深信服上網行為管理解決方案課件

1、有線無線網絡統(tǒng)一上網行為管理方案東莞市廣云網絡科技有限公司聯(lián)系人：許應甫076989868856QQ：35447664地址：東莞市南城區(qū)第一國際D座1810室2015年8月10日第1章 需求概述1.1 背景介紹隨著互聯(lián)網技術的發(fā)展，組織的業(yè)務模式和員工的工作模式、行為習慣都在不斷發(fā)生改變：n 網上業(yè)務：組織建設了更多的網上業(yè)務平臺，通過互聯(lián)網來開展業(yè)務；n 溝通橋梁：內部員工也更加依賴互聯(lián)網與外部的合作伙伴、人員進行溝通和交流，提升工作效率，獲取資訊和知識，維系人脈關系；n 移動互聯(lián)網：移動互聯(lián)網的消費化趨勢也逐漸影響到組織內部的IT系統(tǒng)，員工更喜歡通過WLAN、移動

2、終端類開展工作；因此，在員工的日常工作中，ISD需要針對互聯(lián)網出口平臺的如下上網行為管理、上網安全防護需求進行改造，提供一個更安全、更高效的上網環(huán)境。1.2 上網行為管理需求員工訪問互聯(lián)網的習慣正在發(fā)生變化，從最早使用PC、有線局域網，到更多使用移動終端、WLAN來進行辦公，如果過度開放的上網環(huán)境會帶來以下問題：1.2.1 工作效率低下網絡的普及改變了傳統(tǒng)的辦公方式，而內網中總有部分用戶在上班時間有意無意的做與工作無關的網絡行為，比如聊天、炒股、玩網游、看視頻、網購等，而且越來越多的員工正在通過企業(yè)無線網絡來使用移動APP版的淘寶、陌陌。這嚴重影響工作效率，從而導致企業(yè)競爭力的下降。所以，組織

3、需要針對PC、移動終端等各種應用、APP進行更有效的識別和管控。1.2.2 帶寬濫用和浪費互聯(lián)網中充斥著P2P下載、在線視頻、游戲、在線小說等耗費帶寬的非關鍵業(yè)務應用，用戶在使用這些應用的過程中必然會占用大量的帶寬，而關鍵的業(yè)務應用、關鍵人員角色則得不到足夠的資源。此外，傳統(tǒng)的帶寬管理策略都是靜態(tài)的，當帶寬空閑時，依然會限制用戶的流量，帶寬價值被大大浪費。所以，IT部門需要針對各種應用類型、用戶角色、帶寬占用情況等，提供更加靈活、細致、動態(tài)的帶寬管理策略，提升用戶上網體驗。1.2.3 BYOD難管理隨著移動終端的普及，員工往往會采用PC、智能手機、Pad等多種終端，通過有線和無線網絡，在不同的

4、位置（辦公座位、會議室等），接入企業(yè)IT系統(tǒng)。這種使用場景的多樣化，讓傳統(tǒng)上網管理的手段，難以應對內部資料的泄密、移動終端設備的盜用、移動APP難以管控等管理問題。所以，IT部門需要基于用戶角色、終端類別、使用位置、應用類別、時間等更多的元素，為員工不同的上網情景，制定更精細的網絡管理策略，提升辦公效率的同時，降低安全風險。1.2.4 WLAN安全隱患在一些沒有提供Wlan的單位，員工為了便捷性，往往會通過360隨身WiFi、家用WiFi路由器等方式私自建立個人Wlan，讓自己的移動終端可以隨意使用單位的上網資源。這給企業(yè)的安全策略管理帶來的很多的管理漏洞。所以，IT部門需要針對私接的非法無線

5、熱點、非法代理等威脅進行有效的識別、管控。1.2.5 訪客接入繁瑣企業(yè)組建WLan后，當有來賓訪客需要上網時，要么直接開放，安全風險高，人員隨意接入，無法定位身份；要么需要提前申請臨時賬號，管理復雜。所以，組織需要一套使用便捷，即來即用，同時又能滿足安全合規(guī)要求的來賓訪客認證系統(tǒng)。1.2.6 數(shù)據(jù)泄密伴隨著網盤、社交媒體、流量加密等應用/技術的廣泛使用，企業(yè)重要數(shù)據(jù)泄密的方式越來越多樣，風險越來越高。在有意無意間，一個員工就可以輕易的把企業(yè)內部的敏感信息、高價值信息資產，外發(fā)的互聯(lián)網上，給組織的公眾形象、業(yè)務開展帶來嚴重的風險。所以，組織需要對員工制定嚴格、細粒度的互聯(lián)網數(shù)據(jù)傳輸控制策略、合規(guī)

6、審查策略，防止重要數(shù)據(jù)的泄密行為發(fā)生。1.2.7 網絡違規(guī)違法企業(yè)內網用戶在日常辦公中擁有訪問互聯(lián)網的權限，可通過QQ、MSN、論壇或微博等方式外發(fā)信息，如果包含了色情、賭博、反動等不良內容，都屬于網絡違規(guī)違法行為，企業(yè)或個人將承擔法律責任。所以，組織需要根據(jù)82令的相關要求，建立全面、完善的上網行為的合規(guī)審查機制，并建立嚴格的審查權限管理機制。第2章 有線無線網絡統(tǒng)一行為管理方案結合上述的用戶需求以及IT系統(tǒng)的現(xiàn)狀，深信服可以為ISD提供一套完整、可視、智能聯(lián)動的互聯(lián)網出口安全解決方案。2.1 方案整體概述本次方案建議采用深信服上網行為管理設備AC 1臺，部署在如下位置：n 互聯(lián)網出口上網行

7、為管理：部署深信服AC于互聯(lián)網出口，針對有線網絡終端和用戶提供接入認證、權限控制、合規(guī)審計；此外，還針對有線/無線的全部用戶、關鍵應用，提供全局統(tǒng)一的帶寬控制策略。智能聯(lián)動：此外，互聯(lián)網出口上網行為管理設備和無線網絡上網行為管理設備之間需要通過用戶認證信息的聯(lián)動、單點登錄等功能，將上網終端和用戶身份信息進行同步關聯(lián)，讓用戶只需要認證一次就可以讓多臺AC同步識別身份信息，便于后續(xù)的報表分析、威脅定位、合規(guī)審計等。2.2 有線和無線網絡統(tǒng)一上網行為管理部署了深信服上網行為管理設備，為可以幫助ISD提供一整套統(tǒng)一的有線、無線網絡上網行為管理解決方案。這即滿足了安全合規(guī)管理的要求，又提升了IT運維效率

8、，還提升了用戶上網的操作體驗。2.2.1 安全便捷的用戶認證為了針對不用角色身份的用戶，避免身份冒充、權限濫用等出現(xiàn)，提供即安全又便捷的認證方式，深信服上網行為管理可以提供如下多種身份認證。2.2.1.1 內部員工認證：AC支持本地認證功能，包括Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定、USB-Key等。通過本地認證功能，能夠準確識別上網用戶，從而對該用戶進行上網行為管理，而對于未通過認證的用戶則限制其網絡訪問權限。AC支持與LDAP、Radius、POP3等外部認證服務器或者SAM、CAMS等認證計費系統(tǒng)結合進行身份認證。當用戶在認證服務器上進行認證后，AC能夠獲取用戶認

9、證信息，用戶不用在AC上進行第二次身份認證，形成單點登錄，避免重復認證所帶來的麻煩。通過身份認證功能，AC能夠準確識別上網用戶，從而對該用戶進行上網行為管理，而對于未通過認證的用戶則限制其網絡訪問權限。2.2.1.2 外來訪客認證：為了省去復雜的臨時賬號申請機制，讓外來訪客便捷的接入網絡，但又滿足合規(guī)要求。深信服上網行為管理AC提供了短信認證、微信認證、二維碼認證等多種方式，當來賓接入網絡后，系統(tǒng)會自動推送出專門針對來賓訪客認證界面。短信認證，來賓只需要輸入手機號碼，獲得并輸入短信驗證碼后，就可以獲得上網權限。而且為了簡化用戶操作，與傳統(tǒng)的短信驗證相比，用戶只需要點擊3次既可完成，十分便捷，不

10、需要在瀏覽器和短信界面來回切換。微信認證，訪客認證頁面會自動提醒來賓需要關注組織的“官方微信公眾賬號”，并發(fā)送上網請求，才能獲得上網權限。這可以幫助組織推廣社交媒體的粉絲數(shù)量，更好的幫助組織推廣品牌宣傳。二維碼認證，訪客認證頁面會自動彈出一個二維碼，只有內部接待人員用自己的移動終端掃描二維碼，確認同意后，訪客才能獲得上網權限。而且，為了滿足合規(guī)要求，接待人員，可以在頁面上備注來賓身份信息，便于后續(xù)查找。2.2.2 靈活細致的權限控制深信服上網行為管理系統(tǒng)具有千萬級URL庫和國內最大的應用識別規(guī)則庫，包含1100多種應用、2400多種規(guī)則，可識別目前網絡中各種主流應用，如IM聊天軟件、金融軟件、

11、微博、社區(qū)論壇、網盤、在線視頻等。同時，AC還能夠識別SSL加密應用，如加密郵箱、加密網頁等。通過全面的應用識別，管理員能夠根據(jù)不同應用制定不同的管理策略，限制與工作無關的行為，提高工作效率。2.2.2.1 多維度的靈活策略為了針對一個用戶有多臺BYOD終端進行靈活、細致的策略管控，深信服AC可以識別各種終端類型，包括windows、IOS、安卓、phone、pad等類型，還可以識別出用戶接入網絡的位置，包括有線、無線、辦公位、會議室等等。從而制定用戶的上網策略時，可以從用戶角色、使用終端類型、所在區(qū)域位置等維度進行組合，來制定精細的控制策略。比如用戶角色A，在辦公位置上使用PC接入，可以訪問

12、權限較多；但在接待區(qū)通過無線網絡，使用iPad接入網絡時，只有上網權限，不能訪問內部安全界別較高的應用系統(tǒng)等。2.2.2.2 移動APP管控為了滿足移動終端的管理需要，深信服上網行為管理系統(tǒng)可以針對數(shù)百種移動終端的APP、云應用，防止員工通過移動終端來進行和工作無關的應用，避免工作效率的下降。2.2.2.3 防止非法AP和代理深信服上網行為管理系統(tǒng)通過技術創(chuàng)新，可以精準的識別出，當前網絡中員工私自架設的無線AP，代理應用，從而防止帶寬資源的濫用，防止黑客通過非法AP接入企業(yè)網絡入侵。2.2.2.4 應用標簽化管理員可通過AC對應用或具體細分動作進行標簽化，例如，迅雷下載定義為“高帶寬消耗”標簽

13、、網盤的上傳動作定義為“泄密風險”標簽等。管理員在制定策略時，可通過標簽來選擇相應的應用或細分動作，不用逐個選擇，從而避免錯選漏選，提高管理效率。2.2.2.5 加密應用識別SSL (Secure Socket Layer)協(xié)議，被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸，利用數(shù)據(jù)加密技術，可確保數(shù)據(jù)在網絡上之傳輸過程中不會被截取及竊聽。正因為如此，一方面，越來越多的網頁使用SSL加密，如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網站，而因為采用了加密技術，普通的管理產品無法對其內容進行識別管理，別有用心的用戶可以利用這一缺陷繞過管理，通過SSL加密郵件、BBS、

14、論壇發(fā)布的反動言論或者是向外發(fā)送組織的機密信息，導致管理漏洞。2.2.3 合理有效的流量控制深信服上網行為管理系統(tǒng)通過多級父子通道技術，能夠完全匹配企業(yè)組織人員架構和網絡應用結構。在經過用戶和應用的通道化后，管理員能夠給不同通道分配不同帶寬。同時，帶寬的分配并不是一成不變的。深信服上網行為管理系統(tǒng)具有動態(tài)流控功能，在總體帶寬利用率偏低時自動調整策略，有效提升帶寬利用率，避免資源浪費。在P2P應用流量控制方面，通過深信服P2P智能流控技術，能夠有效的抑制P2P流量，使得核心業(yè)務應用有足夠的帶寬資源。2.2.3.1 父子通道通過部署AC，可對網絡出口鏈路總帶寬進行細分，采用“基于隊列的流控技術”，

15、即建立通道，將不同的控制對象分配到不同的通道里。通道可應用于不同用戶或者應用，在通道中可以限制或保障其帶寬，控制靈活。AC支持多級父子通道，即在父通道中嵌套子通道，最大可支持8級父子通道。通過多級父子通道技術，能夠完全匹配企業(yè)的組織架構，針對不同級別的通道進行帶寬調整，為用戶提供細致的流量管理手段，使得帶寬分配更靈活、更合理。2.2.3.2 P2P智能流控目前，通過封IP、端口等限制“帶寬殺手”P2P應用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等讓眾多P2P管理手段形同虛設。AC憑借P2P智能識別技術，不僅識別和管控常用P2P、加密P2P，還能對不常見和未來將出現(xiàn)的P2P應用加

16、以控制。目前互聯(lián)網上流行的P2P下載、流媒體等應用程序通常具備強烈的帶寬侵占特性，傳統(tǒng)流控手段是通過緩存和丟包手段來實現(xiàn)流量控制的目的，但是某些P2P應用如P2P流媒體、P2P下載工具等缺乏自身流控機制，即使被丟包依然不會主動降低速率，仍搶占大量的帶寬資源。同時對于下行的接收流量來說，被丟棄的數(shù)據(jù)包已經占用了線路帶寬，關鍵業(yè)務的帶寬依然得不到提升，流控達不到預期的效果。針對這些問題， AC通過智能流控功能，能有效解決P2P應用的問題。雖然基于UDP協(xié)議的P2P應用對丟包不敏感，但是下行流量與上行流量有顯著的相關性，只要控制住上行流量，下行流量就能得到控制。當開啟AC的智能流控功能時，系統(tǒng)會根據(jù)

17、下行流量的設定值對上行流量進行自動調整，從而達到控制和減少下行流量的效果，從源頭處有效限制P2P流量。2.2.3.3 動態(tài)流量控制當帶寬有限時，企業(yè)希望通過限制P2P、流媒體等應用來保障郵件、訪問網站等業(yè)務相關應用的流暢性。傳統(tǒng)的解決方法是通過靜態(tài)的帶寬分配策略，根據(jù)應用的重要性分配相應的帶寬。無論網絡情況如何變動，分配的帶寬都是固定的，不能自動調整，這樣的流控策略往往造成帶寬資源的浪費。比如某些業(yè)務應用帶寬資源不足，而其他應用的帶寬資源卻處于空閑狀態(tài)，得不到有效利用。針對此類問題， AC提供了動態(tài)流控功能。用戶可通過配置線路空閑閥值，以及定義線路的空閑和繁忙狀態(tài)，實現(xiàn)針對性制定流控策略。當線

18、路空閑時可以放寬通道帶寬限制，應用流量可突破原來設定的最大帶寬限制；當線路繁忙時可以下壓通道帶寬，使帶寬恢復到被限制狀態(tài)，執(zhí)行原有的流控策略。通過靈活的帶寬管理，最大滿足業(yè)務對帶寬的需求，實現(xiàn)帶寬的最大價值。2.2.4 全面精準的行為審計深信服上網行為管理系統(tǒng)不僅記錄內網用戶訪問了哪些網站，使用了哪些應用，還能對用戶的上網行為內容進行深入審計，如IM聊天內容、微博、社交論壇發(fā)帖內容、郵件發(fā)送內容、郵件附件內容和上傳文件內容等。同時，還支持SSL加密網頁和應用的內容審計，避免錯審漏審，幫助企業(yè)深入的了解員工上網行為。2.2.4.1 實時監(jiān)控AC支持實時監(jiān)控功能，可對AC設備的運行狀態(tài)、安全狀態(tài)、

19、流量狀態(tài)、上網行為監(jiān)控、在線用戶管理、郵件延遲審計進行實時監(jiān)控。管理員不需要登陸數(shù)據(jù)中心即可實時查看網絡的各種應用和流量使用情況，簡單快捷。運行狀態(tài)包括系統(tǒng)資源信息、接口信息、接口吞吐率、應用流速趨勢、應用流量排名、用戶流量排名。安全狀態(tài)實時匯報內網用戶安全情況。在實時應用流量排行界面點擊某一個應用即可自動彈出該應用流量的用戶排名情況。實時用戶流量排行界面可針對單個用戶實現(xiàn)用戶的應用流量排行情況的頁面跳轉。此外AC還支持實時連接監(jiān)控，顯示用戶的所有會話連接狀況。2.2.4.2 全面、靈活的應用審計AC實時監(jiān)控和完善的應用審計功能，幫助網絡管理員了解內網用戶的上網行為，同時也作為追查依據(jù)。2.2

20、.4.3 網頁訪問內網用戶訪問的URL地址、網頁標題、時間等內容，AC能夠完全監(jiān)控與記錄。同時，通過網頁快照功能，直觀展現(xiàn)網頁內容，便于管理人員快速查看。2.2.4.4 郵件收發(fā)對于Webmail或郵件客戶端收發(fā)郵件，AC能夠記錄郵件的時間、發(fā)件人、收件人、標題、正文內容和附件等，附件內容可提供下載做進一步審核。2.2.4.5 IM聊天對于QQ、MSN、Gtalk等聊天應用，無論是Web版或是桌面版，AC均能詳細記錄其聊天內容。2.2.4.6 微博論壇對于微博、社交論壇發(fā)帖不僅能夠根據(jù)關鍵字進行過濾，發(fā)布的內容也能全面記錄，準確還原發(fā)帖內容，提高可讀性。2.2.4.7 SSL加密應用同時，對于

21、經過SSL加密的webmail外發(fā)郵件、SSL加密的SMTP/POP3，AC可以基于關鍵字過濾和內容審計記錄。針對不同的用戶、用戶組，通過數(shù)據(jù)簡單的勾選，即可完成差異化的行為審計功能。2.2.4.8 數(shù)據(jù)中心及報表大型機構每天產生數(shù)十G日志數(shù)據(jù)，通過AC獨立數(shù)據(jù)中心實現(xiàn)日志海量存儲，而且提供了圖形化的日志查詢、統(tǒng)計、審計、報表中心等功能。通過統(tǒng)計報表功能，將直觀的獲得關于流量、郵件收發(fā)、上網時間、網絡行為等方面的詳細的報表和圖形化統(tǒng)計結果，并且支持導出PDF等文檔、Email投遞等功能，方便IT部門將統(tǒng)計結果向高層匯報。AC的風險智能報表能夠深入挖掘日志，根據(jù)管理員指定的上網行為特征及閾值，自

22、動挖掘日志，自動幫助組織提前發(fā)現(xiàn)風險，包括：離職風險智能報表、泄密風險智能報表、工作效率低下風險智能報表等。對于BBS發(fā)帖， AC還支持進行熱帖排名，只準看貼不準發(fā)帖的靈活管控方式。通過AC數(shù)據(jù)中心的內容檢索工具，可以實現(xiàn)類似Google一樣的內容搜索，從海量日志中查詢需要的日志記錄，并且支持高級搜索，支持訂閱和自動Email投遞功能，極大的方便了管理者的使用。2.2.4.9 免審計Key機構的總裁、高層領導網絡訪問行為，財務部收發(fā)的郵件，關乎機構機密信息，對其記錄審計反而成為泄密風險。因此AC支持免審計Key功能。在AC上為總裁、財務部相關人員生成免審計Key。當使用該免審計Key認證后，A

23、C從底層免除對該人員的一切記錄。一旦免審計功能被惡意取消后，當再插入該免審計Key后會自動彈出警告，且禁止該人員訪問網絡，徹底保障信息安全。2.2.4.10 日志審查Key企業(yè)內網用戶的各種上網行為記錄AC都可以記錄、并全部記錄到數(shù)據(jù)中心中，這避免了互聯(lián)網違法事件后無據(jù)可查的尷尬。但如果行為日志被濫用，領導的Email、MSN聊天內容等被肆意傳播、私自張貼到互聯(lián)網上必將給組織造成不良影響、甚至經濟損失。因此AC提供日志審查Key技術。數(shù)據(jù)中心管理員只有插入該Key后才能以審計、查詢權限接入數(shù)據(jù)中心，從而對行為日志進行詳細查詢。對于沒有該Key的管理員接入數(shù)據(jù)中心后只能對有限的用戶組的行為進行統(tǒng)

24、計和趨勢查看，無權限對行為日志進行審計、查詢，從而保障行為日志記錄不被濫用。第3章 方案優(yōu)勢3.1 全面完整無線有線統(tǒng)一管控：除了傳統(tǒng)的封堵、流控、審計等功能外，深信服的上網行為管理針對無線、有線網絡的各種PC、移動終端上網遇到的新問題、新風險，提供了統(tǒng)一全面的管理功能：員工、來賓的統(tǒng)一接入管理，BYOD的權限控制、移動APP/云應用管控和審計。從而簡化了IT運維操作，降低了管理難度。3.2 細致精準上網行為管理不是簡單的對應用進行封堵，而是根據(jù)不同的管理需求來對應用進行限制。深信服上網行為管理能夠對網絡應用進行細分控制，如分別識別出網盤應用中的登陸、瀏覽、上傳和下載等動作，根據(jù)企業(yè)中防泄密需

25、求，實現(xiàn)允許瀏覽下載，同時禁止上傳。通過細分控制，能夠更細致的對員工的上網行為進行管理。在審計方面，深信服上網行為管理系統(tǒng)不僅記錄內網用戶訪問了哪些網站，使用了哪些應用，還能對用戶的上網行為內容進行深入審計，如IM聊天內容、微博、社交論壇發(fā)帖內容、郵件發(fā)送內容、郵件附件內容和上傳文件內容等。同時，還支持SSL加密網頁和應用的內容審計，避免錯審漏審，幫助企業(yè)深入的了解員工上網行為。3.3 靈活有效AC支持父子通道技術，最高可支持八級，能夠完全匹配企業(yè)組織人員架構和網絡應用結構。在經過用戶和應用的通道化后，管理員能夠給不同通道分配不同帶寬。同時，由于通道具有父子關系屬性，在后期維護中既能整體調整帶

26、寬，又能局部調節(jié)，帶寬分配更靈活。P2P應用具有強烈的帶寬侵蝕特性，為了保護帶寬資源不被濫用，必須對P2P流量進行控制。傳統(tǒng)的流控技術對P2P應用不起作用，外網線路依然被占用，影響核心業(yè)務應用。通過深信服P2P智能流控技術，能夠有效的從源端抑制P2P下行流量，使得核心業(yè)務應用有足夠的帶寬資源。同時，AC具有動態(tài)流控功能，在總體帶寬利用率偏低時自動調整策略，有效提升帶寬利用率，避免資源浪費。基于用戶、終端、位置、業(yè)務多個維度的策略管理，能夠根據(jù)用戶在不同位置，使用不同終端時自動匹配相應的上網管理策略，靈活性強，適用于每一種應用場景。3.4 智能便捷深信服的上網行為管理方案，與其他多廠商設備組合方

27、案相比，可以讓IT管理員維護更簡單，用戶使用更便捷：智能聯(lián)動：互聯(lián)網出口上網行為管理設備和無線網絡上網行為管理設備之間需要通過用戶認證信息的聯(lián)動、單點登錄等功能，將上網終端和用戶身份信息進行同步關聯(lián)，讓用戶只需要認證一次就可以讓AC同步識別身份信息，便于后續(xù)的報表分析、威脅定位、合規(guī)審計等。從而，也極大的減少IT管理員配置、運維工作量。便捷簡單：AC的外來訪客的二維碼認證功能，不但省去了復雜的臨時賬號申請流程，提升了工作效率，還能提升來賓體驗，增強對企業(yè)形象認可。在應用管理方面，引入標簽化的概念，對應用打上標簽，通過選擇標簽來指定多個應用，而無須再一個一個的查找，使得應用管理更加靈活高效。第4

28、章 方案價值4.1 提升工作效率網頁過濾策略上班時間從事私人活動，管理者卻難以阻止，如上班時間瀏覽購物網站、上微博、論壇發(fā)帖等。AC能針對不同用戶(組)提供基于角色的管理方法，讓管理者實現(xiàn)指定用戶和部門在工作時間只能訪問特定的網站，例如行業(yè)信息網站、公司門戶網站等，而其他未經允許的網頁瀏覽都將被拒絕。IM（即時通訊）聊天軟件的管理上班時間使用QQ、MSN等私人聊天，不僅影響工作效率，還可能因IM傳文件而引入病毒和向外泄密。面對的眾多IM軟件， AC通過檢測應用數(shù)據(jù)包的特征字段，實現(xiàn)對IM聊天軟件的管控，提升工作效率。全面的行為管理網頁過濾、IM聊天等管控只是內網行為管理的一部分。面對用戶上班即

29、掛機下載，搜索最新網絡新聞、圖片，上班時間更新博客、上傳圖片、看在線視頻、網絡游戲等問題，AC支持應用識別規(guī)則庫，包含1500多種應用，對員工上網行為進行全面管理。上網時間管理AC通過為不同部門、不同用戶，基于時間段進行權限分配，也可以限制用戶一天內總的上網時間，實現(xiàn)人性化管理。支持設定一定的上網時間值，當用戶超過這個閥值時，將自動彈出提醒頁面，提醒員工上班時間注意提高工作效率，不要從事與工作無關的網絡活動。4.2 提高帶寬利用率多線路策略AC支持多線路復用、帶寬疊加技術（專利號：200310112006X），企業(yè)通過AC同時連接多條公網線路，提升整體帶寬水平。同時結合多線路智能選路技術（專利

30、號：ZL03113974.4），做到流量的智能選路和負載均衡。P2P軟件的控制P2P行為對帶寬具有強烈的吞噬能力，而傳統(tǒng)的流控功能在P2P應用上不起作用。AC提供P2P智能識別專利技術(專利號： 200610156977.8），不僅能識別和管控常用P2P軟件及版本，對不常見的和未來將出現(xiàn)的P2P亦能管控。而AC提供的P2P流控技術，將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P，又不會濫用帶寬。動態(tài)調節(jié)AC支持動態(tài)流控功能，通過設定閾值，實現(xiàn)當整體帶寬利用率過低時自動調整釋放更多的帶寬資源，讓帶寬得到有效利用，避免浪費，比傳統(tǒng)單一、死板的流控方法更有效的提升帶寬利用率。帶寬統(tǒng)計和管

31、理AC數(shù)據(jù)中心對內網用戶的各種網絡行為進行統(tǒng)計及趨勢、報表等。借助圖形化報表、曲線和統(tǒng)計結果，可以幫助IT管理者輕松掌控網絡行為分布和帶寬資源使用等情況。同時，AC基于用戶(組)、應用類型、網站類型、文件類型、目標IP等的智能流控，細致劃分與分配帶寬資源，如保障領導的視頻會議、市場部訪問行業(yè)網站、設計部傳輸CAD文件等行為得到帶寬保障，提升整個機構的帶寬使用效率。4.3 避免泄密和法律風險在部署上網行為管理系統(tǒng)后，通過定義關鍵字的方式，實現(xiàn)對發(fā)送郵件、網上搜索、網上發(fā)布、文件外發(fā)等行為進行過濾，從而避免敏感信息泄露問題給企業(yè)帶來經濟損失。同時，有效防止不良信息外發(fā)行為，避免引來法律糾紛。即使發(fā)生了不良信息外發(fā)行為，也能夠通過對內網