【正文】 深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠?yàn)槠髽I(yè)數(shù)據(jù)中心提供包括多數(shù)據(jù)中心負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。通過(guò)啟用NGAF的防火墻、入侵防護(hù)、漏洞檢測(cè)、敏感信息防泄漏、DoS/DDoS攻擊防護(hù)、防病毒、防掃描、弱口令檢查、防僵尸網(wǎng)絡(luò)、web應(yīng)用攻擊保護(hù)、網(wǎng)站篡改保護(hù)等功能，可以實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)區(qū)域隔離，避免因業(yè)務(wù)系統(tǒng)漏洞導(dǎo)致的入侵，防范病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)等威脅內(nèi)容在數(shù)據(jù)中心傳播，防止口令密碼被暴力破解，避免數(shù)據(jù)中心敏感信息被泄露，清洗數(shù)據(jù)中心異常流量，保護(hù)數(shù)據(jù)中心web應(yīng)用安全，保障數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)安全運(yùn)行。AD產(chǎn)品提供了高效專業(yè)的服務(wù)器和多鏈路負(fù)載均衡，滿足服務(wù)器響應(yīng)和網(wǎng)絡(luò)鏈路的高效使用，實(shí)現(xiàn)了對(duì)外服務(wù)和網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠?yàn)槠髽I(yè)外聯(lián)服務(wù)域提供多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。通過(guò)啟用入侵防御、病毒防護(hù)、漏洞檢測(cè)保護(hù)等功能，可以實(shí)時(shí)發(fā)現(xiàn)DMZ區(qū)域業(yè)務(wù)系統(tǒng)存在的安全漏洞，實(shí)時(shí)防御來(lái)自互聯(lián)網(wǎng)的蠕蟲(chóng)、病毒、木馬等網(wǎng)絡(luò)攻擊，防止攻擊者對(duì)外聯(lián)服務(wù)網(wǎng)絡(luò)的掃描、入侵和破壞，保障系統(tǒng)數(shù)據(jù)安全和業(yè)務(wù)的持續(xù)運(yùn)行。WOC還能夠?qū)崟r(shí)感知專網(wǎng)流量分布情況，從而實(shí)現(xiàn)業(yè)務(wù)流量整形和不斷調(diào)優(yōu)。專線內(nèi)存在大量的冗余數(shù)據(jù)傳輸，容易導(dǎo)致專網(wǎng)帶寬壓力過(guò)大。SSL VPN在進(jìn)行用戶對(duì)服務(wù)器區(qū)發(fā)起的訪問(wèn)時(shí)，采用SSL VPN登錄認(rèn)證、細(xì)粒度應(yīng)用訪問(wèn)授權(quán)、傳輸數(shù)據(jù)加密，從數(shù)據(jù)安全的角度提供隔離保護(hù)。同時(shí)，可針對(duì)這些應(yīng)用系統(tǒng)進(jìn)行單點(diǎn)登錄設(shè)置，點(diǎn)擊鏈接即可自動(dòng)通過(guò)應(yīng)用本身的認(rèn)證，可直接進(jìn)行操作。用戶只可采用指定的賬號(hào)訪問(wèn)應(yīng)用系統(tǒng)。用戶在外需要進(jìn)行內(nèi)網(wǎng)接入時(shí)，可直接通過(guò)瀏覽器打開(kāi)網(wǎng)頁(yè)完成SSL VPN登錄及安全隧道的建立，非常方便的實(shí)現(xiàn)網(wǎng)絡(luò)接入和數(shù)據(jù)安全保障。通過(guò)部署深信服下一代防火墻、SSL VPN安全網(wǎng)關(guān)、廣域網(wǎng)優(yōu)化等安全產(chǎn)品，可以幫助企業(yè)打造高效、安全的廣域網(wǎng)絡(luò)通信系統(tǒng)。深信服 AD設(shè)備能夠進(jìn)行DNS請(qǐng)求轉(zhuǎn)發(fā)，通過(guò)深信服 AD尋找合適的DNS服務(wù)器返回給內(nèi)網(wǎng)電腦。深信服上網(wǎng)行為管理AC設(shè)備能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行精細(xì)化控制管理。深信服下一代防火墻（NextGeneration Application Firewall）NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有全面的應(yīng)用層安全防護(hù)功能和強(qiáng)勁的處理能力。根據(jù)企業(yè)不同網(wǎng)絡(luò)區(qū)域定位不同，我們大致可以將企業(yè)網(wǎng)絡(luò)劃分為6個(gè)區(qū)域，分別為：互聯(lián)網(wǎng)接入域、外聯(lián)服務(wù)域、廣域網(wǎng)接入域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運(yùn)維管理域。 操作運(yùn)維審計(jì)如果沒(méi)有有效的技術(shù)手段來(lái)保障運(yùn)維操作的正確執(zhí)行，那么將對(duì)運(yùn)維人員的違規(guī)操作無(wú)能為力。利用防火墻可以給運(yùn)維管理區(qū)打造安全隔離區(qū)，并基于嚴(yán)格的訪問(wèn)控制策略和身份認(rèn)證信息進(jìn)行區(qū)域網(wǎng)絡(luò)接入；同時(shí)利用新型防火墻給運(yùn)維管理區(qū)打造一片安全的網(wǎng)絡(luò)環(huán)境。攻擊者通過(guò)控制大量僵尸主機(jī)實(shí)現(xiàn)僵尸網(wǎng)絡(luò)本地?cái)U(kuò)散、敏感信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意目的。 開(kāi)發(fā)環(huán)境安全開(kāi)發(fā)部門由于其業(yè)務(wù)特殊性，對(duì)開(kāi)發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。因此，內(nèi)網(wǎng)安全建設(shè)需要包括：具備快速發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動(dòng)分發(fā)補(bǔ)丁能力，具備快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲(chóng)、黑客的引入點(diǎn)并及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)的能力。無(wú)論是內(nèi)部終端的違規(guī)外聯(lián)、違規(guī)接入和違規(guī)操作，還是內(nèi)部系統(tǒng)數(shù)據(jù)保密性、可控性和可用性要求，都是企業(yè)內(nèi)網(wǎng)辦公區(qū)域安全建設(shè)需要思考的問(wèn)題。 虛擬云化風(fēng)險(xiǎn)保護(hù)虛擬化云數(shù)據(jù)中心是數(shù)據(jù)中心的發(fā)展方向，通過(guò)虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施資源池，實(shí)現(xiàn)資源的按需分配，提高整體資源利用率。 防止拒絕服務(wù)數(shù)據(jù)中心作為業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域，數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息，其業(yè)務(wù)的可靠性非常關(guān)鍵。近幾年APT攻擊經(jīng)常見(jiàn)諸報(bào)端，這是一類攻擊手段很先進(jìn)、目的性和持續(xù)性很強(qiáng)的高級(jí)持續(xù)性威脅（APT）。 漏洞攻擊保護(hù)數(shù)據(jù)中心大量的服務(wù)器底層操作系統(tǒng)和業(yè)務(wù)應(yīng)用都可能存在安全漏洞，給了入侵者可乘之機(jī)。數(shù)據(jù)中心主要的安全需求包括： 防火墻隔離控制通過(guò)防火墻在數(shù)據(jù)中心構(gòu)造一道網(wǎng)絡(luò)層保護(hù)屏障，通過(guò)防火墻的區(qū)域隔離和訪問(wèn)控制規(guī)則，來(lái)界定用戶的訪問(wèn)請(qǐng)求是否符合安全要求，并隔離來(lái)自internet、intranet、extrane等區(qū)域的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)接入安全。從而保證訪問(wèn)的速度和穩(wěn)定性。這種攻擊行為使得Web等系統(tǒng)充斥大量要求回復(fù)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致外聯(lián)服務(wù)平臺(tái)無(wú)法對(duì)外正常提供服務(wù)，影響企業(yè)正常的業(yè)務(wù)開(kāi)展。 WEB應(yīng)用安全針對(duì)Web應(yīng)用的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這些攻擊。該區(qū)域主要的安全需求有： 系統(tǒng)漏洞攻擊保護(hù)DMZ區(qū)域內(nèi)部有大量業(yè)務(wù)服務(wù)器，其底層和業(yè)務(wù)應(yīng)用系統(tǒng)會(huì)不斷產(chǎn)生新的安全漏洞，給了入侵者可乘之機(jī)。 外聯(lián)服務(wù)域安全需求分析企業(yè)外聯(lián)服務(wù)域也叫DMZ。 廣域網(wǎng)鏈路質(zhì)量?jī)?yōu)化分公司員工日常的工作都需要依靠信息平臺(tái)來(lái)完成，因此員工接入總部訪問(wèn)應(yīng)用的速度和其工作效率直接相關(guān)。 移動(dòng)辦公安全網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來(lái)越頻繁，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來(lái)越多，安全性要求也越來(lái)越重要。 數(shù)據(jù)安全性保障在總部與小型分支或辦事處之間基于互聯(lián)網(wǎng)通信，組織信息平臺(tái)上的應(yīng)用系統(tǒng)如果不經(jīng)加密和認(rèn)證等安全處理，跑在互聯(lián)網(wǎng)這個(gè)不安全而又開(kāi)放的網(wǎng)絡(luò)上，一旦重要數(shù)據(jù)如果遭到竊取，帶來(lái)的損失將無(wú)法估量。因此，構(gòu)建一個(gè)高效、安全的廣域網(wǎng)絡(luò)系統(tǒng)勢(shì)必為企業(yè)的發(fā)展“添磚加瓦”。 應(yīng)用帶寬管控內(nèi)網(wǎng)用戶在上班時(shí)間有意無(wú)意的進(jìn)行與工作無(wú)關(guān)的網(wǎng)絡(luò)行為，比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購(gòu)、手機(jī)APP使用等，嚴(yán)重影響工作效率，并占用大量的帶寬，導(dǎo)致關(guān)鍵業(yè)務(wù)應(yīng)用或關(guān)鍵人員得不到足夠的帶寬資源，降低企業(yè)內(nèi)部的工作效率。由于間諜軟件隱藏在用戶計(jì)算機(jī)中、秘密監(jiān)視用戶活動(dòng)，并建立了一個(gè)進(jìn)入個(gè)人電腦的通道，很容易對(duì)用戶電腦做后續(xù)的攻擊。 防零時(shí)差攻擊零時(shí)差攻擊（Zerohour/day Attack）是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。 防御DDoS攻擊DDoS攻擊一般由黑客控制Internet上的“僵尸”系統(tǒng)完成，通過(guò)對(duì)互聯(lián)網(wǎng)上缺少防御的主機(jī)植入某些代碼，這些機(jī)器就會(huì)被DDoS攻擊者控制，當(dāng)黑客發(fā)動(dòng)DDoS攻擊時(shí)，只需要同時(shí)向這些將僵尸機(jī)發(fā)送指令，攻擊就會(huì)由這些“僵尸”機(jī)器完成?；ヂ?lián)網(wǎng)接入域是連接企業(yè)內(nèi)部與外部的橋梁，因此面臨著來(lái)自兩個(gè)方向的安全威脅：1）外部威脅，如黑客掃描和入侵、拒絕服務(wù)攻擊、病毒或蠕蟲(chóng)侵襲、僵尸木馬、信息泄露等。對(duì)于不同接入方，其所擁有的權(quán)限，既要能夠滿足正常業(yè)務(wù)的需求，又不能超越其職能權(quán)限，避免越權(quán)訪問(wèn)和敏感信息泄露； 運(yùn)維管理安全：共享帳號(hào)安全隱患，設(shè)備繁多控制策略復(fù)雜，操作無(wú)法監(jiān)管，內(nèi)部操作不透明，外部操作不可控，沒(méi)有統(tǒng)一的身份管理平臺(tái)，頻繁切換應(yīng)用程序登錄，日志分散不可用，不能集中有效審計(jì)等問(wèn)題困擾著企業(yè)網(wǎng)絡(luò)的安全運(yùn)維管理。事實(shí)充分說(shuō)明：網(wǎng)絡(luò)安全是企業(yè)單位網(wǎng)絡(luò)建設(shè)的重點(diǎn)內(nèi)容，網(wǎng)絡(luò)安全建設(shè)和加固是一個(gè)持續(xù)的工程。然而，伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各類黑客行為和攻擊技術(shù)給企業(yè)的持續(xù)、快速、健康、安全的發(fā)展帶來(lái)了困擾?；ヂ?lián)網(wǎng)的快速發(fā)展促進(jìn)了企事業(yè)單位的信息化建設(shè)，互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò)基礎(chǔ)建設(shè)大大提高了企業(yè)的生產(chǎn)力和工作效率，互聯(lián)網(wǎng)信息技術(shù)的持續(xù)使用，給企業(yè)的持續(xù)、快速、高效發(fā)展提供了助力，企業(yè)的管理成本和生產(chǎn)成本得到了持續(xù)降低。普華永道針對(duì)中國(guó)企業(yè)的一份調(diào)研報(bào)告指出“已檢測(cè)到的信息安全事件對(duì)企業(yè)帶來(lái)的財(cái)務(wù)影響正在迅速增加，同時(shí)仍有許多攻擊沒(méi)被發(fā)現(xiàn)或者報(bào)告，僅在中國(guó)內(nèi)地與香港地區(qū)，失竊的知識(shí)產(chǎn)權(quán)或者商業(yè)機(jī)密的實(shí)際價(jià)值已遠(yuǎn)超數(shù)十億美元”。那么，企業(yè)網(wǎng)絡(luò)到底面臨哪些主要的安全問(wèn)題呢？外網(wǎng)安全問(wèn)題：非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲(chóng)攻擊、漏洞利用、僵尸木馬、信息泄露等已成為企業(yè)網(wǎng)絡(luò)安全最為廣泛的威脅；內(nèi)網(wǎng)安全問(wèn)題：帶寬和應(yīng)用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲(chóng)擴(kuò)散、信息泄露等已成為企業(yè)內(nèi)部網(wǎng)絡(luò)最主要的安全問(wèn)題；安全連接問(wèn)題：內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全，如企業(yè)總部、各地分支機(jī)構(gòu)、第三方合作伙伴、移動(dòng)辦公人員之間，既要保障信息及時(shí)共享，又要防止機(jī)密信息泄露。 互聯(lián)網(wǎng)接入域安全需求分析互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)⑵髽I(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離,作為企業(yè)內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的出口, 其中互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)挝粌?nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離，作為內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的出口，同時(shí)承擔(dān)著兩方面的作用：一是內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的統(tǒng)一出口；二是為社會(huì)公眾和合作伙伴提供企業(yè)信息服務(wù)的入口。 防止黑客掃描入侵外部黑客出于好奇、報(bào)復(fù)或經(jīng)濟(jì)利益等目的會(huì)對(duì)內(nèi)網(wǎng)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描，獲取內(nèi)部網(wǎng)絡(luò)的安全漏洞，發(fā)起基于存在漏洞的惡意攻擊行為，從而獲取到未授權(quán)的機(jī)密信息或內(nèi)部系統(tǒng)的控制權(quán)限。網(wǎng)絡(luò)蠕蟲(chóng)病毒傳播速度快，一旦遭受了病毒和蠕蟲(chóng)的侵襲，不僅會(huì)造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，網(wǎng)絡(luò)擁塞，同時(shí)也會(huì)對(duì)核心敏感數(shù)據(jù)造成嚴(yán)重的威脅，導(dǎo)致業(yè)務(wù)和生產(chǎn)的中斷、敏感信息泄露等問(wèn)題。間諜軟件在安裝時(shí)什么都不顯示，運(yùn)行時(shí)用戶也不知曉，刪除起來(lái)非常困難。因此，間諜軟件對(duì)企業(yè)網(wǎng)絡(luò)的危害非常巨大，需要一種有效的手段防止間諜軟件向企業(yè)內(nèi)部網(wǎng)絡(luò)滲透。 廣域網(wǎng)接入域安全需求分析對(duì)于大部分企業(yè)來(lái)說(shuō)，都可能存在企業(yè)集團(tuán)總部、子公司或各地分支辦事處，并且各個(gè)節(jié)點(diǎn)已形成自己的局域網(wǎng)結(jié)構(gòu)，并通過(guò)廣域網(wǎng)互聯(lián)互通，實(shí)現(xiàn)集團(tuán)總部與子公司、辦事處之間多種資源信息的共享互通。因此在總部和分支互聯(lián)建設(shè)中必須充分考慮安全互聯(lián)組網(wǎng)的需求，并防止外部人員的非法侵入。但是在專網(wǎng)內(nèi)同樣存在信息安全級(jí)別不同的應(yīng)用系統(tǒng)數(shù)據(jù)，高安全級(jí)別的數(shù)據(jù)信息如果直接在網(wǎng)絡(luò)中明文傳輸，存在被竊聽(tīng)、篡改的風(fēng)險(xiǎn)，從信息安全規(guī)劃及權(quán)限的安全方面進(jìn)行考慮，有必要在專網(wǎng)中對(duì)不同安全級(jí)別的應(yīng)用系統(tǒng)采取邏輯隔離、安全加密、權(quán)限劃分等加固手段。 第三方安全接入隨著業(yè)務(wù)規(guī)模的擴(kuò)大，業(yè)務(wù)系統(tǒng)也在不斷延伸，除了建設(shè)內(nèi)部自己使用的業(yè)務(wù)系統(tǒng)外，還建立了第三人員使用的業(yè)務(wù)系統(tǒng)，如供應(yīng)商接入系統(tǒng)、代理商接入系統(tǒng)等，這些業(yè)務(wù)系統(tǒng)提高了企業(yè)的業(yè)務(wù)運(yùn)作效率，但也帶來(lái)了眾多不可控風(fēng)險(xiǎn)：如身份認(rèn)證單一、接入終端安全性無(wú)法控制、數(shù)據(jù)易被竊取、越權(quán)訪問(wèn)、惡意訪問(wèn)無(wú)法追蹤、訪問(wèn)速度慢。如何消減總部節(jié)點(diǎn)、分支節(jié)點(diǎn)的吞吐瓶頸，提升員工訪問(wèn)速度；如何減少分支網(wǎng)絡(luò)丟包、延時(shí)現(xiàn)象問(wèn)題；如何避免應(yīng)用本身交互過(guò)多，遭遇廣域網(wǎng)后響應(yīng)速度慢，影響業(yè)務(wù)效率問(wèn)題。該區(qū)域面臨來(lái)自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅，并且針對(duì)該區(qū)域的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)安全設(shè)備很難發(fā)現(xiàn)和阻止這些威脅。 防止信息泄露和篡改黑客通過(guò)漏洞利用、WEB攻擊、弱密碼等手段一旦侵入了DMZ系統(tǒng)，將可能竊取DMZ系統(tǒng)數(shù)據(jù)庫(kù)中儲(chǔ)存的用戶資料、身份信息、賬戶信息等敏感數(shù)據(jù)，損害企業(yè)的經(jīng)濟(jì)利益；黑客也可能直接篡改企業(yè)對(duì)外Web網(wǎng)頁(yè)內(nèi)容，使企業(yè)的形象和信譽(yù)受損；黑客甚至?xí)谄髽I(yè)對(duì)外提供服務(wù)的網(wǎng)站掛載木馬病毒，網(wǎng)站的訪問(wèn)用戶也會(huì)被木馬病毒感染，這種情況下企業(yè)可能因此而承擔(dān)法律責(zé)任。 防止拒絕服務(wù)黑客通過(guò)DOS/DDOS拒絕服務(wù)攻擊使外聯(lián)服務(wù)平臺(tái)無(wú)法響應(yīng)正常請(qǐng)求。需要通過(guò)服務(wù)器負(fù)載均衡機(jī)制，保證用戶訪問(wèn)流量能在各服務(wù)器上均衡分配，提高服務(wù)器資源的利用率，減輕服務(wù)器的壓力。所以數(shù)據(jù)中心的安全建設(shè)顯得格外重要。所以數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)需要包含檢測(cè)和清除病毒蠕蟲(chóng)木馬等惡意內(nèi)容的機(jī)制。 防APT攻擊黑客的攻擊手段越來(lái)越先進(jìn)，并帶有很強(qiáng)的目的性。 防范內(nèi)部威脅企業(yè)內(nèi)部網(wǎng)絡(luò)安全狀況也影響著外聯(lián)區(qū)域數(shù)據(jù)中心的安全，比如內(nèi)部網(wǎng)絡(luò)中存在DoS攻擊，或者存在感染病毒木馬的終端，給黑客提供可利用的跳板等，內(nèi)部員工的非法掃描和滲透攻擊，及非授權(quán)違規(guī)操作行為，這些問(wèn)題都會(huì)破壞數(shù)據(jù)中心的安全穩(wěn)定運(yùn)行。針對(duì)web應(yīng)用的安全問(wèn)題有：由于Web應(yīng)用程序的編寫過(guò)程中引入的安全漏洞問(wèn)題，比如SQL注入、跨站腳本攻擊等；系統(tǒng)底層漏洞問(wèn)題，如服務(wù)器底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)（如IIS、Apache），這些系統(tǒng)本身存在諸多的安全漏洞給了入侵者可乘之機(jī)；黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對(duì)網(wǎng)站進(jìn)行攻擊?！氨咀钊菀讖膬?nèi)部攻破”，因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè)，對(duì)于企業(yè)整體網(wǎng)絡(luò)的安全保護(hù)意義重大。 漏洞病毒防護(hù)內(nèi)網(wǎng)辦公區(qū)分布有大量的終端設(shè)備，如果這些終端不能及時(shí)更新系統(tǒng)漏洞補(bǔ)丁，將會(huì)給黑客可乘之機(jī)，一旦某臺(tái)終端感染病毒，很容易向全網(wǎng)擴(kuò)散。杜絕盜用賬號(hào)、非法接入的安全威脅，并針對(duì)外部訪客、內(nèi)部人員（不同部門、不同職位）分配不同的應(yīng)用訪問(wèn)權(quán)限，實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)接入控制，并避免復(fù)雜的臨時(shí)賬號(hào)申請(qǐng)機(jī)制。 防止僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的，采用多種傳播手段，通過(guò)互聯(lián)網(wǎng)使大量主機(jī)感染僵尸程序，從而控制這些被感染的主機(jī)，從而在控制者和被感染主機(jī)之間形成一個(gè)一對(duì)多控制的網(wǎng)絡(luò)，黑客利用這些僵尸主機(jī)作為進(jìn)一步入侵的跳板。該區(qū)域主要的安全需求如下： 防火墻區(qū)域隔離運(yùn)維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)高效運(yùn)行的重要區(qū)域，企業(yè)內(nèi)部大部分IT設(shè)備和系統(tǒng)都在該區(qū)域維護(hù)管理，因此該區(qū)域一旦被黑客或不軌員工侵入，極可能造成全局網(wǎng)絡(luò)危害。 集中運(yùn)維管理企業(yè)內(nèi)部安全設(shè)備較多，因此需要有集中的統(tǒng)一管理和審計(jì)分析平臺(tái)，實(shí)現(xiàn)對(duì)設(shè)備的集中管理、集中監(jiān)控、集中配置、集中運(yùn)維、統(tǒng)一審計(jì)核查等要求，達(dá)到安全事件的監(jiān)控響應(yīng)再監(jiān)控的閉環(huán)操作，提升網(wǎng)絡(luò)運(yùn)維管理便捷性。第3章 深信服企業(yè)全網(wǎng)安全解決方案 方案總體設(shè)計(jì)為了解決企業(yè)網(wǎng)絡(luò)中遇到的各種安全問(wèn)題，深信服推出了企業(yè)全網(wǎng)安全解決方案，本著安全、可靠、全面、高效、易于管理維護(hù)等原則，給出可資借鑒的建設(shè)方案。針對(duì)互聯(lián)網(wǎng)出口存在的安全問(wèn)題，通過(guò)在互聯(lián)網(wǎng)出口部署深信服下一代防火墻NGAF、上網(wǎng)行為管理AC和應(yīng)用交付AD產(chǎn)品，可以很好的解決。對(duì)于最新爆發(fā)的0DAY漏洞，深信服云安全中心會(huì)第一時(shí)間收集漏洞信息并生成防護(hù)規(guī)則，并通過(guò)云中心快速的下發(fā)到NGAF設(shè)備