网络流量综合管理系统产品白皮书

提升nm规范IT行为提升nm规范IT行为产品介绍衰角度透视网络应用按需分配您的IT资源方位审计网络行为,网络流量综合管理系统录第1章概述网络信息化大潮正在有力地推动各行各业的发展，各企事业单位的信息化水平也在不断提高，但在实际的网络运行环境中，总是还存在着这样或那样的问题：网络像一个黑洞，公司完全不知道网络正在运行着什么应用主要是谁占用了网络带宽。当网络出现故障的时候，网管无法快速发现网络问题，准确定位网络故障。不知道员工利用公司网络主要在做什么？谁在工作？谁在进行P2P下载，谁在聊天和炒股？少数人使用了迅雷、电驴、BT等P2P业务，导致整个网络的拥塞。如何保障重要人员和关键业务的带宽？机密信息不断外泄，内部机密信息通过、BBS、网盘等悄悄流失。员工个人的网络违法行为，给本单位带来非常严重的法律风险。员工在自已电脑的USB接口上插入随身WIFI或者私接无线路由器，引起网络混乱并且导致监管手段失效。单位没有预算购买专业的防火墙，网络不设防，极易遭受网络攻击。员工随意改变主机IP地址，导致网络管理混乱，出了问题也找不到对应的人。公司放在DMZ区的服务器，不清楚工作正常，遭到攻击也无法定位到攻击源。

1-1网络流量管理图某网络技术有限公司能深刻理解用户对宽带网络流量管理需求的必要性与迫切性，综合了网络流量分析、网络带宽管理、上网行为管理、DMZ区管理、企业级防火墙、虚拟多设备管理等多项突破性技术，推出网络流量综合解决方案——某网络流量综合管理系统。1台设备=1台流控设备+1台上网行为管理设备+1台链路负载均衡设备+1台路由器及防火墙。可以很大程度上节省客户的网络硬件采购费用，同时也极大的减轻网络管理员的管理复杂度。本系统能透视全网的业务，使网络透明化。还能按照业务应用和使用者的不同来设置不同的优先等级，对宽带网络的流量进行高效管制，有力保障信息高速公路的畅通无阻和高效运行。第1章功能简介1.1流量分析全面透视网络应用，快速发现网络问题，迅速定位网络故障。> 可以实时了解当前网络流量是多少？占用网络带宽的比例是多少？>可以实时知道全网流量最大的是哪些应用？全网流量最大的用户是哪些？>可以实时发现网络的主要数据流量流向哪里？主要使用了哪些端口？>可以查询应用的访问情况如何？应用网络的质量怎样？连接成功率、数据重传率是多少？>可以分析用户、业务应用的运行历史以及预测未来的发展趋势。>可以准确、快速定位到异常流量的主机或应用。0012显示流星最大的员工，定位导致网络拥堵的源显示各赭应用流曷比、川，发现导致网络拥堵的J新解生序」I.匚质早0012显示流星最大的员工，定位导致网络拥堵的源显示各赭应用流曷比、川，发现导致网络拥堵的J新解生序」I.匚质早懵电］搬克班|富修封制|风诩5］和门的电|北华刎11匹拄|©身|且用初:分布苴2C锐可目7J&55.箕卬商生：上传通水3蛇3H蚓 下套1012商汨3狗g^fl.ltilJfeWbpS量近5疗切串算由混量।上传：12rt摊下欢1上制叫lUTfcl।jo.3&i[mamckitg刖e.r011M小川qkma^ioehm.3Dsa?.4JDisiCQaD$3d口dszjklj]a.■—I[02卜-|~?9¥| f————……——……………卜-…………--nh：]:।—। !FI5g||1IcinlHII°洵晶।IW5I~忖瑞当矶。口叫IQ咂时间j乎|「IIII_JT1「1 厂"1r「 匚二B门⑪更加由J］苑眄鹏段烟匚二11。分餐天划穿揖■阳1%珠■0.21，£也常层应用!=口;"印町国定I 10淋共=am幺文件侔输0rBM主TEUPP热措I图表1-1整体流量图图表1-2流向分析图F作时候网麻落亘由帝、J发连凌过多造成晌，定位口型连接反多的主机_/凿詈〕不巾0W点量：上陞6?Kbpsd.1财下延LCMjpsCT.^ifiSftldMvrs当发现某个员工流量异常的时候0W点量：上陞6?Kbpsd.1财下延LCMjpsCT.^ifiSftldMvrs当发现某个员工流量异常的时候I可以清晰的看到该员工在干什么眼但分批昆二口觐H」客i区khfTfci体中值用品布11:151U:2511:551l：fl511米lElfe12dli51£25戊捉1七祀1之错13病手我授HTT『文W

M3图表1-3并发连接数分析图匚二■46国％更咄俎5件力:昨IBB肛1书的匚二|ZSfi%丰对_5肄新匚二I1加个小西曲宣■口感奉明th翼雳匚二！03+未5】呼虹施II口力也如I 1。口1%门必包Q.OIf单跳l，EP空件图表1-4员工流量业务分布分析图1.2带宽管理保障关键应用和重要人员的上网带宽，限制P2P等无关应用的带宽，保障网络通畅。＞保障重要人员和关键应用的带宽对需要一定带宽的重要人员和关键应用，如单位核心成员、视频会议、ERP系统，分配一定的保障带宽，从而确保这些重要人员顺畅地使用网络，保障关键应用的稳定运行。＞限制无关应用对那些与单位工作性质无关或者会消耗大量带宽的信息流，如P2P下载、网络视频、娱乐信息流、可疑数据流等进行必要的限制，减少其对网络资源的占用。＞公平分配带宽通过制定基于应用、个人、部门的网络资源分配策略，可以防止因个人主机中毒而导致整个网络瘫痪，同时保证每个人都能平等使用网络（关键人员和关键应用除外）＞识别阻断网络攻击根据并发连接数可以确定并且阻断DOS/DDOS攻击等异常行为，保护网络设备安全。图表1-5使用本产品前后客户访问互联网总流量的变化P并应用N%F幽通和他收发出件白物P并应用N%F幽通和他收发出件白物流量控制之后客户访问互联网业务分布流量控制之前客户访问互球网业务分布图表1-6使用本产品前后客户访问互联网业务分布状况的对比＞优化动态保障技术:1-7保障通道设置界面本系统在保障重要人员和关键应用带宽的时候有三种方式：1.静态保障，2.一般动态保障，3.优化动态保障。根据不同的应用方式，使用不同的优化策略，可以大大优化网络带宽:＞静态保障不管该通道是否有流量，最低保障的带宽都被预留出来。其他通道不能占用，这种保障方式般给非常关键的应用使用，并且这种应用一般都一直都有流量，例如企业的VPN之间的数据传输。>一）般动态保障如果该通道没有流量，则该通道的带宽可以被其他通道使用，如果该通道有流量，则一次性全部给与该通道分配的最低带宽。这种保障方式一般给视频会议使用。例如我们给视频会议系统分配2Mbps的保障带宽。如果没有开视频会议的时候，这个2Mbps可以被其他人占用；一旦视频会议系统开始运行（不管实际上使用了多少），则这2Mbps其他人都不能占用；视频会议结束后，这个2Mbps又立即释放出来给其他人使用。>优化动态保障是在一般动态保障的基础上做了一个优化。当被保障的应用开始上网的时候，不是一次性分配所有的带宽，而是根据该通道的当前实际使用流量来动态保障带宽，这种方式可以更加优化的使用带宽。这种保障方式最好是给单位重要的员工或者部门使用。例如我们给单位某员工A分配2Mbps的保障带宽，如果员工A没有上网，这个2Mbps可以被其他人占用，如果员工A上网，但是只浏览网页占用了1Mbps的流量，那么其他人可以使用剩余的1Mbps的带宽。上网行为管理规范员工上网行为；保障单位内部信息安全；规避单位法律风险；提高员工工作效率

zhangchunguang_8192.168.541G616g,71天下2192.16S33.14Igjy195262415874116lauralee322*sumy_198205'、zhangchunguang_8192.168.541G616g,71天下2192.16S33.14Igjy195262415874116lauralee322*sumy_198205'、5tM；，产函丽］,新性,：＞卬”4》、e；，，户:行洋；，xl两先―餐i一1-8网络事件交互图＞审计网络内容支持对常见的Inter交互内容进行数据还原，可以记录SMTP、POP3、WebMail邮件信息、BBS等POST表单信息、MSN、等即时通信信息、FTP、Tel的控制命令信息，并可对其内容进行审计和统计分析。＞上网行为分析提供数十种统计报表，可以对单位、部门、个人的上网流量、上网时间、网站访问、邮件收发、聊天信息、财经炒股、网络游戏等网络行为进行分析。＞上网行为控制简单易用的七层ACL。可以设置任意时间段内禁止员工使用某种网络应用，例如禁止员工在上班时间上网炒股、游戏、P2P下载等。同时可以通过设定非法网站的URL关键字，让您轻松阻断公司员工访问非法或违规网页。通过上网行为控制，可以提高员工的工作效率和规避法律风险。IP地址管理杜绝随意更改ip地址导致的网络混乱，准确定位故障主机或者问题主机。IP-MAC绑定在二层网络环境下，本系统可以让每台主机的IP和MAC进行地址绑定。如果绑定的主机修改了IP地址，本系统则自动对该主机告警，且该主机也无法再访问网络。1）本系统可以让每台主机的IP和MAC进行地址绑定，不能修改地址。如果绑定的主机修改了地址，则该主机会自动被告警，而且该主机也无法访问任何网络应用。2）本系统还设置了访客区地址，对于访客的地址不进行IP-MAC的绑定。这样大大方便的网络管理员对于访客的管理。3）如果普通员工将自己的地址改成访客的地址，网络也能够自动发现，并且给该主机发出告警。ARP欺骗防护网络经常遭到ARP病毒的袭击，导致网络瘫痪。使用ARP欺骗防护功能，可以在根本上抑制ARP病毒，保障网络通讯。内嵌DHCP服务很多单位IP地址是通过DHCP动态分配的，IP地址是动态变换的，在这种情况下网络出现问题如何定位到个人是非常困难的事情。本系统中内嵌的DHCP功能，能够和系统中的IP地址管理功能配合工作，可以在DHCP环境中实现IP和MAC的绑定，完美解决了DHCP环境下定位故障或者异常主机的问题。有了内嵌的DHCP服务功能，还可以让您在您的电脑桌面上就可以为单位所有的电脑分配和修改IP地址了。三层交换环境网络下的IP地址管理在三层交换的网络环境中，由于不能得到主机的MAC地址，因此不能象二层环境那样做到IP-MAC的绑定。但是我们还是可以对IP地址进行管理的。我们的管理方法是：首先通过自动学习，得到目前网络所有主机的IP地址。然后选择可以上网的IP地址，没有被选中的IP地址则不能上网。通过这种方式，也可以限制员工随意的改变IP地址。上网认证管理防止外来人员随意违规接入网络，保障单位的值息安全，降低单位的法律风险没有严格的认证，就无法有效区分用户，也就无法部署差异化流量控制和审计策略。本系统支持多种认证模式，用户可以根据自己的实际情况选择适合的认证模式。本系统可以存储用户名/密码信息也可以与单位现有的LDAP、微软的AD域控制器、Radius服务器、邮件服务器等进行联动；还支持与利用单位的邮件认证系统或者Proxy的认证系统来完成上网认证，而无需管理员逐一添加用户帐号，对于上百人甚至上千人的大型网络来说，这个特性是极其重要和必要的。DMZ区服务器和内网服务器的管理外网访问DMZ区和内网员工上互联网是共享同一条带宽的，如果只分析内网访问互联网的流量，而不分析DMZ区的流量，这样的流量分析是不全面的。基于不全面的分析来进行任何流量控制必然是不准确的。本系统可以从多个角度，全面的透视外网访问DMZ区的整体流量情况，对比DMZ区和内

网占用带宽的比例情况，为带宽分配提供科学依据。本系统更能透视DMZ区中每个服务器的工作情况，及时发现异常工作的服务器，定位攻击服务器的攻击源，并且能够及时阻断对服务器的网络攻击。有些单位并没有独立的DMZ区，但也有一些服务器直接放在内网（例如网站服务器或者邮件服务器），通过防火墙的地址转换对外提供网络服务。本系统可以像管理DMZ区的服务器•WAN路由器防火墙WAN1WAN2LANILAM2网络黜睛合告理系统样管理这些内网服务器。图表1-9支持DMZ区管理的设备接入方式DMZDMZWAN路由器防火墙WAN1WAN2LANILAM2网络黜睛合告理系统样管理这些内网服务器。图表1-9支持DMZ区管理的设备接入方式DMZDMZ区DMZ区核心交换机内网区内网的用户内网核心交摭机6B〕冲日访呼制区原it二上缶汨大耳中a帕）下甄4#〕冲日访呼制区原it二上缶汨大耳中a帕）下甄4#均1则混）强寻世工新!那侬匕9例总义也Mt£b上传£到监:谀^■3.11%供3卤方二ZHQ两％啾曳卷「I3初%.橄］殷寓匚二| 田时尚且■3第*区件用㈱匚二I1."找财衽长富=1。制%其他章月也用IID.37^.D02口砥%渝州。加治4V邙UCFESJS序号睁务诲TF*ttt总丽如SJ不重注索触]ScTIKZKTltfUZ^3SLj-t,i!S'BTEbgs55/D2ck.Fi]0L]D.ID.L3场口收：EEEEL-j^»?D)4巾Hl_HJ.LS1030LOIB]口俅血L51010.10L8]Jflips/4I&J--S斓"1蜘E070与C10IC10LQ耻qMl'耻十FO.'Q==■:£e1030.ID.L<DL^x/DL-sixo.*a1JO]0,LD.LlJO30.ID.LEDtcill'DtfllQfl] ■■5]Dm-LU.01030.i0.4Ugl/Ut噂玉QFQq[口2hl«L割flO£Ll.IDl如.ER2HlOi力电SHJQs维但ObfT,i*0t-^T0/0o/anJO10-L0.2SE.101G.L0.^-DL-7xi'DL-7xo.!aIEJOaQ_L0.^JO]G.10.5.口心工|'口匕i上D/Q41ID]Q_LU.L&10ID.IU.LS：工iNort上图表1-10互联网出口流量分析图（右侧为DMZ区）DMZ区管理现在越来越多的企事业单位将自己的网站，邮件服务器以及一些其他的服务器放在DMZ区（非军事化区），以便于外网用户来访问。但是大多数的企事业单位没有对DMZ区的服务器进行有效的管理。本系统从以下三个方面对DMZ区进行了全面有效的管理。外网DMZ区的流量分析因为外网访问DMZ区和员工上互联网是共享一条带宽的，如果只分析内网访问互联网的流量，而不分析DMZ这边的流量，这样的流量分析是不全面的。基于不全面的分析来进行任何流量控制必然是不准确。本系统可以从多个角度，全面的透视外网访问DMZ区的流量情况。快速发现服务器工作是否正常以及是否遭到各种网络攻击。可以实时了解当前DMZ区网络流量是多少？占用网络带宽的比例是多少？可以实时知道DMZ全网流量最大的是哪个服务器？可以实时知道某个服务器的对外流量，访问人数。可以实时知道主要是哪些IP在访问DMZ区他们在访问哪个服务器？他们是从哪里来的？可以查询服务器的访问情况如何？应用网络的质量怎样？连接成功率、数据重传率是多少？可以分析服务器的运行历史趋势以及预测未来的发展。可以准确、快速定位到异常服务器或者外网IP。外网DMZ区的流量控制因为外网访问DMZ区和员工上互联网是共享一条带宽的。如何在这两边之间平衡使用带宽，保障两者之间互不干扰就变得很重要。>保障某些关键服务器的网络带宽，也可以保障外网某些IP访问DMZ的带宽。对于单位关键的服务器，运行着单位重要的应用。如果外网访问这些服务器的响应速度慢就可能会严重影响单位的形象，甚至会给业务带来损失。本系统可以有力的为这些服务器提供保障带宽，从而确保关键应用的顺利运行。>限制某些不重要服务器的带宽，从而节省出宝贵的带宽给其他服务器使用。对于单位中某些不是很重要的服务器，例如让外网下载非重要资料的服务器，我们希望这个服务器能够对外提供服务，但是不要占用太多带宽。本系统可以准确地控制这些不重要服务器的带宽，从而节省出宝贵的带宽给其他服务器使用。>限制外网^的访问流量，保证公平性有些外网的IP使用某些特别的软件到服务器上访问或者下载内容，导致网络拥塞，也导致服务器特别繁忙。这个时候其他人访问这些服务器就变得很慢甚至访问不了。本系统可以让所有的外网IP公平的使用网络服务，不会因为一个外网访问者的流量太大而导致其他外网访问者不能进行对这些服务器的访问。1.6.2外网访问内网服务器有些单位并没有自己的DMZ区，但是也有一些网站和服务器，通过防火墙的地址转换对外提供网络服务。本系统可以像管理DMZ区的服务器一样管理这些内网服务器。

链路负载均衡MODEMMODEM网络流量综合管理系统链路负载均衡中路由器+防火墙+同络流量控制二口行为管理内网区内网核心交换机MODEMMODEM网络流量综合管理系统链路负载均衡中路由器+防火墙+同络流量控制二口行为管理内网区内网核心交换机国内不同的电信运营商互联网线路互相访问时速度差异很大为提高访问效率企业通常租用多条不同的运营商的互联网线路。然而存在流量负载分担不均、链路资源利用率低下、网络不稳定等问题。越来越多的企业开始使用负载均衡设备来改善用户体验，提高网络带宽利用率。本系统可以通过智能的互联网线路流量管理和控制技术保证网络持续高效运行。支持带宽叠加：将多条宽带绑定成一条，降低对网络的投资，以最小的投入获得最高效稳定的网络环境。支持线路备份：当一条链路出现故障时，可以迅速切换到其他可用链路，保证网络的高可用性和业务延续性。解决南北互通问题：有效解决了南北因电信、网通的差异导致了普遍存在的“南北互通”问题。支持多链路负载均衡：高度保证企业网络的稳定性和业务的延续性避免系统宕机、链路中断或拥塞等对企业运营带来不利影响。拥有多项先进的技术:集HTTP压缩，SSL加速、智能数据压缩、基于内存的高速缓存、TCP连接复用、单边TCP加速等多项技术于一身，减少响应时间，显著改善终端用户体验。丰富的算法与策略：拥有多种均衡算法和丰富的负载均衡策略，让用户更高效合理的使用网络资源，极大提升链路利用效率，保障业务高效运行。保障关键业务：支持链路、应用状态监控，支持会话保持，避免业务访问中断，保障关键业务的延续性。安装部署配置简便：安装简单，部署方便，图形化的配置界面，简单直观，降低用户配置复杂度，便于系统管理和维护。企业级路由器网络已成为企业的重要组成部分，稳定可靠的网络是企业发展的基础，路由器的性能优劣直接决定企业网络的质量。本系统是我们自主研发的定位于企业网络骨干层的路由功能。其具备以下特色：高可用性、高可靠性：采用业界先进的设计技术和依托高性能的硬件平台，具备优越的处理性能，保证系统7*24小时不间断高负载运行，充分满足用户需求。接入能力丰富：可同时连接多条线路，支持ADSL、光纤等多种接入方式。全面支持路由协议：遵循RFC标准和主流的业界标准，全面支持RIP、OSPF、BGP、IGMP等路由协议。运维管理方便：采用全中文的管理界面，操作简单，设置界面人性化，便于用户学习使用，让所有的网络管理员甚至非网络管理员都能够简单轻松的进行管理。技术领先产品可靠：体系结构先进，设计可靠，业务特性丰富，是企事业单位的最佳选择。虚拟多个设备集团企业为总部和多个分部之间开通了多条专线，企业需要独立监控和管理每条专线。但是又因为费用问题或者方便管理，希望只使用一台设备来满足需求。本系统可以在一台设备上虚拟出多个管理设备，虚拟的方式可以是IP地址，MAC地址或者通过不同的物理线路接口。本系统的一台物理设备最多可以虚拟8个流控设备。本系统的每个虚拟设备就像一台独立的物理设备一样能够独立和完整的分析和控制管理一条专线。这样能够大大节省集团客户的采购费用，同时也大大减轻网络管理员的管理复杂度。

上海西安Interne^路由器汇聚交换机虚拟多台流控设备Q;专线接入设备也）声线接入设备专线接入透笛可以通过网络接口?上海西安Interne^路由器汇聚交换机虚拟多台流控设备Q;专线接入设备也）声线接入设备专线接入透笛可以通过网络接口?】P地址或者MAC地址来划分虚拟流控设留'1内网区内网核心交换机1-11虚拟多个流控设备管理示意图第2章系统实施效果一、网络安全性方面1）实施全面的网络应用管理，使网络安全建设符合国家对互联网的使用管理规定（《公安部82号令》）。2）识别阻断网络攻击，保护网络设备的安全。3）限制每个人的最大带宽和最大并发连接数，大大提高单位网络的安全性和可用性。杜绝因为个别人机器中毒，而导致整个网络瘫痪的情况。4）对IM软件的聊天内容、邮件（包括正文和附件）网络发帖、通过HTTP或者FTP上传文件等日志进行记录，防止商业或者研发机密的网上泄露。二、带宽管理方面1）本系统可以动态地保障单位重要人员和关键业务所需的带宽。在他们需要使用网络的时候，可以得到带宽的保障，优先使用网络；在他们空闲的时候，带宽可以被其他业务或者员工使用。2）限制员工在工作时间使用P2P软件或者看网络视频等与工作无关并且消耗大量带宽的业务，大大提高网络的利用率。3）通过合理分配带宽，可以推迟或者取消对网络带宽或硬件设备的升级，减少单位的网络运营成本。三、网络日常管理方面1）可以全面透视整个网络的应用，迅速发现网络问题，快速定位网络故障，减少网络的不可用时间，提高单位的工作效率。2）简化网络应用监控手段，可以减少IT专员的数量，大大降低IT专员的工作量和工作复杂度。3）通过实时和历史流量分析与带宽管理，可以规划网络带宽，保障关键应用和重要人员的带宽，限制无关应用的带宽，使网络得到最优化使用。四、员工上网行为管理方面1）禁止员工在工作时间炒股、玩网络游戏、看网络视频，可以大大提高员工的工作效率。2）屏蔽大量反动、色情等非法网站或者与工作无关的网站，降低单位的法律风险，同时提高员工工作效率。3）关注重要员工上人力资源网站的情况，提前获知重要员工的离职倾向，也可以追溯离职员工的网络行为。第3章功能详细描述流量分析全面透视网络应用，快速发现网络问题，迅速定位网络故障。全网业务可瓢化.可以实时了解当前网络的上行流量与下行流量分别是多少？分别占用了网络总带宽的比例是多少？是否出现网络拥堵的状况。.可以实时知道当前网络中运行的各个互联网业务的流量及其所占的比例？.可以实时查询当前访问互联网流量最大的是哪些应用？哪些用户占用了最多的互联网的带宽？.可以实时发现当前访问互联网的数据流量主要流向哪里？主要使用了哪些端口？.可以实时监测与历史分析谁、什么时候、使用了什么应用、占用了多少流量、建立了多少并发连接数、访问互联网的网络质量状况如何？.可以分析指定主机当前访问互联网的实时连接情况。（包含应用类型、源IP地址与MAC、目的IP地址与MAC、流量、对方的位置等信息。）.可以分析访问互联网的用户、业务的运行历史以及预测未来的互联网流量发展的趋势。通过这些功能可以让用户快速分析出网络的故障在哪里？为什么有故障？如何解决？3-1互联网整体流量分析电觉整网产件工互即心率1；川表I4X通|4,问4二口.-I1921B8.74.21BFckYang*1S2.16&.91116■nu生3-2网络事件交互图3-3P2P业务流量分析图互联冏曲悻流另］流向分椅|员工排名|部门排名।业务分布।连嫉域盘］I且总•地址I3-4网络流向分析址速住胃诩IF随址.序号应用英力1 5b即用E vihidjL3 vrbl515tq 5tl阅览s v.hmtt5 vrbMKT 瞥世例过有壬5555壬55552E22S22.1"■QJ.1--OJnF.nJ幽口目桂IF目书体口幽6L.J®.Lfi9.]£SUM向，2D320E：4&.]E5BD3615125MLDl..M0ti36TSLL4.33E.1KI.L^QQ[i3BT&LI4]]2IM.L99BD3tTTLM1花IW.L99即3&T9LL4JJf.lKI.L^Qso江志*总抗昆强一近J口皿血血即小□hpx吃pObpsfflfcp-s/Olp-s]口bg脱口£由犯£|DbpxIbtipT/ULp-iI附.与汕口与丽幻0bps口口口仃口片―*13-5主机连接分析网络质量分析可以分析每种互联网访问应用的正常和失败连接情况，分析该应用的网络时延和重传率，从而分析出整个网络或者关键应用的网络质量。TC喃在连掩店况11-7 TC喃在连掩店况11-7 ■.-：H.05力12：-10立爪2：.55：-11：2-.II.2：*二511.5313：：1：.：HH工沿1二二-.二2：-：0“■id建上按工史“口I：二治理MLTH闺粽.[?■不士日标示*，序■阳।「垢.T相钻M□片烹卬1椁取3-6网络连接状况分析3-7网络响应时间与重传率分析网络实名和组织结构.可以按照部门进行管理。1）可分析整个部门的流量、各应用占用的比例、网络连接状态、网络质量状况。2）可以对部门内部员工的各种流量进行详细的排名分析、。

3-8部门流量分析.自动学习员工的姓名，实现网络实名管理。系统可以从网络中自动获取员工信息（如，MSN，邮件等的各种账号信息，通过智能提取用户的姓名，将IP地址和员工姓名起来。同时可以支持对员工信息的深度搜索。只要员工的任何信息中包含了输入的关键字，都可以被找到。从而大大简化了员工管理的复杂度。3-9网络实名管理.按照部门的方式来管理，更加符合公司的实际情况可以根据用户的实际情况来调整产品预设的部门。以后可以按照部门进行管理，大大降低了信息管理部门的工作量。3.1.4网络异常流量识别可以准确、快速定位到异常流量的主机或应用。本系统内嵌专家智能分析处理引擎，自动识别出网络中存在的异常问题和潜在隐患，无需网管人员干预即可知晓诸如带宽资源滥用、服务响应缓慢、感染网络病毒、网络流量拥塞等问题。3.2带宽管理3.2.1带宽管理的作用.保障重要人员和关键应用的带宽对需要一定带宽的重要人员和关键应用，如单位领导与核心成员、视频会议、ERP系统、VOIP等，分配一定的保障带宽。从而在单位的互联网访问出现拥堵的情况下，确保这些重要人员使用网络的带宽与保障关键应用的顺利运行。.限制无关应用对那些与单位工作性质无关或者会消耗大量带宽的信息流，如娱乐信息流、p2p下载、可疑数据流等进行必要的限制，减少其对网络资源的占用，以保障员工更加快速的上网。.公平分配带宽通过制定基于个人或部门与时间段（上下班时间段）的互联网访问带宽的分配策略，可以防止因个人主机中毒或收发大的文件而导致整个网络瘫痪，同时保证每个人都能平等使用互联网（关键人员和关键应用除外）.2.2带宽管理策略.保障带宽通道对最重要的部门、最关键的人员（领导、核心的员工等或最关键的业务;ERP、视频会议等），予以最高优先级的带宽保障。不管网络多么的拥堵，被保障的应用或者人员的上网都不受任何影响。.限制带宽通道：针对p2p、网络视频等与工作无关的大流量的互联网业务，限制其最高可用带宽，从而保障其他人员和其他业务的可用带宽而提高上网的速度。.个人最大带宽：可以同时为所有人设置统一的最大带宽，有效防止因为某些问题主机流量过大而导致整个网络瘫痪的现象，同时也大大简化了个人策略的配置。同时支持为一些高级人员分配更多的带宽。.并发链接分析和控制：有时某些中毒主机占用流量不是很大，但是却进行大量的并发链接，这是网络的重要隐患，同时也会大大消耗网络防火墙或路由器的资源，导致其不堪重负处理性能收到很大的影响。系统可以为单一IP地址/IP地址区间或网段、时间段（上下班时间段）组合设定并发连接数限制，杜绝此类问题的发生，为用户网络提供更全面的管理。.可以根据用户的卬地址/IP地址段、对端的地址、网络业务类型、上下班时间段等多种要素的组合方式来管理带宽使用量，增加带宽管理机制的灵活性。

3.2.3优化动态保障技术3-10网络流量保障通道设置本系统在保障重要人员和关键应用带宽的时候有三种方式，根据不同的应用方式，使用不同的优化策略，可以大大优化网络带宽：静态保障不管该通道是否有流量，把带宽都预留出来。其他通道不能占用，这种保障方式主要用于非常关键且长时间一直使用的应用（例如客户单位的VPN、ERP等应用的数据传输）例如我们的产品为客户单位的一条VPN线路分配2Mbps的静态保障带宽。不管该VPN使用了多少流量这2Mbps的带宽其他人和应用都不能使用。>一1般动态保障如果该通道没有流量，则该通道的带宽可以被其他通道使用，如果该通道有流量，则一次性全部给与该通道分配的最低保障带宽。这种保障方式一般用于非常关键但只是临时使用的应用（例如：视频会议）例如我们的产品为客户的视频会议系统分配2Mbps的一般动态保障带宽。在客户未开启视频会议的时候，这2Mbps带宽可以被其他人或应用占用；一旦视频会议系统开始使用（不管实际上使用了多少流量），则这2Mbps带宽其他人都不能占用；而且在视频会议结束后，这个2Mbps带宽又将立即释放出来可以被其他人或应用所使用。>优化动态保障是在一般动态保障的基础上进行了优化的保障模式。当被优化动态保障的应用开始上网的时候，不是一次性分配所有的带宽，而是根据该通道的当前实际使用流量来动态的分配保障带宽，这种方式可以更加优化的使用带宽。这种保障方式适用于单位领导、重要的员工或者部门使用。例如我们给单位某员工A分配2Mbps的保障带宽：如果员工A没有上网，这个2Mbps可以被其他人占用；如果员工A上网，但是只浏览网页占用了1Mbps的流量；那么其他人也可以应用可以使用员工A没有使用的另外1Mbps的带宽。3.2.4协议识别.七层协议解析和识别：识别并控制国内常见的p2P与网络视频业务。限制BT、电驴、和酷狗等带宽吞噬性业务；限制Web视频、Live、PPLive等占用很大带宽的网络视频应用。可以释放出至少30%的有效带宽。.独创的智能建模感知辨识技术：全面区分HTTP文件下载和网页浏览，限制下载流量，保障正常网页访问的服务质量。.模糊协议识别技术：对加密的点对点协议的识别率超过90%，所有想逃避监管的应用和数据都将无从遁形。系统白名单对于一个信息敏感的重要人员或者关键服务器，系统中可将其设置为系统白名单，设置以后将不记录他们的任何上网的信息（包括帐号、流量、网络访问记录等。系统也可为他们分配指定的保障带宽。这样在保障他们的带宽的同时，也保障他们的信息安全。3-11系统白名单设置网络防病毒和防攻击主动拦截已知网络病毒，将次要业务、未知流量和未知网络病毒的可占用带宽限制在设定数

值之内，即使在网络病毒泛滥或者网络受到攻击的情况下，仍能确保网络性能。上网行为管理实时流量和实时交互图显示每个人，每个部门当前在使用网络做什么：他们是在工作还是在炒股、聊天、玩网络游戏？员工在什么网站中浏览或发帖？与谁用什么工具在聊天？通过分析员工的网络行为了解每个人，每个部门正在做什么以分析其工作的效率。"IE"单•寸ns1"IE"单•寸ns1士口总餐7白7口口口口-=三3-12员工流量详细分析咿七浏览二流晨』浏监二丰性交互图［自浏览一事件列森J 咿七浏览二流晨』浏监二丰性交互图［自浏览一事件列森J 滋11底格接］wmb浏斑」而=［_厚..rI应用类ai I.姓宅.1 ：IF地址］ 姓名2 .IF地址.： I帐号2 叶,*•012315673301-1234SSTS91111111111ZZ-和和和翎翎初祖祠祖祠初初i:'.li:'l.i:'l.加北沏沏沏沏一bbhbthbhthLLbhbbbbb-D-D.■亡亡eeeeeewLiL-r--Lie尸e"Rl°:lf-102.】吕8.62.741SI.136.208.68392.1吕自.9Q30392.】吕日.吕】.吕吕202.IDS.22.5392.1E3S.E32.aE3S392.1E3S.E32.S933192.lgS.03.73阻BE.IB.241192.lgS.fi2.102SO.217.233.102192.lgS.03.T1>1S192»168.62.9Q123a103a99u133192.168.63a96209.85a143a1S5192.168a53.95119.42.233u243192.168.S3.95219b118.ill.132]92.]65.63.9□Z1B.Z4K15L1-17】92・】68・61・661S3.103.99-133192・168・62.1口260bZ1T.Z33u93132.168.63.T日121.□.23.2132.16B.62,7721B.241,15-1.1351P2-168.63.T吗2口2・166.33,2421P吗□□□.108.33,13313Z-ICG.0Z.1。1Z3-1Z3-Z40,ZS13E.]055.03.T]Z1B.2=11.154,135SI.136.208.68aul□.n.sn.con.,cn20i140.211„11.130VS.dpduk，.Dig2Qlvw.bdu.con.2Qi3Szn.;.ka.i3cinO01__--2Qi33Xn.n.T.kO.23C2110口1.CdIL2QiBE.ES.15.241.ra.d.n.2Ti.can.20i60.217.233„102dovnl□a.d_vinda._-20i218.241„15口…rtevs.arlran.ne+20i123a103u衿133etvtrk4iixinO01Baan.20i209aS5.113.1S5p«zl'12a咬。口后1e・&a20i119b42a233u243z. coil20i219»118-111.-.*mr=十u.c0Q.0on.20«Z1S.301,151.uubbssarlroiunet2Qi123.103-99,133wv=k3.zxzn.001.can20»60bZITuZ33u93wvBdcvnla3Ld.v.*月2Qi121.□,23.23.1-Lc-ticn].Wa.cba....20i218.211.151..aar-tron.ar-tron.nr士20i2口2・165,33,242spiri-t■-..20i202.103,33,132d].eino..con.cr.20i1Z3-1Z3,Z40,Z0nevs.Hexun-con.ZOiZ1B.Z41,104,,,vw.artronjiLCire...ZOi3-13网络业务事件列表，乩浏览_流量巾中向浏览_*件交苴图时浏览—事件列表|小瞰!览一连接I出U瞰!览/量i^ITX192.16862102\ 1，乩浏览_流量巾中向浏览_*件交苴图时浏览—事件列表|小瞰!览一连接I出U瞰!览/量i^ITX192.16862102\ 1，・…・•"£冷3=\一!魂安^2口口/4cs一1二——、1-―=■—= 1w/'/pagead2.googlesyridic=ati；Xvxww.kaixinOOI.com十3。口三口灯飞灯ut?E "auto.msncomcnXlnews-Xirng.kaiiinOOcdownioad.iAind口wsupd3-14网络事件交互图网络内容审计详细记录用户上网的各类日志：包括网页浏览记录，网页搜索内容，网页POST,Web下载内容，微博博客登陆记录和发帖内容，论坛登陆记录和发帖内容，Web邮件内容，客户端邮件内容，即时消息（包括MSN聊天内容、登陆记录、飞信聊天内容、雅虎通聊天内容等）聊天内容，FTP控制命令，Tel控制命令等详细上网日志。上网的日志支持按《公安部82号令》的要求保留60天以上，归档的日志可通过各种组合条件进行在线查询，也可以远程备份到异地进行离线查看。5网站访日因R3UB1；■网更加网口POST甲甯丽啦g源4虫将H加&并酝-诲一论坛页:3一幅HS后由旧1田*1凄口目fflfltftS।[-MENMEN京式QQS^-El*差制□由令丐国刊■.FTPTelnetii-.irr.,:V开篝烟同回13靖京时闰⑶⑶W1_J|0(||：||：||：|?'■■州,•:nii"■B1WC玄⑶玷里34天I':心4.广I1..|尾匕.三空弼斑忤|I I日出甲H课I开始登驾席L£54EB?8gL0L:l.L2L3L4L5LGLTLBL92n团KZ3因tl违27印3JL3<i5-3LLfl:4T:MfflL3<6-3iLfl:47:34ffll3-i：6-：3iL6M：YBt)L3-05-3LL64T:332OL3<6-3iL847:32fflL3-i：6-3iL647322OL3<6-3I.L6473L2OL3-IS-31L6H3LfflL3-i：6-3iL6M3LMl3-C6-Si.LhrT3flMLS-CS-Si.thRT3tiML3-C6-SLLhH却ML3-C6-SI.LG473dML3-ffl-BiLfiH3flML3-CS-SI.LfiH却SIL3-0S-3I.LG灯切SIL3-Cfi-3I.LG曲鸥ML3-CG-SI.LG47到SIL3-C6-3I.LG灯切SIL3-ffl-3l.LG曲2tiEaL3-CG-3l.LE:47:2EEaL3-C5-3l.LE：V：273aL3-CS-3l.LE：V：27S3L3-C6-3LLG:17:27E£iL3-«-3LL5：17:27S3L3-C6-3LLG：17:27S3L3-C6-3LLG:17:27E£iL3-«-3LL5：17:27时目 员工核岔Yl;■.;■2.2.£.31•->_:1-11£E1££211a1111.2.>4>4-aj-djJ-d-fl-fl-fl-fl.fl.fl-g-fl444-g-qJ-3-p-J-3-p-J-lr.-l=.-i=-EtEEEEEEEE&66&6&&6和驼城匠妇叱给鸵鸵城心口88sHsH9292安922.珞行塞sofJ45i»fi匕JonrdUKL 卜♦川1}U5iA4ll.5>3fL-i.St«t4-J*4i1hyiii.edJ**亡sJ”lLj!，力ilkeyin.sdJft-Mr-ts/eoJ^^rJ*eilkeyin.eg/EmLmtlica4.qsLME~Lt«aq*.co*/lrttp://t'wshc*2~iI**Qf.ec#^ii.tp://'：kailkeyin.EB/iadesi/LDdHi?二itreriJwtT-rf・ctiti/uGi.]=^npdite-550,sifi.口ce^XeH^qchM^-i1hqiicitpi-bdqq “■Jlct产ul、a-=£«/nLD3ciIt/1an^qchM^i1hqiuca/htTp：，『■:^qEhM2~iIm蛆,ca/htTp：，『■:i1hqi££<?!|七1『：，』■:11cLpauiic-CMr'nLDatii»/ci.i31eLpauiic--ZM/nLnaLiti/imr»ibe-veJsj『u..ir/七wdw5T_irtr»i.Lhir.Lie-36flnv'iid.kpa_frvijiriflJLa'tvsrdi.mpeTFfimj£riHJka-iiiXrdi.kipeTPdia&jbi.idxciB/7nm3iF=]-&ql=in&jbndxEiB/7rm»p=]-&qt=i■Ii-Lccaxt.yds cww'aaGKu■daiCKial.yda 喘可/工0(1口dxLf.iHt.ydsLriHc.七讨/工叮工口•day・工七.yds ohJhogeudxM.iHt.Y4口Ln中 喘可/hog1口▼3-15网络审计功能系统权限管理因为本产品涉及到网络的流量控制与行为管理策略和网络审计内容等敏感信息。本系统可对使用者设定不同的管理权限。系统支持设置为使用者以下四种用户角色:、 用户角色功能模块管理员(Admin)操作员(Operator)审计员(Audit)观察员(Guest)察看各种流量和行为统计信息VVVV配置或者修改流控策略和行为管理策略VVXX察看网络内容的审计信息VXVX网络访问控制(ACL)简单易用的七层ACL防火墙一般只能使用ip地址和端口做三层的防护。对于没有固定端口和固定ip的应用，防火墙则没有任何办法。而本系统支持基于七层的网络防护。可以设置在任意时间段内禁止员工使用某种网络应用，例如禁止员工在上班时间上网炒股、网络游戏，网络视频，P2P下载等。

如客户的网络为两层网络环境，本系统支持基于MAC的网络访问控制。3-16上网控制功能3-17上网控制规则建立违规访问重定向系统可以通过设定违规网站的URL关键字，让您轻松阻断公司员工访问非法或违规网页。

「望止访问以R网站访可韦妮网页由物处于库户苴：有播用断诩砧口耙羊.著福多一百口访山口、项磔因砧I匚相淑频「望止访问以R网站访可韦妮网页由物处于库户苴：有播用断诩砧口耙羊.著福多一百口访山口、项磔因砧I匚相淑频Neb邮箱/河洛前状在浅和天在线阅模匚江法官千峋枷网站「推荐比价口门户网站□集合网站匚计灾网站匚招聘河站口微博网站3-18阻断员工访问违规网页设置当有员工访问违规网站的时候，该员工的浏览器将显示以下系统提示网页（网页的内容可以根据客户的需求进行修改），起到对该员工警示的作用。网络流量综合管理系统尊敬的（张三；1姬36&0一100），您好!您刚才访问的闫页htt口＞7gvw./,违反了本单位关于上网行为的管理规定，被系统自法阻断了.如果有任何疑问，请咨询您的网络管理员！3-19阻断员工访问违规网页后提示页面DMZ区管理现在越来越多的企事业单位将自己的网站，邮件服务器以及一些其他的服务器放在DMZ区（非军事化区），以便于外网用户来访问。但是大多数的企事业单位没有对DMZ区的服务器进行有效的管理。本系统从以下三个方面对DMZ区进行了全面有效的管理。外网对DMZ区的流量分析因为外网访问DMZ区和员工上互联网是共享一条带宽的，如果只分析内网访问互联网的流量，而不分析DMZ这边的流量，这样的流量分析是不全面的。基于不全面的分析来进行任何流量控制必然是不准确。本系统可以从多个角度，全面的透视外网访问DMZ区的流量情况。快速发现服务器工作是否正常以及是否遭到了网络攻击。可以实时了解当前外网访问DMZ区的网络流量是多少？占用网络带宽的比例是多少？可以实时分析DMZ区中流量最大的是哪个服务器？可以实时获取某个服务器的对外流量，访问人数情况。可以实时显示主要是哪些外网IP在访问DMZ区，他们在访问哪个服务器？他们是从哪里来的，流量是多少？可以查询某个服务器的总体访问情况如何？应用网络的质量怎样？连接成功率、数据重传率是多少？可以分析服务器的运行历史趋势以及预测未来的发展。>发现外网访问DMZ区的故障与问题，可以准确、快速定位到异常服务器或者外网IP。序号强霄事L3-l->E-i-MCE1251bps/L2?Ebps工 IK.LCD.3J：>.Z5ZL9Z.ICC.ZDD.Z^LUbps/Dbpi5 132LfiBS序号强霄事L3-l->E-i-MCE1251bps/L2?Ebps工 IK.LCD.3J：>.Z5ZL9Z.ICC.ZDD.Z^LUbps/Dbpi5 132LfiBS»33I9Eiee2DD.2S3Olj-i/UbpL41,KL66233£1923662G3.2875：p5/]Kt'psE192LEGES-E1921GEEEE.5Ubj-iJDbpB.E・19SL柳比34I.Q216S2Z3.*Otps/Ubps?192.L6fl.223.5Ul>p5/0bplB 192LEBE2t2I9Z EEfl.2Obj-i/DbpL9J'KL60型43LQ2J&52213Otis/ObisLQraz.LEB.222.4L9E.]E€.E2E.40r301ffxLI必L671.iIQ3J671112npT/123^pzL2 1W.L6T,3.2LS1J6T.1.2]Ceihps/Ll?Xhp£LIS02LDEISLI42QE]0EIED.H4Obpi/nbpi.总诺量吧V友J芋：■•药二「Ittl探时］e-阳日：&&5>典^・町由&■£}&电3-20网络流量总出口分析（右侧为DMZ区流量分析）»：|叫3E⑸；IKJ工Em笛业口4^'ckExifi.n)…皿・外网访问既计W比)由内网中目,汁®.口)<1D.1OL0.12^0)iftiQ.JO.La.DiD.O)■：(.Ell.]DLElELEig.口)j2:IJ.1DL2D.22D5]SD)•flOJULOJSirLCO1^1.ID.30.LQ.口)jLD.IQ.Lflgg凝10.jO.Lfl.UB^tBi^|.ID.30.LQ.19^0)jIIIClL。11^D)fiIQ.]HLQ.flUba：!3-21DMZ区某服务器流量分析30.程限善覆飒J遹道立时|丁([JH返(IE.'HI,XCEJ土耳£♦"旧『口)ffi*31:mix30.程限善覆飒J遹道立时|丁([JH返(IE.'HI,XCEJ土耳£♦"旧『口)ffi*31:mix现3函日话…跳瓯由外国苗目塞汗电&工团M内网窗门妖计财.8Bl10.3O.L0.12(PJJ：i■+0inioldurum国寸21L1DL2D.2L0C])D)+自211.0即.220血旧,+J.1D.30.LQ.15^0)E口JOLdZSS电口。&<jfl.jO.Lfl.9iD..0：i曲也ID.]0.LU.田V1口JdLDia^D)田3ID30La1他CO自WlIlilLU.RQS外函月Sft*若2201311MK2M101.SH214外两访目姓娄井总uLd」串能帝f可-123.1161+2.185133.1301B2.1®220.181例21+ex.外网由同废计单工［外巨附址排名|:冲J用量||［上或|Eg适3-22外网IP地址访问DMZ区某服务器排名分析外网对DMZ区的流量控制因为外网访问DMZ区和员工上互联网是共享一条带宽的。如只控制内网访问互联网的流量而不控制外网访问DMZ的流量，将很可能出现虽然内网访问互联网控制的很好，但由于外网访问DMZ的流量没有控制有很大的突发的流量，而导致内网访问互联网的带宽被挤占而对上网造成很大的影响。故如何在这两边之间平衡使用带宽，保障两者之间互不干扰且高效合理的使用就变得非常重要了。因为内网访问互联网主要的流量是下行，而外网访问DMZ区的主要流量是上行（相当于DMZ区中服务器的下载和浏览应用）因此我们一般建议：内网访问互联网的上行带宽占总上行带宽的20-30%；外网访问DMZ的上行带宽则占70-80%。内网访问互联网的下行带宽占总下行带宽的70-80%；外网访问DMZ的下行带宽则占20-30%。根据两者流量的特点，本系统可以非常高效的利用网络带宽，而且能够让两者相不干扰。3-23网络总带宽设置＞保障某些关键服务器的网络带宽，也可以保障外网某些IP访问DMZ的带宽。对于单位关键的服务器，运行着单位重要的应用与服务。如果外网访问这些服务器的响应速度慢就可能会严重影响单位的形象，甚至会给业务带来损失。本系统可以有力的为这些服务器的提供保障带宽，从而确保关键应用的顺利运行。＞限制某些不重要服务器的带宽，从而节省出宝贵的带宽给其他服务器使用。对于单位中某些不是很重要的服务器，例如让外网下载非重要资料的服务器，我们希望这个服务器能够对外提供服务，但是不要占用太多带宽。本系统可以准确地控制这些不重要服务器的带宽，从而节省出宝贵的带宽给其他服务器使用。＞限制外网服的访问流量，保证公平性有些外网的IP使用某些特别的软件到服务器上访问或者下载内容，导致网络拥塞，也导致服务器特别繁忙。这个时候其他人访问这些服务器就变得很慢甚至访问不了。本系统可以让所有的外网IP公平的使用网络服务，不会因为一个外网访问者的流量太大而导致其他外网访问者不能进行对这些服务器的访问。限制外网IP的最大并发链接数，防止服务器遭受攻击本系统不仅可以在流量上限制每个IP的最大访问流量，也可以限制每个IP的最大并发链接数。限制了每个IP的并发链接数，就可以从很大程度根除外网对服务器的DOS/DDOS攻击，从而保障服务器的安全。外网访问内网服务器有些单位并没有设置DMZ区，但是也有一些服务器直接放在内网，例如网站服务器或者邮件服务器，通过防火墙的地址转换对外提供网络服务。本系统可以像管理DMZ区的服务器一样管理这些内网服务器。

链路负载均衡MODEMMODEM网络流量综合管理系统链路负载均衡中路由器+防火墙+同络流量控制二口行为管理内网区内网核心交换机MODEMMODEM网络流量综合管理系统链路负载均衡中路由器+防火墙+同络流量控制二口行为管理内网区内网核心交换机国内不同的电信运营商互联网线路互相访问时速度差异很大为提高访问效率企业通常租用多条不同的运营商的互联网线路。然而存在流量负载分担不均、链路资源利用率低下、网络不稳定等问题。越来越多的企业开始使用负载均衡设备来改善用户体验，提高网络带宽利用率。本系统通过智能的互联网线路流量管理和控制技术保证网络持续高效运行。支持带宽叠加：将多条宽带绑定成一条，降低对网络的投资，以最小的投入获得最高效稳定的网络环境。支持线路备份：当一条链路出现故障时，可以迅速切换到其他可用链路，保证网络的高可用性和业务延续性。解决南北互通问题：有效解决了南北因电信、网通的差异导致了普遍存在的“南北互通”问题。支持多链路负载均衡：高度保证企业网络的稳定性和业务的延续性避免系统宕机、链路中断或拥塞等对企业运营带来不利影响。拥有多项先进的技术:集HTTP压缩，SSL加速、智能数据压缩、基于内存的高速缓存、TCP连接复用、单边TCP加速等多项技术于一身，减少响应时间，显著改善终端用户体验。丰富的算法与策略：拥有多种均衡算法和丰富的负载均衡策略，让用户更高效合理的使用网络资源，极大提升链路利用效率，保障业务高效运行。保障关键业务：支持链路、应用状态监控，支持会话保持，避免业务访问中断，保障关键业务的延续性。安装部署配置简便：安装简单，部署方便，图形化的配置界面，简单直观，降低用户配置复杂度，便于系统管理和维护。企业级路由器网络已成为企业的重要组成部分，稳定可靠的网络是企业发展的基础，路由器的性能优劣直接决定企业网络的质量。本系统是我们自主研发的定位于企业网络骨干层的路由功能。其具备以下特色：高可用性、高可靠性：采用业界先进的设计技术和依托高性能的硬件平台，具备优越的处理性能，保证系统7*24小时不间断高负载运行，充分满足用户需求。接入能力丰富：可同时连接多条线路，支持ADSL、光纤等多种接入方式。全面支持路由协议：遵循RFC标准和主流的业界标准，全面支持RIP、OSPF、BGP、IGMP等路由协议。运维管理方便：采用全中文的管理界面，操作简单，设置界面人性化，便于用户学习使用，让所有的网络管理员甚至非网络管理员都能够简单轻松的进行管理。技术领先产品可靠：体系结构先进，设计可靠，业务特性丰富，是企事业单位的最佳选择。防火墙功能产品支持非常直观与简便的防火墙功能。可以支持对以下方面的防火墙功能。＞内网访问外网＞外网访问内网＞DMZ区访问外网＞外网访问DMZ区如客户的单位还未采购防火墙，可以启动本系统的防火墙模块起到专业防火墙级别的防护功能。有效的保证了内网与DMZ区的安全，同时减少了客户的网络设备采购费用。-望止以不皿使用任何结口上网论触耳破击内容迸行编强）0-e:«鞋互蛔S描：■■♦器一单♦-望止以不皿使用任何结口上网论触耳破击内容迸行编强）0-e:«鞋互蛔S描：■■♦器一单♦目标地址在制内网访问外网・♦外网访问内网R优地址幅式；小代山0乂而侬通过门虢取国归|就击退生进律磔t退出趾置导无镰困僻存井应用导出镰困3-24防火墙功能（内网访问外网）3-25防火墙功能（外网访问内网）IP地址管理二层交换环境网络下的IP地址管理IP-MAC绑定1）本系统可以对每台主机的IP和MAC地址进行绑定，使其不能随意修改IP地址。如果绑定的主机修改了地址，则该主机会自动被告警（告警如下图），而且该主机也无法访问任何网络应用。

3-26IP地址）中突提示2）本系统还设置了访客区地址，对于访客的地址不进行IP-MAC的绑定。这样大大方便的网络管理员对于访客的管理。3）如果普通员工将自己的地址改成访客区地址，本系统也能够自动发现，并且给该主机发出告警。通过IP和MAC绑定，杜绝员工随意更改IP地址导致的网络管理混乱，准确定位故障主机或者问题主机。3-27二层交换环境网络下的IP地址管理

ARP欺骗防护网络经常招到ARP病毒的袭击，导致网络瘫痪。使用ARP欺骗防护功能，可以准确定位ARP中毒的机器，并且可以有效的防护在设备的外网一侧的设备和服务器（其主要防护客户路由器的地址工从而在根本上抑制ARP病毒，保障网络通讯。3-28ARP欺骗防护设置三层交换环境网络下的IP地址管理在三层交换的网络环境中，由于不能得到主机的MAC地址，因此不能象二层环境那样做到IP-MAC的绑定。但是本系统仍可以对IP地址进行管理的。我们的管理方法是：首先通过自动学习，得到目前网络所有主机的IP地址。然后选择可以上网的IP地址，没有被选中的IP地址则不能上网。通过这种方式，也可以有效的限制员工随意的改变IP地址。

同时设置了访客区地址，对于访客的地址不进行IP地址管理。这样大大方便了网络管理员对于访客的管理。(3回/trimirrtltiSWcVULtflUCla.LD]09OD-na-DO-OD-ua-nnOO-DF-E-ZID.LU.30.1Dixi-w-aj-iZcrKi-nQ□O-DF-E-JIQ.LO.JO1£iXi-OMfliXi-OMQKi-OF-12-3：ia.Ldionoo-M-ai-cci-M-flnCO-DF-IE-3：ID.LU.]0.1iOO-XJ-ai-iXi-iDF口□O-DF-K-3in.LQ.30.15ffi-DF-E-3：jd.iajo11.CC-DCMDn^CC-Krtin£JOrD&-Cn^O!ID.LQ.30.iTCCi-KI-ai-OO-KI-nDiK-DD-DO-O10.LQ.J0.1BL(i-w-w<ij-maCLTF*11T2.LB.0.2OO-KHT-OO-KHII]CB-DF-E-Z172IE.03OD-oa-aj-OD-oa-nn40-EI-EC-S132.L&3.L.]gg-m毋心的KnflF-K-3：102LBS.41TBijci-oMc-cij-maCiHFFCI9ZIE3.4I]SOD-na-DO-OD-ua-nnOODF-E-Z1HZ.LW.<1.JCflixi-w-aj-iZcrKi-nQ□O-DF-E-31鸵LDQ.41ILLOO-DD-ai-OO-DMD®-0F-E：-3192lea.41iL2oo-M-ai-cci-M-flnCO-DF-IE-3：192.LES.-11.JL1OO-XJ-OJtXi-id-q口□O-DF-E-3侬1泣41L(i-M-W<ij-O3-0Dffi-DF-E-3：102IB8.JIIJL5iX-DQ-HJ-OD-DCHin00-DF-E-ZI9ZIES.413LEOD-na-DO-OD-na-nnOO-DF-E-Z1的LB6.42ILLL(i-W-W<ij-03-flDi»-DF-I2-3102IB.-121L20>OF-I2-3,I9Z陶*3L3OD-na-DO-OD-na-nnOO-DF-E-3球昼时魄三通帽I雉下面由工目西昭地; )㊄邪门±您他门全不任新胜苗站 导％孟站 异靖站，不当苗越响 增加理工 max 刷新员工慵息保存并向同 避巴配置3-29三层交换环境网络下的IP地址管理上网认证功能没有严格的认证，就无法有效区分用户，也就无法部署差异化流量控制和审计策略。本系统支持多种认证模式，用户可以根据自己的实际情况选择适合自己的认证模式。本系统可以存储用户名/密码信息也可以与单位现有的1口人「微软的AD域控制器，Radius服务器等进行联动。本系统甚至还可以与利用单位的邮件认证系统或者Proxy的认证系统来完成上网认证，而无需管理员逐一添加用户帐号，对于上百人甚至上千人的大型网络来说，这个特性是极其重要和必要的。

3-30认证方式设置3-31MAIL认证方式1设置

3-32WEB认证方式设置虚拟多个设备集团企业为总部和多个分部之间开通了多条专线，企业需要独立监控和管理每条专线。但是又因为费用问题或者方便管理，希望只使用一台设备来满足需求。本系统可以在一台设备上虚拟出多个管理设备，虚拟的方式可以是IP地址，MAC地址或者通过不同的物理线路接口。本系统的一台物理设备最多可以虚拟8个流控设备。本系统的每个虚拟设备就像一台独立的物理设备一样能够独立和完整的分析和控制管理一

条专线。这样能够大大节省集团客户的采购费用，同时也大大减轻网络管理员的管理复杂度。3-33线路的配置3-34虚拟链路的定义

3-35虚拟链路的管理3-36选择虚拟链路3-37虚拟链路的分析详细丰富的报表流量报表通过本产品的流量报表，您将清楚的了解以下信息：.网络的整体流量是否正常？.网络运行的主要业务是什么？是公司业务还是与公司无关的业务？.网络中哪些人或者哪些部门的流量最大？他们利用网络在做什么？.P2P，web视频流量的top10是哪些人？.整个网络、某种应用以及每个人的流量趋势。3.13.2 上网行为报表通过本产品的上网行为报表，您将方便的获得以下信息:.员工主要上哪些网站？哪些人上网最多？.谁的网络聊天时间最长？谁玩网络游戏的时间最长？.谁在网络上看网络视频？看了多长时间？.每个员工某天/某周/某月在单位网络上有什么行为？IT系统运行绩效考核与评估本系统通过综合统计分析各种网络业务的运行情况，能够对如下IT相关的绩效进行考核：IT部门系统运维绩效考核：IT系统是否高效、稳定运行？业务系统是否能有效的支撑企业发展战略？员工IT系统应用效能考核：IT系统是否仅被用于工作相关业务的开展？而没有用于无关事务（如：网络游戏、影视音乐等）通过全方位的绩效评估与考核，管理层能够准确评估IT系统在支撑企业发展战略中所起到的作用，准确掌握IT系统投资回报情况。IT系统与业务系统建设规划本系统通过全面的IT系统和业务系统的运行效能信息，借助于基线分析和业务预测，能够及时掌握业务发展趋势，提供合理化的规划建议，保障提前实施IT系统与业务系统的升级扩容。通过业务容量分析与规划，能够准确掌握IT投资的有效性、高效性，保障IT系统最大限度的满足企业发展战略的需要。

3.14 其他功能自定义应用用户可以根据实际需要，自定义自己的应用。用户可以根据服务器客户端的ip地址、服务器/客户端的端口等组合来灵活定义自己应用。3-38自定义业务设置VPN之间的访问分析很多企业通过互联网使用VPN来连接多个分部之间网络。本系统将访问互联网的流量和VPN之间的流量区分开来，独立分析，从而更加有力的保障了VPN之间的网络访问。原始数据捕获用户可以在客户端设置好捕获数据的过滤条件。系统就会在探针（probe）设备上捕获用户需要的原始数据，然后将数据回传到客户端。方便一些高级用户对网络作更为细致的分析。原始数据镜像设备可以将自己捕获的数据通过另外一个镜像端口发送出来。当网络需要接入旁路分析设备的时候，就不要求交换机有镜像功能，也不需要修改交换机的配置，同时还减轻了交换机的负载。集流量分折、带宽管理、上网行为管理、DMZ区服务器管理，企业级防火墙管理于一身的综合管理系统集众多功能于一身的综合管理系统，用户可以根据当前自身网络情况灵活选择需要的模块，以后如果有必要时再添加新的模块。这样可以避免重复采购，最大限度地降低采购风险，减少单位的拥有成本。综合的