【正文】 深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠為企業(yè)數(shù)據(jù)中心提供包括多數(shù)據(jù)中心負載均衡、服務(wù)器負載均衡的全方位解決方案。通過啟用NGAF的防火墻、入侵防護、漏洞檢測、敏感信息防泄漏、DoS/DDoS攻擊防護、防病毒、防掃描、弱口令檢查、防僵尸網(wǎng)絡(luò)、web應(yīng)用攻擊保護、網(wǎng)站篡改保護等功能，可以實時發(fā)現(xiàn)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)區(qū)域隔離，避免因業(yè)務(wù)系統(tǒng)漏洞導致的入侵，防范病毒、蠕蟲、僵尸網(wǎng)絡(luò)等威脅內(nèi)容在數(shù)據(jù)中心傳播，防止口令密碼被暴力破解，避免數(shù)據(jù)中心敏感信息被泄露，清洗數(shù)據(jù)中心異常流量，保護數(shù)據(jù)中心web應(yīng)用安全，保障數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)安全運行。AD產(chǎn)品提供了高效專業(yè)的服務(wù)器和多鏈路負載均衡，滿足服務(wù)器響應(yīng)和網(wǎng)絡(luò)鏈路的高效使用，實現(xiàn)了對外服務(wù)和網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠為企業(yè)外聯(lián)服務(wù)域提供多鏈路負載均衡、服務(wù)器負載均衡的全方位解決方案。通過啟用入侵防御、病毒防護、漏洞檢測保護等功能，可以實時發(fā)現(xiàn)DMZ區(qū)域業(yè)務(wù)系統(tǒng)存在的安全漏洞，實時防御來自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬等網(wǎng)絡(luò)攻擊，防止攻擊者對外聯(lián)服務(wù)網(wǎng)絡(luò)的掃描、入侵和破壞，保障系統(tǒng)數(shù)據(jù)安全和業(yè)務(wù)的持續(xù)運行。WOC還能夠?qū)崟r感知專網(wǎng)流量分布情況，從而實現(xiàn)業(yè)務(wù)流量整形和不斷調(diào)優(yōu)。專線內(nèi)存在大量的冗余數(shù)據(jù)傳輸，容易導致專網(wǎng)帶寬壓力過大。SSL VPN在進行用戶對服務(wù)器區(qū)發(fā)起的訪問時，采用SSL VPN登錄認證、細粒度應(yīng)用訪問授權(quán)、傳輸數(shù)據(jù)加密，從數(shù)據(jù)安全的角度提供隔離保護。同時，可針對這些應(yīng)用系統(tǒng)進行單點登錄設(shè)置，點擊鏈接即可自動通過應(yīng)用本身的認證，可直接進行操作。用戶只可采用指定的賬號訪問應(yīng)用系統(tǒng)。用戶在外需要進行內(nèi)網(wǎng)接入時，可直接通過瀏覽器打開網(wǎng)頁完成SSL VPN登錄及安全隧道的建立，非常方便的實現(xiàn)網(wǎng)絡(luò)接入和數(shù)據(jù)安全保障。通過部署深信服下一代防火墻、SSL VPN安全網(wǎng)關(guān)、廣域網(wǎng)優(yōu)化等安全產(chǎn)品，可以幫助企業(yè)打造高效、安全的廣域網(wǎng)絡(luò)通信系統(tǒng)。深信服 AD設(shè)備能夠進行DNS請求轉(zhuǎn)發(fā)，通過深信服 AD尋找合適的DNS服務(wù)器返回給內(nèi)網(wǎng)電腦。深信服上網(wǎng)行為管理AC設(shè)備能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)流量進行精細化控制管理。深信服下一代防火墻（NextGeneration Application Firewall）NGAF是面向應(yīng)用層設(shè)計，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備完整安全防護能力，能夠全面替代傳統(tǒng)防火墻，并具有全面的應(yīng)用層安全防護功能和強勁的處理能力。根據(jù)企業(yè)不同網(wǎng)絡(luò)區(qū)域定位不同，我們大致可以將企業(yè)網(wǎng)絡(luò)劃分為6個區(qū)域，分別為：互聯(lián)網(wǎng)接入域、外聯(lián)服務(wù)域、廣域網(wǎng)接入域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運維管理域。 操作運維審計如果沒有有效的技術(shù)手段來保障運維操作的正確執(zhí)行，那么將對運維人員的違規(guī)操作無能為力。利用防火墻可以給運維管理區(qū)打造安全隔離區(qū)，并基于嚴格的訪問控制策略和身份認證信息進行區(qū)域網(wǎng)絡(luò)接入；同時利用新型防火墻給運維管理區(qū)打造一片安全的網(wǎng)絡(luò)環(huán)境。攻擊者通過控制大量僵尸主機實現(xiàn)僵尸網(wǎng)絡(luò)本地擴散、敏感信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意目的。 開發(fā)環(huán)境安全開發(fā)部門由于其業(yè)務(wù)特殊性，對開發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。因此，內(nèi)網(wǎng)安全建設(shè)需要包括：具備快速發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補丁能力，具備快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點并及時、準確的切斷安全事件發(fā)生點的能力。無論是內(nèi)部終端的違規(guī)外聯(lián)、違規(guī)接入和違規(guī)操作，還是內(nèi)部系統(tǒng)數(shù)據(jù)保密性、可控性和可用性要求，都是企業(yè)內(nèi)網(wǎng)辦公區(qū)域安全建設(shè)需要思考的問題。 虛擬云化風險保護虛擬化云數(shù)據(jù)中心是數(shù)據(jù)中心的發(fā)展方向，通過虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施資源池，實現(xiàn)資源的按需分配，提高整體資源利用率。 防止拒絕服務(wù)數(shù)據(jù)中心作為業(yè)務(wù)集中化部署、發(fā)布、存儲的區(qū)域，數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機密信息，其業(yè)務(wù)的可靠性非常關(guān)鍵。近幾年APT攻擊經(jīng)常見諸報端，這是一類攻擊手段很先進、目的性和持續(xù)性很強的高級持續(xù)性威脅（APT）。 漏洞攻擊保護數(shù)據(jù)中心大量的服務(wù)器底層操作系統(tǒng)和業(yè)務(wù)應(yīng)用都可能存在安全漏洞，給了入侵者可乘之機。數(shù)據(jù)中心主要的安全需求包括： 防火墻隔離控制通過防火墻在數(shù)據(jù)中心構(gòu)造一道網(wǎng)絡(luò)層保護屏障，通過防火墻的區(qū)域隔離和訪問控制規(guī)則，來界定用戶的訪問請求是否符合安全要求，并隔離來自internet、intranet、extrane等區(qū)域的安全風險，實現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)接入安全。從而保證訪問的速度和穩(wěn)定性。這種攻擊行為使得Web等系統(tǒng)充斥大量要求回復(fù)的信息，嚴重消耗網(wǎng)絡(luò)系統(tǒng)資源，導致外聯(lián)服務(wù)平臺無法對外正常提供服務(wù)，影響企業(yè)正常的業(yè)務(wù)開展。 WEB應(yīng)用安全針對Web應(yīng)用的攻擊往往隱藏在正常訪問業(yè)務(wù)行為中，導致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。該區(qū)域主要的安全需求有： 系統(tǒng)漏洞攻擊保護DMZ區(qū)域內(nèi)部有大量業(yè)務(wù)服務(wù)器，其底層和業(yè)務(wù)應(yīng)用系統(tǒng)會不斷產(chǎn)生新的安全漏洞，給了入侵者可乘之機。 外聯(lián)服務(wù)域安全需求分析企業(yè)外聯(lián)服務(wù)域也叫DMZ。 廣域網(wǎng)鏈路質(zhì)量優(yōu)化分公司員工日常的工作都需要依靠信息平臺來完成，因此員工接入總部訪問應(yīng)用的速度和其工作效率直接相關(guān)。 移動辦公安全網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來越頻繁，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來越多，安全性要求也越來越重要。 數(shù)據(jù)安全性保障在總部與小型分支或辦事處之間基于互聯(lián)網(wǎng)通信，組織信息平臺上的應(yīng)用系統(tǒng)如果不經(jīng)加密和認證等安全處理，跑在互聯(lián)網(wǎng)這個不安全而又開放的網(wǎng)絡(luò)上，一旦重要數(shù)據(jù)如果遭到竊取，帶來的損失將無法估量。因此，構(gòu)建一個高效、安全的廣域網(wǎng)絡(luò)系統(tǒng)勢必為企業(yè)的發(fā)展“添磚加瓦”。 應(yīng)用帶寬管控內(nèi)網(wǎng)用戶在上班時間有意無意的進行與工作無關(guān)的網(wǎng)絡(luò)行為，比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購、手機APP使用等，嚴重影響工作效率，并占用大量的帶寬，導致關(guān)鍵業(yè)務(wù)應(yīng)用或關(guān)鍵人員得不到足夠的帶寬資源，降低企業(yè)內(nèi)部的工作效率。由于間諜軟件隱藏在用戶計算機中、秘密監(jiān)視用戶活動，并建立了一個進入個人電腦的通道，很容易對用戶電腦做后續(xù)的攻擊。 防零時差攻擊零時差攻擊（Zerohour/day Attack）是指從系統(tǒng)漏洞、協(xié)議弱點被發(fā)現(xiàn)到黑客制造出針對該漏洞、弱點的惡意代碼并發(fā)起攻擊之間的時間差幾乎為零的攻擊。 防御DDoS攻擊DDoS攻擊一般由黑客控制Internet上的“僵尸”系統(tǒng)完成，通過對互聯(lián)網(wǎng)上缺少防御的主機植入某些代碼，這些機器就會被DDoS攻擊者控制，當黑客發(fā)動DDoS攻擊時，只需要同時向這些將僵尸機發(fā)送指令，攻擊就會由這些“僵尸”機器完成?；ヂ?lián)網(wǎng)接入域是連接企業(yè)內(nèi)部與外部的橋梁，因此面臨著來自兩個方向的安全威脅：1）外部威脅，如黑客掃描和入侵、拒絕服務(wù)攻擊、病毒或蠕蟲侵襲、僵尸木馬、信息泄露等。對于不同接入方，其所擁有的權(quán)限，既要能夠滿足正常業(yè)務(wù)的需求，又不能超越其職能權(quán)限，避免越權(quán)訪問和敏感信息泄露； 運維管理安全：共享帳號安全隱患，設(shè)備繁多控制策略復(fù)雜，操作無法監(jiān)管，內(nèi)部操作不透明，外部操作不可控，沒有統(tǒng)一的身份管理平臺，頻繁切換應(yīng)用程序登錄，日志分散不可用，不能集中有效審計等問題困擾著企業(yè)網(wǎng)絡(luò)的安全運維管理。事實充分說明：網(wǎng)絡(luò)安全是企業(yè)單位網(wǎng)絡(luò)建設(shè)的重點內(nèi)容，網(wǎng)絡(luò)安全建設(shè)和加固是一個持續(xù)的工程。然而，伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各類黑客行為和攻擊技術(shù)給企業(yè)的持續(xù)、快速、健康、安全的發(fā)展帶來了困擾。互聯(lián)網(wǎng)的快速發(fā)展促進了企事業(yè)單位的信息化建設(shè)，互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò)基礎(chǔ)建設(shè)大大提高了企業(yè)的生產(chǎn)力和工作效率，互聯(lián)網(wǎng)信息技術(shù)的持續(xù)使用，給企業(yè)的持續(xù)、快速、高效發(fā)展提供了助力，企業(yè)的管理成本和生產(chǎn)成本得到了持續(xù)降低。普華永道針對中國企業(yè)的一份調(diào)研報告指出“已檢測到的信息安全事件對企業(yè)帶來的財務(wù)影響正在迅速增加，同時仍有許多攻擊沒被發(fā)現(xiàn)或者報告，僅在中國內(nèi)地與香港地區(qū)，失竊的知識產(chǎn)權(quán)或者商業(yè)機密的實際價值已遠超數(shù)十億美元”。那么，企業(yè)網(wǎng)絡(luò)到底面臨哪些主要的安全問題呢？外網(wǎng)安全問題：非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、漏洞利用、僵尸木馬、信息泄露等已成為企業(yè)網(wǎng)絡(luò)安全最為廣泛的威脅；內(nèi)網(wǎng)安全問題：帶寬和應(yīng)用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲擴散、信息泄露等已成為企業(yè)內(nèi)部網(wǎng)絡(luò)最主要的安全問題；安全連接問題：內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全，如企業(yè)總部、各地分支機構(gòu)、第三方合作伙伴、移動辦公人員之間，既要保障信息及時共享，又要防止機密信息泄露。 互聯(lián)網(wǎng)接入域安全需求分析互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)⑵髽I(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離,作為企業(yè)內(nèi)部用戶訪問互聯(lián)網(wǎng)的出口, 其中互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)挝粌?nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離，作為內(nèi)部用戶訪問互聯(lián)網(wǎng)的出口，同時承擔著兩方面的作用：一是內(nèi)部用戶訪問互聯(lián)網(wǎng)的統(tǒng)一出口；二是為社會公眾和合作伙伴提供企業(yè)信息服務(wù)的入口。 防止黑客掃描入侵外部黑客出于好奇、報復(fù)或經(jīng)濟利益等目的會對內(nèi)網(wǎng)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描，獲取內(nèi)部網(wǎng)絡(luò)的安全漏洞，發(fā)起基于存在漏洞的惡意攻擊行為，從而獲取到未授權(quán)的機密信息或內(nèi)部系統(tǒng)的控制權(quán)限。網(wǎng)絡(luò)蠕蟲病毒傳播速度快，一旦遭受了病毒和蠕蟲的侵襲，不僅會造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，網(wǎng)絡(luò)擁塞，同時也會對核心敏感數(shù)據(jù)造成嚴重的威脅，導致業(yè)務(wù)和生產(chǎn)的中斷、敏感信息泄露等問題。間諜軟件在安裝時什么都不顯示，運行時用戶也不知曉，刪除起來非常困難。因此，間諜軟件對企業(yè)網(wǎng)絡(luò)的危害非常巨大，需要一種有效的手段防止間諜軟件向企業(yè)內(nèi)部網(wǎng)絡(luò)滲透。 廣域網(wǎng)接入域安全需求分析對于大部分企業(yè)來說，都可能存在企業(yè)集團總部、子公司或各地分支辦事處，并且各個節(jié)點已形成自己的局域網(wǎng)結(jié)構(gòu)，并通過廣域網(wǎng)互聯(lián)互通，實現(xiàn)集團總部與子公司、辦事處之間多種資源信息的共享互通。因此在總部和分支互聯(lián)建設(shè)中必須充分考慮安全互聯(lián)組網(wǎng)的需求，并防止外部人員的非法侵入。但是在專網(wǎng)內(nèi)同樣存在信息安全級別不同的應(yīng)用系統(tǒng)數(shù)據(jù)，高安全級別的數(shù)據(jù)信息如果直接在網(wǎng)絡(luò)中明文傳輸，存在被竊聽、篡改的風險，從信息安全規(guī)劃及權(quán)限的安全方面進行考慮，有必要在專網(wǎng)中對不同安全級別的應(yīng)用系統(tǒng)采取邏輯隔離、安全加密、權(quán)限劃分等加固手段。 第三方安全接入隨著業(yè)務(wù)規(guī)模的擴大，業(yè)務(wù)系統(tǒng)也在不斷延伸，除了建設(shè)內(nèi)部自己使用的業(yè)務(wù)系統(tǒng)外，還建立了第三人員使用的業(yè)務(wù)系統(tǒng)，如供應(yīng)商接入系統(tǒng)、代理商接入系統(tǒng)等，這些業(yè)務(wù)系統(tǒng)提高了企業(yè)的業(yè)務(wù)運作效率，但也帶來了眾多不可控風險：如身份認證單一、接入終端安全性無法控制、數(shù)據(jù)易被竊取、越權(quán)訪問、惡意訪問無法追蹤、訪問速度慢。如何消減總部節(jié)點、分支節(jié)點的吞吐瓶頸，提升員工訪問速度；如何減少分支網(wǎng)絡(luò)丟包、延時現(xiàn)象問題；如何避免應(yīng)用本身交互過多，遭遇廣域網(wǎng)后響應(yīng)速度慢，影響業(yè)務(wù)效率問題。該區(qū)域面臨來自內(nèi)外網(wǎng)多個區(qū)域的安全威脅，并且針對該區(qū)域的攻擊往往隱藏在正常訪問業(yè)務(wù)行為中，導致傳統(tǒng)安全設(shè)備很難發(fā)現(xiàn)和阻止這些威脅。 防止信息泄露和篡改黑客通過漏洞利用、WEB攻擊、弱密碼等手段一旦侵入了DMZ系統(tǒng)，將可能竊取DMZ系統(tǒng)數(shù)據(jù)庫中儲存的用戶資料、身份信息、賬戶信息等敏感數(shù)據(jù)，損害企業(yè)的經(jīng)濟利益；黑客也可能直接篡改企業(yè)對外Web網(wǎng)頁內(nèi)容，使企業(yè)的形象和信譽受損；黑客甚至會在企業(yè)對外提供服務(wù)的網(wǎng)站掛載木馬病毒，網(wǎng)站的訪問用戶也會被木馬病毒感染，這種情況下企業(yè)可能因此而承擔法律責任。 防止拒絕服務(wù)黑客通過DOS/DDOS拒絕服務(wù)攻擊使外聯(lián)服務(wù)平臺無法響應(yīng)正常請求。需要通過服務(wù)器負載均衡機制，保證用戶訪問流量能在各服務(wù)器上均衡分配，提高服務(wù)器資源的利用率，減輕服務(wù)器的壓力。所以數(shù)據(jù)中心的安全建設(shè)顯得格外重要。所以數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)需要包含檢測和清除病毒蠕蟲木馬等惡意內(nèi)容的機制。 防APT攻擊黑客的攻擊手段越來越先進，并帶有很強的目的性。 防范內(nèi)部威脅企業(yè)內(nèi)部網(wǎng)絡(luò)安全狀況也影響著外聯(lián)區(qū)域數(shù)據(jù)中心的安全，比如內(nèi)部網(wǎng)絡(luò)中存在DoS攻擊，或者存在感染病毒木馬的終端，給黑客提供可利用的跳板等，內(nèi)部員工的非法掃描和滲透攻擊，及非授權(quán)違規(guī)操作行為，這些問題都會破壞數(shù)據(jù)中心的安全穩(wěn)定運行。針對web應(yīng)用的安全問題有：由于Web應(yīng)用程序的編寫過程中引入的安全漏洞問題，比如SQL注入、跨站腳本攻擊等；系統(tǒng)底層漏洞問題，如服務(wù)器底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)（如IIS、Apache），這些系統(tǒng)本身存在諸多的安全漏洞給了入侵者可乘之機；黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對網(wǎng)站進行攻擊?！氨咀钊菀讖膬?nèi)部攻破”，因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè)，對于企業(yè)整體網(wǎng)絡(luò)的安全保護意義重大。 漏洞病毒防護內(nèi)網(wǎng)辦公區(qū)分布有大量的終端設(shè)備，如果這些終端不能及時更新系統(tǒng)漏洞補丁，將會給黑客可乘之機，一旦某臺終端感染病毒，很容易向全網(wǎng)擴散。杜絕盜用賬號、非法接入的安全威脅，并針對外部訪客、內(nèi)部人員（不同部門、不同職位）分配不同的應(yīng)用訪問權(quán)限，實現(xiàn)精細化網(wǎng)絡(luò)接入控制，并避免復(fù)雜的臨時賬號申請機制。 防止僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的，采用多種傳播手段，通過互聯(lián)網(wǎng)使大量主機感染僵尸程序，從而控制這些被感染的主機，從而在控制者和被感染主機之間形成一個一對多控制的網(wǎng)絡(luò)，黑客利用這些僵尸主機作為進一步入侵的跳板。該區(qū)域主要的安全需求如下： 防火墻區(qū)域隔離運維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)高效運行的重要區(qū)域，企業(yè)內(nèi)部大部分IT設(shè)備和系統(tǒng)都在該區(qū)域維護管理，因此該區(qū)域一旦被黑客或不軌員工侵入，極可能造成全局網(wǎng)絡(luò)危害。 集中運維管理企業(yè)內(nèi)部安全設(shè)備較多，因此需要有集中的統(tǒng)一管理和審計分析平臺，實現(xiàn)對設(shè)備的集中管理、集中監(jiān)控、集中配置、集中運維、統(tǒng)一審計核查等要求，達到安全事件的監(jiān)控響應(yīng)再監(jiān)控的閉環(huán)操作，提升網(wǎng)絡(luò)運維管理便捷性。第3章 深信服企業(yè)全網(wǎng)安全解決方案 方案總體設(shè)計為了解決企業(yè)網(wǎng)絡(luò)中遇到的各種安全問題，深信服推出了企業(yè)全網(wǎng)安全解決方案，本著安全、可靠、全面、高效、易于管理維護等原則，給出可資借鑒的建設(shè)方案。針對互聯(lián)網(wǎng)出口存在的安全問題，通過在互聯(lián)網(wǎng)出口部署深信服下一代防火墻NGAF、上網(wǎng)行為管理AC和應(yīng)用交付AD產(chǎn)品，可以很好的解決。對于最新爆發(fā)的0DAY漏洞，深信服云安全中心會第一時間收集漏洞信息并生成防護規(guī)則，并通過云中心快速的下發(fā)到NGAF設(shè)備