.4流量的可视与可控16 HYPERLINK l bookmark78 2.4.1网络流量可视化16 HYPERLINK l bookmark80 2.4.2合理有效的流量控制17 HYPERLINK l bookmark88 第3章方案优势20 HYPERLINK l bookmark90 3.1全面完整20 HYPERLINK l bookmark92 3.2细致精准20 HYPERLINK l bookmark94 3.3灵活有效20 HYPERLINK l bookmark96 3.4简单便捷21第1章需求概述背景

4、介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作；新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明确提出上网行为审计的要求，并且要求至少留存上网日志6个月。因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造

5、，提供一个更安全、更高效的上网环境。上网行为管理需求互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住”，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着巨大的风险。1.2.1用户和终端多样化，管理复杂BYOD上网难管理随

6、着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT系统。这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。所以，IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素，为员工不同的上网情景，制定更精细的网络管理策略，提升办公效率的同时，降低安全风险。访客上网认证繁琐企业组建WLan后，当有来宾访客需要上网时，要么直接开放，安全风险高，人员随意接入，无法定位身份；要么需要提前申请临时账号，管理复杂。所以，组织需要一套使用便捷，即

7、来即用，同时又能满足安全合规要求的来宾访客认证系统。私接无线，引入安全隐患在一些没有提供Wlan的单位，员工为了便捷性，往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan，让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。所以，IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。1.2.2应用和内容不可视，存在风险大量新应用和老应用的新版本，给应用识别与管控以及后续的运维带来巨大的挑战，让网络难管控，难运维。另外，即使是同一个应用也可能具有两面性，他们有“好”的功能，也可能有“坏”的功能，“好”功能具有实用性，而

8、“坏”功能具有风险性，因此，此类应用的管控成了一个两难的问题。工作效率低下网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率，从而导致企业竞争力的下降。所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。网络违法风险企业内网用户在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良内容，都属于网络违规违法行为，企业或个人将承担法律责任。所以，组

9、织需要根据82令的相关要求，建立全面、完善的上网行为的合规审查机制，并建立严格的审查权限管理机制。数据泄密风险伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用，企业重要数据泄密的方式越来越多样，风险越来越高。在有意无意间，一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产，外发的互联网上，给组织的公众形象、业务开展带来严重的风险。所以，组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略，防止重要数据的泄密行为发生。1.2.3网络流量识不全，控不住由于P2P流量没有明显的协议特征，再加上其带宽侵蚀性的特性，造成P2P流量的全流量识别困难。而且传统缓存丢包的方式，无法真

10、正抑制P2P流量，因此就不能很好的保障带宽。大量客户反馈已经有传统流控设备，业务却依然卡顿，也是这个原因。带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。而且近年来P2P协议应用更广泛，比如常见的在线流媒体等，P2P流量往往识别不全，难以管控，给带宽管理带来很大挑战。此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。所以，IT部门需要能看清网络流量，针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、

11、动态的带宽管理策略，提升用户上网体验。第2章可视可控、感知风险的上网管理方案结合上述的用户需求以及IT系统的现状，深信服可以为#XX客户#提供一套完整、可视的互联网出口安全解决方案，帮助用户实现上网的可视可控，感知上网的行为风险。即能轻松满足安全合规管理的要求，又能提升IT运维效率和IT价值，还提升了用户上网的操作体验。全面的上网可视可控针对网络管理问题的各类上网行为，从逻辑上可以分为用户、终端、应用、内容、流量5个要素，而从业务管理的角度可以合并为“用户”、“行为”、“流量”三个元素，其中“用户”包含用户身份和用户终端，“行为”包含网络应用和网络内容。深信服上网行为管理AC直坚持上网的可视与

12、可控，可以实现“用户”的可视可控、“行为”的可视可控以及“流量”的可视与可控。深信服AC通过深入识别技术，全面识别网络中的用户、行为和流量，并通过分析和可视化的展现，帮助管理者看清网络状况；并且，可以对“用户”、“行为”、“流量”进行精准灵活的管控，让用户上网高效，管理更省心。移动直联网覘僂帕無細廿认证基于场黑的认证方式菲法Wi-Fi热点営控*基于缭类型和位胃策曜-P2P智能识别-*鎳容单移动应用与礙蔭管控移动应用识5!1-*七借统互联网（PG有线网第）-账号密码、IP/MAC绑定-与AD等认合防共享上网精准识别与控制基于特征P2P趁基于应用的流颐略全面嗣干万级山骅应用识别库力谑网页/曲附牛过

13、滤审计-憎控用户行为用户的可视与可控深信服上网行为管理可以根据不同的场景提供不同的认证方式，以此识别用户身份；可以识别用户的上网终端类型，并对移动终端进行管控，防止非法用户通过私接Wi-Fi接入网络。2.2.1安全便捷的身份识别为了针对不用角色身份的用户，避免身份冒充、权限滥用等出现，提供即安全又便捷的认证方式，深信服上网行为管理可以提供如下多种身份认证。内部员工身份认证深信服AC支持本地认证功能，包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

14、AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。外来访客身份认证为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满足合规要求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式，当来宾接入网络后，系统会自动推送出专门针对来宾访客认证界面。短信认证，来宾只

15、需要输入手机号码，获得并输入短信验证码后，就可以获得上网权限。而且为了简化用户操作，与传统的短信验证相比，用户只需要点击3次既可完成，十分便捷，不需要在浏览器和短信界面来回切换。微信认证，访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”，并发送上网请求，才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量，更好的帮助组织推广品牌宣传。二维码认证，访客认证页面会自动弹出一个二维码，只有内部接待人员用自己的移动终端扫描二维码，确认同意后，访客才能获得上网权限。而且，为了满足合规要求，接待人员，可以在页面上备注来宾身份信息，便于后续查找。网络虚拟账号识别深信服AC支持识别各种网络应用的

16、虚拟账号，包括微信、QQ、百度贴吧、人人网、网易邮箱、熊猫TV、美团、京东、链家网等100多种常见应用的账号情况，据此可以确认用户的网络身份，也方便后续进行针对性的管控。2.2.2安全可视的用户管理用户状况可视深信服AC支持用户状况的可视化呈现，能够实时展示上网总人数，以及上网用户的终端类型分布（PC或移动端）、认证方式，并在首页动态展示各种类型终端的上网人数。10.0S6优(S*391.973inty-.*iKrflE王简星HWA円占日甲曲汁:鼻讯勺舟竹M2SB发现新務动牖的行；!：凰SH：移城财口荀詰邀.您动终诰列丈七辽工衣帥行誌现|“席记丸営只BT.L.n的展肚如D棗就至爭请査诃Hd蝕血

17、爾1热洲用皿曲啦Lffi最返尉时貝smEDO.332DD200La.3B/LlfBillt/SJAHTTFGIT/移珈交端如etO的谕里枸目絶q.n.anEOT.巳田ZDOZOOZ.33/defaull?.口.-.-|._.”.,干打吒“”：.dIJf住毛ni.n.anEijO.lOL169ZDOZOO10LEB/dcfaull./SanHTTFJCBT/gsitHtAndrnidJ制世L-jUqianEW.2EO3ZDOZOOE.Z03/dEBull.-SanMET廢鱷游幕症姿移动绞嚣j紡t里桂绝寸njuqi2tMEtiO.2羽电ZDOZOOE.2D4/defaull./：IJ冋:心心卜二壬

18、详穴苟P.Y注；毛毛寸njuiizmEOT.ZL5TZDOZOOE.157/defoul1.-Y.7.:“任奇：唏105）的耀ijn；u=i2U0EW.IDTSI2DDZOOLOT.ESI/dEBull./SMnnrj?rr廢孵騎馀婕辺阙感御術理桂绝20141346：Efl：33anew.is?gqZDOZOO129E4/defaull?衣現Idi机1移动线端（AndrE旳&：.：tS；毛毛20143-K16:07:54anEW.15L35ZDOZOO151E&/dcfaull./Y.：I.Tn：J：tiA.：,11丁凹ZOI43-ZZQ3：ZO：5EanEOT.1no&9ZDOZOOLOO6

19、9/dEBull.-竝現TtmVi(Andrr-ad)战ft龜桂绝ZOI43-ZL0q：L4：lE2tMEtc.137asZDOZOO137EC/defaull./SanHnF_(rIT/CAndro:d-)我ft卑傩绝ZOI43-aJq：LT：53行为的可视与可控深信服AC通过四个方面来实现“行为”的可视可控：首先全面精准识别应用，然后基于业务视角管控应用，其次对应用进行灵活细致的权限控制，最后对于特殊应用内容进行定向精准识别与管控。2.3.1全面精准的应用识别深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库，包含2800多种应用、6000多种规则，以及1000多种移动应用

20、，可识别目前网络中各种主流应用和APP软件，如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。而且，深信服上网行为管理保持每半个月更新一次的快速迭代，不仅新增常用应用，还及时淘汰老旧应用，避免识别库的臃肿。2.3.2应用标签化管控管理员可通过深信服AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提高管理效率。2.3.3灵活细致的权限控制多维度的灵活策略为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控，深信服AC可以识别

21、各种终端类型，包括windows、IOS、安卓、phone、pad等类型，还可以识别出用户接入网络的位置，包括有线、无线、办公位、会议室等等。从而制定用户的上网策略时，可以从用户角色、使用终端类型、所在区域位置等维度进行组合，来制定精细的控制策略。比如用户角色A,在办公位置上使用PC接入，可以访问权限较多；但在接待区通过无线网络，使用iPad接入网络时，只有上网权限，不能访问内部安全界别较高的应用系统等。应用细分功能管控针对具有多面性的应用，比如网盘，其上传功能有泄密风险，而其下载具有实用性，因此，应该精细管控网盘的不同动作，如：封堵网盘上传，放通网盘下载。通过精细化的管控，兼顾安全和实用性。

22、下戟上传同婪应用还有:邮件微博论纭9.sofoaemiftftTE2CJ3-l-nJW：JCfl5*SflDigoo.2.3D采记5start,ie.$號他e-Wjp!心创j沪血们1S：3I：e6*SOdigoo.2.3D采记5start,ie.$號他e-Wjp!心创i沪血们is：3ceTTx,iarr菲趣hh-3iraxiDra/KliS,niifl-iiiiS-CMiiS:3iSfiETartarrbv-3dsik.fiidrKif?3rniifl-iiiiS-CMiiS:3iSfiSvia-cfar/加IDM.S.3Dan4si皿enyxXE-iRMW!MIMfl-fllIM別LT址vi

23、a-cfar/加IDM.S.3Dmeark-qiEvl.i，iijlvwn-.qvcv/EL-mv-K.讪门尸SJJXfl-QJ18：29：L512xvle-3T/2UD.Z00.2.3DTE14S未记录try.qvc-MWlilLaui3L.廿阖门尸SJJXfl-QJ18:29:L513*ZOOKC.E.3D诟盘记S*vQIi!W/S!Llw*w(廿间il户mrmFW：S9L314*ZOOKC.E.3Dmsvisfil*.-iijcsi?3013W-订间门户2CJVTXl-riJW:S9Lq15SdliEST*gflDiKC.2J3D1:玉记5dsfile酸csfc?Kr1：W.siflil

24、PSfl1：3-ce-oi18:HIB辺IDM.fl.SDWLffsw叽ex桥闻门口IS：別（M谢讯迁页nTartarr创Dr.:n*ELnfE4*.CM/ronj*-1iillSHH-ni居:曲iiZahpar-览tubarr创D1-wnJhlL4.E-oraen枝件下载iillSHH-ni居:曲(M1.9na-cfar/2UD201.2.3DTKLSErl;.i,TDfti.rmr1些pJWTSailMa-flll：3：2flCfiraxvleCot.-2QD.2Ctr4fiFi.pi.rid別EVQ1131：囚125614E-5TFEliriKJ.E.anms金记录|dhffirE.w可

25、闻门户eh:i：j-oi旳：因M馬5614E-5TFSflDiM.2.3D1:丟记5ItiriiFe.軌e憧百pb理gfl1：M-0118:33:2KTU#t-3Tr2D0HM.2汕f-:B#lth*.Tini-斗q.rxv*244社交itiis-OMiis：232HCr-biDilfjs.i-2TTU#t-3Tr2D0HM.2汕f-I吿音FVBV.f-1:anAOXH悒:刘ua-同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。北五历史关ffl棵技S!码丰机车电时綽矣昏馄廉耳儿师即罕事予r亦也罚強？話栈乐斑电审音乐汽车护苻宙aSts文ft：m岀国丿曲箴題wwwrqqrConi/

26、t.I嵌存爭评足:r-d-b；：；FH=in：-lr.nlUi-QQ=3：tiKi.-QQ-QQ-.：，护=S咖=Jit+is迪订笛籾；好应对咎种只甸甫厂U：冷吨旅J：iFFIHEft討皿吋=*咔土禺“仁妒3：外*羅亡TT如f工广.：.六_：.师”王林干蓄李康否认.H几弓丄t.|：vhk嫁二向用朋高媼而脳少闵氏空调呵？中确竄土实力有茅淫怀限SG能舌很治航既延误；卩.*于丁活：冇=：”妆厂胪正秀王“兀二心工“：-.：1；：-._1|.5i虱亍咲i-邮件收发：对于Webmail或邮件客户端收发邮件，AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核正立顶

27、董閘劇ft骨；记豪村惧乐印宣井wuuJiuagqqcom帧町唧tisianQf輕w创在师讨合as闻ir解下一骨:网上朋薰圭址用户玄旬酗Fw客户輛醫-WRFffletfit口磁件-心1胃OT2JJ2O3569唧h时悸列g防.QCSftAT妇rt发医时旧二3313-lS.QQa443J3569.刖fl腐啥:“血左井wu.jMuaSaicomwMivtisangr匚呼SeciriupcisieleflamorourUDrsQCfiomUDffiiD3it2D13-07-03015xiQQ34430356e吋:邮嗨务呵m.靜甩IE：苴的圈讯衬台王和直侶品悟训QCftA：mnfleififlTa!鈿V.

28、QCi煌鹊20誓典藝的n叼呦豁诙血.县悻翻动fF用尸窑wes-wali:小.san3Mrwe?iHali:L.sanj/orV|-?rn:小.sanflftir”r?rn:小.sanaftirTPMrt拡迅录sanofor:?.r汨：油咖:?.rmr：:?.r汨：匍noforQC2JJ2O3569吋tsangro.页1煜少回薯桜55F”肘间排睜目页ILP50-帑记录HBI内各且示hdohi血-1A2=2DL3-QB-D2Jl：35：42找洋JtdU-nyii-KWixLt-3rm比S徉和站,FSi-rarah?rMrdiyawTbLT&tAE-atuntTftJRIsHiPt.!：QSfWU示

29、万式DfflL冇式】.SiTiiEfor20l卜於屹IB:创L9克刖対thLa&EWH&aE-IBrDfibun邮件杆.题枝肚件直址!：叭11uE7下孵姑件x!)上阿行为管理产品C：1tsSMKMl*板际IM聊天：对于QQ、MSN、Gtalk等聊天应用，无论是Web版或是桌面版，ACft-/斥号馭工旦=uik用戸名尿：t组H捐4“”也T,”码7创阴;：Garna2442035i9醴林PF碌瞬,77OQITM.ib.总eanoror$19：02：535T.FlC,BS1998Garna244209甘升网OQITM.ib.気sanorori19：Q2126TomoRrow_g天君Garna2442

30、09rI.-OQITM.ib.丸sanorori19：02：027TomoRfwta天吕G由旧咗4420354卜A.!QQITM.sanorori19：02：02eET-117025203*Garria谁给我倍一平QOTM.i冰sanoror$19:00:529红护点亏0603012Garria-：24420.9OCUTM.i冰sanoror$19：49：16Sr10*91659.Garria-220.9亠丙办玉非進叵OCUTM.i爪sanorori10：46：56SiInSGarri3-220.J5fi975tiSJ5SOQITM.甌:爪sanorori10：44：FA12HSi3605B4

31、4G9G3rrla-：24420256S溝犬嶷16容諭aarrM.按记录ssngrariia：itJ4|2qi13ZJix36D5E44S9G3rrla-：2442a2569Kh7QQ-a：cio.心oqitm.湘ngmiia：40：Q4SrM电頁3砂弓页H薯按示疋V时關府1+1S-l：IL-7t”皐如旧匕H-0:-:-I|ri：.I.I11:-.T.J所在组:副天工具:-.-.I-S均能详细记录其聊天内容。微博论坛：对于微博、社交论坛发帖不仅能够根据关键字进行过滤，发布的肓|舟户ip|*宴检用漏啾刚_迓審H世惜时琐目测忆出盘|恰时技术支持团氏曲曰.卑范朗项目业ji世嗣iftf试迅筑序号ans

32、URL动IE用户芒1韵勒一就图了耶中邑t.WEIajitnbIcg/ad.ttE录yuanyijm2rsTK国了前中Eh.eiba.coniiJiVnblngd.yusndjin删顶胡3hello,ianlookingfanfonCQiTiprr-cd6rns&200200.67B34一戟图了鮮中.WEibo.ccmajimtleg/ad.as沱录yuanryuinE此帖子汪馳殖US碍ft.51ql|l.oarnJforum.p.裁嗣lhl_per6EsMg=1nnt-&iE0：.zhe091128425.*tfiES200200.674Q国見识別范7此帖子元榛！dk5tle=borders.

33、b112842=i*.德记棗20D2-00.57.iig应用识别裁此帖子无馳dkat,le=borders間MMcinebb112945=；200200.67492此钻孑元転貶-稱薛蓟孑样.WH、gn9bh1-l：37SDUttfiES20020.0.6749風用识电11.1Hl芳杲吐十时.弓排掙和躍示5Q”条记总Q0内雷毘云方式汕虹才式-屋.ynuiyajiaEDI3-D4-l5：DEtn勰：WrtS网站匪按：http:AfvciU.coi/nfL50eO1425r?m=5itapn&v=j.ifTC=5访同目忘：CO!功昨：镀偲最上停昭甘(1)：页2挥页卜K是1内容也能全面记录，准确还原发

34、帖内容，提高可读性。一张田了解中国！一起看看，(0诈国际原油价格录高粘桶H谬美元，现在每桶帕埶降价百脊N四十当时国内汽柚每升5元埶躺母卅元，提价百张SSL加密应用审计同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC可以基于关键字过滤和内容审计记录。针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能。数据中心及报表大型机构每天产生数十G日志数据，通过深信服AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。x昵述口sthaiewsatiiE*k4MWjKk|事号砒石用占比11192.1&E.LGO.

35、22T：15J旳叮和75C_MMb15打1渕申lTjB13fe17.Sift3陀PBK3Zl(M.22T：1S|-T17$2C.13Gb15_Mj7；e4*53*17.7Hfe二4：L3|ECJE31-MMb15_W0M*4-3#!：17.7C=t通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向高层汇报。11.带宽健康井析-应用流速趋势带宽评级；好消別您寓绍有能$的时间，带宽占用率未超过時也用户上期棒验良奸n应團温锻趋势IB0-301EHJ2lO-fliIClDHD-

36、121D-UIMit|I|1HIMO10-Sii|J-24IMi1U-S应用趨平均戢瞬Tt?J总制B占阳比割邸曲户瞬i13.4SMtSiLlS&Kb/j239豹葩3O.A7Gb320.24Gbiw.Dfy%19ZJ&B100J227J.aMl3/S(10a.oow通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。他.區LW2?粉IJU：flHE1S2M&LW配；免审计Key机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，对其记录审计反而成为泄

37、密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后，AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后，当再插入该免审计Key后会自动弹出警告，且禁止该人员访问网络，彻底保障信息安全。日志审查Key企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心

38、，从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。流量的可视与可控深信服上网行为管理系统通过多级父子通道技术，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。在P2P应用流量控制方面，通过深信服P2P智能流控技术，能够有效的抑制P2P流量，使得核心业务应用有足够的带宽资源。

39、2.4.1网络流量可视化深信服AC为管理员提供了网络流量可视化方案，管理员可以实时查看出口流量曲线图、当前流量TOPN应用、用户流量排名、当前网络异常状况（包括DOS攻击、ARP欺骗等）等信息，直观了解当前网络运行状况。优JDD.il.：你Hi-百Fi帕nianiEii：IHtt.rlfilE11Utai*JEB：I89/1573MifiAO10,086in#MH：4QA耳口KGG4A马也那3HA.炉皿砂.口耳认诞：BA辱*L忆.11杞!伽尢干BC%F国如=4*口川曰丙n询礴ElLilFbAEI咅呻曲1站!i別QS咖1&NEliM2173kh7LLKbftl2伏恤补1农吋IHi碗3常（冶F1询

40、时）-Ti-/lJlieJ伽I弼JSHMsi2利心LXb.!-：.3*:LI：H?衣比州b想减2：1如心卅E中钳2.4.2合理有效的流量控制多层父子通道通过部署深信服AC，可对网络出口链路总带宽进行细分，采用“基于队列的流控技术”，即建立通道，将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。深信服AC支持多级父子通道，即在父通道中嵌套子通道，最大可支持8级父子通道。通过多级父子通道技术，能够完全匹配公司的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。P2P智能流控目前，通过封IP、端

41、口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和未来将出现的P2P应用加以控制。目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达不到预期的效果。INTERNETA40MP即流星被限制I戏务带宽帀旳提高了30%70M带宽策略：P2P:30M业务：70M30%空闲IWIERNET针对这些问题，AC通过智能流控功能，能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感，但是下行流量与上行流量有显著的相关性，只要控制住上行流量，下行流量就能得到控制。当开启AC的智能流控功能时，系统会根据