【正文】 方案價值 30 運維管理域安全方案 30 方案說明 30 方案價值 31第4章 深信服解決方案產(chǎn)品介紹 32 下一代防火墻NGAF介紹 32 下一代防火墻NGAF簡介 32 產(chǎn)品功能列表 33 安全網(wǎng)關(guān)SSL VPN介紹 36 SSL VPN簡介 36 產(chǎn)品功能列表 37 廣域網(wǎng)優(yōu)化WOC介紹 39 廣域網(wǎng)優(yōu)化產(chǎn)品簡介 39 產(chǎn)品功能列表 40 上網(wǎng)行為管理AC介紹 41 上網(wǎng)行為管理AC簡介 41 產(chǎn)品功能列表 41 應(yīng)用交付AD介紹 43 應(yīng)用交付AD簡介 43 產(chǎn)品功能列表 44 集中管理平臺SC介紹 46 集中管理平臺簡介 46 產(chǎn)品功能列表 46 WLAN產(chǎn)品介紹 47 WLAN產(chǎn)品簡介 47 產(chǎn)品功能列表 51第1章 企業(yè)網(wǎng)絡(luò)安全背景 企業(yè)網(wǎng)絡(luò)發(fā)展狀況互聯(lián)網(wǎng)是人類最偉大的發(fā)明。近年來，大量的企業(yè)信息安全事件出現(xiàn)在我們的視野，如七天、如家等酒店的開房信息泄露，索尼影音官網(wǎng)被黑及用戶信息泄露，卡巴斯基總部被黑客侵入等，這些事件不僅對企業(yè)的商業(yè)活動和企業(yè)信譽帶來損害，還對社會公民的正常生活造成干擾。由于計算機網(wǎng)絡(luò)的開放性，網(wǎng)絡(luò)信息化給企業(yè)帶來效益的同時，也給企業(yè)增加了風(fēng)險隱患，企業(yè)網(wǎng)絡(luò)安全問題日益嚴重。這六個區(qū)域因為承載的業(yè)務(wù)內(nèi)容和作用不同，所面臨的安全風(fēng)險也有所不同，需要的安全防護措施亦有差別。 防火墻訪問控制通過防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造一道保護屏障，從而保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，通過防火墻將內(nèi)外部網(wǎng)絡(luò)隔離，實現(xiàn)有效的邊界訪問控制，并界定用戶的訪問請求是否符合安全規(guī)則，基于防火墻預(yù)設(shè)的訪問控制規(guī)則、端口和協(xié)議的檢測和控制機制等手段使可信雙方進行通信，并阻斷不可信的訪問行為。 防止病毒蠕蟲入侵病毒蠕蟲等威脅內(nèi)容是黑客最常利用的網(wǎng)絡(luò)入侵工具。 防止間諜軟件間諜軟件能夠在用戶不知情的情況下偷偷進行非法安裝，并且安裝后很難找到其蹤影，并悄悄把截獲的一些機密信息發(fā)送給第三者的軟件。它還能夠竊取密碼、信用卡號和其它機密數(shù)據(jù)。為提升外網(wǎng)用戶從外部訪問內(nèi)部網(wǎng)站和應(yīng)用系統(tǒng)的速度和性能，就需要對多條鏈路進行負載優(yōu)化，實現(xiàn)在多條鏈路上動態(tài)平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路，保障業(yè)務(wù)應(yīng)用不中斷。這種將服務(wù)器直接掛在公網(wǎng)上并對外開放端口的方式，直接造成整體服務(wù)器區(qū)安全防護水平較低，很容易遭受互聯(lián)網(wǎng)絡(luò)攻擊的問題。 專網(wǎng)數(shù)據(jù)加固在總部與大型分支之間采用專線組網(wǎng)，保證內(nèi)網(wǎng)系統(tǒng)訪問數(shù)據(jù)與互聯(lián)網(wǎng)的安全隔離。因此在選擇方法時，應(yīng)建立完整的安全準入機制，實現(xiàn)對用戶的認證鑒權(quán)。因此，廣域網(wǎng)接入域安全需求，就需要考慮廣域網(wǎng)鏈路質(zhì)量優(yōu)化問題，保障關(guān)鍵應(yīng)用的服務(wù)質(zhì)量和交付性能。該區(qū)域是企業(yè)的展示窗口、對外業(yè)務(wù)的平臺，該區(qū)域網(wǎng)絡(luò)質(zhì)量的好壞，直接影響著企業(yè)的形象和發(fā)展。因此需要有效的工具來識別并防護針對系統(tǒng)漏洞的攻擊。 防止黑客掃描入侵外部黑客出于好奇、報復(fù)或經(jīng)濟利益等目的會對外聯(lián)區(qū)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描，獲取內(nèi)部網(wǎng)絡(luò)的安全缺陷和漏洞，進一步發(fā)起惡意攻擊行為，從而獲取到未授權(quán)的機密信息或內(nèi)部系統(tǒng)的控制權(quán)限。 服務(wù)器負載均衡 隨著訪問用戶數(shù)量的不斷增加，給后臺的服務(wù)器帶來越來越大的壓力。對于惡意攻擊者而言，數(shù)據(jù)中心永遠是最具吸引力的目標。病毒、蠕蟲、木馬等惡意代碼一旦感染數(shù)據(jù)中心服務(wù)器，就可能在數(shù)據(jù)中心網(wǎng)絡(luò)快速傳播，消耗數(shù)據(jù)中心網(wǎng)絡(luò)資源，劫持服務(wù)器應(yīng)用，竊取敏感信息，發(fā)送垃圾信息，甚至重定向用戶到惡意網(wǎng)頁。因此需要有效的工具來識別并防護針對數(shù)據(jù)中心服務(wù)器業(yè)務(wù)系統(tǒng)漏洞的攻擊。因此，數(shù)據(jù)中心安全建設(shè)需要考慮防范APT攻擊，避免重要信息資產(chǎn)失竊或破壞。 WEB應(yīng)用安全數(shù)據(jù)中心有大量的WEB應(yīng)用，黑客針對Web應(yīng)用的攻擊往往隱藏在正常訪問業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。 內(nèi)網(wǎng)辦公域安全需求分析隨著全球信息化及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題特別是內(nèi)部網(wǎng)絡(luò)安全問題正在日益突出。這些行為嚴重影響單位工作效率，所以企業(yè)需要對內(nèi)部上網(wǎng)的員工行為進行有效的識別和管理。企業(yè)在構(gòu)建WLAN網(wǎng)絡(luò)過程中，不僅要考慮高速穩(wěn)定的網(wǎng)絡(luò)質(zhì)量，WLAN網(wǎng)絡(luò)安全問題同樣需要重視。因此，需要有一套安全的開發(fā)環(huán)境，能夠讓開發(fā)項目的員工及外包員工在受控環(huán)境下，進行相關(guān)應(yīng)用的開發(fā)和調(diào)試，同時能有效保護應(yīng)用代碼及企業(yè)數(shù)據(jù)的安全。 運維管理域安全需求分析運維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)能夠安全高效運行的重要區(qū)域，該區(qū)域的重點是安全和穩(wěn)定性，從而為企業(yè)整體網(wǎng)絡(luò)構(gòu)造一個可靠的支撐平臺。因此，該區(qū)域的安全建設(shè)需要包含檢測和清除病毒、木馬、蠕蟲、僵尸等惡意內(nèi)容的機制。因此，必須借助有效的技術(shù)手段監(jiān)管運維人員的操作行為，做到實時監(jiān)控，快速取證，減少內(nèi)部的誤操作和違規(guī)操作，降低運維過程中的操作風(fēng)險。整體安全防護方案拓撲圖如下所示： 互聯(lián)網(wǎng)接入域安全方案 方案說明互聯(lián)網(wǎng)接入?yún)^(qū)域承擔(dān)著內(nèi)部用戶訪問互聯(lián)網(wǎng)的統(tǒng)一出口和為外部用戶提供企業(yè)信息服務(wù)的入口，其安全風(fēng)險來源多且復(fù)雜。NGAF提供2到7層的安全保護，通過入侵檢測與防御、病毒防護、協(xié)議異常保護等功能，可以精確實時地識別并防御來自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬、間諜軟件等網(wǎng)絡(luò)威脅，防止攻擊者對內(nèi)部網(wǎng)絡(luò)的滲透和破壞，保障敏感數(shù)據(jù)不被竊取以及業(yè)務(wù)的持續(xù)運行；NGAF能實時感知來自互聯(lián)網(wǎng)上的大量異常請求，并第一時間予以清洗，防止DoS/DDoS攻擊的發(fā)生，保障正常合法的業(yè)務(wù)通訊不受影響；NGAF還提供了實時的漏洞檢測功能，該功能不會給網(wǎng)絡(luò)產(chǎn)生額外的流量，通過實時流量分析，可以發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部業(yè)務(wù)系統(tǒng)的安全漏洞，快速識別針對存在漏洞的有效攻擊，即使沒有攻擊行為也能發(fā)現(xiàn)潛在的風(fēng)險。深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠為企業(yè)互聯(lián)網(wǎng)接入域提供多鏈路負載均衡解決方案。 方案價值相比傳統(tǒng)方案，NGAF提供全面的L2L7威脅防護，實現(xiàn)了更加完整高效的網(wǎng)絡(luò)安全，并減少了故障節(jié)點；單臺NGAF即可實現(xiàn)比過去多臺設(shè)備更好的防護效果，大大減少了設(shè)備購買投資和運維成本；AC產(chǎn)品實現(xiàn)了更加細致精準的應(yīng)用和帶寬控制，保障了正常業(yè)務(wù)帶寬需求，實現(xiàn)了帶寬高效利用，提升帶寬價值；AD產(chǎn)品提供了精細智能的多鏈路負載均衡，滿足鏈路高效使用和自動備份，實現(xiàn)了網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。NGAF能夠識別和防御L2到L7的安全威脅，能檢測并防止病毒防、蠕蟲、木馬、漏洞、WEB應(yīng)用攻擊等安全威脅在廣域網(wǎng)內(nèi)部傳播，實現(xiàn)各分支機構(gòu)安全狀況實時上報監(jiān)控，及時了解全網(wǎng)安全動態(tài)，安全日志統(tǒng)一管理、集中分析，快速加固防護薄弱點，優(yōu)化安全運維，實現(xiàn)安全設(shè)備統(tǒng)一管理、集中特征更新與推送、安全策略快速同步，實現(xiàn)對廣域網(wǎng)各個節(jié)點一站式安全監(jiān)測和保護。SSL VPN接入認證方式可采用用戶名密碼、USB KEY、短信認證、動態(tài)令牌、CA認證、LDAP認證、RADIUS認證等兩種或多種認證的組合，多重組合軟硬結(jié)合確保接入身份的確定性。對于已經(jīng)建立專線組網(wǎng)的分支，將應(yīng)用系統(tǒng)以SSL VPN資源的方式進行，進行專網(wǎng)內(nèi)權(quán)限劃分的同時實現(xiàn)統(tǒng)一應(yīng)用平臺的構(gòu)建。并且SSL VPN設(shè)備對外只開放443端口，從而可屏蔽掉其他端口的攻擊。深信服SSL VPN網(wǎng)關(guān)提供專業(yè)的IPSec VPN功能，滿足企業(yè)建設(shè)IPSec VPN專網(wǎng)的需求，實現(xiàn)各區(qū)域安全互聯(lián)和數(shù)據(jù)加固的需求。WOC還可以對ERP、郵件、FTP文件傳輸?shù)葢?yīng)用進行優(yōu)化，減少數(shù)據(jù)交互，提升訪問速度，提高工作效率。針對該區(qū)域存在的網(wǎng)絡(luò)安全問題，通過部署深信服下一代防火墻和應(yīng)用交付產(chǎn)品就可以完美解決。NGAF還提供了網(wǎng)頁防篡改功能，能夠?qū)崟r檢測并攔截網(wǎng)頁篡改的信息并通知管理員確認，同時對外提供篡改重定向功能，提供正常界面或備份服務(wù)器的重定向，保證用戶仍可正常訪問網(wǎng)站；NGAF提供了敏感信息防泄漏功能，能夠?qū)崟r檢測并阻斷網(wǎng)站源代碼、用戶帳號信息、服務(wù)器重要配置文件等敏感信息被泄露，實時記錄泄漏行為，并通過郵件等方式報警；NGAF提供專業(yè)的DoS/DDoS攻擊防護功能，能快速識別并清洗異常訪問行為，保障正常合法的業(yè)務(wù)不受影響。 方案價值NGAF提供了事前策略自檢、事中攻擊防護、事后防止篡改的整體Web保護，可以有效過濾掃描、入侵、破壞過程中的各種安全威脅； NGAF涵蓋了L2L7全面的安全功能，可以全面替代FW、IPS、WAF等設(shè)備，提供基于黑客攻擊過程的L2L7層完整安全防護。通過部署深信服下一代防火墻、應(yīng)用交付等安全產(chǎn)品，可以幫助企業(yè)打造安全、可靠的數(shù)據(jù)中心網(wǎng)絡(luò)。NGAF還內(nèi)置了灰度威脅樣本庫，通過多維歸并整理賦予每種威脅行為一個權(quán)值，NGAF計算用戶行為權(quán)值之和并對比威脅基線，從而能夠準確判定威脅行為，對于無法確認的可疑內(nèi)容，NGAF會實時上報到深信服云安全中心，由云中心執(zhí)行沙盒演練等方法進行最終確認，基于這些技術(shù)手段，NGAF能夠準確識別并防御未知威脅和APT攻擊。AD產(chǎn)品的服務(wù)器負載均衡技術(shù)能夠?qū)⒑蠖硕嗯_真實服務(wù)器虛擬成一個服務(wù)，并通過AD設(shè)備轉(zhuǎn)發(fā)到后端服務(wù)器；當用戶請求到達服務(wù)器區(qū)域的AD產(chǎn)品時，深信服AD通過全面的負載均衡算法以及目標服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，能夠選擇性能最佳的服務(wù)器來響應(yīng)用戶的請求，從而將用戶請求在多個服務(wù)器間動態(tài)分配，充分利用所有的服務(wù)器資源，有效地避免“不平衡”現(xiàn)象的出現(xiàn)。 內(nèi)網(wǎng)辦公域安全方案 方案說明 “堡壘最容易從內(nèi)部攻破”，因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè)，對于企業(yè)整體網(wǎng)絡(luò)的安全保護意義重大。通過啟用入侵防御和防病毒等功能，NGAF提供了全面的虛擬補丁功能，有效防御各種攻擊和網(wǎng)絡(luò)蠕蟲病毒，保證辦公網(wǎng)絡(luò)的安全穩(wěn)定運行。通過在終端部署防病毒軟件，可以更加精準的檢測終端設(shè)備潛藏的安全威脅，徹底清除病毒、蠕蟲、特洛伊木馬、間諜軟件、僵尸、零日攻擊等安全威脅。 方案價值NGAF為企業(yè)辦公區(qū)域打造安全可靠的隔離區(qū)域，并提供二到七層的全面防護，保護內(nèi)部用戶免受非法侵入。 運維管理域安全方案 方案說明針對運維區(qū)域存在的安全問題，深信服推薦部署NGAF、集中管理設(shè)備SC和運維審計產(chǎn)品，從而打造安全、可控、易運維的運維管理區(qū)域。SC集中平臺可以統(tǒng)一查看各個設(shè)備的實時信息，包括最近事件，cpu、內(nèi)存、磁盤使用信息，設(shè)備版本信息等，并能進行安全策略統(tǒng)一管理下發(fā)和軟件規(guī)則庫自動升級管理。運維審計產(chǎn)品實現(xiàn)了IT源的統(tǒng)一接入、集中監(jiān)控、統(tǒng)一運維、集中審計，實現(xiàn)資源高效運維和快速監(jiān)管。在安全策略制定方面，區(qū)域別于傳統(tǒng)防火墻五元組安全策略，深信服NGAF可對L2L7層更多的元素（如，用戶、應(yīng)用類型、URL、數(shù)據(jù)內(nèi)容等）制定雙向的安全訪問策略，使安全策略更精細、更有效，且滿足業(yè)務(wù)的合規(guī)性；在安全防護能力方面，提升了傳統(tǒng)的抗攻擊的能力，不僅能防護網(wǎng)絡(luò)層的攻擊，針對來源更廣泛、攻擊更容易、危害更大的應(yīng)用層攻擊也可以進行防護，實現(xiàn)L2L7層的安全防護?？蓹z測未知威脅在沙盒中對注冊表、文件系統(tǒng)等的修改，通過云端聯(lián)動的方式快速更新到各節(jié)點設(shè)備中，可實現(xiàn)快速統(tǒng)一的防護未知攻擊；支持異常流量檢測功能，能夠區(qū)分正常業(yè)務(wù)流量和潛藏在其中的危險流量。 SULLIVAN 2012年和2013年調(diào)查報告顯示，深信服SSL %%的市場占有率獨占鰲頭。安全桌面根據(jù)用戶需要自行配置按用戶組、單獨用戶啟用；可配置安全桌面下可訪問的指定網(wǎng)段；可配置允許使用COM端口、允許使用打印機、允許與切換到默認桌面、允許本地通信；支持更換安全桌面壁紙、文件明文導(dǎo)出及審計、數(shù)據(jù)加密保存、離線訪問等功能（選配）支持客戶端安全配置權(quán)限控制，允許或禁止私用用戶自行配置密碼、手機號碼及用戶描述；支持客戶端注銷后自動清除所有緩存、瀏覽器歷史記錄、保存的表單信息等，實現(xiàn)零痕跡訪問；可配置含Vista/Win7下的VPN專線功能支持進行操作系統(tǒng)、文件、進程、注冊表、用戶接入IP、登錄IP、登錄時間、接入終端等規(guī)則的“與或”組合進行登錄前和登錄后的客戶端安全檢測，可配置準入和授權(quán)策略；支持客戶端安全策略庫，并支持自動升級可配置匿名登錄用戶，只提供SSL加密隧道傳輸支持服務(wù)資源隱藏、URL地址偽裝實現(xiàn)針對資源的IP地址、端口、服務(wù)、URL級別等實現(xiàn)基于角色的細粒度權(quán)限分配功能支持基于狀態(tài)監(jiān)測的防火墻功能，支持防DoS攻擊；支持防火墻過濾規(guī)則在線虛擬測試支持開放數(shù)據(jù)庫給第三方；支持與第三方數(shù)據(jù)庫結(jié)合認證易用性支持B/S、C/S應(yīng)用的單點登錄，可允許用戶自行修改SSO登錄帳號，支持NTLM、BASIC單點登錄支持無插件的Web文件共享功能，僅通過Web頁面即可實現(xiàn)文件服務(wù)器的文件上傳、下載、復(fù)制、剪切、粘貼、重命名、新建文件夾等常用文件操作支持虛擬門戶功能，為不同的用戶配置獨立擁有IP、域名、認證方式、訪問資源等元素，實現(xiàn)更高隔離的安全性。推出至今通過持續(xù)創(chuàng)新，提升用戶體驗，目前已發(fā)展為中國廣域網(wǎng)優(yōu)化市場的領(lǐng)導(dǎo)者。品牌首選：擁有7項專利技術(shù)；連續(xù)多年入圍Gartner WOC魔力象限和中央政府采購名單；用戶數(shù)量超過2000 多家，囊括政府、金融、運營商、能源、教育、企業(yè)等各行業(yè)用戶。采用最新的高性能硬件平臺，獨立的內(nèi)存管理系統(tǒng)，高度網(wǎng)絡(luò)處理架構(gòu)及最新的全業(yè)務(wù)識別引擎，深信服萬兆性能上網(wǎng)行為管理產(chǎn)品滿足大企業(yè)、運營商、高效等高帶寬行業(yè)客戶需求，全面助力高帶寬場景下的上網(wǎng)行為管控。正是由于客戶的大力支持，深信服上網(wǎng)行為管理產(chǎn)品才能獲得市場占有率第一，成為業(yè)界第一品牌。功能全面：深信服廣域網(wǎng)優(yōu)化產(chǎn)品擁有VPN、流量管理、流量削減、應(yīng)用加速、智能報表等多合一功能，幫助用戶提高廣域網(wǎng)帶寬資源的利用率。支持客戶端、服務(wù)端權(quán)限細化控制、遠程存儲，支持虛擬打印機、本地輸入法映射；支持遠程應(yīng)用單點登錄（選配）支持EMM企業(yè)移動管理功能，包括設(shè)備注冊、數(shù)據(jù)擦除、企業(yè)應(yīng)用商店、APP安全加固等功能，保障客戶移動業(yè)務(wù)安全支持系統(tǒng)托盤及懸浮窗口；支持SSL VPN開機自動登錄、桌面快捷方式啟動、C/S客戶端方式啟動；可配置用戶登錄后默認服務(wù)頁面；支持自定義資源組、資源圖標化顯示；管理員可在線對登錄用戶發(fā)布即時廣播消息支持User權(quán)限登錄正常使用SSL VPN；支持域控下發(fā)控件；支持IS