需求概述
　　互聯(lián)網(wǎng)及IT技術(shù)的應(yīng)用在改變?nèi)祟惿畹耐瑫r，也滋生了各種各樣的新問題，其中信息網(wǎng)絡(luò)安全問題將成為其面對的最重要問題之一。網(wǎng)絡(luò)帶寬的擴充、IT應(yīng)用的豐富、互聯(lián)網(wǎng)用戶的膨脹式發(fā)展，使得網(wǎng)絡(luò)和信息平臺早已成為攻擊愛好者和安全防護(hù)者最激烈斗爭的舞臺。Web時代的安全問題已遠(yuǎn)遠(yuǎn)超于早期的單機安全問題，盡管防火墻、IDS、UTM等傳統(tǒng)安全產(chǎn)品在不斷的發(fā)展和自我完善，但是道高一尺魔高一丈，黑客們不僅專門針對安全設(shè)備開發(fā)各種工具來偽裝攻擊、逃避檢測，在攻擊和入侵的形式上也與應(yīng)用相結(jié)合越來越緊密。這些都使傳統(tǒng)的安全設(shè)備在保護(hù)網(wǎng)絡(luò)安全上越來越難。目前更多的出現(xiàn)了以下的安全問題：

　　投資成本攀升，運維效率下降
　　許多企業(yè)為了應(yīng)對復(fù)雜的安全威脅,購買了多個廠商的安全產(chǎn)品,安全建設(shè)猶如堆積木一般。購買的安全防護(hù)產(chǎn)品愈來愈多，問題也隨之出現(xiàn)：大量的安全防護(hù)產(chǎn)品部署，需要大量專業(yè)安全管理人員負(fù)責(zé)維護(hù)，復(fù)雜的安全架構(gòu)使得管理同樣變得復(fù)雜化，由于企業(yè)采用了多套安全解決方案，這就要求有很多技術(shù)人員精通不同廠商的解決方案。購買產(chǎn)品很簡單，日常運維很復(fù)雜，這對企業(yè)本來就有限的IT人員、安全管理人員來講是非常痛苦和困難的事情。而且不同廠商安全解決方案之間的協(xié)調(diào)性也有待商榷，當(dāng)專業(yè)化的攻擊和威脅來臨時，這些安全產(chǎn)品之間能不能發(fā)揮協(xié)同作用抵御威脅這還是一個很大的問號。對企業(yè)的管理者來說，如何降低管理成本、提高運維效率、提升企業(yè)安全水平，是目前最急待解決的問題。

　　“數(shù)據(jù)庫泄密”、“網(wǎng)頁遭篡改”等應(yīng)用層安全事件頻現(xiàn)
　　2011年上半年，索尼超過1億個客戶帳戶的詳細(xì)資料和1200萬個沒有加密的信用卡號碼失竊，索尼已花掉了1.71億美元用于泄密事件之后的客戶挽救、法律成本和技術(shù)改進(jìn)這筆損失只會有增無減。
　　2011年5月10日上午消息，一些兜售廉價軟件的黑客攻擊了多個知名網(wǎng)站，包括美國宇航局(以下簡稱“NASA”)和斯坦福大學(xué)的網(wǎng)站。
　　有網(wǎng)友就在微博中反映：買家在自己開的網(wǎng)店購物之后，付款時卻將貨款打到一個不相干的帳戶。后查明，是這個買家此前已經(jīng)中毒。這種情況下，在中毒電腦上進(jìn)行的所有交易都將給騙子付款。
　　盡管部署了眾多安全設(shè)備,此類問題仍然頻發(fā),原因何在：
　　 >　 當(dāng)前攻擊層次逐步向應(yīng)用層轉(zhuǎn)變，傳統(tǒng)防火墻失效;
　　 >　 黑客采取混合攻擊，組合多種威脅方法，傳統(tǒng)的單點式安全設(shè)備失效;
　　 >　 黑客采取混合攻擊,單點式安全設(shè)備串聯(lián),或是UTM, 由于都未真正融合眾多安全功能,無法將各種攻擊信息關(guān)聯(lián)和共享,無法跟蹤黑客攻擊攻擊各個環(huán)節(jié),漏網(wǎng)威脅與日俱增。

　　網(wǎng)管員對企業(yè)流量束手無策
　　當(dāng)前網(wǎng)絡(luò)中流量多為七層應(yīng)用，傳統(tǒng)安全設(shè)備對其不可見，致使IT管理員無法了解哪些應(yīng)用處于使用中以及哪些用戶在使用這些應(yīng)用，無法輕松區(qū)分好應(yīng)用和壞應(yīng)用，無法根據(jù)網(wǎng)絡(luò)狀況實施控制策略，如何將網(wǎng)絡(luò)控制權(quán)重新還給IT管理員亟待解決。

　　部署UTM，網(wǎng)絡(luò)中斷或訪問變慢
　　UTM貌似可以解決以上問題，然而，UTM非多種安全防護(hù)功能的真正集成，功能全開后性能大幅下降，花重金購置的設(shè)備被迫成為了擺設(shè)，客戶急需真正的一體化安全設(shè)備且不應(yīng)該導(dǎo)致網(wǎng)絡(luò)運行中斷。

　　內(nèi)網(wǎng)出現(xiàn)威脅，追究責(zé)任困難
　　企業(yè)內(nèi)網(wǎng)擁有強大的認(rèn)證系統(tǒng)，傳統(tǒng)安全產(chǎn)品無法與之有機結(jié)合，使之孤立存在，從而內(nèi)網(wǎng)安全機制無法定位到人員，出現(xiàn)問題只能定位于大量的IP地址，網(wǎng)管不是計算機，從一大堆的IP地址中，定位具體人員十分困難。
　　安全設(shè)備越快適應(yīng)現(xiàn)網(wǎng)的認(rèn)證系統(tǒng)，并充分融合，安全問題真正落實到位，是多年來企業(yè)IT人員的夢想。

安全建設(shè)方案

　　為了能夠更好的針對當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀，控制好可能發(fā)生的各種安全風(fēng)險，建議采用下一代防火墻深信服NGAF針對業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全加固。
　　首先，我們建議將整個業(yè)務(wù)系統(tǒng)劃分為如下網(wǎng)絡(luò)安全域：

　　數(shù)據(jù)中心安全域：包括各種應(yīng)用系統(tǒng)和服務(wù)器，如OA、視頻、ERP、MAIL等，由于是整個IT系統(tǒng)的核心，安全級別最高；
　　廣域網(wǎng)邊界安全域：各個分支機構(gòu)通過專網(wǎng)接入總部局域網(wǎng)，訪問各種業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括構(gòu)建專網(wǎng)的核心路由器、分支路由器；
　　互聯(lián)網(wǎng)接入安全域：由于內(nèi)部終端、對外發(fā)布業(yè)務(wù)系統(tǒng)（如網(wǎng)上交易系統(tǒng)）都需要與互聯(lián)網(wǎng)相連，訪問互聯(lián)網(wǎng)資源或者對外提供業(yè)務(wù)。此區(qū)域安全風(fēng)險最高，需要重點隔離與控制；
　　內(nèi)網(wǎng)辦公安全域：包括總部內(nèi)網(wǎng)的辦公終端，為不同的部門提供高速、穩(wěn)定的網(wǎng)絡(luò)接入；

　　其次，根據(jù)這些網(wǎng)絡(luò)安全域之間的訪問關(guān)系、安全級別，我們建議在如下位置部署NGAF進(jìn)行一體化的L2-L7安全防護(hù)與控制，整體方案如下圖所示：

數(shù)據(jù)中心服務(wù)器保護(hù)
　　內(nèi)部數(shù)據(jù)中心的服務(wù)器承載的業(yè)務(wù)尤為重要，是整個ＩＴ系統(tǒng)的核心組成部分，因此需要從如下四個方面著重考慮：
　　1）訪問控制：誰可以訪問數(shù)據(jù)中心？什么應(yīng)用可以訪問數(shù)據(jù)中心？盜用IP身份怎么辦？如何防止應(yīng)用的濫用和誤用？傳統(tǒng)防火墻基于端口/IP能否解決？
　　2）威脅攻擊的問題：如何保護(hù)數(shù)據(jù)中心免受病毒、木馬攻擊；防止數(shù)據(jù)中心服務(wù)器被攻擊
　　3）數(shù)據(jù)中心可用性：數(shù)據(jù)中心流量大，需要有效保證核心業(yè)務(wù)可用性
　　4）安全事件應(yīng)用響應(yīng)問題：如何了解數(shù)據(jù)中心安全風(fēng)險問題？是否可以幫助管理員制定策略？

數(shù)據(jù)中心方案拓?fù)?/p>

　　通過在數(shù)據(jù)中心核心交換機外側(cè)部署深信服NGAF可以幫助我們實現(xiàn)如下四個安全目標(biāo)：
　　1）面向用戶、應(yīng)用的安全訪問：將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務(wù)開放對象更為明了、管理更方便、策略更易懂。
　　2）7層的內(nèi)容安全檢測：7層一體化安全防護(hù)（包括漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等）以及智能的內(nèi)容安全過濾功能，防止各種應(yīng)用威脅干擾服務(wù)器的穩(wěn)定運行，確保核心業(yè)務(wù)數(shù)據(jù)的安全。
　　3）核心業(yè)務(wù)有保障： 基于應(yīng)用的流量管理，保證核心業(yè)務(wù)帶寬充足。萬兆的應(yīng)用層性能，有效保障數(shù)據(jù)中心的可用性。
　　4）可視化安全風(fēng)險評估：提供服務(wù)器風(fēng)險和終端風(fēng)險報告以及應(yīng)用流量報表，使全網(wǎng)的安全風(fēng)險一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。

廣域網(wǎng)邊界安全隔離與防護(hù)
　　對于廣域網(wǎng)邊界安全防護(hù)需要從如下幾個方面著重考慮：
　　1）人員多，應(yīng)用雜：如何制定有效的ACL，ACL是基于IP和端口的，這樣的機器語言無法直觀、清晰的制定訪問控制策略，容易出現(xiàn)錯配、漏配；
　　2）傳統(tǒng)FW缺乏應(yīng)用層威脅防護(hù)，病毒木馬在分支機構(gòu)和總部間傳播速度快
　　3）病毒木馬占用廣域網(wǎng)有限帶寬，影響關(guān)鍵業(yè)務(wù)的傳輸
　　4）分支數(shù)量多，IT管理水平層次不齊，設(shè)備多，成本高，組網(wǎng)雜，維護(hù)難

廣域網(wǎng)邊界安全防護(hù)方案拓?fù)?/p>

　　通過在核心交換機與核心路由器之間部署深信服NGAF，可以幫助我們實現(xiàn)如下安全目標(biāo)：
　　1）面向用戶、應(yīng)用的安全訪問：將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務(wù)開放對象更為明了、管理更方便、策略更易懂
　　2）廣域網(wǎng)垃圾流量清洗：通過NGAF智能的內(nèi)容安全過濾功能，將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除，確保帶寬純凈，防止病毒擴散
　　3）一體化部署，簡化組網(wǎng)： NGAF具備L2-L7一體化安全防護(hù)功能，可以簡化組網(wǎng)，簡便管理，提高性價比；

互聯(lián)網(wǎng)出口邊界防護(hù)
　　由于互聯(lián)網(wǎng)邊界實現(xiàn)了對外業(yè)務(wù)發(fā)布系統(tǒng)和內(nèi)網(wǎng)終端的互聯(lián)網(wǎng)接入，因此需要從如下幾個方面著重考慮：
　　對外業(yè)務(wù)系統(tǒng)發(fā)布：
　　1）網(wǎng)站被掛馬、數(shù)據(jù)遭篡改，企業(yè)/單位形象受損，造成經(jīng)濟(jì)損失，帶來負(fù)面影響
　　2）合理控制服務(wù)器外聯(lián)權(quán)限，封堵黑客遠(yuǎn)程控制，上傳病毒、木馬；
　　3）響應(yīng)速度要求快，系統(tǒng)穩(wěn)定性要求高，需要簡化組網(wǎng)，降低延時，減少單點故障；

內(nèi)網(wǎng)終端互聯(lián)網(wǎng)接入：
　　1）瀏覽器、OS、Flash漏洞多，上網(wǎng)容易感染病毒、木馬，竊取隱私
　　2）合理控制服務(wù)器外聯(lián)權(quán)限，封堵黑客遠(yuǎn)程控制終端，將內(nèi)網(wǎng)終端作為跳板，入侵服務(wù)器
　　3）用戶權(quán)限多樣，安全策略配置復(fù)雜

互聯(lián)網(wǎng)邊界安全方案拓?fù)?/p>

　　通過在互聯(lián)網(wǎng)接入路由器后部署深信服NGAF，網(wǎng)上交易系統(tǒng)部署在DMZ區(qū)，可以實現(xiàn)對內(nèi)網(wǎng)終端和對外業(yè)務(wù)發(fā)布系統(tǒng)的雙重防護(hù)
　　對外業(yè)務(wù)發(fā)布系統(tǒng)防護(hù)：
　　1）防止黑客入侵，獲取權(quán)限，竊取數(shù)據(jù)：通過NGAF的漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等多種應(yīng)用內(nèi)容防護(hù)功能，防止黑客入侵，保證服務(wù)器穩(wěn)定運行；
　　2）精確控制服務(wù)器外聯(lián)權(quán)限：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量；
　　3）簡化組網(wǎng)、降低延時： NGAF具備L2-L7一體化安全防護(hù)功能，可以簡化組網(wǎng)，減少故障點；通過單次解析引擎減低延時；

　　內(nèi)部終端安全防護(hù)：
　　1）全面防護(hù)，標(biāo)本兼治：通過NGAF的惡意網(wǎng)站過濾功能，防止終端訪問威脅網(wǎng)站和應(yīng)用；通過漏洞防護(hù)、病毒防護(hù)、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術(shù)手段；
　　2）精確識別，防止非法外聯(lián)：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量，防止終端被作為跳板入侵服務(wù)器
　　3）一體化部署，配置簡單： NGAF具備L2-L7一體化安全防護(hù)功能，可以簡化組網(wǎng)，簡便管理，提高性價比；