深信服上网行为及负载均衡技术方案

技术方案

本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案

一、上网行为管理技术方案

1、需求概述

背景介绍

随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：

?网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；

?沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；

?移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；

因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求

员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下

网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费

互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理

随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT 系统。这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。

所以，IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素，为员工不同的上网情景，制定更精细的网络管理策略，提升办公效率的同时，降低安全风险。

WLAN安全隐患

在一些没有提供Wlan的单位，员工为了便捷性，往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan，让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。

所以，IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。

访客接入繁琐

企业组建WLan后，当有来宾访客需要上网时，要么直接开放，安全风险高，人员随意接入，无法定位身份；要么需要提前申请临时账号，管理复杂。

所以，组织需要一套使用便捷，即来即用，同时又能满足安全合规要求的

来宾访客认证系统。

数据泄密

伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用，企业重要数据泄密的方式越来越多样，风险越来越高。在有意无意间，一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产，外发的互联网上，给组织的公众形象、业务开展带来严重的风险。

所以，组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略，防止重要数据的泄密行为发生。

网络违规违法

企业内网用户在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良内容，都属于网络违规违法行为，企业或个人将承担法律责任。

所以，组织需要根据82令的相关要求，建立全面、完善的上网行为的合规审查机制，并建立严格的审查权限管理机制。

2、有线无线网络统一行为管理方案

结合上述的用户需求以及IT系统的现状，深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。

方案整体概述

互联网出口上网行为管理：部署深信服AC于互联网出口，针对有线网络终端和用户提供接入认证、权限控制、合规审计；此外，还针对有线/无线的全部用户、关键应用，提供全局统一的带宽控制策略。

智能联动：

此外，互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让多台AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。

有线和无线网络统一上网行为管理

部署了深信服上网行为管理设备，为可以帮助ISD提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求，又提升了IT运维效率，还提升了用户上网的操作体验。

安全便捷的用户认证

为了针对不用角色身份的用户，避免身份冒充、权限滥用等出现，提供即安全又便捷的认证方式，深信服上网行为管理可以提供如下多种身份认证。

内部员工认证：

AC支持本地认证功能，包括Web认证、用户名/密码认证、IP/MAC/IP-MAC 绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免

重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

外来访客认证：

为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满足合规要求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认

证等多种方式，当来宾接入网络后，系统会自动推送出专门针对来宾访客认证界面。

短信认证，来宾只需要输入手机号码，获得并输入短信验证码后，就可以获得上网权限。而且为了简化用户操作，与传统的短信验证相比，用户只需要点击3次既可完成，十分便捷，不需要在浏览器和短信界面来回切换。

微信认证，访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”，并发送上网请求，才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量，更好的帮助组织推广品牌宣传。

二维码认证，访客认证页面会自动弹出一个二维码，只有内部接待人员用自己的移动终端扫描二维码，确认同意后，访客才能获得上网权限。而且，为了满足合规要求，接待人员，可以在页面上备注来宾身份信息，便于后续查找。

灵活细致的权限控制

深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库，包含1100多种应用、2400多种规则，可识别目前网络中各种主流应用，如IM 聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。

同时，AC还能够识别SSL加密应用，如加密邮箱、加密网页等。通过全面的应用识别，管理员能够根据不同应用制定不同的管理策略，限制与工作无关的行为，提高工作效率。

多维度的灵活策略

为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控，深信服AC可以识别各种终端类型，包括windows、IOS、安卓、phone、pad等类型，还可以识别出用户接入网络的位置，包括有线、无线、办公位、会议室等等。

从而制定用户的上网策略时，可以从用户角色、使用终端类型、所在区域位置等维度进行组合，来制定精细的控制策略。比如用户角色A，在办公位置上使用PC接入，可以访问权限较多；但在接待区通过无线网络，使用iPad接入网络时，只有上网权限，不能访问内部安全界别较高的应用系统等。

移动APP管控

为了满足移动终端的管理需要，深信服上网行为管理系统可以针对数百种移动终端的APP、云应用，防止员工通过移动终端来进行和工作无关的应用，避免工作效率的下降。

防止非法AP和代理

深信服上网行为管理系统通过技术创新，可以精准的识别出，当前网络中员工私自架设的无线AP，代理应用，从而防止带宽资源的滥用，防止黑客通过非法AP接入企业网络入侵。

应用标签化

管理员可通过AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提高管理效率。

加密应用识别

SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL 加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。

合理有效的流量控制

深信服上网行为管理系统通过多级父子通道技术，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升

带宽利用率，避免资源浪费。

在P2P应用流量控制方面，通过深信服P2P智能流控技术，能够有效的抑制P2P流量，使得核心业务应用有足够的带宽资源。

父子通道

通过部署AC，可对网络出口链路总带宽进行细分，采用“基于队列的流控技术”，即建立通道，将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。AC支持多级父子通道，即在父通道中嵌套子通道，最大可支持8级父子通道。通过多级父子通道技术，能够完全匹配企业的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。

P2P智能流控

目前，通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和未来将出现的P2P应用加以控制。

目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达不到预期的效果。

针对这些问题， AC通过智能流控功能，能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感，但是下行流量与上行流量有显著的相关性，只要控制住上行流量，下行流量就能得到控制。当开启AC的智能流控功能时，系统会根据下行流量的设定值对上行流量进行自动调整，从而达到控制和减少下行流量的效果，从源头处有效限制P2P流量。

动态流量控制

当带宽有限时，企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略，根据应用的重要性分配相应的带宽。无论网络情况如何变动，分配的带宽都是固定的，不能自动调整，这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足，而其他应用的带宽资源却处于空闲状态，得不到有效利用。

针对此类问题， AC提供了动态流控功能。用户可通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。通过灵活的带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。

3、全面精准的行为审计

深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。

实时监控

AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。

运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。

在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控，显示用户的所有会话连接状

况。

全面、灵活的应用审计

AC实时监控和完善的应用审计功能，帮助网络管理员了解内网用户的上网行为，同时也作为追查依据。

网页访问

内网用户访问的URL地址、网页标题、时间等内容，AC能够完全监控与记录。

同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。

邮件收发

对于Webmail或邮件客户端收发邮件，AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核。

IM聊天

对于QQ、MSN、Gtalk等聊天应用，无论是Web版或是桌面版，AC均能详细记录其聊天内容。

微博论坛

对于微博、社交论坛发帖不仅能够根据关键字进行过滤，发布的内容也能全面记录，准确还原发帖内容，提高可读性。

SSL加密应用

同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，AC可以基于关键字过滤和内容审计记录。

针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能。

数据中心及报表

大型机构每天产生数十G日志数据，通过AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email 投递等功能，方便IT部门将统计结果向高层汇报。

AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。

对于BBS发帖， AC还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。

通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email 投递功能，极大的方便了管理者的使用。

免审计Key

机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC 上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后，AC 从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后，当再插入该免审计Key后会自动弹出警告，且禁止该人员访问网络，彻底保障信息安全。

日志审查Key

企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中

心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织

造成不良影响、甚至经济损失。

因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能

以审计、查询权限接入数据中心，从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，

无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。

4、方案优势

全面完整

无线有线统一管控：除了传统的封堵、流控、审计等功能外，深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险，提供了统一全面的管理功能：员工、来宾的统一接入管理，BYOD的权限控制、移动APP/云应用管控和审计。从而简化了IT运维操作，降低了管理难度。

细致精准

上网行为管理不是简单的对应用进行封堵，而是根据不同的管理需求来对应用进行限制。深信服上网行为管理能够对网络应用进行细分控制，如分别识别出网盘应用中的登陆、浏览、上传和下载等动作，根据企业中防泄密需求，实现允许浏览下载，同时禁止上传。通过细分控制，能够更细致的对员工的上网行为进行管理。

在审计方面，深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。

灵活有效

AC支持父子通道技术，最高可支持八级，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，由于通道具有父子关系属性，在后期维护中既能整体调整带宽，又能局部调节，带宽分配更灵活。

P2P应用具有强烈的带宽侵蚀特性，为了保护带宽资源不被滥用，必须对

P2P流量进行控制。传统的流控技术对P2P应用不起作用，外网线路依然被占用，影响核心业务应用。通过深信服P2P智能流控技术，能够有效的从源端抑制P2P下行流量，使得核心业务应用有足够的带宽资源。

同时，AC具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。

基于用户、终端、位置、业务多个维度的策略管理，能够根据用户在不同位置，使用不同终端时自动匹配相应的上网管理策略，灵活性强，适用于每一种应用场景。

智能便捷

深信服的上网行为管理方案，与其他多厂商设备组合方案相比，可以让IT 管理员维护更简单，用户使用更便捷：

智能联动：

互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通

过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让AC同步识别身份信息，便于后续的

报表分析、威胁定位、合规审计等。从而，也极大的减少IT管理员配置、运

维工作量。

便捷简单：

AC的外来访客的二维码认证功能，不但省去了复杂的临时账号申请流程，提升了工作效率，还能提升来宾体验，增强对企业形象认可。

在应用管理方面，引入标签化的概念，对应用打上标签，通过选择标签来指定多个应用，而无须再一个一个的查找，使得应用管理更加灵活高效。

5、方案价值

★提升工作效率

网页过滤策略

上班时间从事私人活动，管理者却难以阻止，如上班时间浏览购物网站、上微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。

IM（即时通讯）聊天软件的管理

上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和向外泄密。面对的众多IM软件， AC通过检测应用数据包的特征字段，实现对IM聊天软件的管控，提升工作效率。

全面的行为管理

网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载，搜索最新网络新闻、图片，上班时间更新博客、上传图片、看在线视频、网络游戏等问题，AC支持应用识别规则库，包含1500多种应用，对员工上网行为进行全面管理。

上网时间管理

AC通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用户超过这个阀值时，将自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工作无关的网络活动。

★提高带宽利用率

多线路策略

AC支持多线路复用、带宽叠加技术（专利号：2X），企业通过AC同时连接多条公网线路，提升整体带宽水平。同时结合多线路智能选路技术（专利号：ZL03113974.4），做到流量的智能选路和负载均衡。

P2P软件的控制

P2P行为对带宽具有强烈的吞噬能力，而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号： 2.8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。

动态调节

AC支持动态流控功能，通过设定阈值，实现当整体带宽利用率过低时自动调整释放更多的带宽资源，让带宽得到有效利用，避免浪费，比传统单一、死板的流控方法更有效的提升带宽利用率。

带宽统计和管理

AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以帮助IT管理者轻松掌控网络行为分布和带

宽资源使用等情况。

同时，AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障，提升整个机构的带宽使用效率。

避免泄密和法律风险

在部署上网行为管理系统后，通过定义关键字的方式，实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤，从而避免敏感信息泄露问题给企业带来经济损失。同时，有效防止不良信息外发行为，避免引来法律纠纷。即使发生了不良信息外发行为，也能够通过对内网用户上网行为实施记录审计，能够在发生网络违法事件的时候通过审计日志追查相关责任人，避免由企业承担相应法律责任。

同时，上网安全桌面根据规则对本机文件数据进行了隔离，安全桌面内的任何程序试图获取本机被隔离文件数据的行为都将被禁止，防止终端被木马入侵后文件信息遭窃取，从而帮助用户有效保护了敏感数据的安全性。

★保障终端安全

防病毒、木马

内网用户在访问internet时，常常会无意中下载到一些包含恶意病毒的

文件，这些病毒程序通常是极具破坏力的，严重时会造成计算机系统的崩溃，使员工无法正常工作。而如果在上网过程中使用上网安全桌面，则可以有效的防止这些病毒程序对本机造成破坏。

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册 深信服电子科技有限公司

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。

深信服负载均衡AD彩页解决方案

深信服应用交付AD 深信服，作为中国最大最有竞争力的前沿网络设备供应商，为3万多家客户提供了稳定可靠的访问，每秒钟经过深信服AD处理的业务交易量高达数千万笔，在中国入选世界500强的企业中，85%以上企业都是深信服的客户。 中国第一品牌 全球知名分析机构Frost & Sullivan发布的《2013年中国应用交付产品（ADC）市场分析报告》显示：深信服应用交付AD在2013年依然保持强劲增长，在中国市场占比中，超越Radware，升至第二，与F5再次缩小距离，并继续保持国产厂商第一的领导地位。 ④报告数据显示，Sangfor（深信服）2013年在中国地区应用交付市场 的份额达到14.1%，排名升至第二位。 ④自2009年推出到市场上以来，深信服AD产品由第九名一跃进入三 甲，在国产厂商中名列前茅。AD产品广泛应用于国家部委单位的核心 系统与电信运营商的生产网。 ④优异的市场表现，也促使深信服成为唯一入选Gartner应用交付魔力 象限的国产厂商，分析师对深信服产品的安全性评价尤为突出。 面向未来的应用交付产品 随着大数据时代的来临，即便是当前强劲的10Gbps性能设备在面对数十G业务量的并发处理时，也难免也会捉襟见肘。顺应网络发展的趋势，深信服AD系列产品采取基于原生64位系统的软硬架构设计，在确保高性能处理能力的同时，提供电信级的设备可靠性。 深信服AD可帮助用户有效提升 ?应用系统的处理性能与高可用性 ?多条ISP出口线路的访问通畅、均衡利用 ?分布式数据中心的全局调度、业务永续 ?业务应用的安全发布与高效访问 ④兼顾高性能与高稳定性的架构设计，原生64位内核OS，数据面与控制面相分离，确保软件系统的稳定高效。 ④非对称多处理架构发挥出多核硬件平台的极致性能，实现高达60Gbps的单机性能处理性能。 ④提供100Gbps 以上业务量的性能扩容方案，以满足运营商和金融行业对于扩展性与高可用性的追求。

深信服负载均衡AD日常维护手册

深信服负载均衡AD 日常维护手册

文档仅供参考，不当之处，请联系改正。 深信服科技 AD日常维护手册 深信服科技大客户服务部 04 月

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 第1章 SANGFOR AD设备的每天例行检查 (5) 1.1例行检查前需准备： (5) 1.2设备硬件状态例行检查项 (5) 1.2.1设备状态灯的检查 (5) 1.2.2接口指示灯的检查 (6) 1.2.3设备CPU运行检查 (6) 1.2.4设备异常状况检查 (7) 1.3日常维护注意事项 (7) 1.4升级客户端的使用 (8) 第2章 SANGFOR AD设备的每周例行检查 (12) 2.1控制台账号安全性检查 (12) 2.2关闭远程维护 (12) 2.3设备配置备份 (12) 第3章常见问题排错 (14) 3.1无法登陆设备控制台 (14) 3.2 AD新建了虚拟服务，但是无法访问？ (14) 3.3链路负载，上网时快时慢，DNS有时解析不了域名 (15) 3.4 DNS策略不生效 (16) 3.5 DNS代理不生效 (17) 3.6智能路由不生效 (17) 3.7登陆应用系统，一会儿弹出并提示重新登陆 (17) 技术支持 (18)

第1章SANGFOR AD设备的每天例行检查 1.1 例行检查前需准备： (1)安装了WINDOWS系统的电脑一台 (2)设备与步骤1所描述的电脑在网络上是可连通的 (3)附件中所带的工具包一份 （包括：升级客户端程序） 1.2 设备硬件状态例行检查项 为了保证设备的稳定运行，工作人员需要以天为周期对设备进行检查，例行检查的项目如下： 1.2.1设备状态灯的检查 SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯（设备面板左上角标示“状态”字样）只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在使用过程中此灯长亮（注意双机热备的备机此灯会以闪烁），且设备无法正常使用请按照如下步骤进行操作： (1)请立即将设备断电关闭，将系统切换到备机； (2)半小时后将设备重启，若重启后红灯仍一直长亮不能熄

深信服上网行为管理

深信服上网行为管理 深信服AC系列产品作为中国上网行为管理领域的第一品牌，可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作，可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。 深信服上网行为管理产品拥有领先的网络行为识别能力，产品内置业界最大的应用识别库，可对多达500多种互联网应用软件进行管控；基于统计学的P2P智能识别技术，可实现对加密的、新版本甚至未知版本的P2P应用进行识别，为彻底管控P2P应用提供了技术保证。 基于8年多来公司在网络核心技术领域的长期积累，以及充分优化的系统架构、高性能的硬件平台，深信服上网行为管理产品的性能遥遥领先于其他同类产品，可管控5万人以上的大型网络。 目前，在中国上网行为管理的高端市场中，深信服AC产品拥有着极高的占有率，6000多家客户中有2000多家属于中高端客户。深信服上网行为管理产品获得了包括国资委监事会、卫生部卫生监督中心、北海舰队、招商局集团、招商银行、中国银行、中银保险、华夏基金、中国南方航空、广州丰田、东风日产、四川长虹、中粮集团等大型知名用户的认同，是上网行为管理市场当之无愧的第一品牌。 产品功能 1、上网行为控制，规范员工上网行为，提高工作效率

多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别和认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 独有的网络访问准入系统，只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 2、强大的监控和审计，保护内部数据安全、防止机密信息泄露 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；特有的邮件延迟审计技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄露；同时具有独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录； 3、流量控制和带宽管理，优化带宽资源的使用 多线路复用和智能选路技术，提升出口带宽，流量负载分担，智能选择最优上网线路。对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户（组）、应用类别、时间段等进行带宽分配； 4、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持

上网行为管理_深信服上网行为管理解决方案模版

上网行为管理方案建议书

目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化，管理复杂 (1) 1.2.2 应用和内容不可视，存在风险 (2) 1.2.3 网络流量识不全，控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-

第1章需求概述 1.1背景介绍 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： ?网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务； ?沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流，提升工作效率，获取资讯和知识，维系人脉关系； ?移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统， 员工更喜欢通过WLAN、移动终端类开展工作； ?新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明 确提出上网行为审计的要求，并且要求至少留存上网日志6个月。 因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。 而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用 移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住”，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着巨大的风险。 1.2.1用户和终端多样化，管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通

深信服NC500上网行为管理系统技术规格要求.doc

深信服NC-500上网行为管理系统技术规格要求、产品服务明细： 技术指标：吞吐量》800Mbps并发会话数》800,000,用户规模》3000，接口：6个千兆电口, 2个千兆光口，1个RJ45串口，尺寸2U。 二、服务要求： 1.质保期限：36个月； 2.安装调试服务：提供上门进行实施和调试，保证设备实施工作和调试工作； 3.产品质保服务：本次投标全部产品验收通过后，深信服科技承诺对用户所购买的深信服产品（包括 硬件设备、模块、部件等）享受所购服务期内的维修或更换保修服务。 4?软件升级服务：提供服务期限内免费产品软件版本升级服务； 5.URL库升级：提供服务期限内免费URL库升级服务； 6.7x24小时电话支持：全国免费售后服务热线：400-630-6430为用户解答设备使用中遇到的 问题，并及时提出解决问题的建议和操作方法；7x24小时在线技术支持服务；技术支持论坛：技术支持邮箱： 7?增值服务：承诺出具技术人员给予现场安装、调试、现场技术培训及集中技术培训，并提供供应商上门取送修服务； 8.故障响应：针对本次投标的所有产品提供5*8小时现场保修和技术支持服务，报修后2小 时内电话响应，24小时内上门相应，72小时内实现故障修复，如诊断为硬件故障，携带备件并进行现场更换，承诺尽力在最短时间内恢复系统正常运行，如果故障不能在72小时内排除，提供免费替换服务。 9.产品和配件更换：当本次投标产品发生非人为因素严重故障时，免费在七日内将补充或者更换的产 品运抵发生故障的货物所在地，由此产生的一切相关费用由深信服负担。保修期内所有因更换或修理货物或部件而导致货物停止运行的时间应从质保期内扣除。所有的替代零配件是新的原厂、未使用和未经修复的。 三、资质要求 1.投标人需是中央国家机关政府采购网深信服产品协议供货商，且在本地或在本地有销售 或服务网点。 2.投标人所投报价为最终报价，从服务起始时间到服务终止时间等一切费用，我单位不再另 行支付任何费用。 3.投标人报价后被选中却无法按竞价要求提供服务的，将列入我单位“不诚信供货商”清单, 不再准许参与我单位相关采购活动。

深信服智能DNS全局负载均衡解决方案

智能DNS全局负载均衡解决方案 ——深信服AD系列应用交付产品 背景介绍 在数据大集中的趋势下，多数组织机构都建立了统一运维的数据中心。考虑到单 一数据中心在遭遇到不抗拒的因素（如火灾、断电、地震）时，业务系统就很有 可能立即瘫痪，继而造成重大损失，因此很多具有前瞻性的组织机构都在建设多 数据中心以实现容灾。那么如何充分利用多个数据中心的资源才能避免资源浪 费？如何在一个数据出现故障时，将用户引导至正常的数据中心？在多个数据中 心都健康的情况下如何为用户选择最佳的数据中心？ 问题分析 随着组织的规模扩大，用户群体和分支机构分布全国乃至全球，这一过程中组织对信息化应用系统的依赖性越来越强。对于企事业单位而言，要实现业务完整、快速的交付，关键在于如何在用户和应用之间构建的高可用性的访问途径。 跨运营商访问延迟－由于运营商之间的互连互通一直存在着瓶颈问题，企业在兴建应用服务器时，若只采用单一运营商的链路来发布业务应用，势必会造成其他运营商的用户接入访问非常缓慢。在互联网链路的稳定性日益重要的今天，通过部署多条运营商链路，有助于保证应用服务的可用性和可靠性。 多数据中心容灾－考虑到单数据中心伴随的业务中断风险，以及用户跨地域、跨运营商访问的速度问题，越来越多组织选择部署同城/异地多数据中心。借助多数据中心之间的冗余和就近接入机制，以保障关键业务系统的快速、持续、稳定的运行。

深信服解决方案 智能DNS全局负载均衡解决方案，旨在通过同步多台深信服AD系列应用交付设备，以唯一域名的方式将多个数据中心对外发布出去，并根据灵活的负载策略为访问用户选择最佳的数据中心入口。 用户就近访问 ④支持静态和动态两种就近性判断方法，保障用户在访问资源时被引导至最合适的数据中心 ④通过对用户到各站点之间的距离、延时、以及当前数据中心的负荷等众多因素进行分析判断 ④内置实时更新的全球IP地址库，进一步提高用户请求就近分配的准确性，避免遭遇跨运营商访问 站点健康检查 ④对所有数据中心发布的虚拟服务进行监控，全面检查虚拟服务在IP、TCP、UDP、应用和内容等所有协议 层上的工作状态 ④实时监控各个数据中心的运行状况，及时发现故障站点，并相应地将后续的用户访问请求都调度到其他的 健康的数据中心 入站流量管理 ④支持轮询、加权轮询、首个可用、哈希、加权最小连接、加权最少流量、动态就近性、静态就近性等多种 负载均衡算法，为用户访问提供灵活的入站链路调度机制 ④一旦某条链路中断仍可通过其它链路提供访问接入，实现数据中心的多条出口链路冗余 方案价值 ④合理地调度来自不同用户的入站访问，提升对外发布应用系统的稳定性和用户访问体验 ④多个数据中心之间形成站点冗余，保障业务的高可用性，并提升各站点的资源利用率 ④充分利用多条运营商链路带来的可靠性保障，提升用户访问的稳定性和持续性

深信服上网行为管理产品功能

深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。

深信服负载均衡AD-4000-BS参数

深信服负载均衡AD-4000-BS参数 一、性能及配置要求 序号技术指标指标要求 1 接口要求千兆电口≥6个千兆光口≥4个 2 硬件配置内存≥8GB 存储介质≥500GB 3 性能要求吞吐量≥6Gbps 并发会话数≥800万 四层每秒新建会话数≥20万七层每秒新建会话数≥40万 二、功能要求 技术指标指标要求 部署方式支持串接部署、旁路部署；支持三角传输模式。 设备形态独立专业负载设备，非插卡式扩展的负载均衡设备。高可用性支持双机热备部署，设备之间同步会话信息。 负载均衡算法支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等算法。 会话保持机制支持源IP、Cookie（插入/被动/改写）、HTTP-Header、Radius、SSL Session ID等多种会话保持机制。 链路健康检查支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性。 支持链路冗余机制，当某一条链路故障时，可将访问流量切换到其它链路，保障用户业务的持久通畅。 服务器健康检查支持常见的主动式健康检查功能，提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS，ORACLE/MSSQL/MYSQL 数据库等多种类型的探测判断机制。 支持被动式健康检查，可根据对业务流量的观测采样，辅助判断应用服务器健康状况；对常规HTTP应用可配置基于反映URL失效的HTTP响应状态码的观测判断机制，对于复杂应用可配置基于RST

关闭连接和零窗口等异常TCP传输行为的观测判断机制。 支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适应各种复杂应用交互流程，保障业务系统的高可用性。 业务交付优化支持非对称式部署的TCP协议优化技术，提升远端用户访问应用服务的速度。无需在用户终端或应用服务器上安装任何插件和软件，不受操作系统类型、浏览器版本等兼容性因素限制，并且用户首次访问应用服务即可产生加速效果。 支持图片优化技术，通过对图片格式的转换，减少传输流量，提升web页面加载速度。无需改动服务器端的图片源文件，可根据浏览器种类自动识别转换类型，将图片转换为对应支持的WebP或JPEG 格式，优化加速效果。 服务器性能优化支持SSL卸载和加速功能，卸除服务器端的密集型运算任务，释放服务器计算资源，并提升SSL业务的处理速度。 支持HTTP缓存功能，利用内存Cache缓存用户频繁访问的web内容，降低后台服务器的负载压力,提升用户访问的响应速度。 支持HTTP压缩功能，采用工业标准的GZIP或Deflate算法来压缩HTTP数据，从而减少传输数据量并降低带宽消耗，缩短客户端访问的下载等待时间。 支持TCP连接复用功能，利用HTTP连接池机制，将来自客户端的多个请求合并成一个连接发送到服务器，减少服务器端的工作负荷，并提升业务效率。 免费开通HTTP压缩、HTTP缓存、TCP连接复用、SSL加速功能，无需额外购买相应授权。 服务需要提供原厂三年售后服务承诺函，竞价时需上传原件电子版

深信服负载均衡AD常维护手册

深信服科技AD日常维护手册 深信服科技大客户服务部2015年04月

有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。目录 SANGFOR AD设备的每天例行检查 例行检查前需准备： (1)安装了WINDOWS系统的电脑一台 (2)设备与步骤1所描述的电脑在网络上是可连通的 (3)附件中所带的工具包一份

（包括：升级客户端程序） 设备硬件状态例行检查项 为了保证设备的稳定运行，工作人员需要以天为周期对设备进行检查，例行检查的项目如下： 1.2.1设备状态灯的检查 SANGFOR AD系列硬件设备正常工作时电源灯常亮，设备的状态指示灯（设备面板左上角标示“状态”字样）只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在使用过程中此灯长亮（注意双机热备的备机此灯会以闪烁），且设备无法正常使用请按照如下步骤进行操作： (1)请立即将设备断电关闭，将系统切换到备机； (2)半小时后将设备重启，若重启后红灯仍一直长亮不能熄灭，请速与我司 技术支持取得联系。 1.2.2接口指示灯的检查 正常情况下，网口link灯在感知到电信号的时候会呈绿色（百兆链路，如果是千兆链路，该灯会成橙色）且长亮，网口ACT灯在有数据通过的时候会呈橙色且会不停闪烁，如果link或者ACT灯不闪或者不亮，请按照如下步骤进行操作： (1)检查该网线是否破损 (2)检查网口水晶头是否有破损 (3)检查网卡双工模式是否协商匹配 (4)上述均没有问题，请及时重启设备切换主备，并及时联系深信服技术支 持 1.2.3设备CPU运行检查 通过设备控制台的网关运行状态，检查CPU占用率是否长期居高，注：登陆设备后显示的第一页面就是网关运行状态，如果CPU长期居高，请按照如下步骤进行操作： (1)在线用户数是否超过了设备能够承受的并发参数 (2)设备是否遭受到了DOS攻击？（设备默认关闭防dos攻击，开启后可产 生日志） (3)某个进程是否异常？（需联系深信服技术支持确认） 1.2.4设备异常状况检查 检查设备硬件是否有异常（风扇，硬盘是否有异常声响） 如果设备内部有异常声响，可能是硬盘或风扇的异常工作导致，请立即断开电源停止设备工作，如有备用机，请立即将系统切换到备用机；并及时联系我司客服部门以确认故障并返修设备。

深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能 1) 控制功能：细致的访问控制，有效管理用户上网 对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。 表1：访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构，支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类； 关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤； 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件；

负载均衡---SANGFOR_AD与radware、F5产品对比

国内外主流负载均衡产品对比分析

负载均衡设备厂家对比分析 厂商 名称 深信服radware F5 公司介绍 深信服科技目前是中国成长最快、创新能力 最强的前沿网络设备供应商，致力于通过创新和 技术领先的网络产品，帮助用户提升网络带宽的 价值。 目前其产品已经应用于1万4千多家客户， 主要在政府单位和大型企业中应用，其中包括公 安部在内，近200家省厅及国家部委单位。 深信服的VPN产品国内市场占有率第一，是 国家VPN加密标准的起草单位。 Radware 是以色列一家领先的智能化 解决方案供应商，致力于确保在IP上快速、 可靠而安全地交付网络或基于Web的应用 程序。产品系列中包括为满足IP应用服务 器、防火墙、cache 服务器和W AN 链接 而开发和设计的产品。 其在国内的客户主要集中在运营商、金 融、电子商务企业。 F5是美国著名的应用交付设备厂家，致 力于帮助客户在整个企业范围发挥虚拟 化的威力，提高业务水平。解决方案可以 优化网络、服务器、以及存储环境。 目前其在国内主要的客户群主要包括 了金融、大型企业集团、网站等。 服务介绍 深信服是总部设于深圳的中国企业，在全国 有30多个办事处。设有中国负载均衡行业最大 的CTI呼叫中心，拥有坐席70人，提供7*24小 时服务。而在河南郑州设有直属办事处，以及一 个服务中心，有专业产品工程师5人。 Radware 目前在国内有4个办事处， 分别位于上海、广州、北京、成都。为所 有用户提供5*8小时本地电话及在线支持 服务。目前在河南还没有建立直属办事处， 售后服务主要由其代理商负责。 F5 目前在国内有4个办事处，分别位 于上海、广州、北京、成都。为所有用户 提供5*8小时本地电话及在线支持服务。 目前在河南还没有建立直属办事处，售后 服务主要由其代理商的认证工程师负责。 提供收费的原厂售后支持服务。

深信服上网行为管理功能参数

AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps，标配6个千兆电口，4个千兆光口，标准2U设备，配备冗余电源 部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中； 旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计； 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备； 分级管理不同用户组的管理权限支持分配给不同管理员； 集中管理多台设备支持通过统一平台集中管理、集中配置等； 被控设备加入统一平台支持以硬件证书验证身份； 告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等； 加密连接具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问； 排障工具提供图形化排障工具，便于管理员排查策略错误等故障； 上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大； 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息； 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 用户管理本地认证支持触发式WEB认证，静态用户名密码认证等； 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证； 双因素认证支持以USB-Key方式实现双因素身份认证； IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等； 支持通过SNMP服务器跨三层获取MAC地址； 支持当用户MAC地址变动时，需要重新认证； 短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码； 短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑 内容包括文字、颜色风格、图片，且图片支持轮询播放 公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制； 账户有效期指定账户支持有效期限制，并支持自动过期； 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作； 可强制指定用户、指定IP段的用户使用单点登录；