一、 酒店行业需求分析
酒店的网络通常划分为不同的功能网络，包括：管理网（供酒店内部管理使用）、客房网（供客人访问internet网络）、无线网络（公共区域的无线上网）、IPTV网络（用于承载IPTV的网络）。
酒店租用运营商的带宽连接到internet，经常会发生以下令酒店IT manager不愿看到的现象：
1、 部分住店客人使用P2P技术（典型软件包括迅雷、电骡、BT等）高速下载，抢占了有限的internet访问带宽，导致大部分酒店的客人上网速度慢甚至无法上网。
2、 酒店工作人员上班时间沉迷于与工作无关的QQ聊天、访问工作无关网站、访问非法网站等，影响了内部工作效率，并且将病毒引入内部网络。
3、 个别酒店员工通过邮件、FTP等私自传输重要文件，导致机密泄露，如何提供有效的证据信息？
另外，根据我国公安部颁布的《互联网安全保护技术措施规定》（即"82号令"），要求"互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能"，对于酒店而言，就是要记录酒店互联网访问记录。
在这种情形下迫切需要一种专业的应用控制网关产品，来解决以上问题，H3C ACG（应用控制网关）就是针对这种强烈需求推出的！

二、 H3C ACG产品在酒店行业的应用方案
部署位置
1、采用S7500E/S9500E交换机ACG插卡方式
2、采用独立形态的ACG2000-M方式：
H3C 推荐采用在S7500E/S9500E交换机上的ACG插卡方式，采用该方案的优点：集成度更高、故障点更少、占用机房空间更少、网络更简洁。
功能介绍
1、 应用控制
应用控制功能是指允许或禁止一些网络应用，或者对允许使用的功能进行网络速度上的限制。例如：允许email/ftp/http/MSN等，禁止BT/迅雷/电驴/QQ/PPstream等。
该功能用于管理网，可以设置允许酒店员工使用与工作相关的软件，禁止使用与工作无关的软件。
该功能用于客房网，可以设置客户使用BT/迅雷/电驴/QQ/PPstream等软件时允许的速度。
功能界面：
 按时间段、网络出口（即段）、上行/下行、应用组/应用、源IP/IP组、目的IP/IP组等，对各种业务进行阻断、限流、告警、干扰等
2、 精细化的流量监控
精细化的流量监控功能是指可以非常详细地看到网络的使用状况：网络的总体流量情况、不同用户的使用情况、不用应用的使用情况、不同IP地址/地址组的使用情况、不同时间使用情况、每个人的详细使用情况。
该功能可用于客房网、办公网，可以让酒店IT manager可以监控到非常详细的网络流量使用状况，对网络使用状态一目了然。
原理示意图：
功能界面：
查看某个用户的详细网络使用信息
网络使用的流量趋势图
某时间段内各种业务流量统计
不同应用的流量统计
不同IP地址的流量统计
3、 用户行为审计
用户行为审计功能可以详细地记录下酒店内客人、员工上网访问的详细信息，以备需要之时进行相关信息的查询。该功能也能满足公安部82令的要求。
功能界面：
 可支持高达96K个用户的行为审计
 完善的审计功能，提供包括WEB、FTP、Email、Oracle、NAT等应用的行为与流量审计
4、URL过滤
URL过滤功能可以限制管理网内员工访问非法网站的问题。
功能界面：
 针对非法网站访问，通过URL过滤、关键字过虑，避免因访问反动、色情网站造成政治和安全的隐患
 可通过主机、正则表达式、关键字等设置URL库

通过以上H3C ACG四大功能的介绍，我们可以看到H3C ACG可以有限地解决酒店行业面临的internet访问控制上的需求！

三、 H3C ACG推荐系列
基于S7500E交换机的ACG插卡：

基于S9500交换机的ACG插卡：

独立形态的ACG2000-M产品：

四、 H3C ACG产品简介
H3C SecPath ACG（Application Control Gateway）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、"地下"VoIP、"一拖N"、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而帮助用户优化其网络资源，全面了解网络应用模型和流量趋势，开展各项业务提供有力的支撑。
H3C SecPath ACG系列包括：应用于H3C S75E/S95系列交换机的SecBlade ACG模块、SecPath ACG2000-M等。
SecBlade ACG SecPath ACG2000-M
典型组网
集中式在线部署
 适用于大中型企业用户，以透明方式在线部署于网络出口
 对P2P/IM/网游/炒股软件/非法网站访问等各种应用进行监控和管理
 对用户上网行为进行分析与事后审计
 支持统一管理

分布式旁挂部署
 适合于运营商城域网，对非法VoIP业务、"一拖N"等进行监控和管理
 监控能力强、不影响业务运营
 支持分布式部署的统一管理

产品综述
强大的P2P/IM业务监控
通过H3C长期积累的状态机检测技术，能精确检测Thunder（迅雷）、BitTorrent、eMule（电骡）、eDonkey（电驴）、QQ、MSN、PPLive等近百种P2P/IM应用。同时，可基于时间、用户、区域、应用协议等，对P2P/IM应用进行告警、限流、干扰或阻断。
完善的安全审计系统
可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，事后对历史数据进行分析，为用户提供细粒度的网络行为审计管理系统。
强大的过滤功能
通过自定义IP地址、主机名、正则表达式等方式设置URL特征库，支持根据不同的URL策略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。
丰富的报表
提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表，并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。
全面地识别"地下"VoIP
支持对Skype、H.323、SIP、中桥、UUCall等近百种协议或网关的呼叫识别、阻断或干扰。目前，H3C是唯一能实现对Skype在PC-PC、PC-Phone两种通信模式进行实时有效控制的厂商。
领先的"一拖N"清理技术
采用业界流行的ID轨迹检测技术、时钟偏移检测技术，结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL检测、MAC地址检测等，能实时准确的识别出以NAT、Proxy方式进行共享接入的用户以及准确的PC数量，并实施告警、阻断等控制措施。
用户行为分析
采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，统计网络热点，发掘业务增长点；分析用户行为，统计用户兴趣，为个性化运营提供依据，并通过开放的平台接口，与第三方业务平台对接，提供高附加值业务，如在用户行为兴趣分析的基础上提供定向WEB广告服务。
降低运营成本
将多块SecBlade ACG模块直接应用于H3C S75E/S95系列交换机，即可完成性能的提升，并且S75E/S95系列交换机的任何端口都可以作为SecBlade ACG端口使用。通过将SecBlade ACG模块与S75E/S95系列交换机融为一体，一方面避免独立设备带来的单点故障问题，另一方面大大降低用户首次和后续扩容的成本与维护难度。
及时的特征库更新
H3C专业安全团队密切跟踪应用变化，并对应用协议特征库及时更新；支持在线自动/手动升级方式，升级过程无需重启系统，不影响系统业务运行。
产品规格