應用背景隨著互聯網技術的不斷發展，企業通過網絡獲取資源越來越便捷，輕松實現了資源的共享。網頁、論壇、即時通訊、流媒體、博客等的出現在豐富人們生活的同時也帶來了一些負面的影響。比如色情、賭博網頁的出現、論壇上反動言論的發表、以及員工上班時間使用即時通訊聊天，觀看視頻等等。一方面將企業推向了法律風險的邊緣，另一方面給企業工作效率的提升造成了一定的影響。因此如何實現對內網員工的管控成為企業高度關注的問題。另外企業綜合業務的發展使得其越來越依賴使用互聯網來交付其關鍵業務應用，更加依賴企業IT架構的高可靠運行，尤其是企業數據中心關鍵業務應用的高可用性。因此企業越來越關注如何在最大節省IT成本的情況下維持關鍵應用的7×24小時工作，保證業務的連續性和用戶滿意度。在鏈路方面，為解決單一鏈路所帶來的網絡單點故障以及國內所存在的跨運營商問題，大部分的企業都部署了多條互聯網鏈路，通過每條互聯網鏈路為內網分配一個不同的IP地址網段來實現對鏈路質量的保證，以提升網絡鏈路的可靠性。但這種解決方案也有一定缺陷，有的用戶訪問電信資源，結果卻通過聯通鏈路出去訪問了，訪問速度和穩定性都得不到保障。問題分析網絡速度慢，如何來解決問題呢？擴張帶寬，將原有的20M擴張到50M？擴張帶寬，成本高，難度大，周期長，有風險。但是擴張帶寬后，網絡速度慢的問題是否會從根本上解決呢？下面分析網絡速度慢的主要原因。用戶認證缺失，非法用戶接入內網：（準入認證）現今很多組織機構、企業忽視內網用戶的認證，或僅采用靜態的用戶名/口令認證機制，在身份認證過程中未進行加密處理，導致用戶名和口令這些敏感數據容易被截獲和泄露。不明身份的上網者隨意接入公司內部網絡，肆意占用帶寬，都將會給企業內部員工上網造成帶寬不足的現象。用戶行為缺乏管控：（行為管控）上班時間炒股、聊天、看優酷視頻等行為已經嚴重影響了員工的辦公效率，同時這些與公司無關的應用也大量的占用了企業組織的出口帶寬，嚴重影響了正常辦公應用的使用。內網安全性無法保障：（安全）互聯網威脅已成為了目前企業組織首要考慮的問題。員工肆意上網，將部分互聯網威脅帶入終端及組織內部局域網。這些各種各樣的病毒、木馬進入組織內網，會嚴重干擾了內網用戶的正常使用，局域網病毒的惡意破壞、木馬的外發傳輸，不僅導致了各種信息泄密事件的發生，同時嚴重影響了辦公人員的上網速度。應用泛濫，P2P應用帶寬占用大：（流控）隨著互聯網的發展，組織機構的業務幾乎都依托于互聯網進行著。ERP、CRM、OA、電子商務、視頻會議等系統已成為各組織機構在建設網絡的基礎設施，來為公司業務建立一個信息化平臺。但是在一個組織機構內部的網絡，除了這些關鍵業務系統外，P2P下載、網絡炒股、游戲、視頻等非關鍵業務應用同樣共存著，形成了復雜的網絡應用“脈絡”。而P2P的帶寬侵占性使之成為了企業組織的帶寬“殺手”，其大量占用的網絡帶寬使正常業務受到影響。出口多條鏈路負載不均衡：（AD）當前采用多條上網鏈路已成為保證互聯網訪問速度和穩定性的必然選擇，然而傳統的多鏈路方案，通過每條互聯網鏈路為內網分配一個不同的IP地址網段，來實現對鏈路質量的保證。這樣的解決方案依靠復雜的設計，雖然能夠解決一些接入鏈路的單點故障問題，但是沒有實現真正的負載均衡，而且配置管理復雜。由于路由協議并不知道每一條鏈路當前的流量負載和活動會話。所以其負載均衡的機制都是很不精確的，最多只能叫做“鏈路共享”。再者，內網用戶訪問互聯網時，有的鏈路會比另外的鏈路更容易通行。雖然路由協議知道一些就近性和可達性，但是不可能結合諸如路由器的HOP數和到目的網絡延時及鏈路的負載狀況等多變的因素，做出精確的路由選擇，遠遠沒有將多鏈路的巨大優勢發揮出來。深信服的解決方案本方案主要從對內網用戶的上網行為進行管控、流量控制、出站流量的鏈路負載均衡等幾個方面進行描述：嚴格認證上網用戶AC產品支持豐富的身份認證方式，如本地認證、web認證、第三方認證、雙因素認證及單點登錄、強制認證等，采用多種方式幫助組織管理員有效區分用戶，拒絕不明身份者接入內網的行為。避免非法接入用戶占用帶寬上網的行為。準確管理行為規范用戶的上網行為，通過設備內置URL庫以及應用程序庫對用戶在內網中訪問互聯網的行為進行管控。適當禁止非關鍵業務的應用及頁面訪問，在提高員工工作效率的同時，降低P2P及游戲、炒股等非工作應用的帶寬占用，加快上網速度，保證工作關鍵業務的帶寬。完善保護內網安全網絡準入規則檢測端點主機是否遵從管理者設定的安全策略，如操作系統版本和補丁安裝情況、殺毒/防火墻軟件及更新情況等。不能滿預設要求的接入端點，禁止其訪問互聯網；AC內置惡意網址庫，禁止對于對危險網站的訪問申請，放通可靠網站的訪問權限，從源頭上把握住內部信息安全。非法熱點檢測功能，能夠檢測、告警并封堵員工在企業內部私接無線AP，將智能終端、筆記本私自接入公司網絡的行為，避免私建無線網絡為公司網絡安全帶來威脅。上網安全桌面功能利用業內領先的“沙盒技術”，通過在網關處的AC設備上進行目錄訪問權限、網絡訪問權限等設置，將內網與風險重重的互聯網隔離開，對病毒和木馬進行主動防御，保障內網PC與企業信息、個人隱私安全，確保安全上網。通過以上安全方面的防護，保證內部網絡不受病毒、木馬的威脅，員工使用、上網速度不受影響。精確管控流量深信服AC能夠高效、智能的提升帶寬效率，保障關鍵業務/用戶帶寬需求，也能減少冗余數據傳輸，提升網速，再結合帶寬分配公平性保障策略，以及QoS、流量整形、帶寬借用等高級功能，幫助組織有效實現帶寬和流量管理。動態流控當客戶互聯網出口帶寬充足時，可以不使用流控策略，放通合法應用的帶寬，即不啟用流控，讓其自由使用。帶寬靈活管理，避免因流控帶來的帶寬浪費。P2P智能流控P2P等類似的應用下行方向有比較大的丟包，限制的P2P流量都在占著出口線路的帶寬，線路滿負荷，其它要保證帶寬的應用無法使用，導致流控效果不佳。通過限制P2P上行傳輸速率，減小下行丟包，更好的限制P2P流量，保障關鍵業務的正常使用。父子通道、應用/網站/文件虛擬通道深信服AC支持將一條物理鏈路劃為多條虛擬線路，建立多級父子通道。各級帶寬通道可根據應用類型、網站類型、文件類型繼續細分為虛擬通道，進而基于用戶、時間段、目標IP等分配帶寬資源。為用戶提供細致的流量管理手段，實現大流量劃分成小流量通道，分級管理。帶寬資源平均分配最公平深信服AC的“輪轉調度+分層三色令牌桶”技術，使得同一帶寬通道內多用戶平均分配帶寬資源，且用戶所獲帶寬資源能在該用戶多個并發會話間平均分配，確保帶寬資源分配的最大公平性。上網緩存加速（SG）在管控流量的同時，深信服安全優化網關SG利用特有的“內存緩存加速”技術，當內網用戶訪問相同互聯網資源時，可直接從上網行為管理設備中提取傳輸，減少冗余數據反復傳輸浪費帶寬的頻率，能削減30%以上互聯網流量，大幅提升上網速度。通過靈活多樣的流量管理策略，精細、公平地保障核心應用帶寬，優化利用率，提升網絡穩定性，提高企業組織內部辦公人員的上網速度。鏈路負載均衡對于內網用戶訪問互聯網資源的上網調度，深信服AD系列應用交付設備在接收到內網用戶訪問的流量以后，通過預先設定鏈路負載策略將用戶訪問流量分配到不同的互聯網鏈路之上，實現出站流量負載均衡，提升互聯網鏈路帶寬利用率。通過內置的全球IP地址庫，深信服AD系列應用交付設備可以精確地為用戶選擇最佳鏈路，從而徹底解決用戶跨運營訪問速度慢的問題。此外，借助鏈路繁忙控制、DNS透明代理以及眾多分配算法等技術，AD設備可以配置靈活的鏈路使用策略，在保障用戶訪問穩定的同時，提升帶寬資源利用率，減少帶寬投資成本。DNS透明代理：鏈路利用的不均衡，一方面造成了互聯網資源的浪費，另一個方面使得用戶的訪問速度沒有保障。針對這種情況，傳統負載策略往往無能為力，而深