深信服上网行为管理解决方案（样例）

上网行为管理系统建设必须适应当前企业各项应用，又可面向未来信息化发展的需要，系统建设需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。

通过针对企业信息网络业务需求分析，结合上网行为管理系统建设原则，总结出本次方案的设计思路：

通过在网络出口处部署上网行为管理系统（以下简称AC），对员工上网行为进行精细化控制，以及对内网无线AP实现统一管理。

AC以网关模式部署于网络出口处，对内网用户上网行为进行识别与控制。AC在网关模式下，具有路由选路、NAT地址转换等路由器功能，在网络出口充当“路由器”的角色，满足三层组网要求。针对外网有多条连接互联网线路时，AC具备的多线路智能选路和多线路复用专利技术，可为出口的多条线路进行优化选择和流量均衡分配，为企业出口线路提供优化的速度和平衡的流量负荷。

在核心交换机和防火墙之间部署AC，AC以网桥模式部署，实现对内网用户上网行为管理，并且不用更改网络结构、路由配置以及IP配置，部署简单快捷。

同时，AC具有Bypass功能，在网桥模式部署下关机、开机、重启或者出现故障，则通过Bypass功能实现两端接口二层连通，避免出现链路断开状态，保证业务持续性。

根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。

区域一放置XX个AP负责覆盖XXX

(平面图)

区域二放置XX个AP负责覆盖XXX

区域三放置XX个AP负责覆盖XXX

……

设备清单及位置统计如下：

序号

设备类型

设备品牌

设备型号

放置区域

设备数量

合计

1

无线接入点AP

深信服

区域1

区域2

区域3

区域4

区域5

2

上网行为管理

核心机房

3

POE交换机

1楼弱电井

2楼弱电井

3楼弱电井

使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。

信道规划如下图：

图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。

为了有效区分用户和用户组，针对不同用户实施不同的上网行为管理策略，因此，在网络访问过程中，必须具备身份认证机制，避免身份冒充、权限滥用等出现。

对于有线用户AC通过（Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key）本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。因此，全面的应用控制帮助管理员掌控网络应用现状和用户行为，保障管理效果。

互联网应用众多，要在内网对各应用进行合理的管控，首先需要对应用进行识别。AC内置庞大应用特征识别库，包含2000多种应用，4500种规则，600种移动应用。可识别目前网络中各种主流应用，如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用，AC支持自定义功能，用户可通过协议、IP、端口等元素定义内网系统应用，从而对不同用户进行控制。

针对目前P2P应用泛滥的趋势，AC的P2P智能识别技术基于P2P行为进行识别，不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控，还能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供P2P应用封堵措施。针对类似P2P难以管控的应用，AC内置应用智能识别库，自动判断新出现应用特征，从而归类管理。

管理员可通过AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提高管理效率。

企业员工在日常需要使用网络的工作中，需要搜索访问互联网。互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，因此，需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。

AC内置千万级URL库，将互联网网页分成60多个类别，同时每半个月实时更新和维护URL库。

AC提供自行添加URL的功能，在查询URL库中没有此URL地址时，用户可自行在设备界面进行添加，也可自定义URL类型，对企业内部网页进行管理。

AC具备URL智能识别功能，可对未知的网页进行自动学习、判别、归类，保持URL识别库动态更新。

网络的开放性给人们带来更多的言论自由，但发表一些类似色情、反动、迷信或者暴力的信息，影响社会安定，造成了不必要的影响，企业或个人也要承担法律责任。

AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，AC可设置只允许登陆、看帖，但不允许发帖，或者实行发帖关键字过滤，灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。

Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件，对于将文件修改后缀名、删除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。

利用网络来进行文件传输在日常办公中普遍出现，而在文件传输过程中存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。

AC可以对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。此外，AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”（专利号ZL200710072997.1）具有对SSL加密内容的完全管控能力，支持识别、管控、审计经由SSL加密的内容，如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为，审计SSL加密行为如邮件发送行为，为组织打造坚固无漏洞的管理。

企业的出口带宽有限，随着网络应用的丰富，出现各种吞噬带宽的应用，如P2P应用，若不对这些应用加以限制管理，企业的带宽资源必会被抢占，而核心业务却得不到带宽，从而导致整体网络速度变慢，影响正常的邮件发送和网络访问。因此，企业需要一种流量管理工具，识别应用流量，对现有的带宽进行合理的分配。

企业网络出口有多条运营商提供的互联网线路，在进行数据传输的过程中，往往因为跨运营商访问出现丢包严重、延迟大的问题。出口多条线路，大小不一，流量分配不均，达不到预期的使用效果。

AC的多线路复用专利技术使一台AC可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。通过部署AC网关，可实现智能化选择最快的出口线路，有利于上网速度的提升。

通过部署AC，可对网络出口链路总带宽进行细分，采用“基于队列的流控技术”，即建立通道，将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。AC支持多级父子通道，即在父通道中嵌套子通道，最大可支持8级父子通道。通过多级父子通道技术，能够完全匹配企业的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。

目前，通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和未来将出现的P2P应用加以控制。

目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达不到预期的效果。

针对此类问题，AC提供了动态流控功能。用户可通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。通过灵活的带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。

用户出口有多条运营商线路，而在防火墙和核心交换中间，往往只有一条链路。在一条物理线路中很难实现精细化的流量划分，容易造成几条外网线路流量分配不均，导致部分线路负荷过重。

AC通过虚拟线路技术，即定义不同的虚拟线路来匹配多条出口线路流量或是来自内网不同网段的流量，同时在不同的虚拟线路中结合父子通道、P2P智能识别和动态流控等技术，实现更灵活的带宽分配。

AC在通过网页过滤、应用控制、流量合理划分和监控审计后，需要的就是一个和谐的内网环境。内网用户中毒，感染局域网，导致业务中断，这在很多企业中曾经出现过。因此，通过AC安全防护功能，从外至内提供牢固的内网安全防线。

作为一个全面的内网管理设备，AC提供了丰富的安全增值功能。AC集成杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。管理员可自行设置网关杀毒的选项，病毒库实时升级，帮助组织查杀病毒，支持杀毒引擎在线自动升级，也支持用户手工升级病毒库。

AC具备强大的防火墙功能，不仅是对内网的环境保护，也是对设备自身的一个保护，保证设备在内网中的稳定性。

内网用户将PC带出企业，不小心中毒后极易引起局域网内PC瘫痪。中毒PC通过外发邮件等信息散播蠕虫、木马等病毒，当其他用户接受这些看似正常的邮件时，就会无意间受感染。AC通过危险行为智能识别、告警和阻断功能，防止企业遭受来自内部网络的安全威胁，并及时告警，帮助管理员快速定位安全隐患，及时响应，避免损失。

AC将判断插件的数字签名是否合法，插件是否被修改过数据，证书是否过期等信息，自动过滤不合法的插件。同时，AC可设置信任插件，如常用的在线杀毒插件、播放器插件、休闲娱乐插件等，避免误杀情况。

AC的网络准入规则通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。准入的设计意义在于三个方面：

鉴于此，AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。AC网络准入规则检测端点主机是否遵从管理者设定的安全策略，如操作系统版本和补丁安装情况、杀毒/防火墙软件安装情况、系统进程、硬盘文件、注册表等。不满足预设要求的接入端点，禁止其访问互联网或仅提交报告。

通过AC的网络准入规则，修补内网安全短板，避免病毒、木马等轻易感染内网主机，利于企业推行统一的IT政策。

ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大量ARP欺骗数据包，从而导致整个广播域用户无法访问外部网络资源。

如何有效防控ARP欺骗是目前用户和业界的难题之一。AC通过网络准入规则插件结合防ARP欺骗技术，保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题，而且网络准入规则技术还将进一步加强端点安全级别，提升整个网络安全级别。

数据泄密通常在HTTP、FTP、Email附件外发文件时会篡改、删除扩展名，压缩、加密再外发。AC能够对外发文件进行深度识别，一旦发现文件后缀名被篡改或删除则定义为安全威胁，并且执行报警工作。

部分员工为了逃避网络管理员对他的网络管控，通过使用代理、翻墙软件，越过网络规章制度，毫无顾忌的上网，给企业的网络管理和内网安全带来了一定的威胁。

AC可自动识别内网中使用代理、翻墙软件的终端，可对HTTP代理、SOCKS4、SOCKS5代理实行控制，禁止在HTTP协议和SSL协议标准端口使用其他的协议，从浏览器的根源处防止代理行为的发生。一旦用户使用自由门、无界浏览器，AC将自动记录并阻断代理违禁行为，避免出现泄密和网络不可控的事件发生。

AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。

运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。

在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控，显示用户的所有会话连接状况。

AC实时监控和完善的应用审计功能，帮助网络管理员了解内网用户的上网行为，同时也作为追查依据。

网页访问

同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。

邮件收发

IM聊天

微博论坛

对于微博、社交论坛发帖不仅能够根据关键字进行过滤，发布的内容也能全面记录，准确还原发帖内容，提高可读性。

SSL加密应用

同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，AC可以基于关键字过滤和内容审计记录。

针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能。

大型机构每天产生数十G日志数据，通过AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。

对于BBS发帖，AC还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。

通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。

企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。

因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心，从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。

通过全面的应用识别，管理员能够根据不同应用制定不同的管理策略，保障核心业务应用，限制与工作无关的行为。同时，通过应用识别，管理员能够准确的记录内网用户的上网行为，如访问了哪些网站、使用了什么软件，全面管理无漏洞。

上网行为管理不是简单的对应用进行封堵，而是根据不同的管理需求来对应用进行限制。深信服上网行为管理能够对网络应用进行细分控制，如分别识别出网盘应用中的登陆、浏览、上传和下载等动作，根据企业中防泄密需求，实现允许浏览下载，同时禁止上传。通过细分控制，能够更细致的对员工的上网行为进行管理。

在审计方面，深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。

AC支持父子通道技术，最高可支持八级，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，由于通道具有父子关系属性，在后期维护中既能整体调整带宽，又能局部调节，带宽分配更灵活。

在应用管理方面，引入标签化的概念，对应用打上标签，通过选择标签来指定多个应用，而无须再一个一个的查找，使得应用管理更加灵活高效。

P2P应用具有强烈的带宽侵蚀特性，为了保护带宽资源不被滥用，必须对P2P流量进行控制。传统的流控技术对P2P应用不起作用，外网线路依然被占用，影响核心业务应用。通过深信服P2P智能流控技术，能够有效的从源端抑制P2P下行流量，使得核心业务应用有足够的带宽资源。

同时，AC具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。

通过在网络出口部署深信服上网行为管理系统AC，对企业网络的进出数据流量进行管理。

网页过滤策略

IM（即时通讯）聊天软件的管理

全面的行为管理

多线路策略

AC支持多线路复用、带宽叠加技术（专利号：200310112006X），企业通过AC同时连接多条公网线路，提升整体带宽水平。同时结合多线路智能选路技术（专利号：ZL03113974.4），做到流量的智能选路和负载均衡。

P2P软件的控制

P2P行为对带宽具有强烈的吞噬能力，而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号：200610156977.8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。

动态调节

AC支持动态流控功能，通过设定阈值，实现当整体带宽利用率过低时自动调整释放更多的带宽资源，让带宽得到有效利用，避免浪费，比传统单一、死板的流控方法更有效的提升带宽利用率。

带宽统计和管理

AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。

同时，AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障，提升整个机构的带宽使用效率。

防病毒

内网用户在访问internet时，常常会无意中下载到一些包含恶意病毒的文件，这些病毒程序通常是极具破坏力的，严重时会造成计算机系统的崩溃，使员工无法正常工作。而如果在上网过程中使用上网安全桌面，则可以有效的防止这些病毒程序对本机造成破坏。

当内网用户使用安全桌面上网，文件、注册表重定向技术使本机内真实文件与注册表得到了保护，而访问目录权限功能使病毒无法访问继而感染本机内部文件，有效地防止了病毒对本机系统的破坏，弥补杀毒软件对安全事件事前防护的不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、安全的网络应用环境，让用户使用起来再也不受病毒、木马泛滥的困扰。

同时，AC具有网关杀毒功能，集成来自欧洲领先病毒厂商F-PROT杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。

拦截不良网页

AC内置自动更新的海量URL库，包括色情、反动等分类，潜藏在此类网站中的威胁将被AC过滤；AC允许用户手工添加新URL分类；再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。

假冒网上银行的钓鱼网站、加密的反动网站等，显示“加密化”已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。

插件、脚本过滤

网络上“危机四伏”到处存在安全隐患，使得用户防不胜防。AC的脚本过滤功能能够根据脚本行为和特征拦截含有恶意脚本、木马的网页。防止用户不小心进入不良网站而感染病毒、木马或者访问后台被黑客挂马的网页而造成中毒的情况发生。

由于网络应用的不断发展，网页上提供的功能越来越多样化，要求用户安装插件的情况越来越普遍。AC支持插件过滤，能够根据插件的名称、签名、证书等过滤掉IE插件，同时也能识别下载的文件中隐藏的插件。从而避免用户上网被强制安装的恶意插件而导致的系统崩溃、访问网络不正常等情况，阻止恶意监控软件盗取个人信息、企业机密。

文件传输控制

通过HTTP、FTP从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险“感染点”还会伺机爆发，感染更多用户，使整个网络瘫痪。而此类行为和流量经过AC时，AC首先限制用户通过HTTP、FTP上传下载指定类型的文件，对于允许传输的文件，AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。

修复内网安全短板

根据木桶理论，机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等，极易导致自己感染病毒，还将感染整个内网用户群。借助网络准入规则技术（专利号：200510037455.1），AC将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况，不安装、不运行指定安全软件，就不允许接入Internet，从而修复内网安全短板。

防DOS、防ARP欺骗

即使部署众多安全措施，安全威胁仍无孔不入。来自外网的DOS攻击AC能防御；而来自内网的DOS攻击，不仅吞噬带宽，还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击，而AC通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的DOS攻击。

ARP(AddressResolutionProtocol)协议原本用于“从IP地址寻找MAC地址”，但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet，定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案，AC通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。

综合网管功能介绍

DCN（DataCommunicationNetwork）是电信运营商为其各类支撑系统提供专用数据通信的网络，旨在为各类业支、网管系统提供通用的业务传送平台。DCN的组建能为各专业网的OSS提供统一的业务传送平台，承担综合BSS以及CRM系统的数据共享；同时，DCN还承载全省内部的OA办公、邮件系统、公文流转、企业内部网站应用和管理支撑系统（MSS），包括ERP系统、数据仓库等。

APM提供面向网络和应用的质量监测及性能分析解决方案

以省级DCN为例，通过在省级运营商DCN节点部署APM设备，APM通过分析镜像过来的数据，实现对省内各级营业厅的网络接入质量、访问核心应用系统的用户体检进行实时监测分析，当出现网络质量下降、用户访问体验下降时，可通过短信或邮件实现提前预警。

APM可基于DCN业务分支（各营业厅）维度，提供DCN流量构成分析功能。可以帮助用户实现对DCN总流量可视、每条分支（每个营业厅）流量构成可视。

如各营业厅通过DCN访问省级数据中心业务，流量分布是否合理，是否需要扩容；有无异常事件，有无中断风险等，APM都可以按照用户需求进行友好的呈现分析。

此外，APM提供DCN网络性能的IPSLA建模分析监控，提供定期的网络运行分析报告，除此之外，当线路及线路承载的业务出现故障风险时，可提前预警，帮助用户规避业务风险。

各营业厅网络质量一览

DCN质量分析参数表

各营业厅网络质量详细

应用流速趋势、网络时延趋势、重传率趋势、连接可用性趋势、服务器响应时延趋势、带宽利用率趋势

各营业厅网络异常事件

链路层、IP层、传输层、应用层、网络攻击等异常事件

各营业厅活跃用户

按总流量排行、按连接失败次数排行

各营业厅应用流量分布

业务系统总流量排行、应用流速趋势、7层应用流量

各营业厅数据包长度分析

数据包分布、数据包趋势

各营业厅访问的目标服务器

目标服务器总流量排行、连接失败次数排行

各营业厅访问的系统

系统按总流量排行、连接次数排行

DCN质量分析实际效果图

BSS系统可用性主动探测

APM可以直接通过TCP握手探测，来判断系统是否存活，当然这还不够，仅通过TCP握手无法判断应用层的状态，可能系统存活，但是已经工作不正常了。因此APM还可以通过定义应用层交互内容，来判断系统应用层的状态。

健康状态监测

支持BSS、OSS、MSS、HTT、FTP、Mail等各类应用

状态参数

提供系统状态、可用性、响应时延、告警状态等信息

探测技术

支持TCPCONNECT、URL探测、自定义探测、支持正则表达式

阀值告警

可根据不同的健康等级定为阀值告警

BSS系统质量旁路被动分析

BSS系统质量详情

该系统总流速趋势、网络时延趋势、重传/乱序趋势、首次应答时延趋势、HTTP请求应答时延分布、TCP发送窗口趋势、连接可用性趋势、并发会话数趋势

BSS系统会话详情

按总流量排行、按会话峰值排行

BSS系统来访分支营业厅/区域/用户

按总流量排行、按访问连接失败数排行

所有访问用户（营业厅）详情

出现变慢/异常的BSS系统URL分析

智能预警

APM智能预警功能默认含线路流量异常告警、区域网络异常告警、线路网络异常告警、网络攻击告警、区域流量异常告警、系统可用性告警、系统响应缓慢告警等信息，并可根据APM设备监控、应用系统监控、流量监控等信息为特定的服务器量身定做自定义告警策略，提高管理的效率及响应及时性。

质量报表自动生成

www.sangfor.com.cn

深信服是领先的前沿网络设备供应商，旨在通过创新、技术领先的解决方案帮助用户提升互联网带宽价值。目前深信服的用户已超过21，000家，并在中国以外的多个国家和地区设立了分支机构，用户遍布全球。