需求概述
　　互聯(lián)網及IT技術的應用在改變人類生活的同時，也滋生了各種各樣的新問題，其中信息網絡安全問題將成為其面對的最重要問題之一。網絡帶寬的擴充、IT應用的豐富、互聯(lián)網用戶的膨脹式發(fā)展，使得網絡和信息平臺早已成為攻擊愛好者和安全防護者最激烈斗爭的舞臺。Web時代的安全問題已遠遠超于早期的單機安全問題，盡管防火墻、IDS、UTM等傳統(tǒng)安全產品在不斷的發(fā)展和自我完善，但是道高一尺魔高一丈，黑客們不僅專門針對安全設備開發(fā)各種工具來偽裝攻擊、逃避檢測，在攻擊和入侵的形式上也與應用相結合越來越緊密。這些都使傳統(tǒng)的安全設備在保護網絡安全上越來越難。目前更多的出現(xiàn)了以下的安全問題：

　　投資成本攀升，運維效率下降
　　許多企業(yè)為了應對復雜的安全威脅,購買了多個廠商的安全產品,安全建設猶如堆積木一般。購買的安全防護產品愈來愈多，問題也隨之出現(xiàn)：大量的安全防護產品部署，需要大量專業(yè)安全管理人員負責維護，復雜的安全架構使得管理同樣變得復雜化，由于企業(yè)采用了多套安全解決方案，這就要求有很多技術人員精通不同廠商的解決方案。購買產品很簡單，日常運維很復雜，這對企業(yè)本來就有限的IT人員、安全管理人員來講是非常痛苦和困難的事情。而且不同廠商安全解決方案之間的協(xié)調性也有待商榷，當專業(yè)化的攻擊和威脅來臨時，這些安全產品之間能不能發(fā)揮協(xié)同作用抵御威脅這還是一個很大的問號。對企業(yè)的管理者來說，如何降低管理成本、提高運維效率、提升企業(yè)安全水平，是目前最急待解決的問題。

　　“數(shù)據(jù)庫泄密”、“網頁遭篡改”等應用層安全事件頻現(xiàn)
　　2011年上半年，索尼超過1億個客戶帳戶的詳細資料和1200萬個沒有加密的信用卡號碼失竊，索尼已花掉了1.71億美元用于泄密事件之后的客戶挽救、法律成本和技術改進這筆損失只會有增無減。
　　2011年5月10日上午消息，一些兜售廉價軟件的黑客攻擊了多個知名網站，包括美國宇航局(以下簡稱“NASA”)和斯坦福大學的網站。
　　有網友就在微博中反映：買家在自己開的網店購物之后，付款時卻將貨款打到一個不相干的帳戶。后查明，是這個買家此前已經中毒。這種情況下，在中毒電腦上進行的所有交易都將給騙子付款。
　　盡管部署了眾多安全設備,此類問題仍然頻發(fā),原因何在：
　　 >　 當前攻擊層次逐步向應用層轉變，傳統(tǒng)防火墻失效;
　　 >　 黑客采取混合攻擊，組合多種威脅方法，傳統(tǒng)的單點式安全設備失效;
　　 >　 黑客采取混合攻擊,單點式安全設備串聯(lián),或是UTM, 由于都未真正融合眾多安全功能,無法將各種攻擊信息關聯(lián)和共享,無法跟蹤黑客攻擊攻擊各個環(huán)節(jié),漏網威脅與日俱增。

　　網管員對企業(yè)流量束手無策
　　當前網絡中流量多為七層應用，傳統(tǒng)安全設備對其不可見，致使IT管理員無法了解哪些應用處于使用中以及哪些用戶在使用這些應用，無法輕松區(qū)分好應用和壞應用，無法根據(jù)網絡狀況實施控制策略，如何將網絡控制權重新還給IT管理員亟待解決。

　　部署UTM，網絡中斷或訪問變慢
　　UTM貌似可以解決以上問題，然而，UTM非多種安全防護功能的真正集成，功能全開后性能大幅下降，花重金購置的設備被迫成為了擺設，客戶急需真正的一體化安全設備且不應該導致網絡運行中斷。

　　內網出現(xiàn)威脅，追究責任困難
　　企業(yè)內網擁有強大的認證系統(tǒng)，傳統(tǒng)安全產品無法與之有機結合，使之孤立存在，從而內網安全機制無法定位到人員，出現(xiàn)問題只能定位于大量的IP地址，網管不是計算機，從一大堆的IP地址中，定位具體人員十分困難。
　　安全設備越快適應現(xiàn)網的認證系統(tǒng)，并充分融合，安全問題真正落實到位，是多年來企業(yè)IT人員的夢想。

安全建設方案

　　為了能夠更好的針對當前網絡安全現(xiàn)狀，控制好可能發(fā)生的各種安全風險，建議采用下一代防火墻深信服NGAF針對業(yè)務系統(tǒng)進行全面的安全加固。
　　首先，我們建議將整個業(yè)務系統(tǒng)劃分為如下網絡安全域：

　　數(shù)據(jù)中心安全域：包括各種應用系統(tǒng)和服務器，如OA、視頻、ERP、MAIL等，由于是整個IT系統(tǒng)的核心，安全級別最高；
　　廣域網邊界安全域：各個分支機構通過專網接入總部局域網，訪問各種業(yè)務應用系統(tǒng)，主要包括構建專網的核心路由器、分支路由器；
　　互聯(lián)網接入安全域：由于內部終端、對外發(fā)布業(yè)務系統(tǒng)（如網上交易系統(tǒng)）都需要與互聯(lián)網相連，訪問互聯(lián)網資源或者對外提供業(yè)務。此區(qū)域安全風險最高，需要重點隔離與控制；
　　內網辦公安全域：包括總部內網的辦公終端，為不同的部門提供高速、穩(wěn)定的網絡接入；

　　其次，根據(jù)這些網絡安全域之間的訪問關系、安全級別，我們建議在如下位置部署NGAF進行一體化的L2-L7安全防護與控制，整體方案如下圖所示：

數(shù)據(jù)中心服務器保護
　　內部數(shù)據(jù)中心的服務器承載的業(yè)務尤為重要，是整個ＩＴ系統(tǒng)的核心組成部分，因此需要從如下四個方面著重考慮：
　　1）訪問控制：誰可以訪問數(shù)據(jù)中心？什么應用可以訪問數(shù)據(jù)中心？盜用IP身份怎么辦？如何防止應用的濫用和誤用？傳統(tǒng)防火墻基于端口/IP能否解決？
　　2）威脅攻擊的問題：如何保護數(shù)據(jù)中心免受病毒、木馬攻擊；防止數(shù)據(jù)中心服務器被攻擊
　　3）數(shù)據(jù)中心可用性：數(shù)據(jù)中心流量大，需要有效保證核心業(yè)務可用性
　　4）安全事件應用響應問題：如何了解數(shù)據(jù)中心安全風險問題？是否可以幫助管理員制定策略？

數(shù)據(jù)中心方案拓撲

　　通過在數(shù)據(jù)中心核心交換機外側部署深信服NGAF可以幫助我們實現(xiàn)如下四個安全目標：
　　1）面向用戶、應用的安全訪問：將訪問控制權限精確到用戶與業(yè)務系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務開放對象更為明了、管理更方便、策略更易懂。
　　2）7層的內容安全檢測：7層一體化安全防護（包括漏洞防護、服務器防護、病毒防護等）以及智能的內容安全過濾功能，防止各種應用威脅干擾服務器的穩(wěn)定運行，確保核心業(yè)務數(shù)據(jù)的安全。
　　3）核心業(yè)務有保障： 基于應用的流量管理，保證核心業(yè)務帶寬充足。萬兆的應用層性能，有效保障數(shù)據(jù)中心的可用性。
　　4）可視化安全風險評估：提供服務器風險和終端風險報告以及應用流量報表，使全網的安全風險一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。

廣域網邊界安全隔離與防護
　　對于廣域網邊界安全防護需要從如下幾個方面著重考慮：
　　1）人員多，應用雜：如何制定有效的ACL，ACL是基于IP和端口的，這樣的機器語言無法直觀、清晰的制定訪問控制策略，容易出現(xiàn)錯配、漏配；
　　2）傳統(tǒng)FW缺乏應用層威脅防護，病毒木馬在分支機構和總部間傳播速度快
　　3）病毒木馬占用廣域網有限帶寬，影響關鍵業(yè)務的傳輸
　　4）分支數(shù)量多，IT管理水平層次不齊，設備多，成本高，組網雜，維護難

廣域網邊界安全防護方案拓撲

　　通過在核心交換機與核心路由器之間部署深信服NGAF，可以幫助我們實現(xiàn)如下安全目標：
　　1）面向用戶、應用的安全訪問：將訪問控制權限精確到用戶與業(yè)務系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務開放對象更為明了、管理更方便、策略更易懂
　　2）廣域網垃圾流量清洗：通過NGAF智能的內容安全過濾功能，將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除，確保帶寬純凈，防止病毒擴散
　　3）一體化部署，簡化組網： NGAF具備L2-L7一體化安全防護功能，可以簡化組網，簡便管理，提高性價比；

互聯(lián)網出口邊界防護
　　由于互聯(lián)網邊界實現(xiàn)了對外業(yè)務發(fā)布系統(tǒng)和內網終端的互聯(lián)網接入，因此需要從如下幾個方面著重考慮：
　　對外業(yè)務系統(tǒng)發(fā)布：
　　1）網站被掛馬、數(shù)據(jù)遭篡改，企業(yè)/單位形象受損，造成經濟損失，帶來負面影響
　　2）合理控制服務器外聯(lián)權限，封堵黑客遠程控制，上傳病毒、木馬；
　　3）響應速度要求快，系統(tǒng)穩(wěn)定性要求高，需要簡化組網，降低延時，減少單點故障；

內網終端互聯(lián)網接入：
　　1）瀏覽器、OS、Flash漏洞多，上網容易感染病毒、木馬，竊取隱私
　　2）合理控制服務器外聯(lián)權限，封堵黑客遠程控制終端，將內網終端作為跳板，入侵服務器
　　3）用戶權限多樣，安全策略配置復雜

互聯(lián)網邊界安全方案拓撲

　　通過在互聯(lián)網接入路由器后部署深信服NGAF，網上交易系統(tǒng)部署在DMZ區(qū)，可以實現(xiàn)對內網終端和對外業(yè)務發(fā)布系統(tǒng)的雙重防護
　　對外業(yè)務發(fā)布系統(tǒng)防護：
　　1）防止黑客入侵，獲取權限，竊取數(shù)據(jù)：通過NGAF的漏洞防護、服務器防護、病毒防護等多種應用內容防護功能，防止黑客入侵，保證服務器穩(wěn)定運行；
　　2）精確控制服務器外聯(lián)權限：通過NGAF精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關非法外聯(lián)流量；
　　3）簡化組網、降低延時： NGAF具備L2-L7一體化安全防護功能，可以簡化組網，減少故障點；通過單次解析引擎減低延時；

　　內部終端安全防護：
　　1）全面防護，標本兼治：通過NGAF的惡意網站過濾功能，防止終端訪問威脅網站和應用；通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術手段；
　　2）精確識別，防止非法外聯(lián)：通過NGAF精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關非法外聯(lián)流量，防止終端被作為跳板入侵服務器
　　3）一體化部署，配置簡單： NGAF具備L2-L7一體化安全防護功能，可以簡化組網，簡便管理，提高性價比；