深信服设备初始化方法

2024-09-07

深信服设备初始化方法（共3篇）

深信服设备初始化方法篇1

一、终端提醒策略

进入深信服AC操作界面，在左侧导航菜单--用户与策略管理--上网策略--新增--终端提醒策略。

1、这个终端页面提醒，一般是：第一次打开浏览器会有这个提示，然后按设置的分钟数弹出页面，如果这个时候浏览器是打开的，那么会自动弹出这个页面，但是浏览器没有打开的话就不会弹，等打开了再弹。

2、这个页面可以是

1）设备内置的公告页面，在系统配置-----页面定制----终端页面提醒。并可以编辑自定义内容。

2）也可以显示外部的URL。

二、认证通过跳转

进入深信服AC操作界面，在左侧导航菜单--用户与策略管理—用户认证—认证选项。『认证通过跳转』用于设置Web认证用户在认证成功后的跳转页面。配置界面如下：

[最近请求的页面]勾选此项，则内网用户在认证成功后Web页面跳转到用户认证前请求的页面。

[注销页面]勾选此项，则用户在认证成功后Web页面跳转到用户注销页面。[自定义页面URL]勾选此项，则用户在认证成功后跳转到用户自定义的页面。[用户上网信息排行页面]勾选此项，则用户认证成功后跳转到用户上网信息排行页面。

深信服设备初始化方法篇2

云南电网公司是中国南方电网有限责任公司的全资子公司，服务全省1 399 380客户。公司贯彻南网方略，主动承担社会责任，全力做好电力供应，服务于云南国民经济和社会发展，以电网运营为核心业务，定位于省内市场，积极开拓省外市场和国外市场，致力于夯实安全基础，加快电网发展，提高服务水平，强化经营管理，深化体制改革, 培育优秀文化，一步一个脚印，一年一个台阶，走上了科学发展的轨道。

1 网络发展萌发新的挑战

为认真贯彻落实科学发展观，把中央的路线、方针、政策在企业具体化，体现国家意志，认真践行“对中央负责、为五省区服务”的企业宗旨，云南电网公司秉持企业效益为重、社会效益优先的经营理念，注重依靠科技进步，打造经营型、服务型、一体化、现代化的企业。

通过参考同行业伙伴的信息化建设，并对比自身网络状况，云南电网发现近年来公司的网络建设虽然可圈可点，却不免渐渐暴露出一些弊端。首先，公司网络链路中的流量逐渐变得日益丰富而泛滥，加之组织部署的业务系统越来越多，以至于这些业务系统的带宽争抢导致业务系统运行速度越来越不尽人意。虽然公司为此曾数次扩充带宽，然而却是治标不治本，新增的带宽很快又显得不堪负荷。长此以往，就形成了带宽投资成本不断上涨，却无法根治问题的恶性循环。

其次，伴随着近几年来网络资源的膨胀和网络娱乐的兴起，迅雷/BT等P2P下载、流媒体、网络游戏等非工作流量如蝗虫一般抢占了有限的带宽资源，直接导致了语音和视频会议、OA、ERP等业务系统运行不稳定，访问速度变慢。还一点不容忽视的是，眼看着公司的网速越来越慢，相关的IT管理人员既无法了解具体的带宽使用、流量分布等情况，也不能为管理策略的制定提供数据支撑或建议，管理工作渐渐陷入了窘境。

针对公司信息化建设过程中出现的这些问题，云南电网决定未雨绸缪，寻求一套切实可行的解决方案，既要避免带宽投资的浪费，也能保障关键应用的带宽需求，同时还可掌握网络中应用流量分布情况，三管齐下将网络隐患扼杀在萌芽阶段。

2 追根求源透视业界发展

纵观互联网近几年来的高速发展，牵引着信息资源的爆炸式传播。由此催生了P2P技术的迅速普及与应用，导致企业、ISP、运营商网络带宽需求急速增加，给网络管理与运营带来了很大困扰与不便，线路拥塞导致服务品质下降的现象层出不穷。在如此背景之下，业内对于网络带宽管理的呼声诞生了流控设备这一概念。

透视现行的大多数流量管理类的解决方案，其流控设备对流经的数据进行处理的时候，通常会遵循Internet应用识别、流量分类和流量控制三大处理流程，且普遍都引入了监控与分析网络带宽的使用情况，防止P2P等应用过度占用网络带宽，针对时间、应用种类做优先级控制与优化等手段。从实际需求和最终效果2个方面来看，流量管理解决方案与云南电网公司网络建设的需要可以说是不谋而合。

3 海外产品VS本土产品，如何选择

经过市场考察，对比了几家国际知名厂商的流控产品后，云南电网公司发现外籍品牌的流量管理设备大都是针对于境外的网络用户设计的，在国内复杂的网络环境中难免有些水土不服，性能无法发挥，功能设计也与国内用户的使用习惯有些格格不入。在选择了思科公司的SCE设备进行试用后，也体验到该产品虽然功能强大，但是易用性方面相当不足，升级维护过于复杂，致使设备本身的应用识别能力大打折扣，空有强劲的处理性能，效果却不尽如人意。

诚然，一款流量管理设备功能强大与否首先要看它的识别能力是否足够专业。特别是针对不同国家不同地区，用户的使用习惯往往不尽相同，识别能力只有真正实现本土化，才能实现更加强大的流量管理功能。显而易见的是，国外厂商虽然在技术上拥有一定的优势，但是在了解中国用户的使用习惯和管理国内的各类应用流量方面，远不及主场作战的本土品牌如鱼得水。云南电网公司在认识到这样一个事实以后，又将目光投向了参差不齐的国内市场。然而国内品牌的一些相关产品，虽然适应性强，比较灵活，但大都不够成熟稳定，而且厂商规模不大，软件开发和变更发布也不够规范，唯有深信服科技的流控产品比较贴合需求。

云南电网公司经过与深信服科技的工作人员细致沟通和详细探讨后，最终决定启用深信服BM系列网络流量管理产品，旨在为公司量身打造一套全面的网络可视、带宽管理专业解决方案，释放带宽潜能，提升现有带宽价值，为公司带来持续性的价值。

4 强本创新构建高效网络

经过一段时间的使用后，云南电网公司可喜的发现组织的网络状况得到了明显改善。深信服BM系列专业流量管理设备不仅通过细致划分带宽资源，保证核心业务的带宽需求，限制非业务应用的带宽占用，彻底解决了P2P滥用带宽等问题，大幅度提升了业务运行效率;而且提供细致且直观的流量分布、趋势、对比报表等，让网络更加透明，为组织的IT决策提供科学依据。

深信服上网行为管理解决方案篇3

东莞市广云网络科技有限公司

联系人：许应甫 *** 0769－89868856 QQ：35447664 地址：东莞市南城区第一国际D座1810室

2015年8月10日

第1章需求概述

1.1 背景介绍

随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：

 网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；

 沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；

 移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；

因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

1.2 上网行为管理需求

员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：

1.2.1 工作效率低下

网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

1.2.2 带宽滥用和浪费

互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

1.2.3 BYOD难管理

随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT系统。这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。

所以，IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素，为员工不同的上网情景，制定更精细的网络管理策略，提升办公效率的同时，降低安全风险。

1.2.4 WLAN安全隐患

在一些没有提供Wlan的单位，员工为了便捷性，往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan，让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。

所以，IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。

1.2.5 访客接入繁琐

企业组建WLan后，当有来宾访客需要上网时，要么直接开放，安全风险高，人员随意接入，无法定位身份；要么需要提前申请临时账号，管理复杂。

所以，组织需要一套使用便捷，即来即用，同时又能满足安全合规要求的来宾访客认证系统。

1.2.6 数据泄密

所以，组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略，防止重要数据的泄密行为发生。

1.2.7 网络违规违法

企业内网用户在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良内容，都属于网络违规违法行为，企业或个人将承担法律责任。

所以，组织需要根据82令的相关要求，建立全面、完善的上网行为的合规审查机制，并建立严格的审查权限管理机制。

第2章有线无线网络统一行为管理方案

结合上述的用户需求以及IT系统的现状，深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。

本次方案建议采用深信服上网行为管理设备AC1台，部署在如下位置：

 互联网出口上网行为管理：部署深信服AC于互联网出口，针对有线网络终端和用户提供接入认证、权限控制、合规审计；此外，还针对有线/无线的全部用户、关键应用，提供全局统一的带宽控制策略。智能联动：

此外，互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让多台AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。

2.2 有线和无线网络统一上网行为管理

2.2.1 安全便捷的用户认证

为了针对不用角色身份的用户，避免身份冒充、权限滥用等出现，提供即安全又便捷的认证方式，深信服上网行为管理可以提供如下多种身份认证。

2.2.1.1 内部员工认证：

AC支持本地认证功能，包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

2.2.1.2 外来访客认证：

为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满足合规要

短信认证，来宾只需要输入手机号码，获得并输入短信验证码后，就可以获得上网权限。而且为了简化用户操作，与传统的短信验证相比，用户只需要点击3次既可完成，十分便捷，不需要在浏览器和短信界面来回切换。

微信认证，访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”，并发送上网请求，才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量，更好的帮助组织推广品牌宣传。

二维码认证，访客认证页面会自动弹出一个二维码，只有内部接待人员用自己的移动终端扫描二维码，确认同意后，访客才能获得上网权限。而且，为了满足合规要求，接待人员，可以在页面上备注来宾身份信息，便于后续查找。

2.2.2 灵活细致的权限控制

深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库，包含1100多种应用、2400多种规则，可识别目前网络中各种主流应用，如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。

同时，AC还能够识别SSL加密应用，如加密邮箱、加密网页等。通过全面的应用识别，管理员能够根据不同应用制定不同的管理策略，限制与工作无关的行为，提高工作效率。

2.2.2.1 多维度的灵活策略

为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控，深信服AC可以识别各种终端类型，包括windows、IOS、安卓、phone、pad等类型，还可以识别出用户接入网络的位置，包括有线、无线、办公位、会议室等等。

从而制定用户的上网策略时，可以从用户角色、使用终端类型、所在区域位置等维度进行组合，来制定精细的控制策略。比如用户角色A，在办公位置上使用PC接入，可以访问权限较多；但在接待区通过无线网络，使用iPad接入网络时，只有上网权限，不能访问内部安全界别较高的应用系统等。

2.2.2.2 移动APP管控

为了满足移动终端的管理需要，深信服上网行为管理系统可以针对数百种移动终端

2.2.2.3 防止非法AP和代理

深信服上网行为管理系统通过技术创新，可以精准的识别出，当前网络中员工私自架设的无线AP，代理应用，从而防止带宽资源的滥用，防止黑客通过非法AP接入企业网络入侵。

2.2.2.4 应用标签化

管理员可通过AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提高管理效率。

2.2.2.5 加密应用识别

SSL(Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。

2.2.3 合理有效的流量控制

深信服上网行为管理系统通过多级父子通道技术，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。

在P2P应用流量控制方面，通过深信服P2P智能流控技术，能够有效的抑制P2P流量，使得核心业务应用有足够的带宽资源。

通过部署AC，可对网络出口链路总带宽进行细分，采用“基于队列的流控技术”，即建立通道，将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。AC支持多级父子通道，即在父通道中嵌套子通道，最大可支持8级父子通道。通过多级父子通道技术，能够完全匹配企业的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。

2.2.3.2 P2P智能流控

目前，通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和未来将出现的P2P应用加以控制。

目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达不到预期的效果。

针对这些问题，AC通过智能流控功能，能有效解决P2P应用的问题。虽然基于UDP

2.2.3.3 动态流量控制

当带宽有限时，企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略，根据应用的重要性分配相应的带宽。无论网络情况如何变动，分配的带宽都是固定的，不能自动调整，这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足，而其他应用的带宽资源却处于空闲状态，得不到有效利用。

针对此类问题，AC提供了动态流控功能。用户可通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。通过灵活的带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。

2.2.4 全面精准的行为审计

2.2.4.1 实时监控

AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。

运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。

在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控，显示用户的所有会话连接状况。

2.2.4.2 全面、灵活的应用审计

AC实时监控和完善的应用审计功能，帮助网络管理员了解内网用户的上网行为，同时也作为追查依据。

2.2.4.3 网页访问

内网用户访问的URL地址、网页标题、时间等内容，AC能够完全监控与记录。

同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。

2.2.4.4 邮件收发

对于Webmail或邮件客户端收发邮件，AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核。

2.2.4.5 IM聊天

对于QQ、MSN、Gtalk等聊天应用，无论是Web版或是桌面版，AC均能详细记录其聊天内容。

2.2.4.6 微博论坛

对于微博、社交论坛发帖不仅能够根据关键字进行过滤，发布的内容也能全面记录，准确还原发帖内容，提高可读性。

2.2.4.7 SSL加密应用

同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，AC可以基于关键字过滤和内容审计记录。

针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能。

2.2.4.8 数据中心及报表

大型机构每天产生数十G日志数据，通过AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向高层汇报。

AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。

对于BBS发帖，AC还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。

2.2.4.9 免审计Key 机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后，AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后，当再插入该免审计Key后会自动弹出警告，且禁止该人员访问网络，彻底保障信息安全。

2.2.4.10 日志审查Key 企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。

因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心，从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。

3.1 全面完整

无线有线统一管控：除了传统的封堵、流控、审计等功能外，深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险，提供了统一全面的管理功能：员工、来宾的统一接入管理，BYOD的权限控制、移动APP/云应用管控和审计。从而简化了IT运维操作，降低了管理难度。

3.2 细致精准

上网行为管理不是简单的对应用进行封堵，而是根据不同的管理需求来对应用进行限制。深信服上网行为管理能够对网络应用进行细分控制，如分别识别出网盘应用中的登陆、浏览、上传和下载等动作，根据企业中防泄密需求，实现允许浏览下载，同时禁止上传。通过细分控制，能够更细致的对员工的上网行为进行管理。

在审计方面，深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。

3.3 灵活有效

AC支持父子通道技术，最高可支持八级，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，由于通道具有父子关系属性，在后期维护中既能整体调整带宽，又能局部调节，带宽分配更灵活。

P2P应用具有强烈的带宽侵蚀特性，为了保护带宽资源不被滥用，必须对P2P流量进行控制。传统的流控技术对P2P应用不起作用，外网线路依然被占用，影响核心业务应用。通过深信服P2P智能流控技术，能够有效的从源端抑制P2P下行流量，使得核心业务应用有足够的带宽资源。

同时，AC具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升

基于用户、终端、位置、业务多个维度的策略管理，能够根据用户在不同位置，使用不同终端时自动匹配相应的上网管理策略，灵活性强，适用于每一种应用场景。

3.4 智能便捷

深信服的上网行为管理方案，与其他多厂商设备组合方案相比，可以让IT管理员维护更简单，用户使用更便捷：智能联动：

互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。从而，也极大的减少IT管理员配置、运维工作量。

便捷简单：

AC的外来访客的二维码认证功能，不但省去了复杂的临时账号申请流程，提升了工作效率，还能提升来宾体验，增强对企业形象认可。

在应用管理方面，引入标签化的概念，对应用打上标签，通过选择标签来指定多个应用，而无须再一个一个的查找，使得应用管理更加灵活高效。

第4章方案价值

4.1 提升工作效率

网页过滤策略

上班时间从事私人活动，管理者却难以阻止，如上班时间浏览购物网站、上微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。IM（即时通讯）聊天软件的管理

网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载，搜索最新网络新闻、图片，上班时间更新博客、上传图片、看在线视频、网络游戏等问题，AC支持应用识别规则库，包含1500多种应用，对员工上网行为进行全面管理。上网时间管理

AC通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用户超过这个阀值时，将自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工作无关的网络活动。

4.2 提高带宽利用率

多线路策略

AC支持多线路复用、带宽叠加技术（专利号：200310112006X），企业通过AC同时连接多条公网线路，提升整体带宽水平。同时结合多线路智能选路技术（专利号：ZL03113974.4），做到流量的智能选路和负载均衡。P2P软件的控制

P2P行为对带宽具有强烈的吞噬能力，而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号： 200610156977.8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。动态调节

AC支持动态流控功能，通过设定阈值，实现当整体带宽利用率过低时自动调整释放更多的带宽资源，让带宽得到有效利用，避免浪费，比传统单

一、死板的流控方法更有效的提升带宽利用率。带宽统计和管理

AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报

同时，AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障，提升整个机构的带宽使用效率。

4.3 避免泄密和法律风险

在部署上网行为管理系统后，通过定义关键字的方式，实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤，从而避免敏感信息泄露问题给企业带来经济损失。同时，有效防止不良信息外发行为，避免引来法律纠纷。即使发生了不良信息外发行为，也能够通过对内网用户上网行为实施记录审计，能够在发生网络违法事件的时候通过审计日志追查相关责任人，避免由企业承担相应法律责任。

同时，上网安全桌面根据规则对本机文件数据进行了隔离，安全桌面内的任何程序试图获取本机被隔离文件数据的行为都将被禁止，防止终端被木马入侵后文件信息遭窃取，从而帮助用户有效保护了敏感数据的安全性。

4.4 保障终端安全

防病毒、木马

内网用户在访问internet时，常常会无意中下载到一些包含恶意病毒的文件，这些病毒程序通常是极具破坏力的，严重时会造成计算机系统的崩溃，使员工无法正常工作。而如果在上网过程中使用上网安全桌面，则可以有效的防止这些病毒程序对本机造成破坏。

当内网用户使用安全桌面上网，文件、注册表重定向技术使本机内真实文件与注册表得到了保护，而访问目录权限功能使病毒无法访问继而感染本机内部文件，有效地防止了病毒对本机系统的破坏，弥补杀毒软件对安全事件事前防护的不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、安全的网络应用环境，让用户使用起来再也不受病毒、木马泛滥的困扰。

同时，AC具有网关杀毒功能，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。

AC内置自动更新的海量URL库，包括色情、反动等分类，潜藏在此类网站中的威胁将被AC过滤；AC允许用户手工添加新URL分类；再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。

假冒网上银行的钓鱼网站、加密的反动网站等，显示“加密化”已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。文件传输控制

针对QQ、MSN等IM软件的病毒，通过引诱用户下载指定文件或打开指定URL链接而传播；AC的“拦截不良网页”措施将避免用户访问含病毒URL地址；AC还可限制使用QQ、MSN等传递文件。

通过HTTP、FTP从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险“感染点”还会伺机爆发，感染更多用户，使整个网络瘫痪。而此类行为和流量经过AC时，AC首先限制用户通过HTTP、FTP上传下载指定类型的文件，对于允许传输的文件，AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。

【深信服设备初始化方法】推荐阅读：

设备与方法05-19