2009年1月，深信服科技調查了北京、上海、廣州、深圳、杭州、南京等地的數百家網絡規模在500~12000人之間，帶寬從100M到1G之間的各類組織的網絡管理狀況，涵蓋政府、教育科研、金融、運營商、能源、醫療、大中型企業等行業，從中抽取了100份有效調查結果，其中僅有26家單位部署了上網行為管理硬件產品。2010年1月，深信服科技對這些組織進行了回訪，其中已有78家單位部署上網行為管理硬件產品。我們將在下文整理對比、并以圖表展現以上變化，同時分析解讀深層原因。以下為報告節選：

詳情請見《中國上網行為管理藍皮書》

識別技術

識別是管理的基礎，識別能力是評判一款上網行為管理產品專業度的重要標準。業內優秀的上網行為管理產品識別率普遍可以達到85%~90%甚至更高。

Ø 用戶識別

用戶身份識別是實施管理的依據，主流上網行為管理產品所支持的用戶識別技術包括本地認證、第三方認證、多因素認證、軟件免認證、硬件免認證、單點登錄技術、強制認證、臨時用戶、用戶自注冊等。

Ø 終端安全識別

終端識別技術包括終端硬件識別和終端安全狀況識別等。終端硬件識別主要是資產管理系統的工作，我們不做過多關注。終端安全識別包括進程、注冊表、操作系統與補丁、殺毒軟件與病毒庫升級、多網卡狀態、應用程序檢測等。

Ø 應用識別

上網行為管理產品的應用識別能力是重中之重，是產品發揮管理控制功能的根基。主流的識別技術有兩種：DPI，也稱“深度數據包檢測”，即基于數據包組成內容特征的應用識別;DFI，也稱“深度流特征檢測”，建立在應用特征的統計學規律基礎上的行為識別，是具有智能特性的識別技術。

Ø 智能識別

ü HTTPS非法網站識別

HTTPS被廣泛應用于通訊安全，如目前幾乎100%的金融類網站，部分門戶網站均使用了HTTPS加密方式。大量釣魚、掛馬網站也使用HTTPS加密，而傳統安全產品無法對HTTPS加密過的釣魚、掛馬網站進行識別，導致安全管理上存在嚴重漏洞。為解決此問題，部分上網行為管理產品提供了相應的SSL加密網站的甄別技術，將HTTPS類型非法網站排除在訪問對象之外，保障網絡安全。

ü 網頁智能識別

大中型上網行為管理廠商多數都有研發團隊負責網頁分類與URL庫更新，以此作為網頁過濾控制的依據。但是，2009年“互聯網網頁數量達到336億個，年增長率超過100%”(CNNIC)，靠人工手動分類的方式已遠遠跟不上網頁的增長速度，加上大量的私博和社交網頁并未被傳統的URL庫收歸，導致即使這些網頁存在[FS:PAGE]問題也很難被發現。為此，技術領先的上網行為管理廠商提供基于關鍵字、基于網頁分類特征的識別技術(如賭博類網站往往都有相似的關鍵字和結構)，將人工分類的技巧“傳授”給產品，讓產品“學習”之后，將新訪問的不在庫中的網頁自動分類入庫。

ü 行為智能識別

網絡應用層出不窮，每天都有新軟件、已有軟件的新版本面世，尤其是P2P軟件，僅靠已有的應用識別庫來識別具有一定的滯后性。為此，上網行為管理產品應具備基于應用行為規律的智能識別技術，即便出現新的未知軟件、未知版本，也能將其識別、管控。

Ø 威脅識別

來自網絡的安全威脅如：帶毒掛馬的網頁/郵件、黑客入侵、可信好友發來的潛在威脅的鏈接，來自組織內部的威脅：終端中毒發起攻擊、異常外發流量、異常端口掃描行為等等，帶來管理和安全問題。為此，威脅識別技術能及時發現、封鎖、統計異常流量和異常終端，幫助組織提前規避風險。

流控技術

“基于TCP窗口整形的流控技術”和“基于隊列的流控技術”是目前專業流控產品采用的較多兩種技術。

Ø 基于TCP窗口整形的流控技術

基于TCP窗口整形的流控技術，通過調整TCP滑動窗口的大小來控制流量，該技術的優勢在于控制尺度比較精確，但是采用此技術的產品往往性能有限(一般不能支撐超過1G的流量)，一旦逼近極限就會出現較大誤差。

Ø 基于隊列的流控技術

顧名思義，“基于隊列的流控技術”就是建立管道，將不同的控制對象分配到不同的管道里。該技術的好處是控制靈活，大通道中可以多層嵌套小管道，分別對應不同的用戶、時間、應用協議、網站、文件類型等對象建立不同的通道，對于結構復雜又希望實現差異化控制的組織來說可以做到更為精確的控制。隊列技術采用數據包調度，能實現了對大流量的很好的控制。

以一個實例來說明效果，假設我們要對一個出口帶寬為1G(由數條線路組成)的高校做帶寬管理，產品以網橋模式部署：

Ø 物理線路->虛擬線路：橋模式下建立虛擬線路，可分別映射外網物理線路;

Ø 父通道->二級子通道->三級子通道

將出口1000M按規模劃分給下屬3個校區：300M、300M、400M;

其中，A校區擁有300M出口，并為A校區設置分級IT管理員，允許根據校區內研究室、學院規模分配帶寬;

Ø 子通道->虛擬子通道：每條通道可根據應用/文件/網站類型等進一步劃分成虛擬通道;

A校區IT管理員為某研究生實驗室(30人規模)分配帶寬，將4M線路“動態”分配給上網用戶(人數在0~30之[FS:PAGE]間隨意波動)，并限定單用戶下行不超過200Kb，其中每個人的P2P下載不超過50%，總線路的P2P應用不超過30%。

云技術

在上網行為管理領域，“云技術”已得到應用，如通過互聯網上已部署的產品發現、統計網絡管理中出現的外來威脅、內在危險、未識別的流量/應用、行業應用特征、用戶行為習慣等，基于“云”網絡共享信息，為產品的優化改進提供依據，以便更好地提升用戶體驗。