企業(yè)全網(wǎng)安全解決方案      

 第1章 企業(yè)網(wǎng)絡(luò )安全背景

1.1 企業(yè)網(wǎng)絡(luò )發(fā)展狀況

互聯(lián)網(wǎng)是人類(lèi)最偉大的發(fā)明?；ヂ?lián)網(wǎng)的快速發(fā)展促進(jìn)了企事業(yè)單位的信息化建設，互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò )基礎建設大大提高了企業(yè)的生產(chǎn)力和工作效率，互聯(lián)網(wǎng)信息技術(shù)的持續使用，給企業(yè)的持續、快速、高效發(fā)展提供了助力，企業(yè)的管理成本和生產(chǎn)成本得到了持續降低。

然而，伴隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展，各類(lèi)黑客行為和攻擊技術(shù)給企業(yè)的持續、快速、健康、安全的發(fā)展帶來(lái)了困擾。IDC報告指出針對企業(yè)的黑客攻擊事件呈現逐年遞增的趨勢。近年來(lái)，大量的企業(yè)信息安全事件出現在我們的視野，如七天、如家等酒店的開(kāi)房信息泄露，索尼影音官網(wǎng)被黑及用戶(hù)信息泄露，卡巴斯基總部被黑客侵入等，這些事件不僅對企業(yè)的商業(yè)活動(dòng)和企業(yè)信譽(yù)帶來(lái)?yè)p害，還對社會(huì )公民的正常生活造成干擾。普華永道針對中國企業(yè)的一份調研報告指出“已檢測到的信息安全事件對企業(yè)帶來(lái)的財務(wù)影響正在迅速增加，同時(shí)仍有許多攻擊沒(méi)被發(fā)現或者報告，僅在中國內地與香港地區，失竊的知識產(chǎn)權或者商業(yè)機密的實(shí)際價(jià)值已遠超數十億美元”。事實(shí)充分說(shuō)明：網(wǎng)絡(luò )安全是企業(yè)單位網(wǎng)絡(luò )建設的重點(diǎn)內容，網(wǎng)絡(luò )安全建設和加固是一個(gè)持續的工程。

1.2 企業(yè)網(wǎng)絡(luò )安全問(wèn)題

當今企業(yè)都在廣泛使用網(wǎng)絡(luò )信息技術(shù)，以不斷提高企業(yè)的核心競爭力。由于計算機網(wǎng)絡(luò )的開(kāi)放性，網(wǎng)絡(luò )信息化給企業(yè)帶來(lái)效益的同時(shí)，也給企業(yè)增加了風(fēng)險隱患，企業(yè)網(wǎng)絡(luò )安全問(wèn)題日益嚴重。那么，企業(yè)網(wǎng)絡(luò )到底面臨哪些主要的安全問(wèn)題呢？

外網(wǎng)安全問(wèn)題：非法接入、網(wǎng)絡(luò )入侵、黑客攻擊、病毒傳播、蠕蟲(chóng)攻擊、漏洞利用、僵尸木馬、信息泄露等已成為企業(yè)網(wǎng)絡(luò )安全最為廣泛的威脅；

內網(wǎng)安全問(wèn)題：帶寬和應用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲(chóng)擴散、信息泄露等已成為企業(yè)內部網(wǎng)絡(luò )最主要的安全問(wèn)題；

安全連接問(wèn)題：內部網(wǎng)絡(luò )之間、內外網(wǎng)絡(luò )之間的連接安全，如企業(yè)總部、各地分支機構、第三方合作伙伴、移動(dòng)辦公人員之間，既要保障信息及時(shí)共享，又要防止機密信息泄露。對于不同接入方，其所擁有的權限，既要能夠滿(mǎn)足正常業(yè)務(wù)的需求，又不能超越其職能權限，避免越權訪(fǎng)問(wèn)和敏感信息泄露；

運維管理安全：共享帳號安全隱患，設備繁多控制策略復雜，操作無(wú)法監管，內部操作不透明，外部操作不可控，沒(méi)有統一的身份管理平臺，頻繁切換應用程序登錄，日志分散不可用，不能集中有效審計等問(wèn)題困擾著(zhù)企業(yè)網(wǎng)絡(luò )的安全運維管理。

第2章 企業(yè)網(wǎng)絡(luò )安全需求分析

對于大部分企業(yè)來(lái)說(shuō)，其IT網(wǎng)絡(luò )的建設可以劃分六個(gè)區域，分別為：互聯(lián)網(wǎng)接入域、廣域網(wǎng)接入域、外聯(lián)服務(wù)域、數據中心域、內網(wǎng)辦公域、運維管理域。這六個(gè)區域因為承載的業(yè)務(wù)內容和作用不同，所面臨的安全風(fēng)險也有所不同，需要的安全防護措施亦有差別。

2.1 互聯(lián)網(wǎng)接入域安全需求分析

互聯(lián)網(wǎng)接入區域將企業(yè)內部網(wǎng)絡(luò )與互聯(lián)網(wǎng)邏輯隔離,作為企業(yè)內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的出口, 其中互聯(lián)網(wǎng)接入區域將單位內部網(wǎng)絡(luò )與互聯(lián)網(wǎng)邏輯隔離，作為內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的出口，同時(shí)承擔著(zhù)兩方面的作用：一是內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的統一出口；二是為社會(huì )公眾和合作伙伴提供企業(yè)信息服務(wù)的入口?；ヂ?lián)網(wǎng)接入域是連接企業(yè)內部與外部的橋梁，因此面臨著(zhù)來(lái)自?xún)蓚€(gè)方向的安全威脅：1）外部威脅，如黑客掃描和入侵、拒絕服務(wù)攻擊、病毒或蠕蟲(chóng)侵襲、僵尸木馬、信息泄露等。2）內部威脅，如無(wú)意識的風(fēng)險引入、網(wǎng)絡(luò )資源濫用導致的新風(fēng)險，以及內部的故意破壞等。

2.1.1 防火墻訪(fǎng)問(wèn)控制

通過(guò)防火墻在內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間構造一道保護屏障，從而保護內部網(wǎng)絡(luò )免受非法用戶(hù)的侵入，通過(guò)防火墻將內外部網(wǎng)絡(luò )隔離，實(shí)現有效的邊界訪(fǎng)問(wèn)控制，并界定用戶(hù)的訪(fǎng)問(wèn)請求是否符合安全規則，基于防火墻預設的訪(fǎng)問(wèn)控制規則、端口和協(xié)議的檢測和控制機制等手段使可信雙方進(jìn)行通信，并阻斷不可信的訪(fǎng)問(wèn)行為。

2.1.2 防止黑客掃描入侵

外部黑客出于好奇、報復或經(jīng)濟利益等目的會(huì )對內網(wǎng)服務(wù)器和業(yè)務(wù)系統發(fā)起非法掃描，獲取內部網(wǎng)絡(luò )的安全漏洞，發(fā)起基于存在漏洞的惡意攻擊行為，從而獲取到未授權的機密信息或內部系統的控制權限。

2.1.3 防御DDoS攻擊

DDoS攻擊一般由黑客控制Internet上的“僵尸”系統完成，通過(guò)對互聯(lián)網(wǎng)上缺少防御的主機植入某些代碼，這些機器就會(huì )被DDoS攻擊者控制，當黑客發(fā)動(dòng)DDoS攻擊時(shí)，只需要同時(shí)向這些將僵尸機發(fā)送指令，攻擊就會(huì )由這些“僵尸”機器完成。DDoS攻擊主要有帶寬型攻擊、流量型攻擊和應用型攻擊，其主要的表現為利用海量的數據包、請求或應用消耗目標網(wǎng)絡(luò )或設備資源，導致無(wú)法處理正常的業(yè)務(wù)或訪(fǎng)問(wèn)請求，造成公司的服務(wù)質(zhì)量下降、生產(chǎn)效率降低、信譽(yù)受損等一系列問(wèn)題。

2.1.4 防止病毒蠕蟲(chóng)入侵

病毒蠕蟲(chóng)等威脅內容是黑客最常利用的網(wǎng)絡(luò )入侵工具。網(wǎng)絡(luò )蠕蟲(chóng)病毒傳播速度快，一旦遭受了病毒和蠕蟲(chóng)的侵襲，不僅會(huì )造成網(wǎng)絡(luò )和系統處理性能的下降，網(wǎng)絡(luò )擁塞，同時(shí)也會(huì )對核心敏感數據造成嚴重的威脅，導致業(yè)務(wù)和生產(chǎn)的中斷、敏感信息泄露等問(wèn)題。

2.1.5 防零時(shí)差攻擊

零時(shí)差攻擊（Zero-hour/day Attack）是指從系統漏洞、協(xié)議弱點(diǎn)被發(fā)現到黑客制造出針對該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。零時(shí)差攻擊對應用系統和網(wǎng)絡(luò )的威脅和損害令人恐怖，這相當于在用戶(hù)沒(méi)有任何防備的情況下，黑客發(fā)起了閃電戰，可能在極短的時(shí)間內摧毀關(guān)鍵的應用系統，造成網(wǎng)絡(luò )癱瘓等風(fēng)險。

2.1.6 防止間諜軟件

間諜軟件能夠在用戶(hù)不知情的情況下偷偷進(jìn)行非法安裝，并且安裝后很難找到其蹤影，并悄悄把截獲的一些機密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示，運行時(shí)用戶(hù)也不知曉，刪除起來(lái)非常困難。由于間諜軟件隱藏在用戶(hù)計算機中、秘密監視用戶(hù)活動(dòng)，并建立了一個(gè)進(jìn)入個(gè)人電腦的通道，很容易對用戶(hù)電腦做后續的攻擊。間諜軟件能夠消耗計算能力，使計算機崩潰，并使用戶(hù)被淹沒(méi)在網(wǎng)絡(luò )廣告的汪洋大海中。它還能夠竊取密碼、信用卡號和其它機密數據。因此，間諜軟件對企業(yè)網(wǎng)絡(luò )的危害非常巨大，需要一種有效的手段防止間諜軟件向企業(yè)內部網(wǎng)絡(luò )滲透。

2.1.7 應用帶寬管控

內網(wǎng)用戶(hù)在上班時(shí)間有意無(wú)意的進(jìn)行與工作無(wú)關(guān)的網(wǎng)絡(luò )行為，比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購、手機APP使用等，嚴重影響工作效率，并占用大量的帶寬，導致關(guān)鍵業(yè)務(wù)應用或關(guān)鍵人員得不到足夠的帶寬資源，降低企業(yè)內部的工作效率。

2.1.8 鏈路負載均衡

企業(yè)往往會(huì )部署多條鏈路，保證網(wǎng)絡(luò )服務(wù)的質(zhì)量，消除單點(diǎn)故障，減少停機時(shí)間。為提升外網(wǎng)用戶(hù)從外部訪(fǎng)問(wèn)內部網(wǎng)站和應用系統的速度和性能，就需要對多條鏈路進(jìn)行負載優(yōu)化，實(shí)現在多條鏈路上動(dòng)態(tài)平衡分配，并在一條鏈路中斷的時(shí)候能夠智能地自動(dòng)切換到另外一條鏈路，保障業(yè)務(wù)應用不中斷。

2.2 廣域網(wǎng)接入域安全需求分析

對于大部分企業(yè)來(lái)說(shuō)，都可能存在企業(yè)集團總部、子公司或各地分支辦事處，并且各個(gè)節點(diǎn)已形成自己的局域網(wǎng)結構，并通過(guò)廣域網(wǎng)互聯(lián)互通，實(shí)現集團總部與子公司、辦事處之間多種資源信息的共享互通。因此，構建一個(gè)高效、安全的廣域網(wǎng)絡(luò )系統勢必為企業(yè)的發(fā)展“添磚加瓦”。建立安全、可靠的高效廣域網(wǎng)系統，需著(zhù)重考慮和解決以下問(wèn)題：

2.2.1 安全互聯(lián)組網(wǎng)

目前很多企業(yè)的大型分支已經(jīng)采用專(zhuān)線(xiàn)與總部進(jìn)行互聯(lián)，但部分中小分支由于較為分散，仍采用公網(wǎng)線(xiàn)路直接與總部互聯(lián)訪(fǎng)問(wèn)服務(wù)器。這種將服務(wù)器直接掛在公網(wǎng)上并對外開(kāi)放端口的方式，直接造成整體服務(wù)器區安全防護水平較低，很容易遭受互聯(lián)網(wǎng)絡(luò )攻擊的問(wèn)題。因此在總部和分支互聯(lián)建設中必須充分考慮安全互聯(lián)組網(wǎng)的需求，并防止外部人員的非法侵入。

2.2.2 數據安全性保障

在總部與小型分支或辦事處之間基于互聯(lián)網(wǎng)通信，組織信息平臺上的應用系統如果不經(jīng)加密和認證等安全處理，跑在互聯(lián)網(wǎng)這個(gè)不安全而又開(kāi)放的網(wǎng)絡(luò )上，一旦重要數據如果遭到竊取，帶來(lái)的損失將無(wú)法估量。因此，有必要利用VPN等技術(shù)通過(guò)Internet建立安全可靠、經(jīng)濟便捷的虛擬專(zhuān)用網(wǎng)絡(luò )。

2.2.3 專(zhuān)網(wǎng)數據加固

在總部與大型分支之間采用專(zhuān)線(xiàn)組網(wǎng)，保證內網(wǎng)系統訪(fǎng)問(wèn)數據與互聯(lián)網(wǎng)的安全隔離。但是在專(zhuān)網(wǎng)內同樣存在信息安全級別不同的應用系統數據，高安全級別的數據信息如果直接在網(wǎng)絡(luò )中明文傳輸，存在被竊聽(tīng)、篡改的風(fēng)險，從信息安全規劃及權限的安全方面進(jìn)行考慮，有必要在專(zhuān)網(wǎng)中對不同安全級別的應用系統采取邏輯隔離、安全加密、權限劃分等加固手段。

2.2.4 移動(dòng)辦公安全

網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來(lái)越頻繁，重要的數據和信息在網(wǎng)絡(luò )中的傳輸也越來(lái)越多，安全性要求也越來(lái)越重要。為了實(shí)現人們的遠程辦公，需要保證人員外出時(shí)可以安全訪(fǎng)問(wèn)組織內部網(wǎng)絡(luò )進(jìn)行日常操作，并同時(shí)確保數據的安全。因此在選擇方法時(shí)，應建立完整的安全準入機制，實(shí)現對用戶(hù)的認證鑒權。

2.2.5 第三方安全接入

隨著(zhù)業(yè)務(wù)規模的擴大，業(yè)務(wù)系統也在不斷延伸，除了建設內部自己使用的業(yè)務(wù)系統外，還建立了第三人員使用的業(yè)務(wù)系統，如供應商接入系統、代理商接入系統等，這些業(yè)務(wù)系統提高了企業(yè)的業(yè)務(wù)運作效率，但也帶來(lái)了眾多不可控風(fēng)險：如身份認證單一、接入終端安全性無(wú)法控制、數據易被竊取、越權訪(fǎng)問(wèn)、惡意訪(fǎng)問(wèn)無(wú)法追蹤、訪(fǎng)問(wèn)速度慢。

2.2.6 廣域網(wǎng)鏈路質(zhì)量?jì)?yōu)化

分公司員工日常的工作都需要依靠信息平臺來(lái)完成，因此員工接入總部訪(fǎng)問(wèn)應用的速度和其工作效率直接相關(guān)。如果全部使用專(zhuān)線(xiàn)進(jìn)行總部與分支互聯(lián)，網(wǎng)絡(luò )成本太高，而且擴展性較差。因此，廣域網(wǎng)接入域安全需求，就需要考慮廣域網(wǎng)鏈路質(zhì)量?jì)?yōu)化問(wèn)題，保障關(guān)鍵應用的服務(wù)質(zhì)量和交付性能。如何消減總部節點(diǎn)、分支節點(diǎn)的吞吐瓶頸，提升員工訪(fǎng)問(wèn)速度；如何減少分支網(wǎng)絡(luò )丟包、延時(shí)現象問(wèn)題；如何避免應用本身交互過(guò)多，遭遇廣域網(wǎng)后響應速度慢，影響業(yè)務(wù)效率問(wèn)題。

2.3 外聯(lián)服務(wù)域安全需求分析

企業(yè)外聯(lián)服務(wù)域也叫DMZ。DMZ區域常存放對外門(mén)戶(hù)WEB、EMAIL、FTP、OA等服務(wù)器，主要用于提升企業(yè)網(wǎng)絡(luò )媒介宣傳、職員郵件辦公、文件上傳下載等需求。該區域是企業(yè)的展示窗口、對外業(yè)務(wù)的平臺，該區域網(wǎng)絡(luò )質(zhì)量的好壞，直接影響著(zhù)企業(yè)的形象和發(fā)展。該區域面臨來(lái)自?xún)韧饩W(wǎng)多個(gè)區域的安全威脅，并且針對該區域的攻擊往往隱藏在正常訪(fǎng)問(wèn)業(yè)務(wù)行為中，導致傳統安全設備很難發(fā)現和阻止這些威脅。該區域主要的安全需求有：

2.3.1 系統漏洞攻擊保護

DMZ區域內部有大量業(yè)務(wù)服務(wù)器，其底層和業(yè)務(wù)應用系統會(huì )不斷產(chǎn)生新的安全漏洞，給了入侵者可乘之機。黑客能夠利用這些漏洞發(fā)起對DMZ區的攻擊，比如mail漏洞、后門(mén)漏洞、操作系統漏洞、ftp漏洞、數據庫漏洞，實(shí)現對網(wǎng)站敏感信息監控、竊取、篡改等目的。因此需要有效的工具來(lái)識別并防護針對系統漏洞的攻擊。

2.3.2 防止信息泄露和篡改

黑客通過(guò)漏洞利用、WEB攻擊、弱密碼等手段一旦侵入了DMZ系統，將可能竊取DMZ系統數據庫中儲存的用戶(hù)資料、身份信息、賬戶(hù)信息等敏感數據，損害企業(yè)的經(jīng)濟利益；黑客也可能直接篡改企業(yè)對外Web網(wǎng)頁(yè)內容，使企業(yè)的形象和信譽(yù)受損；黑客甚至會(huì )在企業(yè)對外提供服務(wù)的網(wǎng)站掛載木馬病毒，網(wǎng)站的訪(fǎng)問(wèn)用戶(hù)也會(huì )被木馬病毒感染，這種情況下企業(yè)可能因此而承擔法律責任。

2.3.3 WEB應用安全

針對Web應用的攻擊往往隱藏在正常訪(fǎng)問(wèn)業(yè)務(wù)行為中，導致傳統防火墻、入侵防御系統無(wú)法發(fā)現和阻止這些攻擊。針對web應用的安全問(wèn)題有：

由于Web應用程序的編寫(xiě)過(guò)程中引入的安全漏洞問(wèn)題，比如SQL注入、跨站腳本攻擊等；系統底層漏洞問(wèn)題，如服務(wù)器底層的操作系統和Web業(yè)務(wù)常用的發(fā)布系統（如IIS、Apache），這些系統本身存在諸多的安全漏洞給了入侵者可乘之機；黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對網(wǎng)站進(jìn)行攻擊。

3.3.4 防止黑客掃描入侵

外部黑客出于好奇、報復或經(jīng)濟利益等目的會(huì )對外聯(lián)區服務(wù)器和業(yè)務(wù)系統發(fā)起非法掃描，獲取內部網(wǎng)絡(luò )的安全缺陷和漏洞，進(jìn)一步發(fā)起惡意攻擊行為，從而獲取到未授權的機密信息或內部系統的控制權限。

2.3.5 防止拒絕服務(wù)

黑客通過(guò)DOS/DDOS拒絕服務(wù)攻擊使外聯(lián)服務(wù)平臺無(wú)法響應正常請求。這種攻擊行為使得Web等系統充斥大量要求回復的信息，嚴重消耗網(wǎng)絡(luò )系統資源，導致外聯(lián)服務(wù)平臺無(wú)法對外正常提供服務(wù)，影響企業(yè)正常的業(yè)務(wù)開(kāi)展。

2.3.6 防范內部威脅

企業(yè)內部網(wǎng)絡(luò )安全狀況也影響著(zhù)外聯(lián)區域的安全，比如網(wǎng)絡(luò )中存在的DoS攻擊，或者存在感染病毒木馬的終端，給黑客提供可利用的跳板等，內部員工的非法掃描和滲透攻擊，及非授權違規操作行為，這些問(wèn)題都會(huì )破壞外聯(lián)平臺的安全穩定運行。

2.3.7 服務(wù)器負載均衡

    隨著(zhù)訪(fǎng)問(wèn)用戶(hù)數量的不斷增加，給后臺的服務(wù)器帶來(lái)越來(lái)越大的壓力。需要通過(guò)服務(wù)器負載均衡機制，保證用戶(hù)訪(fǎng)問(wèn)流量能在各服務(wù)器上均衡分配，提高服務(wù)器資源的利用率，減輕服務(wù)器的壓力。從而保證訪(fǎng)問(wèn)的速度和穩定性。

2.4 數據中心域安全需求分析

數據中心是IT建設的心臟，作為業(yè)務(wù)集中化部署、發(fā)布、存儲的區域，數據中心承載著(zhù)業(yè)務(wù)的核心數據以及機密信息。對于惡意攻擊者而言，數據中心永遠是最具吸引力的目標。所以數據中心的安全建設顯得格外重要。數據中心主要的安全需求包括：

2.4.1 防火墻隔離控制

通過(guò)防火墻在數據中心構造一道網(wǎng)絡(luò )層保護屏障，通過(guò)防火墻的區域隔離和訪(fǎng)問(wèn)控制規則，來(lái)界定用戶(hù)的訪(fǎng)問(wèn)請求是否符合安全要求，并隔離來(lái)自internet、intranet、extrane等區域的安全風(fēng)險，實(shí)現數據中心網(wǎng)絡(luò )接入安全。

2.4.2 防止病毒蠕蟲(chóng)入侵

服務(wù)器是數據中心中計算資源的核心來(lái)源，也用于連接網(wǎng)絡(luò )資源、存儲資源，是數據中心中業(yè)務(wù)交付的重要支撐，因此也是網(wǎng)絡(luò )入侵者最主要的目標。病毒、蠕蟲(chóng)、木馬等惡意代碼一旦感染數據中心服務(wù)器，就可能在數據中心網(wǎng)絡(luò )快速傳播，消耗數據中心網(wǎng)絡(luò )資源，劫持服務(wù)器應用，竊取敏感信息，發(fā)送垃圾信息，甚至重定向用戶(hù)到惡意網(wǎng)頁(yè)。所以數據中心網(wǎng)絡(luò )安全建設需要包含檢測和清除病毒蠕蟲(chóng)木馬等惡意內容的機制。

2.4.3 漏洞攻擊保護

數據中心大量的服務(wù)器底層操作系統和業(yè)務(wù)應用都可能存在安全漏洞，給了入侵者可乘之機。黑客能夠利用這些漏洞發(fā)起對數據中心業(yè)務(wù)服務(wù)器的攻擊，比如弱口令密碼攻擊、應用程序弱點(diǎn)利用、服務(wù)弱點(diǎn)利用等，非法獲取更多的內部操作管理權限，實(shí)現對內部敏感信息監控、竊取、篡改等目的。因此需要有效的工具來(lái)識別并防護針對數據中心服務(wù)器業(yè)務(wù)系統漏洞的攻擊。

2.4.4 防APT攻擊

黑客的攻擊手段越來(lái)越先進(jìn)，并帶有很強的目的性。近幾年APT攻擊經(jīng)常見(jiàn)諸報端，這是一類(lèi)攻擊手段很先進(jìn)、目的性和持續性很強的高級持續性威脅（APT）。通常這種攻擊方式都帶有明確的攻擊意圖和不達目的不休止的特點(diǎn)，黑客往往應用先進(jìn)的攻擊手段繞過(guò)防御體系，實(shí)現對企業(yè)高價(jià)值機密信息的破壞、竊取、篡改等目的，從而給業(yè)務(wù)系統造成不可挽回的損失。因此，數據中心安全建設需要考慮防范APT攻擊，避免重要信息資產(chǎn)失竊或破壞。

2.4.5 防范內部威脅

企業(yè)內部網(wǎng)絡(luò )安全狀況也影響著(zhù)外聯(lián)區域數據中心的安全，比如內部網(wǎng)絡(luò )中存在DoS攻擊，或者存在感染病毒木馬的終端，給黑客提供可利用的跳板等，內部員工的非法掃描和滲透攻擊，及非授權違規操作行為，這些問(wèn)題都會(huì )破壞數據中心的安全穩定運行。

2.4.6 防止拒絕服務(wù)

數據中心作為業(yè)務(wù)集中化部署、發(fā)布、存儲的區域，數據中心承載著(zhù)業(yè)務(wù)的核心數據以及機密信息，其業(yè)務(wù)的可靠性非常關(guān)鍵。黑客利用協(xié)議漏洞或控制“肉雞”向數據中心服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無(wú)法提供正常服務(wù)，導致業(yè)務(wù)中斷等問(wèn)題，對數據中心的可靠造成危害。

2.4.7 WEB應用安全

數據中心有大量的WEB應用，黑客針對Web應用的攻擊往往隱藏在正常訪(fǎng)問(wèn)業(yè)務(wù)行為中，導致傳統防火墻、入侵防御系統無(wú)法發(fā)現和阻止這些攻擊。針對web應用的安全問(wèn)題有：

由于Web應用程序的編寫(xiě)過(guò)程中引入的安全漏洞問(wèn)題，比如SQL注入、跨站腳本攻擊等；系統底層漏洞問(wèn)題，如服務(wù)器底層的操作系統和Web業(yè)務(wù)常用的發(fā)布系統（如IIS、Apache），這些系統本身存在諸多的安全漏洞給了入侵者可乘之機；黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對網(wǎng)站進(jìn)行攻擊。

2.4.8 虛擬云化風(fēng)險保護

虛擬化云數據中心是數據中心的發(fā)展方向，通過(guò)虛擬化技術(shù)構建基礎設施資源池，實(shí)現資源的按需分配，提高整體資源利用率。但云數據中心虛擬化也帶來(lái)了新的安全風(fēng)險，比如虛擬化導致了風(fēng)險集中、流量復雜、邊界弱化、越權訪(fǎng)問(wèn)等問(wèn)題，因此需要一種適合虛擬化云數據中心的安全管控機制，提供虛擬化內部的安全區域劃分、邊界管控、二到七層安全保護。

2.5 內網(wǎng)辦公域安全需求分析

隨著(zhù)全球信息化及網(wǎng)絡(luò )技術(shù)的不斷發(fā)展，網(wǎng)絡(luò )安全問(wèn)題特別是內部網(wǎng)絡(luò )安全問(wèn)題正在日益突出?！氨咀钊菀讖膬炔抗テ啤?，因此做好企業(yè)內網(wǎng)辦公區域的網(wǎng)絡(luò )安全建設，對于企業(yè)整體網(wǎng)絡(luò )的安全保護意義重大。無(wú)論是內部終端的違規外聯(lián)、違規接入和違規操作，還是內部系統數據保密性、可控性和可用性要求，都是企業(yè)內網(wǎng)辦公區域安全建設需要思考的問(wèn)題。那么，企業(yè)內網(wǎng)辦公區主要有哪些安全需求呢？

2.5.1 上網(wǎng)行為管理

內網(wǎng)辦公員工在上班時(shí)間有意無(wú)意的做與工作無(wú)關(guān)的網(wǎng)絡(luò )行為，比如炒股、玩網(wǎng)游、看視頻；隨著(zhù)智能終端的普及，沒(méi)有提供Wlan的企業(yè)，其內部員工為了便捷性，往往會(huì )通過(guò)360隨身WiFi等方式私自建立個(gè)人Wlan，讓自己的移動(dòng)終端可以隨意使用單位的上網(wǎng)資源。這些行為嚴重影響單位工作效率，所以企業(yè)需要對內部上網(wǎng)的員工行為進(jìn)行有效的識別和管理。

2.5.2 漏洞病毒防護

內網(wǎng)辦公區分布有大量的終端設備，如果這些終端不能及時(shí)更新系統漏洞補丁，將會(huì )給黑客可乘之機，一旦某臺終端感染病毒，很容易向全網(wǎng)擴散。因此，內網(wǎng)安全建設需要包括：具備快速發(fā)現終端設備的系統漏洞并自動(dòng)分發(fā)補丁能力，具備快速有效的定位網(wǎng)絡(luò )中病毒、蠕蟲(chóng)、黑客的引入點(diǎn)并及時(shí)、準確的切斷安全事件發(fā)生點(diǎn)的能力。

2.5.4 Wlan安全需求

隨著(zhù)無(wú)線(xiàn)技術(shù)的發(fā)展，BYOD、移動(dòng)辦公的普及，無(wú)線(xiàn)網(wǎng)絡(luò )覆蓋能使得在企業(yè)內部，會(huì )議室、辦公區等任何區域接入辦公網(wǎng)絡(luò )，簡(jiǎn)單方便。企業(yè)在構建WLAN網(wǎng)絡(luò )過(guò)程中，不僅要考慮高速穩定的網(wǎng)絡(luò )質(zhì)量，WLAN網(wǎng)絡(luò )安全問(wèn)題同樣需要重視。杜絕盜用賬號、非法接入的安全威脅，并針對外部訪(fǎng)客、內部人員（不同部門(mén)、不同職位）分配不同的應用訪(fǎng)問(wèn)權限，實(shí)現精細化網(wǎng)絡(luò )接入控制，并避免復雜的臨時(shí)賬號申請機制。

2.5.5 開(kāi)發(fā)環(huán)境安全

開(kāi)發(fā)部門(mén)由于其業(yè)務(wù)特殊性，對開(kāi)發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。為了支撐業(yè)務(wù)的飛速拓展，在開(kāi)發(fā)項目中往往還會(huì )牽涉到很多第三方公司和外包項目，甚至于開(kāi)發(fā)人員需要在任意地點(diǎn)進(jìn)行辦公，這對開(kāi)發(fā)系統的安全構成了極大的挑戰。因此，需要有一套安全的開(kāi)發(fā)環(huán)境，能夠讓開(kāi)發(fā)項目的員工及外包員工在受控環(huán)境下，進(jìn)行相關(guān)應用的開(kāi)發(fā)和調試，同時(shí)能有效保護應用代碼及企業(yè)數據的安全。

2.1.6 防止僵尸網(wǎng)絡(luò )

僵尸網(wǎng)絡(luò )是攻擊者出于惡意目的，采用多種傳播手段，通過(guò)互聯(lián)網(wǎng)使大量主機感染僵尸程序，從而控制這些被感染的主機，從而在控制者和被感染主機之間形成一個(gè)一對多控制的網(wǎng)絡(luò )，黑客利用這些僵尸主機作為進(jìn)一步入侵的跳板。攻擊者通過(guò)控制大量僵尸主機實(shí)現僵尸網(wǎng)絡(luò )本地擴散、敏感信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意目的。而企業(yè)內部大量的終端設備往往是黑客種植僵尸網(wǎng)絡(luò )的目標，因此企業(yè)需要一種有效的措施來(lái)防止僵尸網(wǎng)絡(luò )的植入，并檢測和清除已存在的僵尸網(wǎng)絡(luò )。

2.6 運維管理域安全需求分析

運維管理區是保障企業(yè)網(wǎng)絡(luò )能夠安全高效運行的重要區域，該區域的重點(diǎn)是安全和穩定性，從而為企業(yè)整體網(wǎng)絡(luò )構造一個(gè)可靠的支撐平臺。該區域主要的安全需求如下：

2.6.1 防火墻區域隔離

運維管理區是保障企業(yè)網(wǎng)絡(luò )高效運行的重要區域，企業(yè)內部大部分IT設備和系統都在該區域維護管理，因此該區域一旦被黑客或不軌員工侵入，極可能造成全局網(wǎng)絡(luò )危害。利用防火墻可以給運維管理區打造安全隔離區，并基于嚴格的訪(fǎng)問(wèn)控制策略和身份認證信息進(jìn)行區域網(wǎng)絡(luò )接入；同時(shí)利用新型防火墻給運維管理區打造一片安全的網(wǎng)絡(luò )環(huán)境。

2.6.2 防范病毒類(lèi)入侵

運維區是IT信息系統的神經(jīng)中樞，一旦被病毒木馬、僵尸蠕蟲(chóng)等侵入，將可能導致重要系統的系統配置、管理賬號、后臺數據等丟失或被篡改，直接造成生成運營(yíng)故障，對企業(yè)的危害非常巨大。因此，該區域的安全建設需要包含檢測和清除病毒、木馬、蠕蟲(chóng)、僵尸等惡意內容的機制。

2.6.3 集中運維管理

企業(yè)內部安全設備較多，因此需要有集中的統一管理和審計分析平臺，實(shí)現對設備的集中管理、集中監控、集中配置、集中運維、統一審計核查等要求，達到安全事件的監控-響應-再監控的閉環(huán)操作，提升網(wǎng)絡(luò )運維管理便捷性。

2.6.4 操作運維審計

如果沒(méi)有有效的技術(shù)手段來(lái)保障運維操作的正確執行，那么將對運維人員的違規操作無(wú)能為力。目前應用程序都有相應的審計日志，可以解決應用系統層的審計問(wèn)題，但是對于操作系統層和數據庫層的違規操作（非法修改系統和應用等），無(wú)從審計。因此，必須借助有效的技術(shù)手段監管運維人員的操作行為，做到實(shí)時(shí)監控，快速取證，減少內部的誤操作和違規操作，降低運維過(guò)程中的操作風(fēng)險。

第3章 深信服企業(yè)全網(wǎng)安全解決方案

3.1 方案總體設計

為了解決企業(yè)網(wǎng)絡(luò )中遇到的各種安全問(wèn)題，深信服推出了企業(yè)全網(wǎng)安全解決方案，本著(zhù)安全、可靠、全面、高效、易于管理維護等原則，給出可資借鑒的建設方案。

根據企業(yè)不同網(wǎng)絡(luò )區域定位不同，我們大致可以將企業(yè)網(wǎng)絡(luò )劃分為6個(gè)區域，分別為：互聯(lián)網(wǎng)接入域、外聯(lián)服務(wù)域、廣域網(wǎng)接入域、數據中心域、內網(wǎng)辦公域、運維管理域。針對各區域實(shí)際的安全需求，深信服給出了貼合的安全防護建議。

3.2 互聯(lián)網(wǎng)接入域安全方案

3.1.1 方案說(shuō)明

互聯(lián)網(wǎng)接入區域承擔著(zhù)內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的統一出口和為外部用戶(hù)提供企業(yè)信息服務(wù)的入口，其安全風(fēng)險來(lái)源多且復雜。針對互聯(lián)網(wǎng)出口存在的安全問(wèn)題，通過(guò)在互聯(lián)網(wǎng)出口部署深信服下一代防火墻NGAF、上網(wǎng)行為管理AC和應用交付AD產(chǎn)品，可以很好的解決。

深信服下一代防火墻（Next-Generation Application Firewall）NGAF是面向應用層設計，能夠精確識別用戶(hù)、應用和內容，具備完整安全防護能力，能夠全面替代傳統防火墻，并具有全面的應用層安全防護功能和強勁的處理能力。深信服下一代防火墻NGAF為企業(yè)在網(wǎng)絡(luò )出口構建一套安全長(cháng)城，實(shí)現內外部網(wǎng)絡(luò )隔離和訪(fǎng)問(wèn)控制，保護內部網(wǎng)絡(luò )和用戶(hù)免受非法侵入，保障可信雙方安全通信。NGAF提供2到7層的安全保護，通過(guò)入侵檢測與防御、病毒防護、協(xié)議異常保護等功能，可以精確實(shí)時(shí)地識別并防御來(lái)自互聯(lián)網(wǎng)的蠕蟲(chóng)、病毒、木馬、間諜軟件等網(wǎng)絡(luò )威脅，防止攻擊者對內部網(wǎng)絡(luò )的滲透和破壞，保障敏感數據不被竊取以及業(yè)務(wù)的持續運行；NGAF能實(shí)時(shí)感知來(lái)自互聯(lián)網(wǎng)上的大量異常請求，并第一時(shí)間予以清洗，防止DoS/DDoS攻擊的發(fā)生，保障正常合法的業(yè)務(wù)通訊不受影響；NGAF還提供了實(shí)時(shí)的漏洞檢測功能，該功能不會(huì )給網(wǎng)絡(luò )產(chǎn)生額外的流量，通過(guò)實(shí)時(shí)流量分析，可以發(fā)現網(wǎng)絡(luò )內部業(yè)務(wù)系統的安全漏洞，快速識別針對存在漏洞的有效攻擊，即使沒(méi)有攻擊行為也能發(fā)現潛在的風(fēng)險。對于最新爆發(fā)的0DAY漏洞，深信服云安全中心會(huì )第一時(shí)間收集漏洞信息并生成防護規則，并通過(guò)云中心快速的下發(fā)到NGAF設備上，避免黑客發(fā)起閃電戰。

深信服上網(wǎng)行為管理AC設備能夠實(shí)現對網(wǎng)絡(luò )數據流量進(jìn)行精細化控制管理。AC設備具備專(zhuān)業(yè)的身份認證功能，能夠針對用戶(hù)和用戶(hù)組實(shí)施不同的應用控制和流量分配策略，AC支持本地認證、外部認證、短信認證等多種方式；AC具備國內最專(zhuān)業(yè)的應用識別控制功能，全面的應用識別幫助管理員掌控網(wǎng)絡(luò )應用現狀和用戶(hù)行為，從而有針對性的制定流控策略，保障核心業(yè)務(wù)應用使用效果，AC能夠有效識控當前網(wǎng)絡(luò )中各種主流應用，包括1500多種應用、3000多種規則，以及一些SSL加密應用；AC提供了基于應用、基于時(shí)間、多級父子通道、動(dòng)態(tài)流控、智能流控等多種流控手段，滿(mǎn)足企業(yè)制定周期性、靈活、合理、智能調整的帶寬使用方案，最大滿(mǎn)足業(yè)務(wù)對帶寬的需求，實(shí)現帶寬的最大價(jià)值。

深信服AD產(chǎn)品作為專(zhuān)業(yè)的應用交付設備，能夠為企業(yè)互聯(lián)網(wǎng)接入域提供多鏈路負載均衡解決方案。企業(yè)往往部署了多條互聯(lián)網(wǎng)鏈路，由于使用設置等問(wèn)題，往往有的鏈路一直處于繁忙狀態(tài)，而另外條鏈路卻處于閑置狀態(tài)，造成互聯(lián)網(wǎng)資源的浪費和用戶(hù)的訪(fǎng)問(wèn)速度得不到保障。深信服 AD設備能夠進(jìn)行DNS請求轉發(fā)，通過(guò)深信服 AD尋找合適的DNS服務(wù)器返回給內網(wǎng)電腦。利用鏈路繁忙控制、智能路由等技術(shù)，通過(guò)事先設定好負載算法，就能按照事先設定的鏈路利用策略將流量分配到不同的鏈路之上，實(shí)現多條鏈路負載運行，保障了網(wǎng)絡(luò )資源利用率的最優(yōu)、最大化。

3.2.2     方案價(jià)值

相比傳統方案，NGAF提供全面的L2-L7威脅防護，實(shí)現了更加完整高效的網(wǎng)絡(luò )安全，并減少了故障節點(diǎn)；

單臺NGAF即可實(shí)現比過(guò)去多臺設備更好的防護效果，大大減少了設備購買(mǎi)投資和運維成本；

AC產(chǎn)品實(shí)現了更加細致精準的應用和帶寬控制，保障了正常業(yè)務(wù)帶寬需求，實(shí)現了帶寬高效利用，提升帶寬價(jià)值；

AD產(chǎn)品提供了精細智能的多鏈路負載均衡，滿(mǎn)足鏈路高效使用和自動(dòng)備份，實(shí)現了網(wǎng)絡(luò )資源利用率的最優(yōu)、最大化。

3.3 廣域網(wǎng)接入域安全方案

3.1.1 方案說(shuō)明

企業(yè)總部與子公司、辦事處之間的廣域網(wǎng)通道建設，能夠實(shí)現多種資源信息的高效互通，而廣域網(wǎng)通道內部傳輸的數據大多都是企業(yè)的重要信息資產(chǎn)，對保密性和實(shí)效性要求較高。通過(guò)部署深信服下一代防火墻、SSL VPN安全網(wǎng)關(guān)、廣域網(wǎng)優(yōu)化等安全產(chǎn)品，可以幫助企業(yè)打造高效、安全的廣域網(wǎng)絡(luò )通信系統。

企業(yè)采用專(zhuān)線(xiàn)或VPN方式建立廣域網(wǎng)通道，如圖所示，在企業(yè)總部和分支機構部署NGAF、SSL VPN和WOC廣域網(wǎng)優(yōu)化等安全產(chǎn)品，可以實(shí)現分支和總部安全通信和網(wǎng)絡(luò )鏈路優(yōu)化，并滿(mǎn)足外出員工移動(dòng)辦公安全接入需求；廣域網(wǎng)各個(gè)節點(diǎn)的NGAF設備結合SC集中管理平臺和外置數據中心，能夠實(shí)現廣域網(wǎng)全網(wǎng)各節點(diǎn)安全監測和防護，使整個(gè)企業(yè)集團全網(wǎng)安全狀況盡在掌握。

NGAF能夠識別和防御L2到L7的安全威脅，能檢測并防止病毒防、蠕蟲(chóng)、木馬、漏洞、WEB應用攻擊等安全威脅在廣域網(wǎng)內部傳播，實(shí)現各分支機構安全狀況實(shí)時(shí)上報監控，及時(shí)了解全網(wǎng)安全動(dòng)態(tài)，安全日志統一管理、集中分析，快速加固防護薄弱點(diǎn)，優(yōu)化安全運維，實(shí)現安全設備統一管理、集中特征更新與推送、安全策略快速同步，實(shí)現對廣域網(wǎng)各個(gè)節點(diǎn)一站式安全監測和保護。

采用SSL VPN安全網(wǎng)關(guān)，可以對應用進(jìn)行安全發(fā)布，避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險。用戶(hù)在外需要進(jìn)行內網(wǎng)接入時(shí)，可直接通過(guò)瀏覽器打開(kāi)網(wǎng)頁(yè)完成SSL VPN登錄及安全隧道的建立，非常方便的實(shí)現網(wǎng)絡(luò )接入和數據安全保障。在系統安全加固方面，采用登錄SSL VPN身份驗證、權限劃分、登錄應用身份驗證的主線(xiàn)進(jìn)行保障。SSL VPN接入認證方式可采用用戶(hù)名密碼、USB KEY、短信認證、動(dòng)態(tài)令牌、CA認證、LDAP認證、RADIUS認證等兩種或多種認證的組合，多重組合軟硬結合確保接入身份的確定性。在用戶(hù)接入SSL VPN后進(jìn)行應用訪(fǎng)問(wèn)權限的劃分對于享有訪(fǎng)問(wèn)權限的應用系統采用主從賬號綁定SSL VPN登錄賬號和應用系統賬號。用戶(hù)只可采用指定的賬號訪(fǎng)問(wèn)應用系統。由于登錄SSL VPN的身份已通過(guò)多重認證的確認，而后又進(jìn)行指定應用賬號訪(fǎng)問(wèn)，即可保障登錄應用系統的人員的身份。對于已經(jīng)建立專(zhuān)線(xiàn)組網(wǎng)的分支，將應用系統以SSL VPN資源的方式進(jìn)行，進(jìn)行專(zhuān)網(wǎng)內權限劃分的同時(shí)實(shí)現統一應用平臺的構建。根據不同部門(mén)、不同應用進(jìn)行對應權限的開(kāi)放/關(guān)閉，分支用戶(hù)登錄SSL VPN之后，在其資源列表界面將會(huì )顯示該用戶(hù)權限下可訪(fǎng)問(wèn)的應用系統，用戶(hù)可直接點(diǎn)擊其上的鏈接進(jìn)行快速訪(fǎng)問(wèn)。同時(shí)，可針對這些應用系統進(jìn)行單點(diǎn)登錄設置，點(diǎn)擊鏈接即可自動(dòng)通過(guò)應用本身的認證，可直接進(jìn)行操作。由于所有訪(fǎng)問(wèn)總部服務(wù)器區的數據都將經(jīng)由SSL VPN進(jìn)行轉發(fā)，對于用戶(hù)權限外的應用，SSL VPN將自動(dòng)阻斷其連接，防止惡意盜鏈。并且SSL VPN設備對外只開(kāi)放443端口，從而可屏蔽掉其他端口的攻擊。SSL VPN的數據流處理方式可隱藏內網(wǎng)服務(wù)器區結構，并對服務(wù)器訪(fǎng)問(wèn)的IP、域名進(jìn)行偽裝。SSL VPN在進(jìn)行用戶(hù)對服務(wù)器區發(fā)起的訪(fǎng)問(wèn)時(shí)，采用SSL VPN登錄認證、細粒度應用訪(fǎng)問(wèn)授權、傳輸數據加密，從數據安全的角度提供隔離保護。SSL VPN的EasyConnect還能幫助企業(yè)內網(wǎng)部署的終端服務(wù)器將應用程序界面用圖形的方式呈現于智能終端之上，在部署過(guò)程中，無(wú)需對現網(wǎng)結構和應用程序做任何改變，輕松實(shí)現跨平臺訪(fǎng)問(wèn)，解決企業(yè)用戶(hù)通過(guò)iPhone、Android等智能終端訪(fǎng)問(wèn)的問(wèn)題，實(shí)現業(yè)務(wù)數據快速遷移，同時(shí)保障業(yè)務(wù)系統數據不落地，存儲在終端服務(wù)器。深信服SSL VPN網(wǎng)關(guān)提供專(zhuān)業(yè)的IPSec VPN功能，滿(mǎn)足企業(yè)建設IPSec VPN專(zhuān)網(wǎng)的需求，實(shí)現各區域安全互聯(lián)和數據加固的需求。

深信服廣域網(wǎng)優(yōu)化產(chǎn)品WOC提供了協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jì)?yōu)化等多種技術(shù)，能夠幫助用戶(hù)加快關(guān)鍵應用的響應速度，大幅提升專(zhuān)網(wǎng)的傳輸效率。專(zhuān)線(xiàn)內存在大量的冗余數據傳輸，容易導致專(zhuān)網(wǎng)帶寬壓力過(guò)大。WOC產(chǎn)品采用動(dòng)態(tài)流壓縮、基于碼流特征數據優(yōu)化對專(zhuān)網(wǎng)中流量進(jìn)行大幅削減，降低帶寬負荷，實(shí)現帶寬增值。WOC還可以對ERP、郵件、FTP文件傳輸等應用進(jìn)行優(yōu)化，減少數據交互，提升訪(fǎng)問(wèn)速度，提高工作效率。WOC通過(guò)快速重傳、選擇性重傳、改善擁塞機制、增大滑動(dòng)窗口大小等幾種技術(shù)手段對傳統的TCP傳輸協(xié)議做改進(jìn)，提高鏈路質(zhì)量和訪(fǎng)問(wèn)速度。WOC還能夠實(shí)時(shí)感知專(zhuān)網(wǎng)流量分布情況，從而實(shí)現業(yè)務(wù)流量整形和不斷調優(yōu)。

3.3.2 方案價(jià)值

NGAF提供全面的L2-L7威脅防護，避免了各個(gè)節點(diǎn)的安全風(fēng)險在廣域網(wǎng)通道傳播；

NGAF全網(wǎng)統一安全監控和防護，實(shí)現了安全設備集中管理、安全日志集中收集、安全策略集中下發(fā)、安全事件統一運維，快速提高整個(gè)廣域網(wǎng)全網(wǎng)的安全水平；

SSL VPN網(wǎng)關(guān)為企業(yè)提供了可靠的VPN組網(wǎng)、遠程業(yè)務(wù)發(fā)布和員工遠程接入需求，滿(mǎn)足了安全、快速、易用、可靠的廣域網(wǎng)互聯(lián)服務(wù)；

WOC產(chǎn)品通過(guò)流量削減和協(xié)議、應用、鏈路質(zhì)量?jì)?yōu)化技術(shù)，即使鏈路質(zhì)量不佳情況下，也能保障核心業(yè)務(wù)穩定運行，實(shí)現帶寬增值；

3.4 外聯(lián)服務(wù)域安全方案

3.1.1 方案說(shuō)明

DMZ區域是企業(yè)的對外展示和對外業(yè)務(wù)的平臺，該區域的網(wǎng)絡(luò )安全和穩定可靠關(guān)系著(zhù)企業(yè)形象和品牌發(fā)展。針對該區域存在的網(wǎng)絡(luò )安全問(wèn)題，通過(guò)部署深信服下一代防火墻和應用交付產(chǎn)品就可以完美解決。

深信服NGAF產(chǎn)品具備全面的二到七層安全功能，能一站式智能化解決DMZ區域的網(wǎng)絡(luò )安全問(wèn)題。通過(guò)啟用入侵防御、病毒防護、漏洞檢測保護等功能，可以實(shí)時(shí)發(fā)現DMZ區域業(yè)務(wù)系統存在的安全漏洞，實(shí)時(shí)防御來(lái)自互聯(lián)網(wǎng)的蠕蟲(chóng)、病毒、木馬等網(wǎng)絡(luò )攻擊，防止攻擊者對外聯(lián)服務(wù)網(wǎng)絡(luò )的掃描、入侵和破壞，保障系統數據安全和業(yè)務(wù)的持續運行。NGAF具備專(zhuān)業(yè)的WEB應用安全防護功能，有效結合了web攻擊的靜態(tài)規則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機制，實(shí)現雙向的內容檢測，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見(jiàn)的web攻擊，防止網(wǎng)站被黑客掃描攻擊，NGAF還支持隱藏的服務(wù)器響應信息，如http出錯頁(yè)面、響應報頭、FTP信息等;NGAF還提供了網(wǎng)頁(yè)防篡改功能，能夠實(shí)時(shí)檢測并攔截網(wǎng)頁(yè)篡改的信息并通知管理員確認，同時(shí)對外提供篡改重定向功能，提供正常界面或備份服務(wù)器的重定向，保證用戶(hù)仍可正常訪(fǎng)問(wèn)網(wǎng)站；NGAF提供了敏感信息防泄漏功能，能夠實(shí)時(shí)檢測并阻斷網(wǎng)站源代碼、用戶(hù)帳號信息、服務(wù)器重要配置文件等敏感信息被泄露，實(shí)時(shí)記錄泄漏行為，并通過(guò)郵件等方式報警；NGAF提供專(zhuān)業(yè)的DoS/DDoS攻擊防護功能，能快速識別并清洗異常訪(fǎng)問(wèn)行為，保障正常合法的業(yè)務(wù)不受影響。NGAF還提供了待處理問(wèn)題板塊，該板塊展示了NGAF監測發(fā)現的安全問(wèn)題，包括各類(lèi)風(fēng)險的分類(lèi)匯總及問(wèn)題的詳細描述，同時(shí)NGAF還提供了風(fēng)險問(wèn)題解決方案，即使不懂安全，也能自助化快速運維，打破了傳統安全設備風(fēng)險日志看不懂、運維管理無(wú)目標等問(wèn)題。

深信服AD產(chǎn)品作為專(zhuān)業(yè)的應用交付設備，能夠為企業(yè)外聯(lián)服務(wù)域提供多鏈路負載均衡、服務(wù)器負載均衡的全方位解決方案。AD產(chǎn)品的服務(wù)器負載均衡技術(shù)能夠將后端多臺真實(shí)服務(wù)器虛擬成一個(gè)服務(wù)，再通過(guò)AD設備轉發(fā)到后端服務(wù)器；當用戶(hù)請求到達服務(wù)器區域的AD產(chǎn)品時(shí)，深信服AD通過(guò)全面的負載均衡算法以及目標服務(wù)器之間性能和網(wǎng)絡(luò )健康情況，能夠選擇性能最佳的服務(wù)器來(lái)響應用戶(hù)的請求，從而將用戶(hù)請求在多個(gè)服務(wù)器間動(dòng)態(tài)分配，充分利用所有的服務(wù)器資源，有效地避免“不平衡”現象的出現。

3.4.2 方案價(jià)值

NGAF提供了事前策略自檢、事中攻擊防護、事后防止篡改的整體Web保護，可以有效過(guò)濾掃描、入侵、破壞過(guò)程中的各種安全威脅；

NGAF涵蓋了L2-L7全面的安全功能，可以全面替代FW、IPS、WAF等設備，提供基于黑客攻擊過(guò)程的L2-L7層完整安全防護。

NGAF提供了比傳統更加全面的風(fēng)險識別和可視化風(fēng)險報表，并匯總需要處理的安全問(wèn)題和建議的解決方案，幫助企業(yè)快速自助安全運維。

AD產(chǎn)品提供了高效專(zhuān)業(yè)的服務(wù)器和多鏈路負載均衡，滿(mǎn)足服務(wù)器響應和網(wǎng)絡(luò )鏈路的高效使用，實(shí)現了對外服務(wù)和網(wǎng)絡(luò )資源利用率的最優(yōu)、最大化。

3.5 數據中心域安全方案

3.1.1 方案說(shuō)明

數據中心承載著(zhù)業(yè)務(wù)的核心數據以及機密信息，因此數據中心永遠是最具吸引力的攻擊目標，所以數據中心的安全建設顯得格外重要。通過(guò)部署深信服下一代防火墻、應用交付等安全產(chǎn)品，可以幫助企業(yè)打造安全、可靠的數據中心網(wǎng)絡(luò )。

深信服NGAF給企業(yè)數據中心提供了一站式智能化的二到七層安全保護。通過(guò)啟用NGAF的防火墻、入侵防護、漏洞檢測、敏感信息防泄漏、DoS/DDoS攻擊防護、防病毒、防掃描、弱口令檢查、防僵尸網(wǎng)絡(luò )、web應用攻擊保護、網(wǎng)站篡改保護等功能，可以實(shí)時(shí)發(fā)現數據中心業(yè)務(wù)系統區域隔離，避免因業(yè)務(wù)系統漏洞導致的入侵，防范病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò )等威脅內容在數據中心傳播，防止口令密碼被暴力破解，避免數據中心敏感信息被泄露，清洗數據中心異常流量，保護數據中心web應用安全，保障數據中心網(wǎng)絡(luò )和業(yè)務(wù)安全運行。NGAF內置了僵尸網(wǎng)絡(luò )識別庫，通過(guò)分析內網(wǎng)終端的異常行為（如連接惡意主機或URL）等機制準確識別被黑客控制的僵尸終端，進(jìn)一步切斷黑客的控制通道，并避免對外DoS攻擊的形成，防止利用僵尸終端作為跳板進(jìn)一步入侵。NGAF還內置了灰度威脅樣本庫，通過(guò)多維歸并整理賦予每種威脅行為一個(gè)權值，NGAF計算用戶(hù)行為權值之和并對比威脅基線(xiàn)，從而能夠準確判定威脅行為，對于無(wú)法確認的可疑內容，NGAF會(huì )實(shí)時(shí)上報到深信服云安全中心，由云中心執行沙盒演練等方法進(jìn)行最終確認，基于這些技術(shù)手段，NGAF能夠準確識別并防御未知威脅和APT攻擊。此外，對于大型企業(yè)來(lái)說(shuō)，其數據中心內部業(yè)務(wù)系統較多，安全防護需求各不相同，為了解決多樣化的安全防護需求，NGAF還提供了硬件一虛多技術(shù)，實(shí)現將單臺NGAF劃分為邏輯上完全獨立的多臺設備，滿(mǎn)足不同業(yè)務(wù)系統獨立保護的安全需求，提升資源利用效率，降低了部署運營(yíng)成本。

深信服AD產(chǎn)品作為專(zhuān)業(yè)的應用交付設備，能夠為企業(yè)數據中心提供包括多數據中心負載均衡、服務(wù)器負載均衡的全方位解決方案。多數據中心負載均衡解決方案中，每個(gè)數據中心前端均部署AD設備，并以路由模式接入各個(gè)數據網(wǎng)絡(luò )之中，負責將用戶(hù)的DNS訪(fǎng)問(wèn)請求引導到最快的鏈路進(jìn)行訪(fǎng)問(wèn)站點(diǎn)；同時(shí)負責兩條線(xiàn)路的健康狀態(tài)的檢查，一旦檢測到線(xiàn)路的中斷，則停止相應線(xiàn)路的地址解析。AD產(chǎn)品的服務(wù)器負載均衡技術(shù)能夠將后端多臺真實(shí)服務(wù)器虛擬成一個(gè)服務(wù)，并通過(guò)AD設備轉發(fā)到后端服務(wù)器；當用戶(hù)請求到達服務(wù)器區域的AD產(chǎn)品時(shí)，深信服AD通過(guò)全面的負載均衡算法以及目標服務(wù)器之間性能和網(wǎng)絡(luò )健康情況，能夠選擇性能最佳的服務(wù)器來(lái)響應用戶(hù)的請求，從而將用戶(hù)請求在多個(gè)服務(wù)器間動(dòng)態(tài)分配，充分利用所有的服務(wù)器資源，有效地避免“不平衡”現象的出現。

此外，為了滿(mǎn)足虛擬化云環(huán)境下數據中心的安全需求，深信服還專(zhuān)門(mén)研發(fā)了虛擬化軟件下一代防火墻和應用交付產(chǎn)品，能夠以虛機方式無(wú)縫集成到虛擬化平臺內部，滿(mǎn)足虛擬化云計算場(chǎng)景全面、靈活、多維度的安全和可靠性需求。虛擬化軟件安全產(chǎn)品能夠快速部署于Vmware等Hypervisor之上，提供虛擬化云平臺內部靈活的安全區域劃分、2到7層安全保護和智能快速的應用交付解決方案

3.5.2 方案價(jià)值

NGAF涵蓋了L2-L7全面的安全功能，提供比FW、IPS、WAF更多的安全防護層級，全面滿(mǎn)足數據中心多維的網(wǎng)絡(luò )數據安全保護；

NGAF通過(guò)多重的已知威脅識別、灰度威脅樣本庫、云端可疑威脅檢測等技術(shù)手段，有效識別和防范APT等高危威脅行為，確保數據中心的安全；

AD產(chǎn)品通過(guò)高效專(zhuān)業(yè)的服務(wù)器和多鏈路負載均衡，滿(mǎn)足服務(wù)器響應和網(wǎng)絡(luò )鏈路的高效使用，實(shí)現了對外服務(wù)和網(wǎng)絡(luò )資源利用率的最優(yōu)、最大化。

對于有備份數據中心的企業(yè)來(lái)說(shuō)，AD還能提供了全局負載均衡功能，實(shí)現將用戶(hù)訪(fǎng)問(wèn)請求引導到最快最優(yōu)的數據中心進(jìn)行響應，并實(shí)現鏈路故障的快速切換。

3.6 內網(wǎng)辦公域安全方案

3.1.1 方案說(shuō)明

 “堡壘最容易從內部攻破”，因此做好企業(yè)內網(wǎng)辦公區域的網(wǎng)絡(luò )安全建設，對于企業(yè)整體網(wǎng)絡(luò )的安全保護意義重大。通過(guò)深信服NGAF、AC和企業(yè)級無(wú)線(xiàn)，以及第三方終端防病毒軟件，可以較為完善的解決內網(wǎng)辦公區域的安全問(wèn)題。深信服上網(wǎng)行為管理AC產(chǎn)品能夠對內網(wǎng)用戶(hù)的上網(wǎng)行為進(jìn)行精細化識別和管控，深信服NGAF從網(wǎng)絡(luò )層面保障了辦公網(wǎng)絡(luò )的安全，終端防病毒軟件部署到辦公終端設備上，提供更加深度的安全保護，也是網(wǎng)關(guān)安全設備的有效補充，而深信服企業(yè)無(wú)線(xiàn)產(chǎn)品能夠為企業(yè)客戶(hù)提供安全、快速、可靠的無(wú)線(xiàn)網(wǎng)絡(luò )，滿(mǎn)足企業(yè)無(wú)線(xiàn)辦公需求。

NGAF給企業(yè)辦公網(wǎng)絡(luò )構建了立體的防護體系，防止內部終端遭受各個(gè)層次的安全威脅。通過(guò)啟用入侵防御和防病毒等功能，NGAF提供了全面的虛擬補丁功能，有效防御各種攻擊和網(wǎng)絡(luò )蠕蟲(chóng)病毒，保證辦公網(wǎng)絡(luò )的安全穩定運行。NGAF內置了僵尸網(wǎng)絡(luò )識別庫，通過(guò)分析內網(wǎng)終端的異常行為（如連接惡意主機或URL）等機制準確識別被黑客控制的僵尸終端，進(jìn)一步切斷黑客的控制通道，并避免對外DoS攻擊的形成，防止利用僵尸終端作為跳板進(jìn)一步入侵，鏟除APT攻擊的土壤。

AC設備具備專(zhuān)業(yè)的身份認證功能，能夠針對用戶(hù)和用戶(hù)組實(shí)施不同的應用控制和流量分配策略；AC內置了國內最全面的應用識別庫，能精準識別和控制內部員工的上網(wǎng)行為，保障關(guān)鍵應用，限制無(wú)關(guān)應用，阻止非法應用，避免員工在工作時(shí)間使用無(wú)關(guān)應用影響工作、占用帶寬，提高企業(yè)帶寬的使用價(jià)值。

終端防病毒產(chǎn)品包括防病毒軟件和管理中心兩部分。通過(guò)在終端部署防病毒軟件，可以更加精準的檢測終端設備潛藏的安全威脅，徹底清除病毒、蠕蟲(chóng)、特洛伊木馬、間諜軟件、僵尸、零日攻擊等安全威脅。部署防病毒軟件管理中心，可以集中管理眾多防病毒軟件，實(shí)現軟件集中管理、集中更新、統一運維。

深信服企業(yè)無(wú)線(xiàn)產(chǎn)品（包括無(wú)線(xiàn)AP和無(wú)線(xiàn)控制器NAC）能夠幫助企業(yè)客戶(hù)打造安全、快速、可運營(yíng)的無(wú)線(xiàn)網(wǎng)絡(luò )。深信服企業(yè)無(wú)線(xiàn)提供了端到端的網(wǎng)絡(luò )協(xié)議棧加速、網(wǎng)絡(luò )優(yōu)化、終端和應用識別及流控技術(shù)，能夠為企業(yè)打造更快速、更穩定的企業(yè)無(wú)線(xiàn)服務(wù)；深信服企業(yè)無(wú)線(xiàn)提供了便捷的安全管理和全面的安全防護，支持二維碼認證、802.1X自動(dòng)配置、精細化角色授權管理等技術(shù)，為企業(yè)打造更安全、更便捷的無(wú)線(xiàn)網(wǎng)絡(luò )；深信服企業(yè)無(wú)線(xiàn)還內置了信息推送中心，預留了企業(yè)微信公眾平臺對接模塊，全面滿(mǎn)足企業(yè)可運營(yíng)化無(wú)線(xiàn)網(wǎng)絡(luò )。

3.6.2 方案價(jià)值

NGAF為企業(yè)辦公區域打造安全可靠的隔離區域，并提供二到七層的全面防護，保護內部用戶(hù)免受非法侵入。

防病毒軟件能夠從終端層面更加全面精準的檢測內部終端的安全威脅，并徹底清除這些威脅，營(yíng)造干凈的辦公網(wǎng)絡(luò )。

AC設備提供了精準智能的應用和流量控制策略，保障關(guān)鍵業(yè)務(wù)應用體驗，避免無(wú)關(guān)應用對帶寬的消耗，保障工作高效執行。

深信服企業(yè)無(wú)線(xiàn)產(chǎn)品通過(guò)多種領(lǐng)先的技術(shù)手段幫助企業(yè)客戶(hù)打造安全、快速、穩定、可運營(yíng)的無(wú)線(xiàn)網(wǎng)絡(luò )。

3.7 運維管理域安全方案

3.1.1 方案說(shuō)明

針對運維區域存在的安全問(wèn)題，深信服推薦部署NGAF、集中管理設備SC和運維審計產(chǎn)品，從而打造安全、可控、易運維的運維管理區域。

NGAF可以給運維管理區打造安全隔離區，并基于嚴格的訪(fǎng)問(wèn)控制策略和身份認證信息進(jìn)行區域網(wǎng)絡(luò )接入，同時(shí)NGAF還能夠防范病毒、僵尸、蠕蟲(chóng)等威脅對運維區的入侵和破壞，給運維管理區打造一片安全的網(wǎng)絡(luò )環(huán)境。

運維審計產(chǎn)品可以為IT人員對各種設備、系統的運維操作提供統一的接入門(mén)戶(hù)，實(shí)現資源的統一接入、資源自動(dòng)登錄、運維會(huì )話(huà)記錄、實(shí)時(shí)告警提示、實(shí)時(shí)設備監控；運維審計產(chǎn)品提供了強大的身份管理、靈活細粒度的授權、多維度的日志采集和詳細的審計分析能力，實(shí)現操作的有效監管和審計。

深信服SC集中管理平臺能夠對深信服設備進(jìn)行集中管理。SC集中平臺可以統一查看各個(gè)設備的實(shí)時(shí)信息，包括最近事件，cpu、內存、磁盤(pán)使用信息，設備版本信息等，并能進(jìn)行安全策略統一管理下發(fā)和軟件規則庫自動(dòng)升級管理。配合SC平臺的外置虛擬數據中心軟件，可以對這些設備的狀態(tài)信息、日志信息進(jìn)行集中收集和管理，并支持進(jìn)一步的分析查詢(xún)和詳細信息提取。

3.7.2 方案價(jià)值

基于二到七層的深度內容可視和嚴格的訪(fǎng)問(wèn)控制、安全保護策略，NGAF為企業(yè)運維區提供了最安全的隔離保護。

通過(guò)SC集中監管平臺和外置數據中心，可以對全網(wǎng)安全設備進(jìn)行集中運維和審計分析，提升運維效率。

運維審計產(chǎn)品實(shí)現了IT源的統一接入、集中監控、統一運維、集中審計，實(shí)現資源高效運維和快速監管。

第4章 深信服解決方案產(chǎn)品介紹

4.1 下一代防火墻NGAF介紹

4.2.1 下一代防火墻NGAF簡(jiǎn)介

深信服下一代防火墻（Next-Generation Application Firewall）NGAF是面向應用層設計，能夠精確識別用戶(hù)、應用和內容，具備完整安全防護能力，能夠全面替代傳統防火墻，并具有強勁應用層處理能力的全新網(wǎng)絡(luò )安全設備。NGAF解決了傳統安全設備在應用識別、訪(fǎng)問(wèn)控制、內容安全防護等方面的不足，同時(shí)開(kāi)啟所有功能后性能不會(huì )大幅下降。作為傳統防火墻的升級替代產(chǎn)品，深信服NGAF不同于工作在L2-L4層的傳統防火墻，可以對全網(wǎng)流量進(jìn)行雙向深入數據內容層面的全面透析。在安全策略制定方面，區域別于傳統防火墻五元組安全策略，深信服NGAF可對L2-L7層更多的元素（如，用戶(hù)、應用類(lèi)型、URL、數據內容等）制定雙向的安全訪(fǎng)問(wèn)策略，使安全策略更精細、更有效，且滿(mǎn)足業(yè)務(wù)的合規性；在安全防護能力方面，提升了傳統的抗攻擊的能力，不僅能防護網(wǎng)絡(luò )層的攻擊，針對來(lái)源更廣泛、攻擊更容易、危害更大的應用層攻擊也可以進(jìn)行防護，實(shí)現L2-L7層的安全防護。同時(shí)，深信服NGAF采用全新的軟硬件架構，減小在多種復雜的安全策略和L2-L7層多功能防護功能全部開(kāi)啟時(shí)性能的消耗，實(shí)現應用層高性能。

4.2.2 產(chǎn)品功能列表

4.4 安全網(wǎng)關(guān)SSL VPN介紹

4.4.1 SSL VPN簡(jiǎn)介

作為國家SSL VPN標準的核心制定者之一，深信服SSL VPN產(chǎn)品擁有業(yè)界最多的專(zhuān)利技術(shù)，是國內業(yè)界應用最廣泛、最完善的SSL安全訪(fǎng)問(wèn)解決方案。

據國際權威調查機構FROST & SULLIVAN 2012年和2013年調查報告顯示，深信服SSL VPN分別以40.3%和39.8%的市場(chǎng)占有率獨占鰲頭。深信服SSL VPN大量大規模、高并發(fā)客戶(hù)案例為同行業(yè)之最，已連續六年保持國內市場(chǎng)占有率第一。

4.4.2 產(chǎn)品功能列表

4.5 廣域網(wǎng)優(yōu)化WOC介紹

4.5.1 廣域網(wǎng)優(yōu)化產(chǎn)品簡(jiǎn)介

深信服2007年正式推出亞太地區首款廣域網(wǎng)優(yōu)化產(chǎn)品，也是業(yè)內第一款集成應用加速、流量削減、流量管理、加速VPN、應用虛擬化等一體化的產(chǎn)品。推出至今通過(guò)持續創(chuàng )新，提升用戶(hù)體驗，目前已發(fā)展為中國廣域網(wǎng)優(yōu)化市場(chǎng)的領(lǐng)導者。

深信服廣域網(wǎng)優(yōu)化產(chǎn)品為中國最完整的廣域網(wǎng)優(yōu)化解決方案，具有協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jì)?yōu)化等多種技術(shù)，能夠幫助用戶(hù)加快關(guān)鍵應用的響應速度，為用戶(hù)帶來(lái)更高的投資回報比，該產(chǎn)品在惡劣的網(wǎng)絡(luò )傳輸環(huán)境中的加速效果尤為明顯。

功能全面：深信服廣域網(wǎng)優(yōu)化產(chǎn)品擁有VPN、流量管理、流量削減、應用加速、智能報表等多合一功能，幫助用戶(hù)提高廣域網(wǎng)帶寬資源的利用率。

價(jià)值最高：可大幅度提高關(guān)鍵業(yè)務(wù)系統的響應速度；削減傳輸線(xiàn)路中60%～90%的冗余數據，緩解帶寬壓力；在高時(shí)延，高丟包的鏈路環(huán)境下?lián)碛懈@著(zhù)的加速效果。

品牌首選：擁有7項專(zhuān)利技術(shù)；連續多年入圍Gartner WOC魔力象限和中央政府采購名單；用戶(hù)數量超過(guò)2000 多家，囊括政府、金融、運營(yíng)商、能源、教育、企業(yè)等各行業(yè)用戶(hù)。

4.5.2 產(chǎn)品功能列表

4.2 上網(wǎng)行為管理AC介紹

4.2.1 上網(wǎng)行為管理AC簡(jiǎn)介

2005年，深信服科技推出中國第一款專(zhuān)業(yè)上網(wǎng)行為管理產(chǎn)品，得益于深信服提供的專(zhuān)業(yè)上網(wǎng)行為管理技術(shù)和業(yè)界性能最強的處理平臺，該產(chǎn)品的用戶(hù)數量已達13000多家，其中超過(guò)5000家為中高端客戶(hù)。正是由于客戶(hù)的大力支持，深信服上網(wǎng)行為管理產(chǎn)品才能獲得市場(chǎng)占有率第一，成為業(yè)界第一品牌。

2011年底，深信服根據市場(chǎng)需求，及時(shí)推出了業(yè)內真正高性能大并發(fā)的萬(wàn)兆性能上網(wǎng)行為管理設備。采用最新的高性能硬件平臺，獨立的內存管理系統，高度網(wǎng)絡(luò )處理架構及最新的全業(yè)務(wù)識別引擎，深信服萬(wàn)兆性能上網(wǎng)行為管理產(chǎn)品滿(mǎn)足大企業(yè)、運營(yíng)商、高效等高帶寬行業(yè)客戶(hù)需求，全面助力高帶寬場(chǎng)景下的上網(wǎng)行為管控。

4.2.2 產(chǎn)品功能列表

4.3 應用交付AD介紹

4.3.1 應用交付AD簡(jiǎn)介

深信服AD產(chǎn)品作為專(zhuān)業(yè)的應用交付設備，能夠為用戶(hù)的應用發(fā)布提供包括多數據中心負載均衡、多鏈路負載均衡、服務(wù)器負載均衡的全方位解決方案。配合性能優(yōu)化、單邊加速以及多重智能管理等技術(shù)，實(shí)現對各個(gè)數據中心、鏈路以及服務(wù)器狀態(tài)的實(shí)時(shí)監控，同時(shí)根據預設規則將用戶(hù)的訪(fǎng)問(wèn)請求分配給相應的數據中心、鏈路以及服務(wù)器，進(jìn)而實(shí)現數據流的合理分配，使所有的數據中心、鏈路和服務(wù)器都得到充分的利用。不僅擴展應用系統的整體處理能力，提高其穩定性，更可切實(shí)改善用戶(hù)的訪(fǎng)問(wèn)體驗，降低組織的IT投資成本。

多合一負載均衡

功能全面：深信服應用交付解決方案包含全局負載均衡、多鏈路負載均衡、服務(wù)器負載均衡三位一體，幫助用戶(hù)提高多數據中心、多鏈路、服務(wù)器資源的利用率。

高性?xún)r(jià)比：深信服AD系列應用交付產(chǎn)品打破國外廠(chǎng)商壟斷，在無(wú)需購買(mǎi)額外授權的情況下，一臺設備具備了三大負載均衡功能，并直接開(kāi)通SSL加速、緩存、壓縮等眾多優(yōu)化功能，獲得超出業(yè)界同類(lèi)產(chǎn)品的投資回報。

快速、智能

單邊加速功能：獨一無(wú)二的單邊加速功能，用戶(hù)客戶(hù)端無(wú)需安裝任何插件或軟件即可提升訪(fǎng)問(wèn)速度。打造穩定智能的業(yè)務(wù)發(fā)布平臺，使得用戶(hù)可以更快更穩定地訪(fǎng)問(wèn)發(fā)布內容。

商業(yè)智能分析：深信服AD應用交付產(chǎn)品在保證數據交互穩定性的前提下，不僅可以知悉組織網(wǎng)絡(luò )、服務(wù)器以及數據中心的運行狀況，更可幫助組織分析自身的業(yè)務(wù)系統運行狀況，進(jìn)而為高層的網(wǎng)絡(luò )優(yōu)化和業(yè)務(wù)優(yōu)化提供決策依據。

智能優(yōu)化技術(shù)：DNS透明代理、鏈路/服務(wù)器擁塞繁忙保護、智能路由、短信/郵件智能告警技術(shù)進(jìn)一步提升各類(lèi)資源的利用率，增強用戶(hù)的訪(fǎng)問(wèn)體驗。

4.3.2 產(chǎn)品功能列表

4.6 集中管理平臺SC介紹

4.6.1 集中管理平臺簡(jiǎn)介

隨著(zhù)信息化建設的不斷擴張，面對設備數量較多、地域分布廣的網(wǎng)絡(luò )部署，如何高效、快速的對網(wǎng)絡(luò )設備進(jìn)行全面管理，成為系統管理人員首要考慮的問(wèn)題。

深信服推出了集中管理平臺SC產(chǎn)品，實(shí)現對網(wǎng)絡(luò )中的上網(wǎng)行為管理產(chǎn)品和VPN產(chǎn)品進(jìn)行集中式統一的管理，管理人員只需簡(jiǎn)單幾步的操作即可對分布各地的網(wǎng)絡(luò )設備進(jìn)行實(shí)時(shí)監控、策略下發(fā)、日志查詢(xún)和升級維護等。集中管理平臺支持強、弱管理結合，分支機構能夠在總部下發(fā)的策略配置模板中，根據實(shí)際情況進(jìn)行細微調整，貼合管理需求。通過(guò)部署深信服集中管理平臺，能夠有效提高網(wǎng)絡(luò )管理效率，降低管理成本，減輕管理員負擔。

4.6.2 產(chǎn)品功能列表

4.7 WLAN產(chǎn)品介紹

4.7.1 WLAN產(chǎn)品簡(jiǎn)介

深信服萬(wàn)兆系列無(wú)線(xiàn)控制器是深信服自主研發(fā)的集中管理無(wú)線(xiàn)接入點(diǎn)的控制設備，集防火墻，用戶(hù)認證服務(wù)器，證書(shū)頒發(fā)中心，無(wú)線(xiàn)射頻管理軟于一體。具有多元化的認證方式，精細化的用戶(hù)管理，協(xié)議優(yōu)化，射頻優(yōu)化，二三層漫游，靈活的Q0S控制，本地轉發(fā)、應用識別管控等功能。能夠減少企業(yè)部署復雜度，降低企業(yè)部署成本，為客戶(hù)打造安全、快速、可運營(yíng)的無(wú)線(xiàn)網(wǎng)絡(luò )。

配合深信服無(wú)線(xiàn)AP系列，定位于大型WLAN接入業(yè)務(wù)，如：企業(yè)、商超連鎖、校園、酒店、醫院等高速的wifi應用場(chǎng)景。

更安全

?  更全面的安全

n  端到端防護，全面保障無(wú)線(xiàn)業(yè)務(wù)安全

除了數據加密、身份認證、攻擊防護等傳統安全措施以外，額外提供精細化授權、企業(yè)級防火墻與內置CA等高級安全特性，構建端到端的無(wú)線(xiàn)安全架構。

n  更安全的專(zhuān)業(yè)模塊

無(wú)需額外搭建CA證書(shū)服務(wù)器，內置CA快速構建更可靠的無(wú)線(xiàn)安全認證體系；

內置企業(yè)級防火墻。

n  更精細的認證與授權

支持預共享密鑰、portal、802.1x、CA證書(shū)、短信、微信、二維碼等多種用戶(hù)認證機制；

支持基于用戶(hù)身份、終端類(lèi)型、地理位置、時(shí)間等不同使用環(huán)境的訪(fǎng)問(wèn)許可和流量策略。

n  全面的終端識別、應用識別、URL識別

基于接入終端類(lèi)型、操作系統的精細化識別，并作相應控制。

能精確識別無(wú)線(xiàn)流量屬于具體的什么應用，設備內置應用識別規則庫，支持超過(guò)1500種以上的應用，并保持每?jì)蓚€(gè)星期更新一次，保證應用識別的準確率，

設備內置海量預分類(lèi)的URL地址庫，支持根據URL類(lèi)別實(shí)現URL控制。有效的豐富了無(wú)線(xiàn)網(wǎng)絡(luò )應用層的管理。

?  更便捷的安全

n  802.1X認證一鍵配置

無(wú)需依賴(lài)IT人員的協(xié)助，用戶(hù)通過(guò)web界面下載安全配置工具，一鍵即能完成802.1x的自動(dòng)配置，簡(jiǎn)單便捷的加入到企業(yè)安全架構中。

n  用戶(hù)和終端自動(dòng)綁定

可實(shí)現用戶(hù)首次登錄時(shí)，系統自動(dòng)完成賬號與終端MAC綁定，無(wú)需管理員參與，實(shí)現“人-機”唯一對應。同時(shí)，針對用戶(hù)擁有多種終端的情況，可實(shí)現用戶(hù)與多終端綁定關(guān)系，防止越權訪(fǎng)問(wèn)，加強安全性。

?  訪(fǎng)客管理便捷

n  二維碼訪(fǎng)客認證—助企業(yè)提升品牌形象

內置二維碼認證模塊，訪(fǎng)客連接WiFi后，內網(wǎng)系統向訪(fǎng)客終端自動(dòng)推送二維碼，內部接待員工掃一掃，系統通過(guò)認證返回提示，只需簡(jiǎn)單2步即可完成認證過(guò)程。

更快速  

?  協(xié)議棧加速

針對協(xié)議棧加速，提升傳輸效率。針對干擾的無(wú)線(xiàn)網(wǎng)絡(luò )環(huán)境下，無(wú)線(xiàn)網(wǎng)絡(luò )速度提升2到8倍，解決無(wú)線(xiàn)網(wǎng)絡(luò )由于干擾導致的無(wú)線(xiàn)傳輸速率低、丟包等網(wǎng)絡(luò )質(zhì)量問(wèn)題。同時(shí)，客戶(hù)端無(wú)需安裝任何插件，對用戶(hù)側透明。

?  智能射頻優(yōu)化

當部署的AP功率太大會(huì )干擾到周?chē)钠渌麩o(wú)線(xiàn)設備，同時(shí)浪費電能和增加輻射；但是AP功率太小，無(wú)法滿(mǎn)足覆蓋要求。由于無(wú)線(xiàn)射頻環(huán)境是動(dòng)態(tài)變化的，所以深信服千兆系列無(wú)線(xiàn)控制器能夠對AP實(shí)現射頻智能功率調整，改善射頻環(huán)境。同時(shí)，也能夠對工作信道進(jìn)行調整，有效的避開(kāi)干擾信道。

?  智能負載均衡

能夠根據AP當前的負載情況及其他條件（如：流量、接入人數、頻段等），控制終端的接入，達到無(wú)線(xiàn)網(wǎng)絡(luò )負載均衡，提高網(wǎng)絡(luò )吞吐量和服務(wù)質(zhì)量的目的。終端請求接入某個(gè)AP，無(wú)線(xiàn)控制器根據該AP與鄰居AP的負載，決定是否允許新的客戶(hù)端接入，終端可自動(dòng)連接其他空閑AP，達到負載分擔的效果。

?  平均帶寬分配

由于所有終端搶到的空口機會(huì )差不多相等，高速率終端每次快速發(fā)完自己的數據后都要等待低速終端慢騰騰的發(fā)完它的數據，所以，高速率終端的性能基本上與低速率終端的性能是一樣的，顯然，整體的性能也被大幅拉了下來(lái)。所以，當環(huán)境中存在低速率用戶(hù)時(shí)，需降低其對整體性能的影響。因此深信服無(wú)線(xiàn)控制器支持用戶(hù)平均分配帶寬，根據時(shí)間公平算法，防止單個(gè)用戶(hù)拉低網(wǎng)絡(luò )整體速度。

可運營(yíng)

?  大屏顯示

內置大屏顯示功能，能夠顯示實(shí)時(shí)狀態(tài)，每個(gè)AP位置、接入用戶(hù)數，接入用戶(hù)的用戶(hù)名。

?  智能頁(yè)面推送

能夠自定義頁(yè)面推送，可以基于SSID，AP，用戶(hù)組去推送不同的頁(yè)面。并且也能夠實(shí)現認證前推送以及認證后推送。并且終端自適應技術(shù)能夠保障終端頁(yè)面自適應，提高了用戶(hù)體驗。

?  短信認證—內置廣告推送中心，實(shí)現定向營(yíng)銷(xiāo)

內置短信認證模塊, 終端連接WiFi后，通過(guò)接收短信獲取驗證碼，快速認證，方便快捷。同時(shí)，用戶(hù)通過(guò)短信認證上網(wǎng)，支持手機號采集與導出，為商業(yè)營(yíng)銷(xiāo)及分析提供依據；在用戶(hù)接入無(wú)線(xiàn)網(wǎng)絡(luò )時(shí)，根據用戶(hù)名、用戶(hù)組、位置的區別進(jìn)行個(gè)性化通知和廣告推送；支持WiFi在線(xiàn)時(shí)長(cháng)管理，促進(jìn)用戶(hù)互動(dòng)，同時(shí)防止蹭網(wǎng)、長(cháng)時(shí)間在線(xiàn)等方式造成資源耗用

?  微信認證—為企業(yè)微信公眾賬號加油

內置微信認證模塊，通過(guò)獨有的應用識別進(jìn)行微信識別，認證前放通微信流量，待訪(fǎng)客終端關(guān)注某官方微信過(guò)后，通過(guò)微信進(jìn)行認證上網(wǎng)。并且后期可以通過(guò)此微信推送廣告，達到良好的營(yíng)銷(xiāo)效果。

4.7.2 產(chǎn)品功能列表