【文章內容簡介】 現(xiàn)對廣域網(wǎng)各個節(jié)點一站式安全監(jiān)測和保護。采用SSL VPN安全網(wǎng)關，可以對應用進行安全發(fā)布，避免需要將服務器直接掛在公網(wǎng)上造成的風險。用戶在外需要進行內網(wǎng)接入時，可直接通過瀏覽器打開網(wǎng)頁完成SSL VPN登錄及安全隧道的建立，非常方便的實現(xiàn)網(wǎng)絡接入和數(shù)據(jù)安全保障。在系統(tǒng)安全加固方面，采用登錄SSL VPN身份驗證、權限劃分、登錄應用身份驗證的主線進行保障。SSL VPN接入認證方式可采用用戶名密碼、USB KEY、短信認證、動態(tài)令牌、CA認證、LDAP認證、RADIUS認證等兩種或多種認證的組合，多重組合軟硬結合確保接入身份的確定性。在用戶接入SSL VPN后進行應用訪問權限的劃分對于享有訪問權限的應用系統(tǒng)采用主從賬號綁定SSL VPN登錄賬號和應用系統(tǒng)賬號。用戶只可采用指定的賬號訪問應用系統(tǒng)。由于登錄SSL VPN的身份已通過多重認證的確認，而后又進行指定應用賬號訪問，即可保障登錄應用系統(tǒng)的人員的身份。對于已經(jīng)建立專線組網(wǎng)的分支，將應用系統(tǒng)以SSL VPN資源的方式進行，進行專網(wǎng)內權限劃分的同時實現(xiàn)統(tǒng)一應用平臺的構建。根據(jù)不同部門、不同應用進行對應權限的開放/關閉，分支用戶登錄SSL VPN之后，在其資源列表界面將會顯示該用戶權限下可訪問的應用系統(tǒng)，用戶可直接點擊其上的鏈接進行快速訪問。同時，可針對這些應用系統(tǒng)進行單點登錄設置，點擊鏈接即可自動通過應用本身的認證，可直接進行操作。由于所有訪問總部服務器區(qū)的數(shù)據(jù)都將經(jīng)由SSL VPN進行轉發(fā)，對于用戶權限外的應用，SSL VPN將自動阻斷其連接，防止惡意盜鏈。并且SSL VPN設備對外只開放443端口，從而可屏蔽掉其他端口的攻擊。SSL VPN的數(shù)據(jù)流處理方式可隱藏內網(wǎng)服務器區(qū)結構，并對服務器訪問的IP、域名進行偽裝。SSL VPN在進行用戶對服務器區(qū)發(fā)起的訪問時，采用SSL VPN登錄認證、細粒度應用訪問授權、傳輸數(shù)據(jù)加密，從數(shù)據(jù)安全的角度提供隔離保護。SSL VPN的EasyConnect還能幫助企業(yè)內網(wǎng)部署的終端服務器將應用程序界面用圖形的方式呈現(xiàn)于智能終端之上，在部署過程中，無需對現(xiàn)網(wǎng)結構和應用程序做任何改變，輕松實現(xiàn)跨平臺訪問，解決企業(yè)用戶通過iPhone、Android等智能終端訪問的問題，實現(xiàn)業(yè)務數(shù)據(jù)快速遷移，同時保障業(yè)務系統(tǒng)數(shù)據(jù)不落地，存儲在終端服務器。深信服SSL VPN網(wǎng)關提供專業(yè)的IPSec VPN功能，滿足企業(yè)建設IPSec VPN專網(wǎng)的需求，實現(xiàn)各區(qū)域安全互聯(lián)和數(shù)據(jù)加固的需求。深信服廣域網(wǎng)優(yōu)化產(chǎn)品WOC提供了協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質量優(yōu)化等多種技術，能夠幫助用戶加快關鍵應用的響應速度，大幅提升專網(wǎng)的傳輸效率。專線內存在大量的冗余數(shù)據(jù)傳輸，容易導致專網(wǎng)帶寬壓力過大。WOC產(chǎn)品采用動態(tài)流壓縮、基于碼流特征數(shù)據(jù)優(yōu)化對專網(wǎng)中流量進行大幅削減，降低帶寬負荷，實現(xiàn)帶寬增值。WOC還可以對ERP、郵件、FTP文件傳輸?shù)葢眠M行優(yōu)化，減少數(shù)據(jù)交互，提升訪問速度，提高工作效率。WOC通過快速重傳、選擇性重傳、改善擁塞機制、增大滑動窗口大小等幾種技術手段對傳統(tǒng)的TCP傳輸協(xié)議做改進，提高鏈路質量和訪問速度。WOC還能夠實時感知專網(wǎng)流量分布情況，從而實現(xiàn)業(yè)務流量整形和不斷調優(yōu)。 方案價值NGAF提供全面的L2L7威脅防護，避免了各個節(jié)點的安全風險在廣域網(wǎng)通道傳播；NGAF全網(wǎng)統(tǒng)一安全監(jiān)控和防護，實現(xiàn)了安全設備集中管理、安全日志集中收集、安全策略集中下發(fā)、安全事件統(tǒng)一運維，快速提高整個廣域網(wǎng)全網(wǎng)的安全水平；SSL VPN網(wǎng)關為企業(yè)提供了可靠的VPN組網(wǎng)、遠程業(yè)務發(fā)布和員工遠程接入需求，滿足了安全、快速、易用、可靠的廣域網(wǎng)互聯(lián)服務；WOC產(chǎn)品通過流量削減和協(xié)議、應用、鏈路質量優(yōu)化技術，即使鏈路質量不佳情況下，也能保障核心業(yè)務穩(wěn)定運行，實現(xiàn)帶寬增值； 外聯(lián)服務域安全方案 方案說明DMZ區(qū)域是企業(yè)的對外展示和對外業(yè)務的平臺，該區(qū)域的網(wǎng)絡安全和穩(wěn)定可靠關系著企業(yè)形象和品牌發(fā)展。針對該區(qū)域存在的網(wǎng)絡安全問題，通過部署深信服下一代防火墻和應用交付產(chǎn)品就可以完美解決。深信服NGAF產(chǎn)品具備全面的二到七層安全功能，能一站式智能化解決DMZ區(qū)域的網(wǎng)絡安全問題。通過啟用入侵防御、病毒防護、漏洞檢測保護等功能，可以實時發(fā)現(xiàn)DMZ區(qū)域業(yè)務系統(tǒng)存在的安全漏洞，實時防御來自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬等網(wǎng)絡攻擊，防止攻擊者對外聯(lián)服務網(wǎng)絡的掃描、入侵和破壞，保障系統(tǒng)數(shù)據(jù)安全和業(yè)務的持續(xù)運行。NGAF具備專業(yè)的WEB應用安全防護功能，有效結合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機制，實現(xiàn)雙向的內容檢測，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊，防止網(wǎng)站被黑客掃描攻擊，NGAF還支持隱藏的服務器響應信息，如出錯頁面、響應報頭、FTP信息等。NGAF還提供了網(wǎng)頁防篡改功能，能夠實時檢測并攔截網(wǎng)頁篡改的信息并通知管理員確認，同時對外提供篡改重定向功能，提供正常界面或備份服務器的重定向，保證用戶仍可正常訪問網(wǎng)站；NGAF提供了敏感信息防泄漏功能，能夠實時檢測并阻斷網(wǎng)站源代碼、用戶帳號信息、服務器重要配置文件等敏感信息被泄露，實時記錄泄漏行為，并通過郵件等方式報警；NGAF提供專業(yè)的DoS/DDoS攻擊防護功能，能快速識別并清洗異常訪問行為，保障正常合法的業(yè)務不受影響。NGAF還提供了待處理問題板塊，該板塊展示了NGAF監(jiān)測發(fā)現(xiàn)的安全問題，包括各類風險的分類匯總及問題的詳細描述，同時NGAF還提供了風險問題解決方案，即使不懂安全，也能自助化快速運維，打破了傳統(tǒng)安全設備風險日志看不懂、運維管理無目標等問題。深信服AD產(chǎn)品作為專業(yè)的應用交付設備，能夠為企業(yè)外聯(lián)服務域提供多鏈路負載均衡、服務器負載均衡的全方位解決方案。AD產(chǎn)品的服務器負載均衡技術能夠將后端多臺真實服務器虛擬成一個服務，再通過AD設備轉發(fā)到后端服務器；當用戶請求到達服務器區(qū)域的AD產(chǎn)品時，深信服AD通過全面的負載均衡算法以及目標服務器之間性能和網(wǎng)絡健康情況，能夠選擇性能最佳的服務器來響應用戶的請求，從而將用戶請求在多個服務器間動態(tài)分配，充分利用所有的服務器資源，有效地避免“不平衡”現(xiàn)象的出現(xiàn)。 方案價值NGAF提供了事前策略自檢、事中攻擊防護、事后防止篡改的整體Web保護，可以有效過濾掃描、入侵、破壞過程中的各種安全威脅； NGAF涵蓋了L2L7全面的安全功能，可以全面替代FW、IPS、WAF等設備，提供基于黑客攻擊過程的L2L7層完整安全防護。NGAF提供了比傳統(tǒng)更加全面的風險識別和可視化風險報表，并匯總需要處理的安全問題和建議的解決方案，幫助企業(yè)快速自助安全運維。AD產(chǎn)品提供了高效專業(yè)的服務器和多鏈路負載均衡，滿足服務器響應和網(wǎng)絡鏈路的高效使用，實現(xiàn)了對外服務和網(wǎng)絡資源利用率的最優(yōu)、最大化。 數(shù)據(jù)中心域安全方案 方案說明數(shù)據(jù)中心承載著業(yè)務的核心數(shù)據(jù)以及機密信息，因此數(shù)據(jù)中心永遠是最具吸引力的攻擊目標，所以數(shù)據(jù)中心的安全建設顯得格外重要。通過部署深信服下一代防火墻、應用交付等安全產(chǎn)品，可以幫助企業(yè)打造安全、可靠的數(shù)據(jù)中心網(wǎng)絡。深信服NGAF給企業(yè)數(shù)據(jù)中心提供了一站式智能化的二到七層安全保護。通過啟用NGAF的防火墻、入侵防護、漏洞檢測、敏感信息防泄漏、DoS/DDoS攻擊防護、防病毒、防掃描、弱口令檢查、防僵尸網(wǎng)絡、web應用攻擊保護、網(wǎng)站篡改保護等功能，可以實時發(fā)現(xiàn)數(shù)據(jù)中心業(yè)務系統(tǒng)區(qū)域隔離，避免因業(yè)務系統(tǒng)漏洞導致的入侵，防范病毒、蠕蟲、僵尸網(wǎng)絡等威脅內容在數(shù)據(jù)中心傳播，防止口令密碼被暴力破解，避免數(shù)據(jù)中心敏感信息被泄露，清洗數(shù)據(jù)中心異常流量，保護數(shù)據(jù)中心web應用安全，保障數(shù)據(jù)中心網(wǎng)絡和業(yè)務安全運行。NGAF內置了僵尸網(wǎng)絡識別庫，通過分析內網(wǎng)終端的異常行為（如連接惡意主機或URL）等機制準確識別被黑客控制的僵尸終端，進一步切斷黑客的控制通道，并避免對外DoS攻擊的形成，防止利用僵尸終端作為跳板進一步入侵。NGAF還內置了灰度威脅樣本庫，通過多維歸并整理賦予每種威脅行為一個權值，NGAF計算用戶行為權值之和并對比威脅基線，從而能夠準確判定威脅行為，對于無法確認的可疑內容，NGAF會實時上報到深信服云安全中心，由云中心執(zhí)行沙盒演練等方法進行最終確認，基于這些技術手段，NGAF能夠準確識別并防御未知威脅和APT攻擊。此外，對于大型企業(yè)來說，其數(shù)據(jù)中心內部業(yè)務系統(tǒng)較多，安全防護需求各不相同，為了解決多樣化的安全防護需求，NGAF還提供了硬件一虛多技術，實現(xiàn)將單臺NGAF劃分為邏輯上完全獨立的多臺設備，滿足不同業(yè)務系統(tǒng)獨立保護的安全需求，提升資源利用效率，降低了部署運營成本。深信服AD產(chǎn)品作為專業(yè)的應用交付設備，能夠為企業(yè)數(shù)據(jù)中心提供包括多數(shù)據(jù)中心負載均衡、服務器負載均衡的全方位解決方案。多數(shù)據(jù)中心負載均衡解決方案中，每個數(shù)據(jù)中心前端均部署AD設備，并以路由模式接入各個數(shù)據(jù)網(wǎng)絡之中，負責將用戶的DNS訪問請求引導到最快的鏈路進行訪問站點；同時負責兩條線路的健康狀態(tài)的檢查，一旦檢測到線路的中斷，則停止相應線路的地址解析。AD產(chǎn)品的服務器負載均衡技術能夠將后端多臺真實服務器虛擬成一個服務，并通過AD設備轉發(fā)到后端服務器；當用戶請求到達服務器區(qū)域的AD產(chǎn)品時，深信服AD通過全面的負載均衡算法以及目標服務器之間性能和網(wǎng)絡健康情況，能夠選擇性能最佳的服務器來響應用戶的請求，從而將用戶請求在多個服務器間動態(tài)分配，充分利用所有的服務器資源，有效地避免“不平衡”現(xiàn)象的出現(xiàn)。此外，為了滿足虛擬化云環(huán)境下數(shù)據(jù)中心的安全需求，深信服還專門研發(fā)了虛擬化軟件下一代防火墻和應用交付產(chǎn)品，能夠以虛機方式無縫集成到虛擬化平臺內部，滿足虛擬化云計算場景全面、靈活、多維度的安全和可靠性需求。虛擬化軟件安全產(chǎn)品能夠快速部署于Vmware等Hypervisor之上，提供虛擬化云平臺內部靈活的安全區(qū)域劃分、2到7層安全保護和智能快速的應用交付解決方案 方案價值NGAF涵蓋了L2L7全面的安全功能，提供比FW、IPS、WAF更多的安全防護層級，全面滿足數(shù)據(jù)中心多維的網(wǎng)絡數(shù)據(jù)安全保護；NGAF通過多重的已知威脅識別、灰度威脅樣本庫、云端可疑威脅檢測等技術手段，有效識別和防范APT等高危威脅行為，確保數(shù)據(jù)中心的安全；AD產(chǎn)品通過高效專業(yè)的服務器和多鏈路負載均衡，滿足服務器響應和網(wǎng)絡鏈路的高效使用，實現(xiàn)了對外服務和網(wǎng)絡資源利用率的最優(yōu)、最大化。對于有備份數(shù)據(jù)中心的企業(yè)來說，AD還能提供了全局負載均衡功能，實現(xiàn)將用戶訪問請求引導到最快最優(yōu)的數(shù)據(jù)中心進行響應，并實現(xiàn)鏈路故障的快速切換。 內網(wǎng)辦公域安全方案 方案說明 “堡壘最容易從內部攻破”，因此做好企業(yè)內網(wǎng)辦公區(qū)域的網(wǎng)絡安全建設，對于企業(yè)整體網(wǎng)絡的安全保護意義重大。通過深信服NGAF、AC和企業(yè)級無線，以及第三方終端防病毒軟件，可以較為完善的解決內網(wǎng)辦公區(qū)域的安全問題。深信服上網(wǎng)行為管理AC產(chǎn)品能夠對內網(wǎng)用戶的上網(wǎng)行為進行精細化識別和管控，深信服NGAF從網(wǎng)絡層面保障了辦公網(wǎng)絡的安全，終端防病毒軟件部署到辦公終端設備上，提供更加深度的安全保護，也是網(wǎng)關安全設備的有效補充，而深信服企業(yè)無線產(chǎn)品能夠為企業(yè)客戶提供安全、快速、可靠的無線網(wǎng)絡，滿足企業(yè)無線辦公需求。NGAF給企業(yè)辦公網(wǎng)絡構建了立體的防護體系，防止內部終端遭受各個層次的安全威脅。通過啟用入侵防御和防病毒等功能，NGAF提供了全面的虛擬補丁功能，有效防御各種攻擊和網(wǎng)絡蠕蟲病毒，保證辦公網(wǎng)絡的安全穩(wěn)定運行。NGAF內置了僵尸網(wǎng)絡識別庫，通過分析內網(wǎng)終端的異常行為（如連接惡意主機或URL）等機制準確識別被黑客控制的僵尸終端，進一步切斷黑客的控制通道，并避免對外DoS攻擊的形成，防止利用僵尸終端作為跳板進一步入侵，鏟除APT攻擊的土壤。AC設備具備專業(yè)的身份認證功能，能夠針對用戶和用戶組實施不同的應用控制和流量分配策略；AC內置了國內最全面的應用識別庫，能精準識別和控制內部員工的上網(wǎng)行為，保障關鍵應用，限制無關應用，阻止非法應用，避免員工在工作時間使用無關應用影響工作、占用帶寬，提高企業(yè)帶寬的使用價值。終端防病毒產(chǎn)品包括防病毒軟件和管理中心兩部分。通過在終端部署防病毒軟件，可以更加精準的檢測終端設備潛藏的安全威脅，徹底清除病毒、蠕蟲、特洛伊木馬、間諜軟件、僵尸、零日攻擊等安全威脅。部署防病毒軟件管理中心，可以集中管理眾多防病毒軟件，實現(xiàn)軟件集中管理、集中更新、統(tǒng)一運維。深信服企業(yè)無線產(chǎn)品（包括無線AP和無線控制器NAC）能夠幫助企業(yè)客戶打造安全、快速、可運營的無線網(wǎng)絡。深信服企業(yè)無線提供了端到端的網(wǎng)絡協(xié)議棧加速、網(wǎng)絡優(yōu)化、終端和應用識別及流控技術，能夠為企業(yè)打造更快速、更穩(wěn)定的企業(yè)無線服務；深信服企業(yè)無線提供了便捷的安全管理和全面的安全防護，支持二維碼認證、精細化角色授權管理等技術，為企業(yè)打造更安全、更便捷的無線網(wǎng)絡；深信服企業(yè)無線還內置了信息推送中心，預留了企業(yè)微信公眾平臺對接模塊，全面滿足企業(yè)可運營化無線網(wǎng)絡。 方案價值NGAF為企業(yè)辦公區(qū)域打造安全可靠的隔離區(qū)域，并提供二到七層的全面防護，保護內部用戶免受非法侵入。防病毒軟件能夠從終端層面更加全面精準的檢測內部終端的安全威脅，并徹底清除這些威脅，營造干凈的辦公網(wǎng)絡。AC設備提供了精準智能的應用和流量控制策略，保障關鍵業(yè)務應用體驗，避免無關應用對帶寬的消耗，保障工作高效執(zhí)行。深信服企業(yè)無線產(chǎn)品通過多種領先的技術手段幫助企業(yè)客戶打造安全、快速、穩(wěn)定、可運營的無線網(wǎng)絡。 運維管理域安全方案 方案說明針對運維區(qū)域存在的安全問題，深信服推薦部署NGAF、集中管理設備SC和運維審計產(chǎn)品，從而打造安全、可控、易運維的運維管理區(qū)域。NGAF可以給運維管理區(qū)打造安全隔離區(qū)，并基于嚴格的訪問控制策略和身份認證信息進行區(qū)域網(wǎng)絡接入，同時NGAF還能夠防范病毒、僵尸、蠕蟲等威脅對運維區(qū)的入侵和破壞，給運維管理區(qū)打造一片安全的網(wǎng)絡環(huán)境。運維審計產(chǎn)品可以為IT人員對各種設備、系統(tǒng)的運維操作提供統(tǒng)一的接入門戶，實現(xiàn)資源的統(tǒng)一接入、資源自動登錄、運維會話記錄、實時告警提示、實時設備監(jiān)控；運維審計產(chǎn)品提供了強大的身份管理、靈活細粒度的授權、多維度的日志采集和詳細的審計分析能力，實現(xiàn)操作的有效監(jiān)管和審計。深信服SC集中管理平臺能夠對深信服設備進行集中管理。SC集中平臺可以統(tǒng)一查