金融行业解决方案

政府行业解决方案

医疗行业解决方案

制造商企行业解决方案

教育行业解决方案

电讯与其它行业解决方案

信息安全产品解决方案

信息安全产品案例研究

选用深信服ng af-1120实施可视化应用安全防护方案

需求概述
　　互联网及it技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的最重要问题之一。网络带宽的扩充、it应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。web时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、ids、utm等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。目前更多的出现了以下的安全问题：

　　投资成本攀升，运维效率下降
　　许多企业为了应对复杂的安全威胁,购买了多个厂商的安全产品,安全建设犹如堆积木一般。购买的安全防护产品愈来愈多，问题也随之出现：大量的安全防护产品部署，需要大量专业安全管理人员负责维护，复杂的安全架构使得管理同样变得复杂化，由于企业采用了多套安全解决方案，这就要求有很多技术人员精通不同厂商的解决方案。购买产品很简单，日常运维很复杂，这对企业本来就有限的it人员、安全管理人员来讲是非常痛苦和困难的事情。而且不同厂商安全解决方案之间的协调性也有待商榷，当专业化的攻击和威胁来临时，这些安全产品之间能不能发挥协同作用抵御威胁这还是一个很大的问号。对企业的管理者来说，如何降低管理成本、提高运维效率、提升企业安全水平，是目前最急待解决的问题。

　　“数据库泄密”、“网页遭篡改”等应用层安全事件频现
　　2011年上半年，索尼超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码失窃，索尼已花掉了1.71亿美元用于泄密事件之后的客户挽救、法律成本和技术改进这笔损失只会有增无减。
　　2011年5月10日上午消息，一些兜售廉价软件的黑客攻击了多个知名网站，包括美国宇航局(以下简称“nasa”)和斯坦福大学的网站。
　　有网友就在微博中反映：买家在自己开的网店购物之后，付款时却将货款打到一个不相干的帐户。后查明，是这个买家此前已经中毒。这种情况下，在中毒电脑上进行的所有交易都将给骗子付款。
　　尽管部署了众多安全设备,此类问题仍然频发,原因何在：
　　 >　 当前攻击层次逐步向应用层转变，传统防火墙失效;
　　 >　 黑客采取混合攻击，组合多种威胁方法，传统的单点式安全设备失效;
　　 >　 黑客采取混合攻击,单点式安全设备串联,或是utm, 由于都未真正融合众多安全功能,无法将各种攻击信息关联和共享,无法跟踪黑客攻击攻击各个环节,漏网威胁与日俱增。

　　网管员对企业流量束手无策
　　当前网络中流量多为七层应用，传统安全设备对其不可见，致使it管理员无法了解哪些应用处于使用中以及哪些用户在使用这些应用，无法轻松区分好应用和坏应用，无法根据网络状况实施控制策略，如何将网络控制权重新还给it管理员亟待解决。

　　部署utm，网络中断或访问变慢
　　utm貌似可以解决以上问题，然而，utm非多种安全防护功能的真正集成，功能全开后性能大幅下降，花重金购置的设备被迫成为了摆设，客户急需真正的一体化安全设备且不应该导致网络运行中断。

　　内网出现威胁，追究责任困难
　　企业内网拥有强大的认证系统，传统安全产品无法与之有机结合，使之孤立存在，从而内网安全机制无法定位到人员，出现问题只能定位于大量的ip地址，网管不是计算机，从一大堆的ip地址中，定位具体人员十分困难。
　　安全设备越快适应现网的认证系统，并充分融合，安全问题真正落实到位，是多年来企业it人员的梦想。

安全建设方案

　　为了能够更好的针对当前网络安全现状，控制好可能发生的各种安全风险，建议采用下一代防火墙深信服ngaf针对业务系统进行全面的安全加固。
　　首先，我们建议将整个业务系统划分为如下网络安全域：

　　数据中心安全域：包括各种应用系统和服务器，如oa、视频、erp、mail等，由于是整个it系统的核心，安全级别最高；
　　广域网边界安全域：各个分支机构通过专网接入总部局域网，访问各种业务应用系统，主要包括构建专网的核心路由器、分支路由器；
　　互联网接入安全域：由于内部终端、对外发布业务系统（如网上交易系统）都需要与互联网相连，访问互联网资源或者对外提供业务。此区域安全风险最高，需要重点隔离与控制；
　　内网办公安全域：包括总部内网的办公终端，为不同的部门提供高速、稳定的网络接入；

　　其次，根据这些网络安全域之间的访问关系、安全级别，我们建议在如下位置部署ngaf进行一体化的l2-l7安全防护与控制，整体方案如下图所示：

ngaf部署的总体方案

数据中心服务器保护
　　内部数据中心的服务器承载的业务尤为重要，是整个ＩＴ系统的核心组成部分，因此需要从如下四个方面着重考虑：
　　1）访问控制：谁可以访问数据中心？什么应用可以访问数据中心？盗用ip身份怎么办？如何防止应用的滥用和误用？传统防火墙基于端口/ip能否解决？
　　2）威胁攻击的问题：如何保护数据中心免受病毒、木马攻击；防止数据中心服务器被攻击
　　3）数据中心可用性：数据中心流量大，需要有效保证核心业务可用性
　　4）安全事件应用响应问题：如何了解数据中心安全风险问题？是否可以帮助管理员制定策略？