深信服上网行为及负载均衡技术方案

2024年2月8日发(作者：)

技术方案

本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案

一、上网行为管理技术方案

1、需求概述

背景介绍

随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都

在不断发生改变：



网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；



沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟

通和交流，提升工作效率，获取资讯和知识，维系人脉关系；



移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的

IT

系

统，员工更喜欢通过 WLAN、移动终端类开展工作；

因此，在员工的日常工作中，ISD 需要针对互联网出口平台的如下上网行

为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求

员工访问互联网的习惯正在发生变化，从最早使用 PC、有线局域网，到更

多使用移动终端、WLAN 来进行办公，如果过度开放的上网环境会带来以下问题：

工作效率低下

网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有

意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购

等，而且越来越多的员工正在通过企业无线网络来使用移动 APP 版的淘宝、陌

陌。这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对 PC、移动终端等各种应用、APP 进行更有效的识别和

管控。

1 / 27

带宽滥用和浪费

互联网中充斥着 P2P 下载、在线视频、游戏、在线小说等耗费带宽的非关

键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的

业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户

的流量，带宽价值被大大浪费。

所以，IT 部门需要针对各种应用类型、用户角色、带宽占用情况等，提供

更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD 难管理

随着移动终端的普及，员工往往会采用 PC、智能手机、Pad 等多种终端，

通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业 IT

系统。这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的

泄密、移动终端设备的盗用、移动 APP 难以管控等管理问题。

所以，IT 部门需要基于用户角色、终端类别、使用位置、应用类别、时间

等更多的元素，为员工不同的上网情景，制定更精细的网络管理策略，提升办

公效率的同时，降低安全风险。

WLAN 安全隐患

在一些没有提供 Wlan 的单位，员工为了便捷性，往往会通过 360 随身 WiFi、

家用 WiFi 路由器等方式私自建立个人 Wlan，让自己的移动终端可以随意使用

单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。

所以，IT 部门需要针对私接的非法无线热点、非法代理等威胁进行有效的

识别、管控。

访客接入繁琐

企业组建 WLan 后，当有来宾访客需要上网时，要么直接开放，安全风险

高，人员随意接入，无法定位身份；要么需要提前申请临时账号，管理复杂。

所以，组织需要一套使用便捷，即来即用，同时又能满足安全合规要求的

2 / 27

来宾访客认证系统。

数据泄密

伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用，企业重要数

据泄密的方式越来越多样，风险越来越高。在有意无意间，一个员工就可以轻

易的把企业内部的敏感信息、高价值信息资产，外发的互联网上，给组织的公

众形象、业务开展带来严重的风险。

所以，组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合

规审查策略，防止重要数据的泄密行为发生。

网络违规违法

企业内网用户在日常办公中拥有访问互联网的权限，可通过 QQ、MSN、论

坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良内容，都属于

网络违规违法行为，企业或个人将承担法律责任。

所以，组织需要根据 82 令的相关要求，建立全面、完善的上网行为的合

规审查机制，并建立严格的审查权限管理机制。

2、有线无线网络统一行为管理方案

结合上述的用户需求以及 IT 系统的现状，深信服可以为 ISD 提供一套完

整、可视、智能联动的互联网出口安全解决方案。

3 / 27

方案整体概述

互联网出口上网行为管理： 部署深信服 AC 于互联网出口，针对有线网

络终端和用户提供接入认证、权限控制、合规审计；此外，还针对有线/无线

的全部用户、关键应用，提供全局统一的带宽控制策略。

智能联动：

此外，互联网出口上网行为管理设备和无线网络上网行为管理设备之间需

要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进

行同步关联，让用户只需要认证一次就可以让多台 AC 同步识别身份信息，便

于后续的报表分析、威胁定位、合规审计等。

有线和无线网络统一上网行为管理

部署了深信服上网行为管理设备，为可以帮助 ISD 提供一整套统一的有线、

无线网络上网行为管理解决方案。这即满足了安全合规管理的要求，又提升了

IT 运维效率，还提升了用户上网的操作体验。

4 / 27

安全便捷的用户认证

为了针对不用角色身份的用户，避免身份冒充、权限滥用等出现，提供即

安全又便捷的认证方式，深信服上网行为管理可以提供如下多种身份认证。

内部员工认证：

AC 支持本地认证功能，包括 Web 认证、用户名/密码认证、IP/MAC/IP-MAC

绑定、USB-Key 等。通过本地认证功能，能够准确识别上网用户，从而对该用

户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

AC 支持与 LDAP、Radius、POP3 等外部认证服务器或者 SAM、CAMS 等认证

计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC 能够获取

用户认证信息，用户不用在 AC 上进行第二次身份认证，形成单点登录，避免

重复认证所带来的麻烦。通过身份认证功能，AC 能够准确识别上网用户，从而

对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。

外来访客认证：

为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满

足合规要求。深信服上网行为管理 AC 提供了短信认证、微信认证、二维码认

5 / 27

证等多种方式，当来宾接入网络后，系统会自动推送出专门针对来宾访客认证

界面。

短信认证，来宾只需要输入手机号码，获得并输入短信验证码后，就可以

获得上网权限。而且为了简化用户操作，与传统的短信验证相比，用户只需要

点击 3 次既可完成，十分便捷，不需要在浏览器和短信界面来回切换。

微信认证，访客认证页面会自动提醒来宾需要关注组织的“官方微信公众

账号”，并发送上网请求，才能获得上网权限。这可以帮助组织推广社交媒体

的粉丝数量，更好的帮助组织推广品牌宣传。

二维码认证，访客认证页面会自动弹出一个二维码，只有内部接待人员用

自己的移动终端扫描二维码，确认同意后，访客才能获得上网权限。而且，为

了满足合规要求，接待人员，可以在页面上备注来宾身份信息，便于后续查找。

灵活细致的权限控制

深信服上网行为管理系统具有千万级 URL 库和国内最大的应用识别规则库，

包含 1100 多种应用、2400 多种规则，可识别目前网络中各种主流应用，如IM

聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。

同时，AC 还能够识别 SSL 加密应用，如加密邮箱、加密网页等。通过全面

的应用识别，管理员能够根据不同应用制定不同的管理策略，限制与工作无关

的行为，提高工作效率。

多维度的灵活策略

为了针对一个用户有多台 BYOD 终端进行灵活、细致的策略管控，深信服

AC 可以识别各种终端类型，包括 windows、IOS、安卓、phone、pad 等类型，

还可以识别出用户接入网络的位置，包括有线、无线、办公位、会议室等等。

从而制定用户的上网策略时，可以从用户角色、使用终端类型、所在区域

位置等维度进行组合，来制定精细的控制策略。比如用户角色 A，在办公位置

上使用 PC 接入，可以访问权限较多；但在接待区通过无线网络，使用iPad 接

入网络时，只有上网权限，不能访问内部安全界别较高的应用系统等。

6 / 27

移动 APP 管控

为了满足移动终端的管理需要，深信服上网行为管理系统可以针对数百种

移动终端的 APP、云应用，防止员工通过移动终端来进行和工作无关的应用，

避免工作效率的下降。

防止非法 AP 和代理

深信服上网行为管理系统通过技术创新，可以精准的识别出，当前网络中

员工私自架设的无线 AP，代理应用，从而防止带宽资源的滥用，防止黑客通过

非法 AP 接入企业网络入侵。

应用标签化

管理员可通过 AC 对应用或具体细分动作进行标签化，例如，迅雷下载定

义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理

员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，

从而避免错选漏选，提高管理效率。

加密应用识别

SSL (Secure Socket Layer)协议，被广泛地用于 Web 浏览器与服务器之

间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传

输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用 SSL

加密，如 Google 搜索、Gmail、QQ 邮箱、bbs 甚至赌博网站，而因为采用了加

密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利

用这一缺陷绕过管理，通过 SSL 加密邮件、BBS、论坛发布的反动言论或者是

向外发送组织的机密信息，导致管理漏洞。

合理有效的流量控制

深信服上网行为管理系统通过多级父子通道技术，能够完全匹配企业组织

人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同

通道分配不同带宽。同时，带宽的分配并不是一成不变的。深信服上网行为管

理系统具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升

7 / 27

带宽利用率，避免资源浪费。

在 P2P 应用流量控制方面，通过深信服 P2P 智能流控技术，能够有效的抑

制 P2P 流量，使得核心业务应用有足够的带宽资源。

父子通道

通过部署 AC，可对网络出口链路总带宽进行细分，采用“基于队列的流控

技术”，即建立通道，将不同的控制对象分配到不同的通道里。通道可应用于

不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。AC 支持多级

父子通道，即在父通道中嵌套子通道，最大可支持8 级父子通道。通过多级父

子通道技术，能够完全匹配企业的组织架构，针对不同级别的通道进行带宽调

整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。

P2P 智能流控

目前，通过封 IP、端口等限制“带宽杀手”P2P 应用的方式不起作用。加

密 P2P、非主流 P2P、新型 P2P 工具等让众多 P2P 管理手段形同虚设。AC 凭借

P2P 智能识别技术，不仅识别和管控常用 P2P、加密 P2P，还能对不常见和未来

将出现的 P2P 应用加以控制。

目前互联网上流行的 P2P 下载、流媒体等应用程序通常具备强烈的带宽侵

占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某

些 P2P 应用如 P2P 流媒体、P2P 下载工具等缺乏自身流控机制，即使被丢包依

然不会主动降低速率，仍抢占大量的带宽资源。同时对于下行的接收流量来说，

被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控

达不到预期的效果。

8 / 27

针对这些问题， AC 通过智能流控功能，能有效解决 P2P 应用的问题。虽

然基于 UDP 协议的 P2P 应用对丢包不敏感，但是下行流量与上行流量有显著的

相关性，只要控制住上行流量，下行流量就能得到控制。当开启 AC 的智能流

控功能时，系统会根据下行流量的设定值对上行流量进行自动调整，从而达到

控制和减少下行流量的效果，从源头处有效限制 P2P 流量。

动态流量控制

当带宽有限时，企业希望通过限制 P2P、流媒体等应用来保障邮件、访问

网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略，

根据应用的重要性分配相应的带宽。无论网络情况如何变动，分配的带宽都是

固定的，不能自动调整，这样的流控策略往往造成带宽资源的浪费。比如某些

业务应用带宽资源不足，而其他应用的带宽资源却处于空闲状态，得不到有效

利用。

9 / 27

针对此类问题，AC 提供了动态流控功能。用户可通过配置线路空闲阀值，

以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可

以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙

时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。通过

灵活的带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。

3、全面精准的行为审计

深信服上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些

应用，还能对用户的上网行为内容进行深入审计，如 IM 聊天内容、微博、社

交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还

支持 SSL 加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员

工上网行为。

实时监控

AC 支持实时监控功能，可对 AC 设备的运行状态、安全状态、流量状态、

上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登

陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。

运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应

用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。

在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用

户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行

情况的页面跳转。此外 AC 还支持实时连接监控，显示用户的所有会话连接状

10 / 27

况。

全面、灵活的应用审计

AC 实时监控和完善的应用审计功能，帮助网络管理员了解内网用户的上网

行为，同时也作为追查依据。

网页访问

内网用户访问的 URL 地址、网页标题、时间等内容，AC 能够完全监控与记

录。

同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。

11 / 27

邮件收发

对于 Webmail 或邮件客户端收发邮件，AC 能够记录邮件的时间、发件人、

收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核。

12 / 27

IM 聊天

对于 QQ、MSN、Gtalk 等聊天应用，无论是 Web 版或是桌面版，AC 均能详

细记录其聊天内容。

微博论坛

对于微博、社交论坛发帖不仅能够根据关键字进行过滤，发布的内容也能

全面记录，准确还原发帖内容，提高可读性。

13 / 27

SSL 加密应用

同时，对于经过 SSL 加密的 webmail 外发邮件、SSL 加密的 SMTP/POP3，

AC 可以基于关键字过滤和内容审计记录。

针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为

审计功能。

14 / 27

数据中心及报表

大型机构每天产生数十 G 日志数据，通过 AC 独立数据中心实现日志海量

存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络

行为等方面的详细的报表和图形化统计结果，并且支持导出 PDF 等文档、Email

投递等功能，方便 IT 部门将统计结果向高层汇报。

AC 的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及

阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、

泄密风险智能报表、工作效率低下风险智能报表等。

15 / 27

对于 BBS 发帖， AC 还支持进行热帖排名，只准看贴不准发帖的灵活管控

方式。

通过 AC 数据中心的内容检索工具，可以实现类似 Google 一样的内容搜索，

从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动 Email

投递功能，极大的方便了管理者的使用。

免审计 Key

机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密

信息，对其记录审计反而成为泄密风险。因此 AC 支持免审计 Key 功能。在 AC

上为总裁、财务部相关人员生成免审计 Key。当使用该免审计 Key 认证后，AC

从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后，当再插入该

免审计 Key 后会自动弹出警告，且禁止该人员访问网络，彻底保障信息安全。

日志审查 Key

企业内网用户的各种上网行为记录 AC 都可以记录、并全部记录到数据中

心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，

领导的 Email、MSN 聊天内容等被肆意传播、私自张贴到互联网上必将给组织

造成不良影响、甚至经济损失。

因此 AC 提供日志审查 Key 技术。数据中心管理员只有插入该 Key 后才能

以审计、查询权限接入数据中心，从而对行为日志进行详细查询。对于没有该

Key 的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，

16 / 27

无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。

4、方案优势

全面完整

无线有线统一管控：除了传统的封堵、流控、审计等功能外，深信服的上

网行为管理针对无线、有线网络的各种 PC、移动终端上网遇到的新问题、新风

险，提供了统一全面的管理功能：员工、来宾的统一接入管理，BYOD 的权限控

制、移动 APP/云应用管控和审计。从而简化了 IT 运维操作，降低了管理难度。

细致精准

上网行为管理不是简单的对应用进行封堵，而是根据不同的管理需求来对

应用进行限制。深信服上网行为管理能够对网络应用进行细分控制，如分别识

别出网盘应用中的登陆、浏览、上传和下载等动作，根据企业中防泄密需求，

实现允许浏览下载，同时禁止上传。通过细分控制，能够更细致的对员工的上

网行为进行管理。

在审计方面，深信服上网行为管理系统不仅记录内网用户访问了哪些网站，

使用了哪些应用，还能对用户的上网行为内容进行深入审计，如 IM 聊天内容、

微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。

同时，还支持 SSL 加密网页和应用的内容审计，避免错审漏审，帮助企业深入

的了解员工上网行为。

灵活有效

AC 支持父子通道技术，最高可支持八级，能够完全匹配企业组织人员架构

和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配

不同带宽。同时，由于通道具有父子关系属性，在后期维护中既能整体调整带

宽，又能局部调节，带宽分配更灵活。

P2P 应用具有强烈的带宽侵蚀特性，为了保护带宽资源不被滥用，必须对

P2P 流量进行控制。传统的流控技术对 P2P 应用不起作用，外网线路依然被占

用，影响核心业务应用。通过深信服P2P 智能流控技术，能够有效的从源端抑

制 P2P 下行流量，使得核心业务应用有足够的带宽资源。

17 / 27

同时，AC 具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有

效提升带宽利用率，避免资源浪费。

基于用户、终端、位置、业务多个维度的策略管理，能够根据用户在不同

位置，使用不同终端时自动匹配相应的上网管理策略，灵活性强，适用于每一

种应用场景。

智能便捷

深信服的上网行为管理方案，与其他多厂商设备组合方案相比，可以让 IT

管理员维护更简单，用户使用更便捷：

智能联动：

互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通

过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同

步关联，让用户只需要认证一次就可以让 AC 同步识别身份信息，便于后续的

报表分析、威胁定位、合规审计等。从而，也极大的减少 IT 管理员配置、运

维工作量。

便捷简单：

AC 的外来访客的二维码认证功能，不但省去了复杂的临时账号申请流程，

提升了工作效率，还能提升来宾体验，增强对企业形象认可。

在应用管理方面，引入标签化的概念，对应用打上标签，通过选择标签来

指定多个应用，而无须再一个一个的查找，使得应用管理更加灵活高效。

5、方案价值

★提升工作效率

网页过滤策略

上班时间从事私人活动，管理者却难以阻止，如上班时间浏览购物网站、

上微博、论坛发帖等。AC 能针对不同用户(组)提供基于角色的管理方法，让管

理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、

公司门户网站等，而其他未经允许的网页浏览都将被拒绝。

18 / 27

IM（即时通讯）聊天软件的管理

上班时间使用 QQ、MSN 等私人聊天，不仅影响工作效率，还可能因 IM 传

文件而引入病毒和向外泄密。面对的众多 IM 软件， AC 通过检测应用数据包的

特征字段，实现对 IM 聊天软件的管控，提升工作效率。

全面的行为管理

网页过滤、IM 聊天等管控只是内网行为管理的一部分。面对用户上班即挂

机下载，搜索最新网络新闻、图片，上班时间更新博客、上传图片、看在线视

频、网络游戏等问题，AC 支持应用识别规则库，包含 1500 多种应用，对员工

上网行为进行全面管理。

上网时间管理

AC 通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用

户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用

户超过这个阀值时，将自动弹出提醒页面，提醒员工上班时间注意提高工作效

率，不要从事与工作无关的网络活动。

★提高带宽利用率

多线路策略

AC 支持多线路复用、带宽叠加技术（专利号：2X），企业通过 AC 同时连

接多条公网线路，提升整体带宽水平。同时结合多线路智能选路技术（专利号：

ZL03113974.4），做到流量的智能选路和负载均衡。

P2P 软件的控制

P2P 行为对带宽具有强烈的吞噬能力，而传统的流控功能在 P2P 应用上不

起作用。AC 提供 P2P 智能识别专利技术(专利号： 2.8），不仅能识别和管控

常用 P2P 软件及版本，对不常见的和未来将出现的 P2P 亦能管控。而 AC 提供

的 P2P 流控技术，将限制指定用户开启 P2P 后占用的带宽。既允许用户使用 P2P，

又不会滥用带宽。

动态调节

19 / 27

AC 支持动态流控功能，通过设定阈值，实现当整体带宽利用率过低时自动

调整释放更多的带宽资源，让带宽得到有效利用，避免浪费，比传统单一、死

板的流控方法更有效的提升带宽利用率。

带宽统计和管理

AC 数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图

形化报表、曲线和统计结果，可以帮助 IT 管理者轻松掌控网络行为分布和带

宽资源使用等情况。

同时，AC 基于用户(组)、应用类型、网站类型、文件类型、目标 IP 等的

智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行

业网站、设计部传输 CAD 文件等行为得到带宽保障，提升整个机构的带宽使用

效率。

避免泄密和法律风险

在部署上网行为管理系统后，通过定义关键字的方式，实现对发送邮件、

网上搜索、网上发布、文件外发等行为进行过滤，从而避免敏感信息泄露问题

给企业带来经济损失。同时，有效防止不良信息外发行为，避免引来法律纠纷。

即使发生了不良信息外发行为，也能够通过对内网用户上网行为实施记录审计，

能够在发生网络违法事件的时候通过审计日志追查相关责任人，避免由企业承

担相应法律责任。

同时，上网安全桌面根据规则对本机文件数据进行了隔离，安全桌面内的

任何程序试图获取本机被隔离文件数据的行为都将被禁止，防止终端被木马入

侵后文件信息遭窃取，从而帮助用户有效保护了敏感数据的安全性。

★保障终端安全

防病毒、木马

内网用户在访问 internet 时，常常会无意中下载到一些包含恶意病毒的

文件，这些病毒程序通常是极具破坏力的，严重时会造成计算机系统的崩溃，

使员工无法正常工作。而如果在上网过程中使用上网安全桌面，则可以有效的

防止这些病毒程序对本机造成破坏。

20 / 27

当内网用户使用安全桌面上网，文件、注册表重定向技术使本机内真实文

件与注册表得到了保护，而访问目录权限功能使病毒无法访问继而感染本机内

部文件，有效地防止了病毒对本机系统的破坏，弥补杀毒软件对安全事件事前

防护的不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一

个干净、安全的网络应用环境，让用户使用起来再也不受病毒、木马泛滥的困

扰。

同时，AC 具有网关杀毒功能，对内网用户接收的邮件、访问的网页、下载

的文件进行病毒过滤，降低内网用户感染病毒的风险。

拦截不良网页

AC 内置自动更新的海量 URL 库，包括色情、反动等分类，潜藏在此类网站

中的威胁将被 AC 过滤；AC 允许用户手工添加新 URL 分类；再过滤用户通过搜

索引擎搜索的关键字、过滤 URL 地址关键字和网页正文关键字，实现对各类网

页的全面过滤，降低内网用户访问不良网页和危险网页的可能。

假冒网上银行的钓鱼网站、加密的反动网站等，显示“加密化”已经成为

趋势，而业界多数设备无法对 SSL 加密网页进行管控。AC 通过证书验证链接黑

白名单技术，过滤含有不可信任数字证书的 SSL 网站，实现对 SSL 加密过的色

情、邪教、钓鱼网站等的过滤。

文件传输控制

针对 QQ、MSN 等 IM 软件的病毒，通过引诱用户下载指定文件或打开指定

URL 链接而传播；AC 的“拦截不良网页”措施将避免用户访问含病毒 URL 地址；

AC 还可限制使用 QQ、MSN 等传递文件。

通过 HTTP、FTP 从互联网下载的文件，往往打开或运行后导致用户电脑感

染病毒、木马，甚至瘫痪。该风险“感染点”还会伺机爆发，感染更多用户，

使整个网络瘫痪。而此类行为和流量经过 AC 时，AC 首先限制用户通过 HTTP、

FTP 上传下载指定类型的文件，对于允许传输的文件，AC 的网关杀毒功能将查

杀该文件中潜藏的病毒、木马。

二、负载均衡技术方案

21 / 27

1、概述

随着互联网技术的不断发展，企业开始更多地使用互联网来交付其关键业

务应用，企业生产力的保证越来越多的依赖于企业 IT 架构的高可靠运行，尤

其是企业数据中心关键业务应用的高可用性,所以企业越来越关注如何在最大

节省 IT 成本的情况下维持关键应用 7×24 小时工作,保证业务的连续性和用户

的满意度。

然而，由于中国电信发展的历史问题，使得不同运营商之间的互连互通一直存

在着很大的问题。例如，通过电信建立的应用服务器，如果是网通的用户访问

该资源的时候，Ping 的延时有几百甚至上千毫秒，用户访问时，可能会出现应

用响应缓慢甚至没有响应造成无法访问的问题。这样企业在建立应用服务器时，

如果用户采用单条接入链路，无论是采用电信还是网通网络链路，势必都会造

成相应的网通或电信用户访问非常缓慢。

如果只保持一条到公共网络的连接链路则意味着频繁的单点故障和脆弱的网

络安全性。在互联网链路的稳定性日益重要的今天，显然，单个互联网无法保

证应用服务的质量和应用的可用性以及可靠性，而应用服务的中断，将会带来

重大损失。

因此，采用多条链路已成为保证互联网链路稳定性和快速性的必然选择。而传

统的多链路的解决方案也不能完全保证应用的可靠性和可用性；

传统多归路方案通过每条互联网链路为内网分配一个不同的 IP 地址网段来实

现对链路质量的保证。这样来解决方案虽然能够解决一些接入链路的单点故障

问题，但是这样不仅没有实现真正上的负载均衡，而且配置管理复杂。

路由协议不会知道每一个链路当前的流量负载和活动会话。此时的任何负

载均衡都是很不精确的，最多只能叫做“链路共享”。

出站访问，有的链路会比另外的链路容易达到。虽然路由协议知道一些就

近性和可达性，但是他们不可能结合诸如路由器的 HOP 数和到目的网络延时及

链路的负载状况等多变的因素，做出精确的路由选择。

入站流量，有的链路会比另外的链路更好地对外提供服务。没一种路由机

制能结合 DNS，就近性，路由器负载等机制做出判断哪一条链路可以对外部用

22 / 27

户来提供最优的服务。

所以说，传统的多链路接入依靠复杂的设计，解决了一些接入链路存在单

点故障的问题。 但是，它远远没有把多链路接入的巨大优势发挥出来。

2、需求分析

为了提升应用系统的稳定性和可靠行，通过已经部署多条互联网链路以保

证网络服务的质量，消除单点故障，减少停机时间。目前需要在如下两种情况

下实现多条链路的负载均衡：

1、内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在

多条不同的链路中动态分配和负载均衡，这也被称为出站流量的负载均衡。

2、互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态

的在多条链路上平衡分配，并在一条链路中断的时候能够智能地自动切换到另

外一条链路到达服务器和应用系统，这也被称作为入站流量的负载均衡。

正对上述问题，我们推荐使用深信服 AD 应用交付解决方案，可以智能的为客

户解决上述问题：

对于出站流量，AD 接收到流量以后，可以智能的将出站流量分配到不同的

INTERNET 接口，并做源地址的 NAT，可以指定某一合法 IP 地址进行源地址的

NAT，也可以用 AD 的接口地址自动映射，保证数据包返回时能够正确接收。

对于入站流量，AD 分别绑定两个运营商的公网地址，解析来自两个运营商的

DNS 解析请求。AD 不仅可以根据服务器的健康状况和响应速度回应 LDNS 相应

的 IP 地址，还可以通过两条链路分别与 LDNS 建立连接，根据 RTT 时间判断链

路的好坏，并且综合以上两个参数回应 LDNS 相应的 IP 地址。

3、解决方案

网络拓扑

深信服链路负载均衡解决方案能够很好的解决上述问题。本方案设计采用

SINFOR AD 应用交付设备来实现网络中两条链路的智能负载；具体部署情况如

下：

23 / 27

4、方案描述

方案设计总体描述

本方案设计采用深信服 AD 应用交付设备来实现网络中两条链路入站（从

Internet 发起对内部服务器的访问）和出站（内部客户端发起对 Internet 的

访问）方向负载均衡；

整个系统采用全冗余网络连接方式设计，来保证系统的高可用性和高可靠性。

方案具体实现方式如下：

对于出站流量，AD 接收到流量以后，可以智能的将访问 ISP1 的资源的出

站流量分配到 ISP1 的接口，并做源地址的 NAT，（可以指定某一合法 IP 地址

进行源地址的 NAT，也可以用 AD 的接口地址自动映射），保证数据包返回时能

够正确接收，其他的流量走 ISP2 的线路。

对于入站流量，AD 分别绑定两个 ISP 服务商的公网地址，解析来自两个

ISP 服务商的 DNS 解析请求。ISP1 的用户访问通过 ISP1 的线路访问内部，其

他的用户访问通过 ISP2 的线路来访问内部。AD 不仅可以根据服务器的健康状

况和响应速度回应 LDNS 相应的 IP 地址，还可以通过两条链路分别与 LDNS 建

立连接，根据 RTT 时间判断链路的好坏，并且综合以上两个参数回应 LDNS 相

24 / 27

应的 IP 地址。

链路负载均衡及冗余

两台 AD 以主备的方式实现网络中两条链路的负载均衡及冗余。AD 可以根

据相应的链路负载均衡算法来实现快速访问的智能引导，比如将访问电信的用

户引导至电信链路，访问网通的用户引导到网通链路，解决了不同 ISP 之间的

互连互通问题，保证了最好的访问速度和最高的访问效率。同时，AD 的健康检

查机制实现对链路健康状况的实时监控，当有链路出现故障时 AD 会屏蔽故障

链路，并自动将流量切向其它正常工作的备份链路，实现了链路的高可用性。

设备自身冗余性

两台 SINFOR AD 设备以主备的冗余方式方连接，处于备份状态的设备采用

“心跳线”监测运行的设备的状态，当检测出设备故障时，两台设备就会产生

毫秒级切换，备份设备会切换为运行主机，为用户提供服务，保证了系统的高

可用性。

易于管理性

SINFOR AD 产品提供 https 的安全 Web 全中文的界面管理，本地基于 Serial

Console 的管理和 SSH 安全远程命令行管理；

SINFOR AD 产品还支持商业能分析功能，能够全面统计链路的运行状况如会话

连接数、用户数、应用分布情况、ip 来源等相关情况，方便管理员对网络进行

优化

5、关键技术介绍

SINFOR AD 链路负载工作原理

目前链路负载均衡设备功能主要分为外部用户接入链路选择和内部用户

访问外网资源链路选择两个方面。关于 SINFOR AD 链路负载的工作原理分为两

部分介绍：入站流量(Internet 用户访问内网服务器及 DNS 查询的流量)和出站

流量(内网用户主动发起的访问 Internet 服务器的流量)。

入站流量

SINFOR AD 需要用户将域名的解析功能导向到 SINFOR AD，由 AD 来进行域名的

25 / 27

解析。举个例子来说，当用户远程通过域名访问对外发布网站时，逐步通过远

程用户的本地 DNS 服务器、根 DNS 服务器，最终由 SINFOR AD 来进行域名的解

析。然后 SINFOR AD 就会通过静态列表或者动态判断算法，在多挑链路中选择

最优的线路，然后将域名解析成相应线路的 IP 地址，返回给用户。具体访问

流程如下：

假定现在外部公网一个用户访问，SINFOR AD 处理入站流量的过程如下：

1)：客户端向本地 DNS 发出域名解析请求，请求解析域名的 IP 地址。

2)：本地 DNS 首先在本地搜索是否有相应的记录，如果没有就向 ROOT 服务器

发起查询的地址，得到 2 个 NS 记录 ,分别对应 SINFOR AD 在两个 ISP 网段的

地址 DNS 服务器，

3)： 本地 DNS 查询到达 Link Controller。SINFOR AD 先判断链路的健康状况，

再根据预先定义的负载均衡算法决定返回给本地 DNS 哪个 IP 地址。

4)：本地 DNS 得到解析结果，并将结果返回给客户端。

5)：客户端对得到的 IP 地址发起连接请求，请求最终到达 SINFOR AD。

出站流量

出站流量主要是由内部用户和服务器主动发起的对公网的访问，当这部分流量

到达 SINFOR AD 时，SINFOR AD 会通过预先设定的好策略判断每条条链路的健

康状况，并决定将流量负载均衡到哪条链路，然后数据包的源地址转换成相应

ISP 网段的公网地址，再将该数据包发出；响应数据包返回到 SINFOR AD 时，

SINFOR AD 将目的地址进行转换之后将数据包发给内部的用户或服务器。

链路负载均衡算法

轮询：将所有网络链路放在一个队列当中，按顺序依次返回给用户队列中

下一个网络链路的 IP 地址。

加权轮询，由于各条互联网链路的吞吐量可能不一，因此可以为各条链路分配

不同的加权值。根椐这个比例，把数据流量轮询分配到每条链路。

加权最少连接算法,是一种动态调度算法，它通过链路当前所活跃的连接数来

估计链路数的负载情况。AD 需要记录各个链路已建立的连接书，当一个请求被

调度到某链路，其连接数加 1；当连接中止或超时，其连接数减一;

加权最小连接算法通过以各条链路上的实际连接数为权值，在调度新连接时尽

26 / 27

可能的使各条链路上已建立连接数为 1：1,AD 将把新的连接请求分配到当前比

例最小的链路上

静态就近性：

SINFOR AD 搜集了各运营商所有的 IP 地址库并提供实时更新，目标 IP 属于哪

个运营上选择那个运营商链路；同时，用户可在上为某个目标定义静态的最佳

链路。例如目标 IP 地址属于 ISP1 的，应选择 ISP1 链路；目标 IP 地址属于 ISP2

的，应选择 ISP2 链路。

动态就近性：

在选择最佳链路时，SINFOR AD 通过综合考虑与目标网络之间的路由节点数量、

数据传输的延迟和链路的实时负载，准确计算出最佳路径。因此用户能充分地

享受到优化的服务和快速地响应。

链路健康检查

SINFOR AD 通过多个 Internet 站点的可达性，来共同判断一条链路的状况。

例如，通过电信线路检查、、以及的 TCP 80 端口，并对检查结果做“或”运

算。这样，只要其中一个站点可达，即可表明链路状态良好。该方法即避免了

ICMP 检查的局限性，也避免了单一站点检查带来的单点失误。

商业智能分析

SINFOR AD 是深信服最新推出的应用交付系列设备,与传统的负载均衡设

备不同,他更加关注企业应用的整体交付过程中所出现的一系列问题.其突出

特色就是 SINFOR AD 的智能分析功能.

SINFOR AD 具备强大的统计分析功能，能够有效统计分析链路的使用情况，包

括流量、连接数、用户数；能够有效统计服务器的使用状况，包括连接数、响

应时间、健康状态等；能有效统计访问用户的时间、地域分布特性以及用户的

应用访问偏好。

SINFOR AD 能为企业提供关于链路使用情况、服务器使用情况、用户使用偏好

等全面的智能报表分析,帮助企业快速全面的了解整个应用发布系统各个元素

的运行状况。此功能可以为企业带来两点价值：1、为企业提供网络优化和改

造的依据;2、为企业业务运营计划,提供商业决策的依据

27 / 27