需求概述
  互联网及IT技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的重要问题之一。网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者激烈斗争的舞台。Web时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。目前更多的出现了以下的安全问题：

  投资成本攀升，运维效率下降 
  许多企业为了应对复杂的安全威胁,购买了多个厂商的安全产品,安全建设犹如堆积木一般。购买的安全防护产品愈来愈多，问题也随之出现：大量的安全防护产品部署，需要大量专业安全管理人员负责维护，复杂的安全架构使得管理同样变得复杂化，由于企业采用了多套安全解决方案，这就要求有很多技术人员精通不同厂商的解决方案。购买产品很简单，日常运维很复杂，这对企业本来就有限的IT人员、安全管理人员来讲是非常痛苦和困难的事情。而且不同厂商安全解决方案之间的协调性也有待商榷，当专业化的攻击和威胁来临时，这些安全产品之间能不能发挥协同作用抵御威胁这还是一个很大的问号。对企业的管理者来说，如何降低管理成本、提高运维效率、提升企业安全水平，是目前急待解决的问题。

  “数据库泄密”、“网页遭篡改”等应用层安全事件频现 
  2011年上半年，索尼超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码失窃，索尼已花掉了1.71亿美元用于泄密事件之后的客户挽救、法律成本和技术改进这笔损失只会有增无减。 
  2011年5月10日上午消息，一些兜售廉价软件的黑客攻击了多个知名网站，包括美国宇航局(以下简称“NASA”)和斯坦福大学的网站。 
  有网友就在微博中反映：买家在自己开的网店购物之后，付款时却将货款打到一个不相干的帐户。后查明，是这个买家此前已经中毒。这种情况下，在中毒电脑上进行的所有交易都将给骗子付款。 
  尽管部署了众多安全设备,此类问题仍然频发,原因何在： 
  >  当前攻击层次逐步向应用层转变，传统防火墙失效;
  >  黑客采取混合攻击，组合多种威胁方法，传统的单点式安全设备失效;
  >  黑客采取混合攻击,单点式安全设备串联,或是UTM, 由于都未真正融合众多安全功能,无法将各种攻击信息关联和共享,无法跟踪黑客攻击攻击各个环节,漏网威胁与日俱增。

  网管员对企业流量束手无策 
  当前网络中流量多为七层应用，传统安全设备对其不可见，致使IT管理员无法了解哪些应用处于使用中以及哪些用户在使用这些应用，无法轻松区分好应用和坏应用，无法根据网络状况实施控制策略，如何将网络控制权重新还给IT管理员亟待解决。

  部署UTM，网络中断或访问变慢 
  UTM貌似可以解决以上问题，然而，UTM非多种安全防护功能的真正集成，功能全开后性能大幅下降，花重金购置的设备被迫成为了摆设，客户急需真正的一体化安全设备且不应该导致网络运行中断。

  内网出现威胁，追究责任困难 
  企业内网拥有强大的认证系统，传统安全产品无法与之有机结合，使之孤立存在，从而内网安全机制无法定位到人员，出现问题只能定位于大量的IP地址，网管不是计算机，从一大堆的IP地址中，定位具体人员十分困难。
  安全设备越快适应现网的认证系统，并充分融合，安全问题真正落实到位，是多年来企业IT人员的梦想。

      安全建设方案

  为了能够更好的针对当前网络安全现状，控制好可能发生的各种安全风险，建议采用下一代防火墙深信服NGAF针对业务系统进行全面的安全加固。
  首先，我们建议将整个业务系统划分为如下网络安全域：

  数据中心安全域：包括各种应用系统和服务器，如OA、视频、ERP、MAIL等，由于是整个IT系统的核心，安全级别； 
  广域网边界安全域：各个分支机构通过专网接入总部局域网，访问各种业务应用系统，主要包括构建专网的核心路由器、分支路由器；
  互联网接入安全域：由于内部终端、对外发布业务系统（如网上交易系统）都需要与互联网相连，访问互联网资源或者对外提供业务。此区域安全风险，需要重点隔离与控制；
  内网办公安全域：包括总部内网的办公终端，为不同的部门提供高速、稳定的网络接入；

  其次，根据这些网络安全域之间的访问关系、安全级别，我们建议在如下位置部署NGAF进行一体化的L2-L7安全防护与控制，整体方案如下图所示：

NGAF部署的总体方案

数据中心方案拓扑

  通过在数据中心核心交换机外侧部署深信服NGAF可以帮助我们实现如下四个安全目标：
  1）面向用户、应用的安全访问：将访问控制权限精确到用户与业务系统，有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂。
  2）7层的内容安全检测：7层一体化安全防护（包括漏洞防护、服务器防护、病毒防护等）以及智能的内容安全过滤功能，防止各种应用威胁干扰服务器的稳定运行，确保核心业务数据的安全。
  3）核心业务有保障： 基于应用的流量管理，保证核心业务带宽充足。万兆的应用层性能，有效保障数据中心的可用性。
  4）可视化安全风险评估：提供服务器风险和终端风险报告以及应用流量报表，使全网的安全风险一目了然，帮助管理员分析安全状况管理数据中心。

      广域网边界安全隔离与防护

  对于广域网边界安全防护需要从如下几个方面着重考虑：
  1）人员多，应用杂：如何制定有效的ACL，ACL是基于IP和端口的，这样的机器语言无法直观、清晰的制定访问控制策略，容易出现错配、漏配；
  2）传统FW缺乏应用层威胁防护，病毒木马在分支机构和总部间传播速度快
  3）病毒木马占用广域网有限带宽，影响关键业务的传输
  4）分支数量多，IT管理水平层次不齐，设备多，成本高，组网杂，维护难

    通过在核心交换机与核心路由器之间部署深信服NGAF，可以帮助我们实现如下安全目标：
  1）面向用户、应用的安全访问：将访问控制权限精确到用户与业务系统，有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂
  2）广域网垃圾流量清洗：通过NGAF智能的内容安全过滤功能，将病毒、木马、蠕虫、DDoS等各种垃圾流量清除，确保带宽纯净，防止病毒扩散
  3）一体化部署，简化组网： NGAF具备L2-L7一体化安全防护功能，可以简化组网，简便管理，提高性价比；

      互联网出口边界防护
  由于互联网边界实现了对外业务发布系统和内网终端的互联网接入，因此需要从如下几个方面着重考虑：
  对外业务系统发布：
  1）网站被挂马、数据遭篡改，企业/单位形象受损，造成经济损失，带来负面影响
  2）合理控制服务器外联权限，封堵黑客远程控制，上传病毒、木马；
  3）响应速度要求快，系统稳定性要求高，需要简化组网，降低延时，减少单点故障；

      内网终端互联网接入：
  1）浏览器、OS、Flash漏洞多，上网容易感染病毒、木马，窃取隐私
  2）合理控制服务器外联权限，封堵黑客远程控制终端，将内网终端作为跳板，入侵服务器
  3）用户权限多样，安全策略配置复杂

      互联网边界安全方案拓扑

  通过在互联网接入路由器后部署深信服NGAF，网上交易系统部署在DMZ区，可以实现对内网终端和对外业务发布系统的双重防护
  对外业务发布系统防护：
  1）防止黑客入侵，获取权限，窃取数据：通过NGAF的漏洞防护、服务器防护、病毒防护等多种应用内容防护功能，防止黑客入侵，保证服务器稳定运行；
  2）精确控制服务器外联权限：通过NGAF精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量；
  3）简化组网、降低延时： NGAF具备L2-L7一体化安全防护功能，可以简化组网，减少故障点；通过单次解析引擎减低延时；

  内部终端安全防护：
  1）全面防护，标本兼治：通过NGAF的恶意网站过滤功能，防止终端访问威胁网站和应用；通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段；
  2）精确识别，防止非法外联：通过NGAF精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量，防止终端被作为跳板入侵服务器
  3）一体化部署，配置简单： NGAF具备L2-L7一体化安全防护功能，可以简化组网，简便管理，提高性价比；

    方案使用产品及模块：深信服 AF1120 流量管理网关:

    1.深信服AF-1020下一代应用防火墙:
    包含（*防火墙网关AF-1020,*深信服防火墙软件V1.0)
    2.IPS漏洞防护+服务器防护功能模块授
    3.*深信服 AF-1120 硬件平台
    4.AV网关杀毒功能模块授权
    5.URL、应用识别库更新