深信服上网行为及负载均衡技术方案

技术方案

本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案

一、上网行为管理技术方案

1、需求概述

背景介绍

随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：

⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；

⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；

⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；

因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求

员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下

网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费

互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理

随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT 系统。这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。

所以，IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素，为员工不同的上网情景，制定更精细的网络管理策略，提升办公效率的同时，降低安全风险。

WLAN安全隐患

在一些没有提供Wlan的单位，员工为了便捷性，往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan，让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。

所以，IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。

访客接入繁琐

企业组建WLan后，当有来宾访客需要上网时，要么直接开放，安全风险高，人员随意接入，无法定位身份；要么需要提前申请临时账号，管理复杂。

所以，组织需要一套使用便捷，即来即用，同时又能满足安全合规要求的

来宾访客认证系统。

数据泄密

伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用，企业重要数据泄密的方式越来越多样，风险越来越高。在有意无意间，一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产，外发的互联网上，给组织的公众形象、业务开展带来严重的风险。

所以，组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略，防止重要数据的泄密行为发生。

网络违规违法

企业内网用户在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良内容，都属于网络违规违法行为，企业或个人将承担法律责任。

所以，组织需要根据82令的相关要求，建立全面、完善的上网行为的合规审查机制，并建立严格的审查权限管理机制。

2、有线无线网络统一行为管理方案

结合上述的用户需求以及IT系统的现状，深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。

方案整体概述

互联网出口上网行为管理：部署深信服AC于互联网出口，针对有线网络终端和用户提供接入认证、权限控制、合规审计；此外，还针对有线/无线的全部用户、关键应用，提供全局统一的带宽控制策略。

智能联动：

此外，互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让多台AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。

有线和无线网络统一上网行为管理

部署了深信服上网行为管理设备，为可以帮助ISD提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求，又提升了IT运维效率，还提升了用户上网的操作体验。

安全便捷的用户认证

为了针对不用角色身份的用户，避免身份冒充、权限滥用等出现，提供即安全又便捷的认证方式，深信服上网行为管理可以提供如下多种身份认证。

内部员工认证：

AC支持本地认证功能，包括Web认证、用户名/密码认证、IP/MAC/IP-MAC 绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免

重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

外来访客认证：

为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满足合规要求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认