深信服上网行为及负载均衡技术方案

技术方案
本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案
一、上网行为管理技术方案
1、需求概述
背景介绍
随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：
⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；
⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；
⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；
因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求
员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下
网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。

这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费
互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理
随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT 系统。

这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。

所以，IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素，为员工不同的上网情景，制定更精细的网络管理策略，提升办公效率的同时，降低安全风险。

WLAN安全隐患
在一些没有提供Wlan的单位，员工为了便捷性，往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan，让自己的移动终端可以随意使用单位的上网资源。

这给企业的安全策略管理带来的很多的管理漏洞。

所以，IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。

访客接入繁琐
企业组建WLan后，当有来宾访客需要上网时，要么直接开放，安全风险高，人员随意接入，无法定位身份；要么需要提前申请临时账号，管理复杂。

所以，组织需要一套使用便捷，即来即用，同时又能满足安全合规要求的
来宾访客认证系统。

数据泄密
伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用，企业重要数据泄密的方式越来越多样，风险越来越高。

在有意无意间，一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产，外发的互联网上，给组织的公众形象、业务开展带来严重的风险。

所以，组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略，防止重要数据的泄密行为发生。

网络违规违法
企业内网用户在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良内容，都属于网络违规违法行为，企业或个人将承担法律责任。

所以，组织需要根据82令的相关要求，建立全面、完善的上网行为的合规审查机制，并建立严格的审查权限管理机制。

2、有线无线网络统一行为管理方案
结合上述的用户需求以及IT系统的现状，深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。

方案整体概述
互联网出口上网行为管理：部署深信服AC于互联网出口，针对有线网络终端和用户提供接入认证、权限控制、合规审计；此外，还针对有线/无线的全部用户、关键应用，提供全局统一的带宽控制策略。

智能联动：
此外，互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让多台AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。

有线和无线网络统一上网行为管理
部署了深信服上网行为管理设备，为可以帮助ISD提供一整套统一的有线、无线网络上网行为管理解决方案。

这即满足了安全合规管理的要求，又提升了IT运维效率，还提升了用户上网的操作体验。

安全便捷的用户认证
为了针对不用角色身份的用户，避免身份冒充、权限滥用等出现，提供即安全又便捷的认证方式，深信服上网行为管理可以提供如下多种身份认证。

内部员工认证：
AC支持本地认证功能，包括Web认证、用户名/密码认证、IP/MAC/IP-MAC 绑定、USB-Key等。

通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。

当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免
重复认证所带来的麻烦。

通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

外来访客认证：
为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满足合规要求。

深信服上网行为管理AC提供了短信认证、微信认证、二维码认
证等多种方式，当来宾接入网络后，系统会自动推送出专门针对来宾访客认证界面。

短信认证，来宾只需要输入手机号码，获得并输入短信验证码后，就可以获得上网权限。

而且为了简化用户操作，与传统的短信验证相比，用户只需要点击3次既可完成，十分便捷，不需要在浏览器和短信界面来回切换。

微信认证，访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”，并发送上网请求，才能获得上网权限。

这可以帮助组织推广社交媒体的粉丝数量，更好的帮助组织推广品牌宣传。

二维码认证，访客认证页面会自动弹出一个二维码，只有内部接待人员用自己的移动终端扫描二维码，确认同意后，访客才能获得上网权限。

而且，为了满足合规要求，接待人员，可以在页面上备注来宾身份信息，便于后续查找。

灵活细致的权限控制
深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库，包含1100多种应用、2400多种规则，可识别目前网络中各种主流应用，如IM 聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。

同时，AC还能够识别SSL加密应用，如加密邮箱、加密网页等。

通过全面的应用识别，管理员能够根据不同应用制定不同的管理策略，限制与工作无关的行为，提高工作效率。

多维度的灵活策略
为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控，深信服AC可以识别各种终端类型，包括windows、IOS、安卓、phone、pad等类型，还可以识别出用户接入网络的位置，包括有线、无线、办公位、会议室等等。

从而制定用户的上网策略时，可以从用户角色、使用终端类型、所在区域位置等维度进行组合，来制定精细的控制策略。

比如用户角色A，在办公位置上使用PC接入，可以访问权限较多；但在接待区通过无线网络，使用iPad接入网络时，只有上网权限，不能访问内部安全界别较高的应用系统等。

移动APP管控
为了满足移动终端的管理需要，深信服上网行为管理系统可以针对数百种移动终端的APP、云应用，防止员工通过移动终端来进行和工作无关的应用，避免工作效率的下降。

防止非法AP和代理
深信服上网行为管理系统通过技术创新，可以精准的识别出，当前网络中员工私自架设的无线AP，代理应用，从而防止带宽资源的滥用，防止黑客通过非法AP接入企业网络入侵。

应用标签化
管理员可通过AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。

管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提高管理效率。

加密应用识别
SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。

正因为如此，一方面，越来越多的网页使用SSL 加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。

合理有效的流量控制
深信服上网行为管理系统通过多级父子通道技术，能够完全匹配企业组织人员架构和网络应用结构。

在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。

同时，带宽的分配并不是一成不变的。

深信服上网行为管理系统具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升
带宽利用率，避免资源浪费。

在P2P应用流量控制方面，通过深信服P2P智能流控技术，能够有效的抑制P2P流量，使得核心业务应用有足够的带宽资源。

父子通道
通过部署AC，可对网络出口链路总带宽进行细分，采用“基于队列的流控技术”，即建立通道，将不同的控制对象分配到不同的通道里。

通道可应用于不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。

AC支持多级父子通道，即在父通道中嵌套子通道，最大可支持8级父子通道。

通过多级父子通道技术，能够完全匹配企业的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。

P2P智能流控
目前，通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。

加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。

AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和未来将出现的P2P应用加以控制。

目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。

同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达不到预期的效果。

针对这些问题， AC通过智能流控功能，能有效解决P2P应用的问题。

虽然基于UDP协议的P2P应用对丢包不敏感，但是下行流量与上行流量有显著的相关性，只要控制住上行流量，下行流量就能得到控制。

当开启AC的智能流控功能时，系统会根据下行流量的设定值对上行流量进行自动调整，从而达到控制和减少下行流量的效果，从源头处有效限制P2P流量。

动态流量控制
当带宽有限时，企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。

传统的解决方法是通过静态的带宽分配策略，根据应用的重要性分配相应的带宽。

无论网络情况如何变动，分配的带宽都是固定的，不能自动调整，这样的流控策略往往造成带宽资源的浪费。

比如某些业务应用带宽资源不足，而其他应用的带宽资源却处于空闲状态，得不到有效利用。

针对此类问题， AC提供了动态流控功能。

用户可通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。

当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。

通过灵活的带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。

3、全面精准的行为审计
深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。

同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。

实时监控
AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。

管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。

运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。

安全状态实时汇报内网用户安全情况。

在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。

实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。

此外AC还支持实时连接监控，显示用户的所有会话连接状
况。

全面、灵活的应用审计
AC实时监控和完善的应用审计功能，帮助网络管理员了解内网用户的上网行为，同时也作为追查依据。

网页访问
内网用户访问的URL地址、网页标题、时间等内容，AC能够完全监控与记录。

同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。

邮件收发
对于Webmail或邮件客户端收发邮件，AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核。

IM聊天
对于QQ、MSN、Gtalk等聊天应用，无论是Web版或是桌面版，AC均能详细记录其聊天内容。

微博论坛
对于微博、社交论坛发帖不仅能够根据关键字进行过滤，发布的内容也能全面记录，准确还原发帖内容，提高可读性。

SSL加密应用
同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，AC可以基于关键字过滤和内容审计记录。

针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能。

数据中心及报表
大型机构每天产生数十G日志数据，通过AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email 投递等功能，方便IT部门将统计结果向高层汇报。

AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。

对于BBS发帖， AC还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。

通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email 投递功能，极大的方便了管理者的使用。

免审计Key
机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，对其记录审计反而成为泄密风险。

因此AC支持免审计Key功能。

在AC 上为总裁、财务部相关人员生成免审计Key。

当使用该免审计Key认证后，AC 从底层免除对该人员的一切记录。

一旦免审计功能被恶意取消后，当再插入该免审计Key后会自动弹出警告，且禁止该人员访问网络，彻底保障信息安全。

日志审查Key
企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中
心中，这避免了互联网违法事件后无据可查的尴尬。

但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织
造成不良影响、甚至经济损失。

因此AC提供日志审查Key技术。

数据中心管理员只有插入该Key后才能
以审计、查询权限接入数据中心，从而对行为日志进行详细查询。

对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，
无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。

4、方案优势
全面完整
无线有线统一管控：除了传统的封堵、流控、审计等功能外，深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险，提供了统一全面的管理功能：员工、来宾的统一接入管理，BYOD的权限控制、移动APP/云应用管控和审计。

从而简化了IT运维操作，降低了管理难度。

细致精准
上网行为管理不是简单的对应用进行封堵，而是根据不同的管理需求来对应用进行限制。

深信服上网行为管理能够对网络应用进行细分控制，如分别识别出网盘应用中的登陆、浏览、上传和下载等动作，根据企业中防泄密需求，实现允许浏览下载，同时禁止上传。

通过细分控制，能够更细致的对员工的上网行为进行管理。

在审计方面，深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。

同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。

灵活有效
AC支持父子通道技术，最高可支持八级，能够完全匹配企业组织人员架构和网络应用结构。

在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。

同时，由于通道具有父子关系属性，在后期维护中既能整体调整带宽，又能局部调节，带宽分配更灵活。

P2P应用具有强烈的带宽侵蚀特性，为了保护带宽资源不被滥用，必须对
P2P流量进行控制。

传统的流控技术对P2P应用不起作用，外网线路依然被占用，影响核心业务应用。

通过深信服P2P智能流控技术，能够有效的从源端抑制P2P下行流量，使得核心业务应用有足够的带宽资源。

同时，AC具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。

基于用户、终端、位置、业务多个维度的策略管理，能够根据用户在不同位置，使用不同终端时自动匹配相应的上网管理策略，灵活性强，适用于每一种应用场景。

智能便捷
深信服的上网行为管理方案，与其他多厂商设备组合方案相比，可以让IT 管理员维护更简单，用户使用更便捷：
智能联动：
互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通
过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让AC同步识别身份信息，便于后续的
报表分析、威胁定位、合规审计等。

从而，也极大的减少IT管理员配置、运
维工作量。

便捷简单：
AC的外来访客的二维码认证功能，不但省去了复杂的临时账号申请流程，提升了工作效率，还能提升来宾体验，增强对企业形象认可。

在应用管理方面，引入标签化的概念，对应用打上标签，通过选择标签来指定多个应用，而无须再一个一个的查找，使得应用管理更加灵活高效。

5、方案价值
★提升工作效率
网页过滤策略
上班时间从事私人活动，管理者却难以阻止，如上班时间浏览购物网站、上微博、论坛发帖等。

AC能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。

IM（即时通讯）聊天软件的管理
上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和向外泄密。

面对的众多IM软件， AC通过检测应用数据包的特征字段，实现对IM聊天软件的管控，提升工作效率。

全面的行为管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。

面对用户上班即挂机下载，搜索最新网络新闻、图片，上班时间更新博客、上传图片、看在线视频、网络游戏等问题，AC支持应用识别规则库，包含1500多种应用，对员工上网行为进行全面管理。

上网时间管理
AC通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。

支持设定一定的上网时间值，当用户超过这个阀值时，将自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工作无关的网络活动。

★提高带宽利用率
多线路策略
AC支持多线路复用、带宽叠加技术（专利号：2X），企业通过AC同时连接多条公网线路，提升整体带宽水平。

同时结合多线路智能选路技术（专利号：ZL03113974.4），做到流量的智能选路和负载均衡。

P2P软件的控制
P2P行为对带宽具有强烈的吞噬能力，而传统的流控功能在P2P应用上不起作用。

AC提供P2P智能识别专利技术(专利号： 2.8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。

而AC提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。

既允许用户使用P2P，又不会滥用带宽。

动态调节。