上網(wǎng)行為管理-深信服上網(wǎng)行為管理解決方案模版

-PAGE1上網(wǎng)行為管理方案建議書目錄22749第1章需求概述 1305841.1背景介紹 1285001.2上網(wǎng)行為管理需求 18711.2.1用戶和終端多樣化，管理復雜 1123321.2.2應用和內(nèi)容不可視，存在風險 269321.2.3網(wǎng)絡流量識不全，控不住 316931第2章可視可控、感知風險的上網(wǎng)管理方案 590382.1全面的上網(wǎng)可視可控 550432.2用戶的可視與可控 55172.2.1安全便捷的身份識別 6181722.2.2安全可視的用戶管理 774252.3行為的可視與可控 8282022.3.1全面精準的應用識別 8315392.3.2應用標簽化管控 892092.3.3靈活細致的權限控制 814642.3.4非法的內(nèi)容識別與管控 9105482.3.5全面完整的行為審計 1035272.4流量的可視與可控 16141882.4.1網(wǎng)絡流量可視化 17100052.4.2合理有效的流量控制 1731295第3章方案優(yōu)勢 2088363.1全面完整 20276113.2細致精準 2048813.3靈活有效 20303793.4簡單便捷 21需求概述背景介紹隨著互聯(lián)網(wǎng)技術的發(fā)展，組織的業(yè)務模式和員工的工作模式、行為習慣都在不斷發(fā)生改變：網(wǎng)上業(yè)務：組織建設了更多的網(wǎng)上業(yè)務平臺，通過互聯(lián)網(wǎng)來開展業(yè)務；溝通橋梁：內(nèi)部員工也更加依賴互聯(lián)網(wǎng)與外部的合作伙伴、人員進行溝通和交流，提升工作效率，獲取資訊和知識，維系人脈關系；移動互聯(lián)網(wǎng)：移動互聯(lián)網(wǎng)的消費化趨勢也逐漸影響到組織內(nèi)部的IT系統(tǒng)，員工更喜歡通過WLAN、移動終端類開展工作；新的法規(guī)要求：2017年6月1日，網(wǎng)絡安全法正式推出，其中對組織明確提出上網(wǎng)行為審計的要求，并且要求至少留存上網(wǎng)日志6個月。因此，在員工的日常工作中，#XX客戶#需要針對互聯(lián)網(wǎng)出口平臺的如下上網(wǎng)行為管理、上網(wǎng)安全防護需求進行改造，提供一個更安全、更高效的上網(wǎng)環(huán)境。上網(wǎng)行為管理需求互聯(lián)網(wǎng)已經(jīng)成為重要的生產(chǎn)資料，越來越多組織的業(yè)務在向互聯(lián)網(wǎng)遷移，然而互聯(lián)網(wǎng)卻是一把“雙刃劍”，管理得好可以讓辦公效率大增，促進業(yè)務的發(fā)展；而缺乏管理的互聯(lián)網(wǎng)將帶來諸多問題，不僅降低工作效率，還給組織帶來各種業(yè)務風險。而且互聯(lián)網(wǎng)也在不斷發(fā)生變化，從最早使用PC、有線局域網(wǎng)，到更多使用移動終端、WLAN來進行辦公，從早期的網(wǎng)頁、PC應用，到移動APP的廣泛發(fā)展，愈加復雜的上網(wǎng)環(huán)境，“看不見管不住”，使得上網(wǎng)管理困難重重。由于互聯(lián)網(wǎng)應用的多樣化，一些看似正常的上網(wǎng)行為，也可能隱藏著巨大的風險。用戶和終端多樣化，管理復雜BYOD上網(wǎng)難管理隨著移動終端的普及，員工往往會采用PC、智能手機、Pad等多種終端，通過有線和無線網(wǎng)絡，在不同的位置（辦公座位、會議室等），接入企業(yè)IT系統(tǒng)。這種使用場景的多樣化，讓傳統(tǒng)上網(wǎng)管理的手段，難以應對內(nèi)部資料的泄密、移動終端設備的盜用、移動APP難以管控等管理問題。所以，IT部門需要基于用戶角色、終端類別、使用位置、應用類別、時間等更多的元素，為員工不同的上網(wǎng)情景，制定更精細的網(wǎng)絡管理策略，提升辦公效率的同時，降低安全風險。訪客上網(wǎng)認證繁瑣企業(yè)組建WLan后，當有來賓訪客需要上網(wǎng)時，要么直接開放，安全風險高，人員隨意接入，無法定位身份；要么需要提前申請臨時賬號，管理復雜。所以，組織需要一套使用便捷，即來即用，同時又能滿足安全合規(guī)要求的來賓訪客認證系統(tǒng)。私接無線，引入安全隱患在一些沒有提供Wlan的單位，員工為了便捷性，往往會通過360隨身WiFi、家用WiFi路由器等方式私自建立個人Wlan，讓自己的移動終端可以隨意使用單位的上網(wǎng)資源。這給企業(yè)的安全策略管理帶來的很多的管理漏洞。所以，IT部門需要針對私接的非法無線熱點、非法代理等威脅進行有效的識別、管控。應用和內(nèi)容不可視，存在風險大量新應用和老應用的新版本，給應用識別與管控以及后續(xù)的運維帶來巨大的挑戰(zhàn)，讓網(wǎng)絡難管控，難運維。另外，即使是同一個應用也可能具有兩面性，他們有“好”的功能，也可能有“壞”的功能，“好”功能具有實用性，而“壞”功能具有風險性，因此，此類應用的管控成了一個兩難的問題。工作效率低下網(wǎng)絡的普及改變了傳統(tǒng)的辦公方式，而內(nèi)網(wǎng)中總有部分用戶在上班時間有意無意的做與工作無關的網(wǎng)絡行為，比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購等，而且越來越多的員工正在通過企業(yè)無線網(wǎng)絡來使用移動APP版的淘寶、陌陌。這嚴重影響工作效率，從而導致企業(yè)競爭力的下降。所以，組織需要針對PC、移動終端等各種應用、APP進行更有效的識別和管控。網(wǎng)絡違法風險企業(yè)內(nèi)網(wǎng)用戶在日常辦公中擁有訪問互聯(lián)網(wǎng)的權限，可通過QQ、MSN、論壇或微博等方式外發(fā)信息，如果包含了色情、賭博、反動等不良內(nèi)容，都屬于網(wǎng)絡違規(guī)違法行為，企業(yè)或個人將承擔法律責任。所以，組織需要根據(jù)82令的相關要求，建立全面、完善的上網(wǎng)行為的合規(guī)審查機制，并建立嚴格的審查權限管理機制。數(shù)據(jù)泄密風險伴隨著網(wǎng)盤、社交媒體、流量加密等應用/技術的廣泛使用，企業(yè)重要數(shù)據(jù)泄密的方式越來越多樣，風險越來越高。在有意無意間，一個員工就可以輕易的把企業(yè)內(nèi)部的敏感信息、高價值信息資產(chǎn)，外發(fā)的互聯(lián)網(wǎng)上，給組織的公眾形象、業(yè)務開展帶來嚴重的風險。所以，組織需要對員工制定嚴格、細粒度的互聯(lián)網(wǎng)數(shù)據(jù)傳輸控制策略、合規(guī)審查策略，防止重要數(shù)據(jù)的泄密行為發(fā)生。網(wǎng)絡流量識不全，控不住由于P2P流量沒有明顯的協(xié)議特征，再加上其帶寬侵蝕性的特性，造成P2P流量的全流量識別困難。而且傳統(tǒng)緩存丟包的方式，無法真正抑制P2P流量，因此就不能很好的保障帶寬。大量客戶反饋已經(jīng)有傳統(tǒng)流控設備，業(yè)務卻依然卡頓，也是這個原因。帶寬濫用和浪費互聯(lián)網(wǎng)中充斥著P2P下載、在線視頻、游戲、在線小說等耗費帶寬的非關鍵業(yè)務應用，用戶在使用這些應用的過程中必然會占用大量的帶寬，而關鍵的業(yè)務應用、關鍵人員角色則得不到足夠的資源。而且近年來P2P協(xié)議應用更廣泛，比如常見的在線流媒體等，P2P流量往往識別不全，難以管控，給帶寬管理帶來很大挑戰(zhàn)。此外，傳統(tǒng)的帶寬管理策略都是靜態(tài)的，當帶寬空閑時，依然會限制用戶的流量，帶寬價值被大大浪費。所以，IT部門需要能看清網(wǎng)絡流量，針對各種應用類型、用戶角色、帶寬占用情況等，提供更加靈活、細致、動態(tài)的帶寬管理策略，提升用戶上網(wǎng)體驗。

可視可控、感知風險的上網(wǎng)管理方案結合上述的用戶需求以及IT系統(tǒng)的現(xiàn)狀，深信服可以為#XX客戶#提供一套完整、可視的互聯(lián)網(wǎng)出口安全解決方案，幫助用戶實現(xiàn)上網(wǎng)的可視可控，感知上網(wǎng)的行為風險。即能輕松滿足安全合規(guī)管理的要求，又能提升IT運維效率和IT價值，還提升了用戶上網(wǎng)的操作體驗。全面的上網(wǎng)可視可控針對網(wǎng)絡管理問題的各類上網(wǎng)行為，從邏輯上可以分為用戶、終端、應用、內(nèi)容、流量5個要素，而從業(yè)務管理的角度可以合并為“用戶”、“行為”、“流量”三個元素，其中“用戶”包含用戶身份和用戶終端，“行為”包含網(wǎng)絡應用和網(wǎng)絡內(nèi)容。深信服上網(wǎng)行為管理AC一直堅持上網(wǎng)的可視與可控，可以實現(xiàn)“用戶”的可視可控、“行為”的可視可控以及“流量”的可視與可控。深信服AC通過深入識別技術，全面識別網(wǎng)絡中的用戶、行為和流量，并通過分析和可視化的展現(xiàn)，幫助管理者看清網(wǎng)絡狀況；并且，可以對“用戶”、“行為”、“流量”進行精準靈活的管控，讓用戶上網(wǎng)高效，管理更省心。用戶的可視與可控深信服上網(wǎng)行為管理可以根據(jù)不同的場景提供不同的認證方式，以此識別用戶身份；可以識別用戶的上網(wǎng)終端類型，并對移動終端進行管控，防止非法用戶通過私接Wi-Fi接入網(wǎng)絡。安全便捷的身份識別為了針對不用角色身份的用戶，避免身份冒充、權限濫用等出現(xiàn)，提供即安全又便捷的認證方式，深信服上網(wǎng)行為管理可以提供如下多種身份認證。內(nèi)部員工身份認證深信服AC支持本地認證功能，包括Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定、USB-Key等。通過本地認證功能，能夠準確識別上網(wǎng)用戶，從而對該用戶進行上網(wǎng)行為管理，而對于未通過認證的用戶則限制其網(wǎng)絡訪問權限。AC支持與LDAP、Radius、POP3等外部認證服務器或者SAM、CAMS等認證計費系統(tǒng)結合進行身份認證。當用戶在認證服務器上進行認證后，AC能夠獲取用戶認證信息，用戶不用在AC上進行第二次身份認證，形成單點登錄，避免重復認證所帶來的麻煩。通過身份認證功能，AC能夠準確識別上網(wǎng)用戶，從而對該用戶進行上網(wǎng)行為管理，而對于未通過認證的用戶則限制其網(wǎng)絡訪問權限。外來訪客身份認證為了省去復雜的臨時賬號申請機制，讓外來訪客便捷的接入網(wǎng)絡，但又滿足合規(guī)要求。深信服上網(wǎng)行為管理AC提供了短信認證、微信認證、二維碼認證等多種方式，當來賓接入網(wǎng)絡后，系統(tǒng)會自動推送出專門針對來賓訪客認證界面。短信認證，來賓只需要輸入手機號碼，獲得并輸入短信驗證碼后，就可以獲得上網(wǎng)權限。而且為了簡化用戶操作，與傳統(tǒng)的短信驗證相比，用戶只需要點擊3次既可完成，十分便捷，不需要在瀏覽器和短信界面來回切換。微信認證，訪客認證頁面會自動提醒來賓需要關注組織的“官方微信公眾賬號”，并發(fā)送上網(wǎng)請求，才能獲得上網(wǎng)權限。這可以幫助組織推廣社交媒體的粉絲數(shù)量，更好的幫助組織推廣品牌宣傳。二維碼認證，訪客認證頁面會自動彈出一個二維碼，只有內(nèi)部接待人員用自己的移動終端掃描二維碼，確認同意后，訪客才能獲得上網(wǎng)權限。而且，為了滿足合規(guī)要求，接待人員，可以在頁面上備注來賓身份信息，便于后續(xù)查找。網(wǎng)絡虛擬賬號識別深信服AC支持識別各種網(wǎng)絡應用的虛擬賬號，包括微信、QQ、百度貼吧、人人網(wǎng)、網(wǎng)易郵箱、熊貓TV、美團、京東、鏈家網(wǎng)等100多種常見應用的賬號情況，據(jù)此可以確認用戶的網(wǎng)絡身份，也方便后續(xù)進行針對性的管控。安全可視的用戶管理用戶狀況可視深信服AC支持用戶狀況的可視化呈現(xiàn)，能夠?qū)崟r展示上網(wǎng)總人數(shù)，以及上網(wǎng)用戶的終端類型分布（PC或移動端）、認證方式，并在首頁動態(tài)展示各種類型終端的上網(wǎng)人數(shù)。終端安全管理深信服AC擁有專業(yè)的終端識別和管控功能，能夠識別上網(wǎng)終端類型并進行管控，幫助組織發(fā)現(xiàn)非法接入的終端，避免帶來安全漏洞。行為的可視與可控深信服AC通過四個方面來實現(xiàn)“行為”的可視可控：首先全面精準識別應用，然后基于業(yè)務視角管控應用，其次對應用進行靈活細致的權限控制，最后對于特殊應用內(nèi)容進行定向精準識別與管控。全面精準的應用識別深信服上網(wǎng)行為管理系統(tǒng)具有千萬級URL庫和國內(nèi)最大的應用識別規(guī)則庫，包含2800多種應用、6000多種規(guī)則，以及1000多種移動應用，可識別目前網(wǎng)絡中各種主流應用和APP軟件，如IM聊天軟件、金融軟件、微博、社區(qū)論壇、網(wǎng)盤、在線視頻等。而且，深信服上網(wǎng)行為管理保持每半個月更新一次的快速迭代，不僅新增常用應用，還及時淘汰老舊應用，避免識別庫的臃腫。應用標簽化管控管理員可通過深信服AC對應用或具體細分動作進行標簽化，例如，迅雷下載定義為“高帶寬消耗”標簽、網(wǎng)盤的上傳動作定義為“泄密風險”標簽等。管理員在制定策略時，可通過標簽來選擇相應的應用或細分動作，不用逐個選擇，從而避免錯選漏選，提高管理效率。靈活細致的權限控制多維度的靈活策略為了針對一個用戶有多臺BYOD終端進行靈活、細致的策略管控，深信服AC可以識別各種終端類型，包括windows、IOS、安卓、phone、pad等類型，還可以識別出用戶接入網(wǎng)絡的位置，包括有線、無線、辦公位、會議室等等。從而制定用戶的上網(wǎng)策略時，可以從用戶角色、使用終端類型、所在區(qū)域位置等維度進行組合，來制定精細的控制策略。比如用戶角色A，在辦公位置上使用PC接入，可以訪問權限較多；但在接待區(qū)通過無線網(wǎng)絡，使用iPad接入網(wǎng)絡時，只有上網(wǎng)權限，不能訪問內(nèi)部安全界別較高的應用系統(tǒng)等。應用細分功能管控針對具有多面性的應用，比如網(wǎng)盤，其上傳功能有泄密風險，而其下載具有實用性，因此，應該精細管控網(wǎng)盤的不同動作，如：封堵網(wǎng)盤上傳，放通網(wǎng)盤下載。通過精細化的管控，兼顧安全和實用性。移動APP管控為了滿足移動終端的管理需要，深信服上網(wǎng)行為管理可以針對1000多種移動終端的APP進行管控，防止員工通過移動終端來進行和工作無關的應用，避免工作效率的下降。非法的內(nèi)容識別與管控加密內(nèi)容識別越來越多的網(wǎng)頁使用SSL加密，如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網(wǎng)站，而因為采用了加密技術，普通的管理產(chǎn)品無法對其內(nèi)容進行識別管理，別有用心的用戶可以利用這一缺陷繞過管理，通過SSL加密郵件、BBS、論壇發(fā)布的反動言論或者是向外發(fā)送組織的機密信息，導致管理漏洞。深信服AC能精準識別SSL加密的網(wǎng)頁和郵箱等，如百度、360、Foxmail郵箱等，并能夠基于關鍵字對加密內(nèi)容進行有效過濾。私接Wi-Fi和代理管控深信服上網(wǎng)行為管理系統(tǒng)通過技術創(chuàng)新，可以精準的識別出，當前網(wǎng)絡中員工私自架設的無線AP，私接的Wi-Fi，以及代理上網(wǎng)應用，從而防止帶寬資源的濫用，防止黑客通過非法AP接入企業(yè)網(wǎng)絡入侵。全面完整的行為審計深信服上網(wǎng)行為管理系統(tǒng)不僅記錄內(nèi)網(wǎng)用戶訪問了哪些網(wǎng)站，使用了哪些應用，還能對用戶的上網(wǎng)行為內(nèi)容進行深入審計，如IM聊天內(nèi)容、微博、社交論壇發(fā)帖內(nèi)容、郵件發(fā)送內(nèi)容、郵件附件內(nèi)容和上傳文件內(nèi)容等。同時，還支持SSL加密網(wǎng)頁和應用的內(nèi)容審計，避免錯審漏審，幫助企業(yè)深入的了解員工上網(wǎng)行為。上網(wǎng)狀況實時監(jiān)控AC支持實時監(jiān)控功能，可對AC設備的運行狀態(tài)、安全狀態(tài)、流量狀態(tài)、上網(wǎng)行為監(jiān)控、在線用戶管理、郵件延遲審計進行實時監(jiān)控。管理員不需要登陸數(shù)據(jù)中心即可實時查看網(wǎng)絡的各種應用和流量使用情況，簡單快捷。運行狀態(tài)包括系統(tǒng)資源信息、接口信息、接口吞吐率、應用流速趨勢、應用流量排名、用戶流量排名。安全狀態(tài)實時匯報內(nèi)網(wǎng)用戶安全情況。在實時應用流量排行界面點擊某一個應用即可自動彈出該應用流量的用戶排名情況。實時用戶流量排行界面可針對單個用戶實現(xiàn)用戶的應用流量排行情況的頁面跳轉。此外AC還支持實時連接監(jiān)控，顯示用戶的所有會話連接狀況。全面、靈活的應用審計AC實時監(jiān)控和完善的應用審計功能，支持對網(wǎng)頁內(nèi)容、郵件收發(fā)、IM聊天、微博論壇等應用的全面審計，幫助網(wǎng)絡管理員了解內(nèi)網(wǎng)用戶的上網(wǎng)行為，同時也作為追查依據(jù)。網(wǎng)頁審計：內(nèi)網(wǎng)用戶訪問的URL地址、網(wǎng)頁標題、時間等內(nèi)容，AC能夠完全監(jiān)控與記錄。同時，通過網(wǎng)頁快照功能，直觀展現(xiàn)網(wǎng)頁內(nèi)容，便于管理人員快速查看。郵件收發(fā)：對于Webmail或郵件客戶端收發(fā)郵件，AC能夠記錄郵件的時間、發(fā)件人、收件人、標題、正文內(nèi)容和附件等，附件內(nèi)容可提供下載做進一步審核。IM聊天：對于QQ、MSN、Gtalk等聊天應用，無論是Web版或是桌面版，AC均能詳細記錄其聊天內(nèi)容。微博論壇：對于微博、社交論壇發(fā)帖不僅能夠根據(jù)關鍵字進行過濾，發(fā)布的內(nèi)容也能全面記錄，準確還原發(fā)帖內(nèi)容，提高可讀性。SSL加密應用審計同時，對于經(jīng)過SSL加密的webmail外發(fā)郵件、SSL加密的SMTP/POP3，AC可以基于關鍵字過濾和內(nèi)容審計記錄。針對不同的用戶、用戶組，通過數(shù)據(jù)簡單的勾選，即可完成差異化的行為審計功能。數(shù)據(jù)中心及報表大型機構每天產(chǎn)生數(shù)十G日志數(shù)據(jù)，通過深信服AC獨立數(shù)據(jù)中心實現(xiàn)日志海量存儲，而且提供了圖形化的日志查詢、統(tǒng)計、審計、報表中心等功能。通過統(tǒng)計報表功能，將直觀的獲得關于流量、郵件收發(fā)、上網(wǎng)時間、網(wǎng)絡行為等方面的詳細的報表和圖形化統(tǒng)計結果，并且支持導出PDF等文檔、Email投遞等功能，方便IT部門將統(tǒng)計結果向高層匯報。通過AC數(shù)據(jù)中心的內(nèi)容檢索工具，可以實現(xiàn)類似Google一樣的內(nèi)容搜索，從海量日志中查詢需要的日志記錄，并且支持高級搜索，支持訂閱和自動Email投遞功能，極大的方便了管理者的使用。免審計Key機構的總裁、高層領導網(wǎng)絡訪問行為，財務部收發(fā)的郵件，關乎機構機密信息，對其記錄審計反而成為泄密風險。因此AC支持免審計Key功能。在AC上為總裁、財務部相關人員生成免審計Key。當使用該免審計Key認證后，AC從底層免除對該人員的一切記錄。一旦免審計功能被惡意取消后，當再插入該免審計Key后會自動彈出警告，且禁止該人員訪問網(wǎng)絡，徹底保障信息安全。日志審查Key企業(yè)內(nèi)網(wǎng)用戶的各種上網(wǎng)行為記錄AC都可以記錄、并全部記錄到數(shù)據(jù)中心中，這避免了互聯(lián)網(wǎng)違法事件后無據(jù)可查的尷尬。但如果行為日志被濫用，領導的Email、MSN聊天內(nèi)容等被肆意傳播、私自張貼到互聯(lián)網(wǎng)上必將給組織造成不良影響、甚至經(jīng)濟損失。因此AC提供日志審查Key技術。數(shù)據(jù)中心管理員只有插入該Key后才能以審計、查詢權限接入數(shù)據(jù)中心，從而對行為日志進行詳細查詢。對于沒有該Key的管理員接入數(shù)據(jù)中心后只能對有限的用戶組的行為進行統(tǒng)計和趨勢查看，無權限對行為日志進行審計、查詢，從而保障行為日志記錄不被濫用。流量的可視與可控深信服上網(wǎng)行為管理系統(tǒng)通過多級父子通道技術，能夠完全匹配企業(yè)組織人員架構和網(wǎng)絡應用結構。在經(jīng)過用戶和應用的通道化后，管理員能夠給不同通道分配不同帶寬。同時，帶寬的分配并不是一成不變的。深信服上網(wǎng)行為管理系統(tǒng)具有動態(tài)流控功能，在總體帶寬利用率偏低時自動調(diào)整策略，有效提升帶寬利用率，避免資源浪費。在P2P應用流量控制方面，通過深信服P2P智能流控技術，能夠有效的抑制P2P流量，使得核心業(yè)務應用有足夠的帶寬資源。網(wǎng)絡流量可視化深信服AC為管理員提供了網(wǎng)絡流量可視化方案，管理員可以實時查看出口流量曲線圖、當前流量TOPN應用、用戶流量排名、當前網(wǎng)絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網(wǎng)絡運行狀況。合理有效的流量控制多層父子通道通過部署深信服AC，可對網(wǎng)絡出口鏈路總帶寬進行細分，采用“基于隊列的流控技術”，即建立通道，將不同的控制對象分配到不同的通道里。通道可應用于不同用戶或者應用，在通道中可以限制或保障其帶寬，控制靈活。深信服AC支持多級父子通道，即在父通道中嵌套子通道，最大可支持8級父子通道。通過多級父子通道技術，能夠完全匹配公司的組織架構，針對不同級別的通道進行帶寬調(diào)整，為用戶提供細致的流量管理手段，使得帶寬分配更靈活、更合理。P2P智能流控目前，通過封IP、端口等限制“帶寬殺手”P2P應用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等讓眾多P2P管理手段形同虛設。AC憑借P2P智能識別技術，不僅識別和管控常用P2P、加密P2P，還能對不常見和未來將出現(xiàn)的P2P應用加以控制。目前互聯(lián)網(wǎng)上流行的P2P下載、流媒體等應用程序通常具備強烈的帶寬侵占特性，傳統(tǒng)流控手段是通過緩存和丟包手段來實現(xiàn)流量控制的目的，但是某些P2P應用如P2P流媒體、P2P下載工具等缺乏自身流控機制，即使被丟包依然不會主動降低速率，仍搶占大量的帶寬資源。同時對于下行的接收流量來說，被丟棄的數(shù)據(jù)包已經(jīng)占用了線路帶寬，關鍵業(yè)務的帶寬依然得不到提升，流控達不到預期的效果。針對這些問題，AC通過智能流控功能，能有效解決P2P應用的問題。雖然基于UDP協(xié)議的P2P應用對丟包不敏感，但是下行流量與上行流量有顯著的相關性，只要控制住上行流量，下行流量就能得到控制。當開啟AC的智能流控功能時，系統(tǒng)會根據(jù)下行流量的設定值對上行流量進行自動調(diào)整，從而達到控制和減少下行流量的效果，從源頭處有效限制P2P流量。動態(tài)流量控制當帶寬有限時，企業(yè)希望通過限制P2P、流媒體等應用來保障郵件、訪問網(wǎng)站等業(yè)務相關應用的流暢性。傳統(tǒng)的解決方法是通過靜態(tài)的帶寬分配策略，根據(jù)應用的重要性分配相應的帶寬。無論網(wǎng)絡情況如何變動，分配的帶寬都是固定的，不能自動調(diào)整，這樣的流控策略往往造成帶寬資源的浪費。比如某些業(yè)務應用帶寬資源不足，而其他應用的帶寬資源卻處于空閑狀態(tài)，得不到有效利用。針對此類問題，AC提供了動態(tài)流控功能。用戶可通過配置線路空閑閥值，以及定義線路的空閑和繁忙狀態(tài)，實現(xiàn)針對性制定流控策略。當線路空閑時可以放寬通道帶寬限制，應用流量可突破原來設定的最大帶寬限制；當線路繁忙時可以下壓通道帶寬，使帶寬恢復到被限制狀態(tài)，執(zhí)行原有的流控策略。通過靈活的帶寬管理，最大滿足業(yè)務對帶寬的需求，實現(xiàn)帶寬的最大價值。

方案優(yōu)勢全面完整除了傳統(tǒng)的封堵、流控、審計等功能外，深信服的上網(wǎng)行為管理針對無線、有線網(wǎng)絡的各種PC