数据中心方案拓扑

　　通过在数据中心核心交换机外侧部署深信服ngaf可以帮助我们实现如下四个安全目标：
　　1）面向用户、应用的安全访问：将访问控制权限精确到用户与业务系统，有效解决了传统防火墙ip/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂。
　　2）7层的内容安全检测：7层一体化安全防护（包括漏洞防护、服务器防护、病毒防护等）以及智能的内容安全过滤功能，防止各种应用威胁干扰服务器的稳定运行，确保核心业务数据的安全。
　　3）核心业务有保障： 基于应用的流量管理，保证核心业务带宽充足。万兆的应用层性能，有效保障数据中心的可用性。
　　4）可视化安全风险评估：提供服务器风险和终端风险报告以及应用流量报表，使全网的安全风险一目了然，帮助管理员分析安全状况管理数据中心。

广域网边界安全隔离与防护
　　对于广域网边界安全防护需要从如下几个方面着重考虑：
　　1）人员多，应用杂：如何制定有效的acl，acl是基于ip和端口的，这样的机器语言无法直观、清晰的制定访问控制策略，容易出现错配、漏配；
　　2）传统fw缺乏应用层威胁防护，病毒木马在分支机构和总部间传播速度快
　　3）病毒木马占用广域网有限带宽，影响关键业务的传输
　　4）分支数量多，it管理水平层次不齐，设备多，成本高，组网杂，维护难

广域网边界安全防护方案拓扑

　　通过在核心交换机与核心路由器之间部署深信服ngaf，可以帮助我们实现如下安全目标：
　　1）面向用户、应用的安全访问：将访问控制权限精确到用户与业务系统，有效解决了传统防火墙ip/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂
　　2）广域网垃圾流量清洗：通过ngaf智能的内容安全过滤功能，将病毒、木马、蠕虫、ddos等各种垃圾流量清除，确保带宽纯净，防止病毒扩散
　　3）一体化部署，简化组网： ngaf具备l2-l7一体化安全防护功能，可以简化组网，简便管理，提高性价比；

互联网出口边界防护
　　由于互联网边界实现了对外业务发布系统和内网终端的互联网接入，因此需要从如下几个方面着重考虑：
　　对外业务系统发布：
　　1）网站被挂马、数据遭篡改，企业/单位形象受损，造成经济损失，带来负面影响
　　2）合理控制服务器外联权限，封堵黑客远程控制，上传病毒、木马；
　　3）响应速度要求快，系统稳定性要求高，需要简化组网，降低延时，减少单点故障；

内网终端互联网接入：
　　1）浏览器、os、flash漏洞多，上网容易感染病毒、木马，窃取隐私
　　2）合理控制服务器外联权限，封堵黑客远程控制终端，将内网终端作为跳板，入侵服务器
　　3）用户权限多样，安全策略配置复杂

互联网边界安全方案拓扑

　　通过在互联网接入路由器后部署深信服ngaf，网上交易系统部署在dmz区，可以实现对内网终端和对外业务发布系统的双重防护
　　对外业务发布系统防护：
　　1）防止黑客入侵，获取权限，窃取数据：通过ngaf的漏洞防护、服务器防护、病毒防护等多种应用内容防护功能，防止黑客入侵，保证服务器稳定运行；
　　2）精确控制服务器外联权限：通过ngaf精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量；
　　3）简化组网、降低延时： ngaf具备l2-l7一体化安全防护功能，可以简化组网，减少故障点；通过单次解析引擎减低延时；

　　内部终端安全防护：
　　1）全面防护，标本兼治：通过ngaf的恶意网站过滤功能，防止终端访问威胁网站和应用；通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段；
　　2）精确识别，防止非法外联：通过ngaf精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量，防止终端被作为跳板入侵服务器
　　3）一体化部署，配置简单： ngaf具备l2-l7一体化安全防护功能，可以简化组网，简便管理，提高性价比；

方案使用产品及模块：深信服 af1120 流量管理网关: