企業(yè)全網(wǎng)安全解決方案      

 第1章 企業(yè)網(wǎng)絡(luò)安全背景

1.1 企業(yè)網(wǎng)絡(luò)發(fā)展?fàn)顩r

互聯(lián)網(wǎng)是人類最偉大的發(fā)明?；ヂ?lián)網(wǎng)的快速發(fā)展促進(jìn)了企事業(yè)單位的信息化建設(shè)，互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò)基礎(chǔ)建設(shè)大大提高了企業(yè)的生產(chǎn)力和工作效率，互聯(lián)網(wǎng)信息技術(shù)的持續(xù)使用，給企業(yè)的持續(xù)、快速、高效發(fā)展提供了助力，企業(yè)的管理成本和生產(chǎn)成本得到了持續(xù)降低。

然而，伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各類黑客行為和攻擊技術(shù)給企業(yè)的持續(xù)、快速、健康、安全的發(fā)展帶來(lái)了困擾。IDC報(bào)告指出針對(duì)企業(yè)的黑客攻擊事件呈現(xiàn)逐年遞增的趨勢(shì)。近年來(lái)，大量的企業(yè)信息安全事件出現(xiàn)在我們的視野，如七天、如家等酒店的開房信息泄露，索尼影音官網(wǎng)被黑及用戶信息泄露，卡巴斯基總部被黑客侵入等，這些事件不僅對(duì)企業(yè)的商業(yè)活動(dòng)和企業(yè)信譽(yù)帶來(lái)?yè)p害，還對(duì)社會(huì)公民的正常生活造成干擾。普華永道針對(duì)中國(guó)企業(yè)的一份調(diào)研報(bào)告指出“已檢測(cè)到的信息安全事件對(duì)企業(yè)帶來(lái)的財(cái)務(wù)影響正在迅速增加，同時(shí)仍有許多攻擊沒(méi)被發(fā)現(xiàn)或者報(bào)告，僅在中國(guó)內(nèi)地與香港地區(qū)，失竊的知識(shí)產(chǎn)權(quán)或者商業(yè)機(jī)密的實(shí)際價(jià)值已遠(yuǎn)超數(shù)十億美元”。事實(shí)充分說(shuō)明：網(wǎng)絡(luò)安全是企業(yè)單位網(wǎng)絡(luò)建設(shè)的重點(diǎn)內(nèi)容，網(wǎng)絡(luò)安全建設(shè)和加固是一個(gè)持續(xù)的工程。

1.2 企業(yè)網(wǎng)絡(luò)安全問(wèn)題

當(dāng)今企業(yè)都在廣泛使用網(wǎng)絡(luò)信息技術(shù)，以不斷提高企業(yè)的核心競(jìng)爭(zhēng)力。由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性，網(wǎng)絡(luò)信息化給企業(yè)帶來(lái)效益的同時(shí)，也給企業(yè)增加了風(fēng)險(xiǎn)隱患，企業(yè)網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重。那么，企業(yè)網(wǎng)絡(luò)到底面臨哪些主要的安全問(wèn)題呢？

外網(wǎng)安全問(wèn)題：非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、漏洞利用、僵尸木馬、信息泄露等已成為企業(yè)網(wǎng)絡(luò)安全最為廣泛的威脅；

內(nèi)網(wǎng)安全問(wèn)題：帶寬和應(yīng)用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲擴(kuò)散、信息泄露等已成為企業(yè)內(nèi)部網(wǎng)絡(luò)最主要的安全問(wèn)題；

安全連接問(wèn)題：內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全，如企業(yè)總部、各地分支機(jī)構(gòu)、第三方合作伙伴、移動(dòng)辦公人員之間，既要保障信息及時(shí)共享，又要防止機(jī)密信息泄露。對(duì)于不同接入方，其所擁有的權(quán)限，既要能夠滿足正常業(yè)務(wù)的需求，又不能超越其職能權(quán)限，避免越權(quán)訪問(wèn)和敏感信息泄露；

運(yùn)維管理安全：共享帳號(hào)安全隱患，設(shè)備繁多控制策略復(fù)雜，操作無(wú)法監(jiān)管，內(nèi)部操作不透明，外部操作不可控，沒(méi)有統(tǒng)一的身份管理平臺(tái)，頻繁切換應(yīng)用程序登錄，日志分散不可用，不能集中有效審計(jì)等問(wèn)題困擾著企業(yè)網(wǎng)絡(luò)的安全運(yùn)維管理。

第2章 企業(yè)網(wǎng)絡(luò)安全需求分析

對(duì)于大部分企業(yè)來(lái)說(shuō)，其IT網(wǎng)絡(luò)的建設(shè)可以劃分六個(gè)區(qū)域，分別為：互聯(lián)網(wǎng)接入域、廣域網(wǎng)接入域、外聯(lián)服務(wù)域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運(yùn)維管理域。這六個(gè)區(qū)域因?yàn)槌休d的業(yè)務(wù)內(nèi)容和作用不同，所面臨的安全風(fēng)險(xiǎn)也有所不同，需要的安全防護(hù)措施亦有差別。

2.1 互聯(lián)網(wǎng)接入域安全需求分析

互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)⑵髽I(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離,作為企業(yè)內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的出口, 其中互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)挝粌?nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離，作為內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的出口，同時(shí)承擔(dān)著兩方面的作用：一是內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的統(tǒng)一出口；二是為社會(huì)公眾和合作伙伴提供企業(yè)信息服務(wù)的入口?；ヂ?lián)網(wǎng)接入域是連接企業(yè)內(nèi)部與外部的橋梁，因此面臨著來(lái)自兩個(gè)方向的安全威脅：1）外部威脅，如黑客掃描和入侵、拒絕服務(wù)攻擊、病毒或蠕蟲侵襲、僵尸木馬、信息泄露等。2）內(nèi)部威脅，如無(wú)意識(shí)的風(fēng)險(xiǎn)引入、網(wǎng)絡(luò)資源濫用導(dǎo)致的新風(fēng)險(xiǎn)，以及內(nèi)部的故意破壞等。

2.1.1 防火墻訪問(wèn)控制

通過(guò)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造一道保護(hù)屏障，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，通過(guò)防火墻將內(nèi)外部網(wǎng)絡(luò)隔離，實(shí)現(xiàn)有效的邊界訪問(wèn)控制，并界定用戶的訪問(wèn)請(qǐng)求是否符合安全規(guī)則，基于防火墻預(yù)設(shè)的訪問(wèn)控制規(guī)則、端口和協(xié)議的檢測(cè)和控制機(jī)制等手段使可信雙方進(jìn)行通信，并阻斷不可信的訪問(wèn)行為。

2.1.2 防止黑客掃描入侵

外部黑客出于好奇、報(bào)復(fù)或經(jīng)濟(jì)利益等目的會(huì)對(duì)內(nèi)網(wǎng)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描，獲取內(nèi)部網(wǎng)絡(luò)的安全漏洞，發(fā)起基于存在漏洞的惡意攻擊行為，從而獲取到未授權(quán)的機(jī)密信息或內(nèi)部系統(tǒng)的控制權(quán)限。

2.1.3 防御DDoS攻擊

DDoS攻擊一般由黑客控制Internet上的“僵尸”系統(tǒng)完成，通過(guò)對(duì)互聯(lián)網(wǎng)上缺少防御的主機(jī)植入某些代碼，這些機(jī)器就會(huì)被DDoS攻擊者控制，當(dāng)黑客發(fā)動(dòng)DDoS攻擊時(shí)，只需要同時(shí)向這些將僵尸機(jī)發(fā)送指令，攻擊就會(huì)由這些“僵尸”機(jī)器完成。DDoS攻擊主要有帶寬型攻擊、流量型攻擊和應(yīng)用型攻擊，其主要的表現(xiàn)為利用海量的數(shù)據(jù)包、請(qǐng)求或應(yīng)用消耗目標(biāo)網(wǎng)絡(luò)或設(shè)備資源，導(dǎo)致無(wú)法處理正常的業(yè)務(wù)或訪問(wèn)請(qǐng)求，造成公司的服務(wù)質(zhì)量下降、生產(chǎn)效率降低、信譽(yù)受損等一系列問(wèn)題。

2.1.4 防止病毒蠕蟲入侵

病毒蠕蟲等威脅內(nèi)容是黑客最常利用的網(wǎng)絡(luò)入侵工具。網(wǎng)絡(luò)蠕蟲病毒傳播速度快，一旦遭受了病毒和蠕蟲的侵襲，不僅會(huì)造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，網(wǎng)絡(luò)擁塞，同時(shí)也會(huì)對(duì)核心敏感數(shù)據(jù)造成嚴(yán)重的威脅，導(dǎo)致業(yè)務(wù)和生產(chǎn)的中斷、敏感信息泄露等問(wèn)題。

2.1.5 防零時(shí)差攻擊

零時(shí)差攻擊（Zero-hour/day Attack）是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。零時(shí)差攻擊對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當(dāng)于在用戶沒(méi)有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時(shí)間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)，造成網(wǎng)絡(luò)癱瘓等風(fēng)險(xiǎn)。

2.1.6 防止間諜軟件

間諜軟件能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝，并且安裝后很難找到其蹤影，并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示，運(yùn)行時(shí)用戶也不知曉，刪除起來(lái)非常困難。由于間諜軟件隱藏在用戶計(jì)算機(jī)中、秘密監(jiān)視用戶活動(dòng)，并建立了一個(gè)進(jìn)入個(gè)人電腦的通道，很容易對(duì)用戶電腦做后續(xù)的攻擊。間諜軟件能夠消耗計(jì)算能力，使計(jì)算機(jī)崩潰，并使用戶被淹沒(méi)在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號(hào)和其它機(jī)密數(shù)據(jù)。因此，間諜軟件對(duì)企業(yè)網(wǎng)絡(luò)的危害非常巨大，需要一種有效的手段防止間諜軟件向企業(yè)內(nèi)部網(wǎng)絡(luò)滲透。

2.1.7 應(yīng)用帶寬管控

內(nèi)網(wǎng)用戶在上班時(shí)間有意無(wú)意的進(jìn)行與工作無(wú)關(guān)的網(wǎng)絡(luò)行為，比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購(gòu)、手機(jī)APP使用等，嚴(yán)重影響工作效率，并占用大量的帶寬，導(dǎo)致關(guān)鍵業(yè)務(wù)應(yīng)用或關(guān)鍵人員得不到足夠的帶寬資源，降低企業(yè)內(nèi)部的工作效率。

2.1.8 鏈路負(fù)載均衡

企業(yè)往往會(huì)部署多條鏈路，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點(diǎn)故障，減少停機(jī)時(shí)間。為提升外網(wǎng)用戶從外部訪問(wèn)內(nèi)部網(wǎng)站和應(yīng)用系統(tǒng)的速度和性能，就需要對(duì)多條鏈路進(jìn)行負(fù)載優(yōu)化，實(shí)現(xiàn)在多條鏈路上動(dòng)態(tài)平衡分配，并在一條鏈路中斷的時(shí)候能夠智能地自動(dòng)切換到另外一條鏈路，保障業(yè)務(wù)應(yīng)用不中斷。

2.2 廣域網(wǎng)接入域安全需求分析

對(duì)于大部分企業(yè)來(lái)說(shuō)，都可能存在企業(yè)集團(tuán)總部、子公司或各地分支辦事處，并且各個(gè)節(jié)點(diǎn)已形成自己的局域網(wǎng)結(jié)構(gòu)，并通過(guò)廣域網(wǎng)互聯(lián)互通，實(shí)現(xiàn)集團(tuán)總部與子公司、辦事處之間多種資源信息的共享互通。因此，構(gòu)建一個(gè)高效、安全的廣域網(wǎng)絡(luò)系統(tǒng)勢(shì)必為企業(yè)的發(fā)展“添磚加瓦”。建立安全、可靠的高效廣域網(wǎng)系統(tǒng)，需著重考慮和解決以下問(wèn)題：

2.2.1 安全互聯(lián)組網(wǎng)

目前很多企業(yè)的大型分支已經(jīng)采用專線與總部進(jìn)行互聯(lián)，但部分中小分支由于較為分散，仍采用公網(wǎng)線路直接與總部互聯(lián)訪問(wèn)服務(wù)器。這種將服務(wù)器直接掛在公網(wǎng)上并對(duì)外開放端口的方式，直接造成整體服務(wù)器區(qū)安全防護(hù)水平較低，很容易遭受互聯(lián)網(wǎng)絡(luò)攻擊的問(wèn)題。因此在總部和分支互聯(lián)建設(shè)中必須充分考慮安全互聯(lián)組網(wǎng)的需求，并防止外部人員的非法侵入。

2.2.2 數(shù)據(jù)安全性保障

在總部與小型分支或辦事處之間基于互聯(lián)網(wǎng)通信，組織信息平臺(tái)上的應(yīng)用系統(tǒng)如果不經(jīng)加密和認(rèn)證等安全處理，跑在互聯(lián)網(wǎng)這個(gè)不安全而又開放的網(wǎng)絡(luò)上，一旦重要數(shù)據(jù)如果遭到竊取，帶來(lái)的損失將無(wú)法估量。因此，有必要利用VPN等技術(shù)通過(guò)Internet建立安全可靠、經(jīng)濟(jì)便捷的虛擬專用網(wǎng)絡(luò)。

2.2.3 專網(wǎng)數(shù)據(jù)加固

在總部與大型分支之間采用專線組網(wǎng)，保證內(nèi)網(wǎng)系統(tǒng)訪問(wèn)數(shù)據(jù)與互聯(lián)網(wǎng)的安全隔離。但是在專網(wǎng)內(nèi)同樣存在信息安全級(jí)別不同的應(yīng)用系統(tǒng)數(shù)據(jù)，高安全級(jí)別的數(shù)據(jù)信息如果直接在網(wǎng)絡(luò)中明文傳輸，存在被竊聽(tīng)、篡改的風(fēng)險(xiǎn)，從信息安全規(guī)劃及權(quán)限的安全方面進(jìn)行考慮，有必要在專網(wǎng)中對(duì)不同安全級(jí)別的應(yīng)用系統(tǒng)采取邏輯隔離、安全加密、權(quán)限劃分等加固手段。

2.2.4 移動(dòng)辦公安全

網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來(lái)越頻繁，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來(lái)越多，安全性要求也越來(lái)越重要。為了實(shí)現(xiàn)人們的遠(yuǎn)程辦公，需要保證人員外出時(shí)可以安全訪問(wèn)組織內(nèi)部網(wǎng)絡(luò)進(jìn)行日常操作，并同時(shí)確保數(shù)據(jù)的安全。因此在選擇方法時(shí)，應(yīng)建立完整的安全準(zhǔn)入機(jī)制，實(shí)現(xiàn)對(duì)用戶的認(rèn)證鑒權(quán)。

2.2.5 第三方安全接入

隨著業(yè)務(wù)規(guī)模的擴(kuò)大，業(yè)務(wù)系統(tǒng)也在不斷延伸，除了建設(shè)內(nèi)部自己使用的業(yè)務(wù)系統(tǒng)外，還建立了第三人員使用的業(yè)務(wù)系統(tǒng)，如供應(yīng)商接入系統(tǒng)、代理商接入系統(tǒng)等，這些業(yè)務(wù)系統(tǒng)提高了企業(yè)的業(yè)務(wù)運(yùn)作效率，但也帶來(lái)了眾多不可控風(fēng)險(xiǎn)：如身份認(rèn)證單一、接入終端安全性無(wú)法控制、數(shù)據(jù)易被竊取、越權(quán)訪問(wèn)、惡意訪問(wèn)無(wú)法追蹤、訪問(wèn)速度慢。

2.2.6 廣域網(wǎng)鏈路質(zhì)量?jī)?yōu)化

分公司員工日常的工作都需要依靠信息平臺(tái)來(lái)完成，因此員工接入總部訪問(wèn)應(yīng)用的速度和其工作效率直接相關(guān)。如果全部使用專線進(jìn)行總部與分支互聯(lián)，網(wǎng)絡(luò)成本太高，而且擴(kuò)展性較差。因此，廣域網(wǎng)接入域安全需求，就需要考慮廣域網(wǎng)鏈路質(zhì)量?jī)?yōu)化問(wèn)題，保障關(guān)鍵應(yīng)用的服務(wù)質(zhì)量和交付性能。如何消減總部節(jié)點(diǎn)、分支節(jié)點(diǎn)的吞吐瓶頸，提升員工訪問(wèn)速度；如何減少分支網(wǎng)絡(luò)丟包、延時(shí)現(xiàn)象問(wèn)題；如何避免應(yīng)用本身交互過(guò)多，遭遇廣域網(wǎng)后響應(yīng)速度慢，影響業(yè)務(wù)效率問(wèn)題。

2.3 外聯(lián)服務(wù)域安全需求分析

企業(yè)外聯(lián)服務(wù)域也叫DMZ。DMZ區(qū)域常存放對(duì)外門戶WEB、EMAIL、FTP、OA等服務(wù)器，主要用于提升企業(yè)網(wǎng)絡(luò)媒介宣傳、職員郵件辦公、文件上傳下載等需求。該區(qū)域是企業(yè)的展示窗口、對(duì)外業(yè)務(wù)的平臺(tái)，該區(qū)域網(wǎng)絡(luò)質(zhì)量的好壞，直接影響著企業(yè)的形象和發(fā)展。該區(qū)域面臨來(lái)自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅，并且針對(duì)該區(qū)域的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)安全設(shè)備很難發(fā)現(xiàn)和阻止這些威脅。該區(qū)域主要的安全需求有：

2.3.1 系統(tǒng)漏洞攻擊保護(hù)

DMZ區(qū)域內(nèi)部有大量業(yè)務(wù)服務(wù)器，其底層和業(yè)務(wù)應(yīng)用系統(tǒng)會(huì)不斷產(chǎn)生新的安全漏洞，給了入侵者可乘之機(jī)。黑客能夠利用這些漏洞發(fā)起對(duì)DMZ區(qū)的攻擊，比如mail漏洞、后門漏洞、操作系統(tǒng)漏洞、ftp漏洞、數(shù)據(jù)庫(kù)漏洞，實(shí)現(xiàn)對(duì)網(wǎng)站敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的工具來(lái)識(shí)別并防護(hù)針對(duì)系統(tǒng)漏洞的攻擊。

2.3.2 防止信息泄露和篡改

黑客通過(guò)漏洞利用、WEB攻擊、弱密碼等手段一旦侵入了DMZ系統(tǒng)，將可能竊取DMZ系統(tǒng)數(shù)據(jù)庫(kù)中儲(chǔ)存的用戶資料、身份信息、賬戶信息等敏感數(shù)據(jù)，損害企業(yè)的經(jīng)濟(jì)利益；黑客也可能直接篡改企業(yè)對(duì)外Web網(wǎng)頁(yè)內(nèi)容，使企業(yè)的形象和信譽(yù)受損；黑客甚至?xí)谄髽I(yè)對(duì)外提供服務(wù)的網(wǎng)站掛載木馬病毒，網(wǎng)站的訪問(wèn)用戶也會(huì)被木馬病毒感染，這種情況下企業(yè)可能因此而承擔(dān)法律責(zé)任。

2.3.3 WEB應(yīng)用安全

針對(duì)Web應(yīng)用的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這些攻擊。針對(duì)web應(yīng)用的安全問(wèn)題有：

由于Web應(yīng)用程序的編寫過(guò)程中引入的安全漏洞問(wèn)題，比如SQL注入、跨站腳本攻擊等；系統(tǒng)底層漏洞問(wèn)題，如服務(wù)器底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)（如IIS、Apache），這些系統(tǒng)本身存在諸多的安全漏洞給了入侵者可乘之機(jī)；黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對(duì)網(wǎng)站進(jìn)行攻擊。

3.3.4 防止黑客掃描入侵

外部黑客出于好奇、報(bào)復(fù)或經(jīng)濟(jì)利益等目的會(huì)對(duì)外聯(lián)區(qū)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描，獲取內(nèi)部網(wǎng)絡(luò)的安全缺陷和漏洞，進(jìn)一步發(fā)起惡意攻擊行為，從而獲取到未授權(quán)的機(jī)密信息或內(nèi)部系統(tǒng)的控制權(quán)限。

2.3.5 防止拒絕服務(wù)

黑客通過(guò)DOS/DDOS拒絕服務(wù)攻擊使外聯(lián)服務(wù)平臺(tái)無(wú)法響應(yīng)正常請(qǐng)求。這種攻擊行為使得Web等系統(tǒng)充斥大量要求回復(fù)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致外聯(lián)服務(wù)平臺(tái)無(wú)法對(duì)外正常提供服務(wù)，影響企業(yè)正常的業(yè)務(wù)開展。

2.3.6 防范內(nèi)部威脅

企業(yè)內(nèi)部網(wǎng)絡(luò)安全狀況也影響著外聯(lián)區(qū)域的安全，比如網(wǎng)絡(luò)中存在的DoS攻擊，或者存在感染病毒木馬的終端，給黑客提供可利用的跳板等，內(nèi)部員工的非法掃描和滲透攻擊，及非授權(quán)違規(guī)操作行為，這些問(wèn)題都會(huì)破壞外聯(lián)平臺(tái)的安全穩(wěn)定運(yùn)行。

2.3.7 服務(wù)器負(fù)載均衡

    隨著訪問(wèn)用戶數(shù)量的不斷增加，給后臺(tái)的服務(wù)器帶來(lái)越來(lái)越大的壓力。需要通過(guò)服務(wù)器負(fù)載均衡機(jī)制，保證用戶訪問(wèn)流量能在各服務(wù)器上均衡分配，提高服務(wù)器資源的利用率，減輕服務(wù)器的壓力。從而保證訪問(wèn)的速度和穩(wěn)定性。

2.4 數(shù)據(jù)中心域安全需求分析

數(shù)據(jù)中心是IT建設(shè)的心臟，作為業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域，數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息。對(duì)于惡意攻擊者而言，數(shù)據(jù)中心永遠(yuǎn)是最具吸引力的目標(biāo)。所以數(shù)據(jù)中心的安全建設(shè)顯得格外重要。數(shù)據(jù)中心主要的安全需求包括：

2.4.1 防火墻隔離控制

通過(guò)防火墻在數(shù)據(jù)中心構(gòu)造一道網(wǎng)絡(luò)層保護(hù)屏障，通過(guò)防火墻的區(qū)域隔離和訪問(wèn)控制規(guī)則，來(lái)界定用戶的訪問(wèn)請(qǐng)求是否符合安全要求，并隔離來(lái)自internet、intranet、extrane等區(qū)域的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)接入安全。

2.4.2 防止病毒蠕蟲入侵

服務(wù)器是數(shù)據(jù)中心中計(jì)算資源的核心來(lái)源，也用于連接網(wǎng)絡(luò)資源、存儲(chǔ)資源，是數(shù)據(jù)中心中業(yè)務(wù)交付的重要支撐，因此也是網(wǎng)絡(luò)入侵者最主要的目標(biāo)。病毒、蠕蟲、木馬等惡意代碼一旦感染數(shù)據(jù)中心服務(wù)器，就可能在數(shù)據(jù)中心網(wǎng)絡(luò)快速傳播，消耗數(shù)據(jù)中心網(wǎng)絡(luò)資源，劫持服務(wù)器應(yīng)用，竊取敏感信息，發(fā)送垃圾信息，甚至重定向用戶到惡意網(wǎng)頁(yè)。所以數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)需要包含檢測(cè)和清除病毒蠕蟲木馬等惡意內(nèi)容的機(jī)制。

2.4.3 漏洞攻擊保護(hù)

數(shù)據(jù)中心大量的服務(wù)器底層操作系統(tǒng)和業(yè)務(wù)應(yīng)用都可能存在安全漏洞，給了入侵者可乘之機(jī)。黑客能夠利用這些漏洞發(fā)起對(duì)數(shù)據(jù)中心業(yè)務(wù)服務(wù)器的攻擊，比如弱口令密碼攻擊、應(yīng)用程序弱點(diǎn)利用、服務(wù)弱點(diǎn)利用等，非法獲取更多的內(nèi)部操作管理權(quán)限，實(shí)現(xiàn)對(duì)內(nèi)部敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的工具來(lái)識(shí)別并防護(hù)針對(duì)數(shù)據(jù)中心服務(wù)器業(yè)務(wù)系統(tǒng)漏洞的攻擊。

2.4.4 防APT攻擊

黑客的攻擊手段越來(lái)越先進(jìn)，并帶有很強(qiáng)的目的性。近幾年APT攻擊經(jīng)常見(jiàn)諸報(bào)端，這是一類攻擊手段很先進(jìn)、目的性和持續(xù)性很強(qiáng)的高級(jí)持續(xù)性威脅（APT）。通常這種攻擊方式都帶有明確的攻擊意圖和不達(dá)目的不休止的特點(diǎn)，黑客往往應(yīng)用先進(jìn)的攻擊手段繞過(guò)防御體系，實(shí)現(xiàn)對(duì)企業(yè)高價(jià)值機(jī)密信息的破壞、竊取、篡改等目的，從而給業(yè)務(wù)系統(tǒng)造成不可挽回的損失。因此，數(shù)據(jù)中心安全建設(shè)需要考慮防范APT攻擊，避免重要信息資產(chǎn)失竊或破壞。

2.4.5 防范內(nèi)部威脅

企業(yè)內(nèi)部網(wǎng)絡(luò)安全狀況也影響著外聯(lián)區(qū)域數(shù)據(jù)中心的安全，比如內(nèi)部網(wǎng)絡(luò)中存在DoS攻擊，或者存在感染病毒木馬的終端，給黑客提供可利用的跳板等，內(nèi)部員工的非法掃描和滲透攻擊，及非授權(quán)違規(guī)操作行為，這些問(wèn)題都會(huì)破壞數(shù)據(jù)中心的安全穩(wěn)定運(yùn)行。

2.4.6 防止拒絕服務(wù)

數(shù)據(jù)中心作為業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域，數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息，其業(yè)務(wù)的可靠性非常關(guān)鍵。黑客利用協(xié)議漏洞或控制“肉雞”向數(shù)據(jù)中心服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無(wú)法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問(wèn)題，對(duì)數(shù)據(jù)中心的可靠造成危害。

2.4.7 WEB應(yīng)用安全

數(shù)據(jù)中心有大量的WEB應(yīng)用，黑客針對(duì)Web應(yīng)用的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這些攻擊。針對(duì)web應(yīng)用的安全問(wèn)題有：

由于Web應(yīng)用程序的編寫過(guò)程中引入的安全漏洞問(wèn)題，比如SQL注入、跨站腳本攻擊等；系統(tǒng)底層漏洞問(wèn)題，如服務(wù)器底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)（如IIS、Apache），這些系統(tǒng)本身存在諸多的安全漏洞給了入侵者可乘之機(jī)；黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對(duì)網(wǎng)站進(jìn)行攻擊。

2.4.8 虛擬云化風(fēng)險(xiǎn)保護(hù)

虛擬化云數(shù)據(jù)中心是數(shù)據(jù)中心的發(fā)展方向，通過(guò)虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施資源池，實(shí)現(xiàn)資源的按需分配，提高整體資源利用率。但云數(shù)據(jù)中心虛擬化也帶來(lái)了新的安全風(fēng)險(xiǎn)，比如虛擬化導(dǎo)致了風(fēng)險(xiǎn)集中、流量復(fù)雜、邊界弱化、越權(quán)訪問(wèn)等問(wèn)題，因此需要一種適合虛擬化云數(shù)據(jù)中心的安全管控機(jī)制，提供虛擬化內(nèi)部的安全區(qū)域劃分、邊界管控、二到七層安全保護(hù)。

2.5 內(nèi)網(wǎng)辦公域安全需求分析

隨著全球信息化及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題特別是內(nèi)部網(wǎng)絡(luò)安全問(wèn)題正在日益突出。“堡壘最容易從內(nèi)部攻破”，因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè)，對(duì)于企業(yè)整體網(wǎng)絡(luò)的安全保護(hù)意義重大。無(wú)論是內(nèi)部終端的違規(guī)外聯(lián)、違規(guī)接入和違規(guī)操作，還是內(nèi)部系統(tǒng)數(shù)據(jù)保密性、可控性和可用性要求，都是企業(yè)內(nèi)網(wǎng)辦公區(qū)域安全建設(shè)需要思考的問(wèn)題。那么，企業(yè)內(nèi)網(wǎng)辦公區(qū)主要有哪些安全需求呢？

2.5.1 上網(wǎng)行為管理

內(nèi)網(wǎng)辦公員工在上班時(shí)間有意無(wú)意的做與工作無(wú)關(guān)的網(wǎng)絡(luò)行為，比如炒股、玩網(wǎng)游、看視頻；隨著智能終端的普及，沒(méi)有提供Wlan的企業(yè)，其內(nèi)部員工為了便捷性，往往會(huì)通過(guò)360隨身WiFi等方式私自建立個(gè)人Wlan，讓自己的移動(dòng)終端可以隨意使用單位的上網(wǎng)資源。這些行為嚴(yán)重影響單位工作效率，所以企業(yè)需要對(duì)內(nèi)部上網(wǎng)的員工行為進(jìn)行有效的識(shí)別和管理。

2.5.2 漏洞病毒防護(hù)

內(nèi)網(wǎng)辦公區(qū)分布有大量的終端設(shè)備，如果這些終端不能及時(shí)更新系統(tǒng)漏洞補(bǔ)丁，將會(huì)給黑客可乘之機(jī)，一旦某臺(tái)終端感染病毒，很容易向全網(wǎng)擴(kuò)散。因此，內(nèi)網(wǎng)安全建設(shè)需要包括：具備快速發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動(dòng)分發(fā)補(bǔ)丁能力，具備快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點(diǎn)并及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)的能力。

2.5.4 Wlan安全需求

隨著無(wú)線技術(shù)的發(fā)展，BYOD、移動(dòng)辦公的普及，無(wú)線網(wǎng)絡(luò)覆蓋能使得在企業(yè)內(nèi)部，會(huì)議室、辦公區(qū)等任何區(qū)域接入辦公網(wǎng)絡(luò)，簡(jiǎn)單方便。企業(yè)在構(gòu)建WLAN網(wǎng)絡(luò)過(guò)程中，不僅要考慮高速穩(wěn)定的網(wǎng)絡(luò)質(zhì)量，WLAN網(wǎng)絡(luò)安全問(wèn)題同樣需要重視。杜絕盜用賬號(hào)、非法接入的安全威脅，并針對(duì)外部訪客、內(nèi)部人員（不同部門、不同職位）分配不同的應(yīng)用訪問(wèn)權(quán)限，實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)接入控制，并避免復(fù)雜的臨時(shí)賬號(hào)申請(qǐng)機(jī)制。

2.5.5 開發(fā)環(huán)境安全

開發(fā)部門由于其業(yè)務(wù)特殊性，對(duì)開發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。為了支撐業(yè)務(wù)的飛速拓展，在開發(fā)項(xiàng)目中往往還會(huì)牽涉到很多第三方公司和外包項(xiàng)目，甚至于開發(fā)人員需要在任意地點(diǎn)進(jìn)行辦公，這對(duì)開發(fā)系統(tǒng)的安全構(gòu)成了極大的挑戰(zhàn)。因此，需要有一套安全的開發(fā)環(huán)境，能夠讓開發(fā)項(xiàng)目的員工及外包員工在受控環(huán)境下，進(jìn)行相關(guān)應(yīng)用的開發(fā)和調(diào)試，同時(shí)能有效保護(hù)應(yīng)用代碼及企業(yè)數(shù)據(jù)的安全。

2.1.6 防止僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的，采用多種傳播手段，通過(guò)互聯(lián)網(wǎng)使大量主機(jī)感染僵尸程序，從而控制這些被感染的主機(jī)，從而在控制者和被感染主機(jī)之間形成一個(gè)一對(duì)多控制的網(wǎng)絡(luò)，黑客利用這些僵尸主機(jī)作為進(jìn)一步入侵的跳板。攻擊者通過(guò)控制大量僵尸主機(jī)實(shí)現(xiàn)僵尸網(wǎng)絡(luò)本地?cái)U(kuò)散、敏感信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意目的。而企業(yè)內(nèi)部大量的終端設(shè)備往往是黑客種植僵尸網(wǎng)絡(luò)的目標(biāo)，因此企業(yè)需要一種有效的措施來(lái)防止僵尸網(wǎng)絡(luò)的植入，并檢測(cè)和清除已存在的僵尸網(wǎng)絡(luò)。

2.6 運(yùn)維管理域安全需求分析

運(yùn)維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)能夠安全高效運(yùn)行的重要區(qū)域，該區(qū)域的重點(diǎn)是安全和穩(wěn)定性，從而為企業(yè)整體網(wǎng)絡(luò)構(gòu)造一個(gè)可靠的支撐平臺(tái)。該區(qū)域主要的安全需求如下：

2.6.1 防火墻區(qū)域隔離

運(yùn)維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)高效運(yùn)行的重要區(qū)域，企業(yè)內(nèi)部大部分IT設(shè)備和系統(tǒng)都在該區(qū)域維護(hù)管理，因此該區(qū)域一旦被黑客或不軌員工侵入，極可能造成全局網(wǎng)絡(luò)危害。利用防火墻可以給運(yùn)維管理區(qū)打造安全隔離區(qū)，并基于嚴(yán)格的訪問(wèn)控制策略和身份認(rèn)證信息進(jìn)行區(qū)域網(wǎng)絡(luò)接入；同時(shí)利用新型防火墻給運(yùn)維管理區(qū)打造一片安全的網(wǎng)絡(luò)環(huán)境。

2.6.2 防范病毒類入侵

運(yùn)維區(qū)是IT信息系統(tǒng)的神經(jīng)中樞，一旦被病毒木馬、僵尸蠕蟲等侵入，將可能導(dǎo)致重要系統(tǒng)的系統(tǒng)配置、管理賬號(hào)、后臺(tái)數(shù)據(jù)等丟失或被篡改，直接造成生成運(yùn)營(yíng)故障，對(duì)企業(yè)的危害非常巨大。因此，該區(qū)域的安全建設(shè)需要包含檢測(cè)和清除病毒、木馬、蠕蟲、僵尸等惡意內(nèi)容的機(jī)制。

2.6.3 集中運(yùn)維管理

企業(yè)內(nèi)部安全設(shè)備較多，因此需要有集中的統(tǒng)一管理和審計(jì)分析平臺(tái)，實(shí)現(xiàn)對(duì)設(shè)備的集中管理、集中監(jiān)控、集中配置、集中運(yùn)維、統(tǒng)一審計(jì)核查等要求，達(dá)到安全事件的監(jiān)控-響應(yīng)-再監(jiān)控的閉環(huán)操作，提升網(wǎng)絡(luò)運(yùn)維管理便捷性。

2.6.4 操作運(yùn)維審計(jì)

如果沒(méi)有有效的技術(shù)手段來(lái)保障運(yùn)維操作的正確執(zhí)行，那么將對(duì)運(yùn)維人員的違規(guī)操作無(wú)能為力。目前應(yīng)用程序都有相應(yīng)的審計(jì)日志，可以解決應(yīng)用系統(tǒng)層的審計(jì)問(wèn)題，但是對(duì)于操作系統(tǒng)層和數(shù)據(jù)庫(kù)層的違規(guī)操作（非法修改系統(tǒng)和應(yīng)用等），無(wú)從審計(jì)。因此，必須借助有效的技術(shù)手段監(jiān)管運(yùn)維人員的操作行為，做到實(shí)時(shí)監(jiān)控，快速取證，減少內(nèi)部的誤操作和違規(guī)操作，降低運(yùn)維過(guò)程中的操作風(fēng)險(xiǎn)。

第3章 深信服企業(yè)全網(wǎng)安全解決方案

3.1 方案總體設(shè)計(jì)

為了解決企業(yè)網(wǎng)絡(luò)中遇到的各種安全問(wèn)題，深信服推出了企業(yè)全網(wǎng)安全解決方案，本著安全、可靠、全面、高效、易于管理維護(hù)等原則，給出可資借鑒的建設(shè)方案。

根據(jù)企業(yè)不同網(wǎng)絡(luò)區(qū)域定位不同，我們大致可以將企業(yè)網(wǎng)絡(luò)劃分為6個(gè)區(qū)域，分別為：互聯(lián)網(wǎng)接入域、外聯(lián)服務(wù)域、廣域網(wǎng)接入域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運(yùn)維管理域。針對(duì)各區(qū)域?qū)嶋H的安全需求，深信服給出了貼合的安全防護(hù)建議。

3.2 互聯(lián)網(wǎng)接入域安全方案

3.1.1 方案說(shuō)明

互聯(lián)網(wǎng)接入?yún)^(qū)域承擔(dān)著內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的統(tǒng)一出口和為外部用戶提供企業(yè)信息服務(wù)的入口，其安全風(fēng)險(xiǎn)來(lái)源多且復(fù)雜。針對(duì)互聯(lián)網(wǎng)出口存在的安全問(wèn)題，通過(guò)在互聯(lián)網(wǎng)出口部署深信服下一代防火墻NGAF、上網(wǎng)行為管理AC和應(yīng)用交付AD產(chǎn)品，可以很好的解決。

深信服下一代防火墻（Next-Generation Application Firewall）NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有全面的應(yīng)用層安全防護(hù)功能和強(qiáng)勁的處理能力。深信服下一代防火墻NGAF為企業(yè)在網(wǎng)絡(luò)出口構(gòu)建一套安全長(zhǎng)城，實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離和訪問(wèn)控制，保護(hù)內(nèi)部網(wǎng)絡(luò)和用戶免受非法侵入，保障可信雙方安全通信。NGAF提供2到7層的安全保護(hù)，通過(guò)入侵檢測(cè)與防御、病毒防護(hù)、協(xié)議異常保護(hù)等功能，可以精確實(shí)時(shí)地識(shí)別并防御來(lái)自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬、間諜軟件等網(wǎng)絡(luò)威脅，防止攻擊者對(duì)內(nèi)部網(wǎng)絡(luò)的滲透和破壞，保障敏感數(shù)據(jù)不被竊取以及業(yè)務(wù)的持續(xù)運(yùn)行；NGAF能實(shí)時(shí)感知來(lái)自互聯(lián)網(wǎng)上的大量異常請(qǐng)求，并第一時(shí)間予以清洗，防止DoS/DDoS攻擊的發(fā)生，保障正常合法的業(yè)務(wù)通訊不受影響；NGAF還提供了實(shí)時(shí)的漏洞檢測(cè)功能，該功能不會(huì)給網(wǎng)絡(luò)產(chǎn)生額外的流量，通過(guò)實(shí)時(shí)流量分析，可以發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部業(yè)務(wù)系統(tǒng)的安全漏洞，快速識(shí)別針對(duì)存在漏洞的有效攻擊，即使沒(méi)有攻擊行為也能發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。對(duì)于最新爆發(fā)的0DAY漏洞，深信服云安全中心會(huì)第一時(shí)間收集漏洞信息并生成防護(hù)規(guī)則，并通過(guò)云中心快速的下發(fā)到NGAF設(shè)備上，避免黑客發(fā)起閃電戰(zhàn)。

深信服上網(wǎng)行為管理AC設(shè)備能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行精細(xì)化控制管理。AC設(shè)備具備專業(yè)的身份認(rèn)證功能，能夠針對(duì)用戶和用戶組實(shí)施不同的應(yīng)用控制和流量分配策略，AC支持本地認(rèn)證、外部認(rèn)證、短信認(rèn)證等多種方式；AC具備國(guó)內(nèi)最專業(yè)的應(yīng)用識(shí)別控制功能，全面的應(yīng)用識(shí)別幫助管理員掌控網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和用戶行為，從而有針對(duì)性的制定流控策略，保障核心業(yè)務(wù)應(yīng)用使用效果，AC能夠有效識(shí)控當(dāng)前網(wǎng)絡(luò)中各種主流應(yīng)用，包括1500多種應(yīng)用、3000多種規(guī)則，以及一些SSL加密應(yīng)用；AC提供了基于應(yīng)用、基于時(shí)間、多級(jí)父子通道、動(dòng)態(tài)流控、智能流控等多種流控手段，滿足企業(yè)制定周期性、靈活、合理、智能調(diào)整的帶寬使用方案，最大滿足業(yè)務(wù)對(duì)帶寬的需求，實(shí)現(xiàn)帶寬的最大價(jià)值。

深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠?yàn)槠髽I(yè)互聯(lián)網(wǎng)接入域提供多鏈路負(fù)載均衡解決方案。企業(yè)往往部署了多條互聯(lián)網(wǎng)鏈路，由于使用設(shè)置等問(wèn)題，往往有的鏈路一直處于繁忙狀態(tài)，而另外條鏈路卻處于閑置狀態(tài)，造成互聯(lián)網(wǎng)資源的浪費(fèi)和用戶的訪問(wèn)速度得不到保障。深信服 AD設(shè)備能夠進(jìn)行DNS請(qǐng)求轉(zhuǎn)發(fā)，通過(guò)深信服 AD尋找合適的DNS服務(wù)器返回給內(nèi)網(wǎng)電腦。利用鏈路繁忙控制、智能路由等技術(shù)，通過(guò)事先設(shè)定好負(fù)載算法，就能按照事先設(shè)定的鏈路利用策略將流量分配到不同的鏈路之上，實(shí)現(xiàn)多條鏈路負(fù)載運(yùn)行，保障了網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。

3.2.2     方案價(jià)值

相比傳統(tǒng)方案，NGAF提供全面的L2-L7威脅防護(hù)，實(shí)現(xiàn)了更加完整高效的網(wǎng)絡(luò)安全，并減少了故障節(jié)點(diǎn)；

單臺(tái)NGAF即可實(shí)現(xiàn)比過(guò)去多臺(tái)設(shè)備更好的防護(hù)效果，大大減少了設(shè)備購(gòu)買投資和運(yùn)維成本；

AC產(chǎn)品實(shí)現(xiàn)了更加細(xì)致精準(zhǔn)的應(yīng)用和帶寬控制，保障了正常業(yè)務(wù)帶寬需求，實(shí)現(xiàn)了帶寬高效利用，提升帶寬價(jià)值；

AD產(chǎn)品提供了精細(xì)智能的多鏈路負(fù)載均衡，滿足鏈路高效使用和自動(dòng)備份，實(shí)現(xiàn)了網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。

3.3 廣域網(wǎng)接入域安全方案

3.1.1 方案說(shuō)明

企業(yè)總部與子公司、辦事處之間的廣域網(wǎng)通道建設(shè)，能夠?qū)崿F(xiàn)多種資源信息的高效互通，而廣域網(wǎng)通道內(nèi)部傳輸?shù)臄?shù)據(jù)大多都是企業(yè)的重要信息資產(chǎn)，對(duì)保密性和實(shí)效性要求較高。通過(guò)部署深信服下一代防火墻、SSL VPN安全網(wǎng)關(guān)、廣域網(wǎng)優(yōu)化等安全產(chǎn)品，可以幫助企業(yè)打造高效、安全的廣域網(wǎng)絡(luò)通信系統(tǒng)。

企業(yè)采用專線或VPN方式建立廣域網(wǎng)通道，如圖所示，在企業(yè)總部和分支機(jī)構(gòu)部署NGAF、SSL VPN和WOC廣域網(wǎng)優(yōu)化等安全產(chǎn)品，可以實(shí)現(xiàn)分支和總部安全通信和網(wǎng)絡(luò)鏈路優(yōu)化，并滿足外出員工移動(dòng)辦公安全接入需求；廣域網(wǎng)各個(gè)節(jié)點(diǎn)的NGAF設(shè)備結(jié)合SC集中管理平臺(tái)和外置數(shù)據(jù)中心，能夠?qū)崿F(xiàn)廣域網(wǎng)全網(wǎng)各節(jié)點(diǎn)安全監(jiān)測(cè)和防護(hù)，使整個(gè)企業(yè)集團(tuán)全網(wǎng)安全狀況盡在掌握。

NGAF能夠識(shí)別和防御L2到L7的安全威脅，能檢測(cè)并防止病毒防、蠕蟲、木馬、漏洞、WEB應(yīng)用攻擊等安全威脅在廣域網(wǎng)內(nèi)部傳播，實(shí)現(xiàn)各分支機(jī)構(gòu)安全狀況實(shí)時(shí)上報(bào)監(jiān)控，及時(shí)了解全網(wǎng)安全動(dòng)態(tài)，安全日志統(tǒng)一管理、集中分析，快速加固防護(hù)薄弱點(diǎn)，優(yōu)化安全運(yùn)維，實(shí)現(xiàn)安全設(shè)備統(tǒng)一管理、集中特征更新與推送、安全策略快速同步，實(shí)現(xiàn)對(duì)廣域網(wǎng)各個(gè)節(jié)點(diǎn)一站式安全監(jiān)測(cè)和保護(hù)。

采用SSL VPN安全網(wǎng)關(guān)，可以對(duì)應(yīng)用進(jìn)行安全發(fā)布，避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險(xiǎn)。用戶在外需要進(jìn)行內(nèi)網(wǎng)接入時(shí)，可直接通過(guò)瀏覽器打開網(wǎng)頁(yè)完成SSL VPN登錄及安全隧道的建立，非常方便的實(shí)現(xiàn)網(wǎng)絡(luò)接入和數(shù)據(jù)安全保障。在系統(tǒng)安全加固方面，采用登錄SSL VPN身份驗(yàn)證、權(quán)限劃分、登錄應(yīng)用身份驗(yàn)證的主線進(jìn)行保障。SSL VPN接入認(rèn)證方式可采用用戶名密碼、USB KEY、短信認(rèn)證、動(dòng)態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合，多重組合軟硬結(jié)合確保接入身份的確定性。在用戶接入SSL VPN后進(jìn)行應(yīng)用訪問(wèn)權(quán)限的劃分對(duì)于享有訪問(wèn)權(quán)限的應(yīng)用系統(tǒng)采用主從賬號(hào)綁定SSL VPN登錄賬號(hào)和應(yīng)用系統(tǒng)賬號(hào)。用戶只可采用指定的賬號(hào)訪問(wèn)應(yīng)用系統(tǒng)。由于登錄SSL VPN的身份已通過(guò)多重認(rèn)證的確認(rèn)，而后又進(jìn)行指定應(yīng)用賬號(hào)訪問(wèn)，即可保障登錄應(yīng)用系統(tǒng)的人員的身份。對(duì)于已經(jīng)建立專線組網(wǎng)的分支，將應(yīng)用系統(tǒng)以SSL VPN資源的方式進(jìn)行，進(jìn)行專網(wǎng)內(nèi)權(quán)限劃分的同時(shí)實(shí)現(xiàn)統(tǒng)一應(yīng)用平臺(tái)的構(gòu)建。根據(jù)不同部門、不同應(yīng)用進(jìn)行對(duì)應(yīng)權(quán)限的開放/關(guān)閉，分支用戶登錄SSL VPN之后，在其資源列表界面將會(huì)顯示該用戶權(quán)限下可訪問(wèn)的應(yīng)用系統(tǒng)，用戶可直接點(diǎn)擊其上的鏈接進(jìn)行快速訪問(wèn)。同時(shí)，可針對(duì)這些應(yīng)用系統(tǒng)進(jìn)行單點(diǎn)登錄設(shè)置，點(diǎn)擊鏈接即可自動(dòng)通過(guò)應(yīng)用本身的認(rèn)證，可直接進(jìn)行操作。由于所有訪問(wèn)總部服務(wù)器區(qū)的數(shù)據(jù)都將經(jīng)由SSL VPN進(jìn)行轉(zhuǎn)發(fā)，對(duì)于用戶權(quán)限外的應(yīng)用，SSL VPN將自動(dòng)阻斷其連接，防止惡意盜鏈。并且SSL VPN設(shè)備對(duì)外只開放443端口，從而可屏蔽掉其他端口的攻擊。SSL VPN的數(shù)據(jù)流處理方式可隱藏內(nèi)網(wǎng)服務(wù)器區(qū)結(jié)構(gòu)，并對(duì)服務(wù)器訪問(wèn)的IP、域名進(jìn)行偽裝。SSL VPN在進(jìn)行用戶對(duì)服務(wù)器區(qū)發(fā)起的訪問(wèn)時(shí)，采用SSL VPN登錄認(rèn)證、細(xì)粒度應(yīng)用訪問(wèn)授權(quán)、傳輸數(shù)據(jù)加密，從數(shù)據(jù)安全的角度提供隔離保護(hù)。SSL VPN的EasyConnect還能幫助企業(yè)內(nèi)網(wǎng)部署的終端服務(wù)器將應(yīng)用程序界面用圖形的方式呈現(xiàn)于智能終端之上，在部署過(guò)程中，無(wú)需對(duì)現(xiàn)網(wǎng)結(jié)構(gòu)和應(yīng)用程序做任何改變，輕松實(shí)現(xiàn)跨平臺(tái)訪問(wèn)，解決企業(yè)用戶通過(guò)iPhone、Android等智能終端訪問(wèn)的問(wèn)題，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)快速遷移，同時(shí)保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)不落地，存儲(chǔ)在終端服務(wù)器。深信服SSL VPN網(wǎng)關(guān)提供專業(yè)的IPSec VPN功能，滿足企業(yè)建設(shè)IPSec VPN專網(wǎng)的需求，實(shí)現(xiàn)各區(qū)域安全互聯(lián)和數(shù)據(jù)加固的需求。

深信服廣域網(wǎng)優(yōu)化產(chǎn)品WOC提供了協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jī)?yōu)化等多種技術(shù)，能夠幫助用戶加快關(guān)鍵應(yīng)用的響應(yīng)速度，大幅提升專網(wǎng)的傳輸效率。專線內(nèi)存在大量的冗余數(shù)據(jù)傳輸，容易導(dǎo)致專網(wǎng)帶寬壓力過(guò)大。WOC產(chǎn)品采用動(dòng)態(tài)流壓縮、基于碼流特征數(shù)據(jù)優(yōu)化對(duì)專網(wǎng)中流量進(jìn)行大幅削減，降低帶寬負(fù)荷，實(shí)現(xiàn)帶寬增值。WOC還可以對(duì)ERP、郵件、FTP文件傳輸?shù)葢?yīng)用進(jìn)行優(yōu)化，減少數(shù)據(jù)交互，提升訪問(wèn)速度，提高工作效率。WOC通過(guò)快速重傳、選擇性重傳、改善擁塞機(jī)制、增大滑動(dòng)窗口大小等幾種技術(shù)手段對(duì)傳統(tǒng)的TCP傳輸協(xié)議做改進(jìn)，提高鏈路質(zhì)量和訪問(wèn)速度。WOC還能夠?qū)崟r(shí)感知專網(wǎng)流量分布情況，從而實(shí)現(xiàn)業(yè)務(wù)流量整形和不斷調(diào)優(yōu)。

3.3.2 方案價(jià)值

NGAF提供全面的L2-L7威脅防護(hù)，避免了各個(gè)節(jié)點(diǎn)的安全風(fēng)險(xiǎn)在廣域網(wǎng)通道傳播；

NGAF全網(wǎng)統(tǒng)一安全監(jiān)控和防護(hù)，實(shí)現(xiàn)了安全設(shè)備集中管理、安全日志集中收集、安全策略集中下發(fā)、安全事件統(tǒng)一運(yùn)維，快速提高整個(gè)廣域網(wǎng)全網(wǎng)的安全水平；

SSL VPN網(wǎng)關(guān)為企業(yè)提供了可靠的VPN組網(wǎng)、遠(yuǎn)程業(yè)務(wù)發(fā)布和員工遠(yuǎn)程接入需求，滿足了安全、快速、易用、可靠的廣域網(wǎng)互聯(lián)服務(wù)；

WOC產(chǎn)品通過(guò)流量削減和協(xié)議、應(yīng)用、鏈路質(zhì)量?jī)?yōu)化技術(shù)，即使鏈路質(zhì)量不佳情況下，也能保障核心業(yè)務(wù)穩(wěn)定運(yùn)行，實(shí)現(xiàn)帶寬增值；

3.4 外聯(lián)服務(wù)域安全方案

3.1.1 方案說(shuō)明

DMZ區(qū)域是企業(yè)的對(duì)外展示和對(duì)外業(yè)務(wù)的平臺(tái)，該區(qū)域的網(wǎng)絡(luò)安全和穩(wěn)定可靠關(guān)系著企業(yè)形象和品牌發(fā)展。針對(duì)該區(qū)域存在的網(wǎng)絡(luò)安全問(wèn)題，通過(guò)部署深信服下一代防火墻和應(yīng)用交付產(chǎn)品就可以完美解決。

深信服NGAF產(chǎn)品具備全面的二到七層安全功能，能一站式智能化解決DMZ區(qū)域的網(wǎng)絡(luò)安全問(wèn)題。通過(guò)啟用入侵防御、病毒防護(hù)、漏洞檢測(cè)保護(hù)等功能，可以實(shí)時(shí)發(fā)現(xiàn)DMZ區(qū)域業(yè)務(wù)系統(tǒng)存在的安全漏洞，實(shí)時(shí)防御來(lái)自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬等網(wǎng)絡(luò)攻擊，防止攻擊者對(duì)外聯(lián)服務(wù)網(wǎng)絡(luò)的掃描、入侵和破壞，保障系統(tǒng)數(shù)據(jù)安全和業(yè)務(wù)的持續(xù)運(yùn)行。NGAF具備專業(yè)的WEB應(yīng)用安全防護(hù)功能，有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測(cè)，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見(jiàn)的web攻擊，防止網(wǎng)站被黑客掃描攻擊，NGAF還支持隱藏的服務(wù)器響應(yīng)信息，如http出錯(cuò)頁(yè)面、響應(yīng)報(bào)頭、FTP信息等;NGAF還提供了網(wǎng)頁(yè)防篡改功能，能夠?qū)崟r(shí)檢測(cè)并攔截網(wǎng)頁(yè)篡改的信息并通知管理員確認(rèn)，同時(shí)對(duì)外提供篡改重定向功能，提供正常界面或備份服務(wù)器的重定向，保證用戶仍可正常訪問(wèn)網(wǎng)站；NGAF提供了敏感信息防泄漏功能，能夠?qū)崟r(shí)檢測(cè)并阻斷網(wǎng)站源代碼、用戶帳號(hào)信息、服務(wù)器重要配置文件等敏感信息被泄露，實(shí)時(shí)記錄泄漏行為，并通過(guò)郵件等方式報(bào)警；NGAF提供專業(yè)的DoS/DDoS攻擊防護(hù)功能，能快速識(shí)別并清洗異常訪問(wèn)行為，保障正常合法的業(yè)務(wù)不受影響。NGAF還提供了待處理問(wèn)題板塊，該板塊展示了NGAF監(jiān)測(cè)發(fā)現(xiàn)的安全問(wèn)題，包括各類風(fēng)險(xiǎn)的分類匯總及問(wèn)題的詳細(xì)描述，同時(shí)NGAF還提供了風(fēng)險(xiǎn)問(wèn)題解決方案，即使不懂安全，也能自助化快速運(yùn)維，打破了傳統(tǒng)安全設(shè)備風(fēng)險(xiǎn)日志看不懂、運(yùn)維管理無(wú)目標(biāo)等問(wèn)題。

深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠?yàn)槠髽I(yè)外聯(lián)服務(wù)域提供多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。AD產(chǎn)品的服務(wù)器負(fù)載均衡技術(shù)能夠?qū)⒑蠖硕嗯_(tái)真實(shí)服務(wù)器虛擬成一個(gè)服務(wù)，再通過(guò)AD設(shè)備轉(zhuǎn)發(fā)到后端服務(wù)器；當(dāng)用戶請(qǐng)求到達(dá)服務(wù)器區(qū)域的AD產(chǎn)品時(shí)，深信服AD通過(guò)全面的負(fù)載均衡算法以及目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，能夠選擇性能最佳的服務(wù)器來(lái)響應(yīng)用戶的請(qǐng)求，從而將用戶請(qǐng)求在多個(gè)服務(wù)器間動(dòng)態(tài)分配，充分利用所有的服務(wù)器資源，有效地避免“不平衡”現(xiàn)象的出現(xiàn)。

3.4.2 方案價(jià)值

NGAF提供了事前策略自檢、事中攻擊防護(hù)、事后防止篡改的整體Web保護(hù)，可以有效過(guò)濾掃描、入侵、破壞過(guò)程中的各種安全威脅；

NGAF涵蓋了L2-L7全面的安全功能，可以全面替代FW、IPS、WAF等設(shè)備，提供基于黑客攻擊過(guò)程的L2-L7層完整安全防護(hù)。

NGAF提供了比傳統(tǒng)更加全面的風(fēng)險(xiǎn)識(shí)別和可視化風(fēng)險(xiǎn)報(bào)表，并匯總需要處理的安全問(wèn)題和建議的解決方案，幫助企業(yè)快速自助安全運(yùn)維。

AD產(chǎn)品提供了高效專業(yè)的服務(wù)器和多鏈路負(fù)載均衡，滿足服務(wù)器響應(yīng)和網(wǎng)絡(luò)鏈路的高效使用，實(shí)現(xiàn)了對(duì)外服務(wù)和網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。

3.5 數(shù)據(jù)中心域安全方案

3.1.1 方案說(shuō)明

數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息，因此數(shù)據(jù)中心永遠(yuǎn)是最具吸引力的攻擊目標(biāo)，所以數(shù)據(jù)中心的安全建設(shè)顯得格外重要。通過(guò)部署深信服下一代防火墻、應(yīng)用交付等安全產(chǎn)品，可以幫助企業(yè)打造安全、可靠的數(shù)據(jù)中心網(wǎng)絡(luò)。

深信服NGAF給企業(yè)數(shù)據(jù)中心提供了一站式智能化的二到七層安全保護(hù)。通過(guò)啟用NGAF的防火墻、入侵防護(hù)、漏洞檢測(cè)、敏感信息防泄漏、DoS/DDoS攻擊防護(hù)、防病毒、防掃描、弱口令檢查、防僵尸網(wǎng)絡(luò)、web應(yīng)用攻擊保護(hù)、網(wǎng)站篡改保護(hù)等功能，可以實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)區(qū)域隔離，避免因業(yè)務(wù)系統(tǒng)漏洞導(dǎo)致的入侵，防范病毒、蠕蟲、僵尸網(wǎng)絡(luò)等威脅內(nèi)容在數(shù)據(jù)中心傳播，防止口令密碼被暴力破解，避免數(shù)據(jù)中心敏感信息被泄露，清洗數(shù)據(jù)中心異常流量，保護(hù)數(shù)據(jù)中心web應(yīng)用安全，保障數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)安全運(yùn)行。NGAF內(nèi)置了僵尸網(wǎng)絡(luò)識(shí)別庫(kù)，通過(guò)分析內(nèi)網(wǎng)終端的異常行為（如連接惡意主機(jī)或URL）等機(jī)制準(zhǔn)確識(shí)別被黑客控制的僵尸終端，進(jìn)一步切斷黑客的控制通道，并避免對(duì)外DoS攻擊的形成，防止利用僵尸終端作為跳板進(jìn)一步入侵。NGAF還內(nèi)置了灰度威脅樣本庫(kù)，通過(guò)多維歸并整理賦予每種威脅行為一個(gè)權(quán)值，NGAF計(jì)算用戶行為權(quán)值之和并對(duì)比威脅基線，從而能夠準(zhǔn)確判定威脅行為，對(duì)于無(wú)法確認(rèn)的可疑內(nèi)容，NGAF會(huì)實(shí)時(shí)上報(bào)到深信服云安全中心，由云中心執(zhí)行沙盒演練等方法進(jìn)行最終確認(rèn)，基于這些技術(shù)手段，NGAF能夠準(zhǔn)確識(shí)別并防御未知威脅和APT攻擊。此外，對(duì)于大型企業(yè)來(lái)說(shuō)，其數(shù)據(jù)中心內(nèi)部業(yè)務(wù)系統(tǒng)較多，安全防護(hù)需求各不相同，為了解決多樣化的安全防護(hù)需求，NGAF還提供了硬件一虛多技術(shù)，實(shí)現(xiàn)將單臺(tái)NGAF劃分為邏輯上完全獨(dú)立的多臺(tái)設(shè)備，滿足不同業(yè)務(wù)系統(tǒng)獨(dú)立保護(hù)的安全需求，提升資源利用效率，降低了部署運(yùn)營(yíng)成本。

深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠?yàn)槠髽I(yè)數(shù)據(jù)中心提供包括多數(shù)據(jù)中心負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。多數(shù)據(jù)中心負(fù)載均衡解決方案中，每個(gè)數(shù)據(jù)中心前端均部署AD設(shè)備，并以路由模式接入各個(gè)數(shù)據(jù)網(wǎng)絡(luò)之中，負(fù)責(zé)將用戶的DNS訪問(wèn)請(qǐng)求引導(dǎo)到最快的鏈路進(jìn)行訪問(wèn)站點(diǎn)；同時(shí)負(fù)責(zé)兩條線路的健康狀態(tài)的檢查，一旦檢測(cè)到線路的中斷，則停止相應(yīng)線路的地址解析。AD產(chǎn)品的服務(wù)器負(fù)載均衡技術(shù)能夠?qū)⒑蠖硕嗯_(tái)真實(shí)服務(wù)器虛擬成一個(gè)服務(wù)，并通過(guò)AD設(shè)備轉(zhuǎn)發(fā)到后端服務(wù)器；當(dāng)用戶請(qǐng)求到達(dá)服務(wù)器區(qū)域的AD產(chǎn)品時(shí)，深信服AD通過(guò)全面的負(fù)載均衡算法以及目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，能夠選擇性能最佳的服務(wù)器來(lái)響應(yīng)用戶的請(qǐng)求，從而將用戶請(qǐng)求在多個(gè)服務(wù)器間動(dòng)態(tài)分配，充分利用所有的服務(wù)器資源，有效地避免“不平衡”現(xiàn)象的出現(xiàn)。

此外，為了滿足虛擬化云環(huán)境下數(shù)據(jù)中心的安全需求，深信服還專門研發(fā)了虛擬化軟件下一代防火墻和應(yīng)用交付產(chǎn)品，能夠以虛機(jī)方式無(wú)縫集成到虛擬化平臺(tái)內(nèi)部，滿足虛擬化云計(jì)算場(chǎng)景全面、靈活、多維度的安全和可靠性需求。虛擬化軟件安全產(chǎn)品能夠快速部署于Vmware等Hypervisor之上，提供虛擬化云平臺(tái)內(nèi)部靈活的安全區(qū)域劃分、2到7層安全保護(hù)和智能快速的應(yīng)用交付解決方案

3.5.2 方案價(jià)值

NGAF涵蓋了L2-L7全面的安全功能，提供比FW、IPS、WAF更多的安全防護(hù)層級(jí)，全面滿足數(shù)據(jù)中心多維的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)；

NGAF通過(guò)多重的已知威脅識(shí)別、灰度威脅樣本庫(kù)、云端可疑威脅檢測(cè)等技術(shù)手段，有效識(shí)別和防范APT等高危威脅行為，確保數(shù)據(jù)中心的安全；

AD產(chǎn)品通過(guò)高效專業(yè)的服務(wù)器和多鏈路負(fù)載均衡，滿足服務(wù)器響應(yīng)和網(wǎng)絡(luò)鏈路的高效使用，實(shí)現(xiàn)了對(duì)外服務(wù)和網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。

對(duì)于有備份數(shù)據(jù)中心的企業(yè)來(lái)說(shuō)，AD還能提供了全局負(fù)載均衡功能，實(shí)現(xiàn)將用戶訪問(wèn)請(qǐng)求引導(dǎo)到最快最優(yōu)的數(shù)據(jù)中心進(jìn)行響應(yīng)，并實(shí)現(xiàn)鏈路故障的快速切換。

3.6 內(nèi)網(wǎng)辦公域安全方案

3.1.1 方案說(shuō)明

 “堡壘最容易從內(nèi)部攻破”，因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè)，對(duì)于企業(yè)整體網(wǎng)絡(luò)的安全保護(hù)意義重大。通過(guò)深信服NGAF、AC和企業(yè)級(jí)無(wú)線，以及第三方終端防病毒軟件，可以較為完善的解決內(nèi)網(wǎng)辦公區(qū)域的安全問(wèn)題。深信服上網(wǎng)行為管理AC產(chǎn)品能夠?qū)?nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行精細(xì)化識(shí)別和管控，深信服NGAF從網(wǎng)絡(luò)層面保障了辦公網(wǎng)絡(luò)的安全，終端防病毒軟件部署到辦公終端設(shè)備上，提供更加深度的安全保護(hù)，也是網(wǎng)關(guān)安全設(shè)備的有效補(bǔ)充，而深信服企業(yè)無(wú)線產(chǎn)品能夠?yàn)槠髽I(yè)客戶提供安全、快速、可靠的無(wú)線網(wǎng)絡(luò)，滿足企業(yè)無(wú)線辦公需求。

NGAF給企業(yè)辦公網(wǎng)絡(luò)構(gòu)建了立體的防護(hù)體系，防止內(nèi)部終端遭受各個(gè)層次的安全威脅。通過(guò)啟用入侵防御和防病毒等功能，NGAF提供了全面的虛擬補(bǔ)丁功能，有效防御各種攻擊和網(wǎng)絡(luò)蠕蟲病毒，保證辦公網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。NGAF內(nèi)置了僵尸網(wǎng)絡(luò)識(shí)別庫(kù)，通過(guò)分析內(nèi)網(wǎng)終端的異常行為（如連接惡意主機(jī)或URL）等機(jī)制準(zhǔn)確識(shí)別被黑客控制的僵尸終端，進(jìn)一步切斷黑客的控制通道，并避免對(duì)外DoS攻擊的形成，防止利用僵尸終端作為跳板進(jìn)一步入侵，鏟除APT攻擊的土壤。

AC設(shè)備具備專業(yè)的身份認(rèn)證功能，能夠針對(duì)用戶和用戶組實(shí)施不同的應(yīng)用控制和流量分配策略；AC內(nèi)置了國(guó)內(nèi)最全面的應(yīng)用識(shí)別庫(kù)，能精準(zhǔn)識(shí)別和控制內(nèi)部員工的上網(wǎng)行為，保障關(guān)鍵應(yīng)用，限制無(wú)關(guān)應(yīng)用，阻止非法應(yīng)用，避免員工在工作時(shí)間使用無(wú)關(guān)應(yīng)用影響工作、占用帶寬，提高企業(yè)帶寬的使用價(jià)值。

終端防病毒產(chǎn)品包括防病毒軟件和管理中心兩部分。通過(guò)在終端部署防病毒軟件，可以更加精準(zhǔn)的檢測(cè)終端設(shè)備潛藏的安全威脅，徹底清除病毒、蠕蟲、特洛伊木馬、間諜軟件、僵尸、零日攻擊等安全威脅。部署防病毒軟件管理中心，可以集中管理眾多防病毒軟件，實(shí)現(xiàn)軟件集中管理、集中更新、統(tǒng)一運(yùn)維。

深信服企業(yè)無(wú)線產(chǎn)品（包括無(wú)線AP和無(wú)線控制器NAC）能夠幫助企業(yè)客戶打造安全、快速、可運(yùn)營(yíng)的無(wú)線網(wǎng)絡(luò)。深信服企業(yè)無(wú)線提供了端到端的網(wǎng)絡(luò)協(xié)議棧加速、網(wǎng)絡(luò)優(yōu)化、終端和應(yīng)用識(shí)別及流控技術(shù)，能夠?yàn)槠髽I(yè)打造更快速、更穩(wěn)定的企業(yè)無(wú)線服務(wù)；深信服企業(yè)無(wú)線提供了便捷的安全管理和全面的安全防護(hù)，支持二維碼認(rèn)證、802.1X自動(dòng)配置、精細(xì)化角色授權(quán)管理等技術(shù)，為企業(yè)打造更安全、更便捷的無(wú)線網(wǎng)絡(luò)；深信服企業(yè)無(wú)線還內(nèi)置了信息推送中心，預(yù)留了企業(yè)微信公眾平臺(tái)對(duì)接模塊，全面滿足企業(yè)可運(yùn)營(yíng)化無(wú)線網(wǎng)絡(luò)。

3.6.2 方案價(jià)值

NGAF為企業(yè)辦公區(qū)域打造安全可靠的隔離區(qū)域，并提供二到七層的全面防護(hù)，保護(hù)內(nèi)部用戶免受非法侵入。

防病毒軟件能夠從終端層面更加全面精準(zhǔn)的檢測(cè)內(nèi)部終端的安全威脅，并徹底清除這些威脅，營(yíng)造干凈的辦公網(wǎng)絡(luò)。

AC設(shè)備提供了精準(zhǔn)智能的應(yīng)用和流量控制策略，保障關(guān)鍵業(yè)務(wù)應(yīng)用體驗(yàn)，避免無(wú)關(guān)應(yīng)用對(duì)帶寬的消耗，保障工作高效執(zhí)行。

深信服企業(yè)無(wú)線產(chǎn)品通過(guò)多種領(lǐng)先的技術(shù)手段幫助企業(yè)客戶打造安全、快速、穩(wěn)定、可運(yùn)營(yíng)的無(wú)線網(wǎng)絡(luò)。

3.7 運(yùn)維管理域安全方案

3.1.1 方案說(shuō)明

針對(duì)運(yùn)維區(qū)域存在的安全問(wèn)題，深信服推薦部署NGAF、集中管理設(shè)備SC和運(yùn)維審計(jì)產(chǎn)品，從而打造安全、可控、易運(yùn)維的運(yùn)維管理區(qū)域。

NGAF可以給運(yùn)維管理區(qū)打造安全隔離區(qū)，并基于嚴(yán)格的訪問(wèn)控制策略和身份認(rèn)證信息進(jìn)行區(qū)域網(wǎng)絡(luò)接入，同時(shí)NGAF還能夠防范病毒、僵尸、蠕蟲等威脅對(duì)運(yùn)維區(qū)的入侵和破壞，給運(yùn)維管理區(qū)打造一片安全的網(wǎng)絡(luò)環(huán)境。

運(yùn)維審計(jì)產(chǎn)品可以為IT人員對(duì)各種設(shè)備、系統(tǒng)的運(yùn)維操作提供統(tǒng)一的接入門戶，實(shí)現(xiàn)資源的統(tǒng)一接入、資源自動(dòng)登錄、運(yùn)維會(huì)話記錄、實(shí)時(shí)告警提示、實(shí)時(shí)設(shè)備監(jiān)控；運(yùn)維審計(jì)產(chǎn)品提供了強(qiáng)大的身份管理、靈活細(xì)粒度的授權(quán)、多維度的日志采集和詳細(xì)的審計(jì)分析能力，實(shí)現(xiàn)操作的有效監(jiān)管和審計(jì)。

深信服SC集中管理平臺(tái)能夠?qū)ι钚欧O(shè)備進(jìn)行集中管理。SC集中平臺(tái)可以統(tǒng)一查看各個(gè)設(shè)備的實(shí)時(shí)信息，包括最近事件，cpu、內(nèi)存、磁盤使用信息，設(shè)備版本信息等，并能進(jìn)行安全策略統(tǒng)一管理下發(fā)和軟件規(guī)則庫(kù)自動(dòng)升級(jí)管理。配合SC平臺(tái)的外置虛擬數(shù)據(jù)中心軟件，可以對(duì)這些設(shè)備的狀態(tài)信息、日志信息進(jìn)行集中收集和管理，并支持進(jìn)一步的分析查詢和詳細(xì)信息提取。

3.7.2 方案價(jià)值

基于二到七層的深度內(nèi)容可視和嚴(yán)格的訪問(wèn)控制、安全保護(hù)策略，NGAF為企業(yè)運(yùn)維區(qū)提供了最安全的隔離保護(hù)。

通過(guò)SC集中監(jiān)管平臺(tái)和外置數(shù)據(jù)中心，可以對(duì)全網(wǎng)安全設(shè)備進(jìn)行集中運(yùn)維和審計(jì)分析，提升運(yùn)維效率。

運(yùn)維審計(jì)產(chǎn)品實(shí)現(xiàn)了IT源的統(tǒng)一接入、集中監(jiān)控、統(tǒng)一運(yùn)維、集中審計(jì)，實(shí)現(xiàn)資源高效運(yùn)維和快速監(jiān)管。

第4章 深信服解決方案產(chǎn)品介紹

4.1 下一代防火墻NGAF介紹

4.2.1 下一代防火墻NGAF簡(jiǎn)介

深信服下一代防火墻（Next-Generation Application Firewall）NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用識(shí)別、訪問(wèn)控制、內(nèi)容安全防護(hù)等方面的不足，同時(shí)開啟所有功能后性能不會(huì)大幅下降。作為傳統(tǒng)防火墻的升級(jí)替代產(chǎn)品，深信服NGAF不同于工作在L2-L4層的傳統(tǒng)防火墻，可以對(duì)全網(wǎng)流量進(jìn)行雙向深入數(shù)據(jù)內(nèi)容層面的全面透析。在安全策略制定方面，區(qū)域別于傳統(tǒng)防火墻五元組安全策略，深信服NGAF可對(duì)L2-L7層更多的元素（如，用戶、應(yīng)用類型、URL、數(shù)據(jù)內(nèi)容等）制定雙向的安全訪問(wèn)策略，使安全策略更精細(xì)、更有效，且滿足業(yè)務(wù)的合規(guī)性；在安全防護(hù)能力方面，提升了傳統(tǒng)的抗攻擊的能力，不僅能防護(hù)網(wǎng)絡(luò)層的攻擊，針對(duì)來(lái)源更廣泛、攻擊更容易、危害更大的應(yīng)用層攻擊也可以進(jìn)行防護(hù)，實(shí)現(xiàn)L2-L7層的安全防護(hù)。同時(shí)，深信服NGAF采用全新的軟硬件架構(gòu)，減小在多種復(fù)雜的安全策略和L2-L7層多功能防護(hù)功能全部開啟時(shí)性能的消耗，實(shí)現(xiàn)應(yīng)用層高性能。

4.2.2 產(chǎn)品功能列表

4.4 安全網(wǎng)關(guān)SSL VPN介紹

4.4.1 SSL VPN簡(jiǎn)介

作為國(guó)家SSL VPN標(biāo)準(zhǔn)的核心制定者之一，深信服SSL VPN產(chǎn)品擁有業(yè)界最多的專利技術(shù)，是國(guó)內(nèi)業(yè)界應(yīng)用最廣泛、最完善的SSL安全訪問(wèn)解決方案。

據(jù)國(guó)際權(quán)威調(diào)查機(jī)構(gòu)FROST & SULLIVAN 2012年和2013年調(diào)查報(bào)告顯示，深信服SSL VPN分別以40.3%和39.8%的市場(chǎng)占有率獨(dú)占鰲頭。深信服SSL VPN大量大規(guī)模、高并發(fā)客戶案例為同行業(yè)之最，已連續(xù)六年保持國(guó)內(nèi)市場(chǎng)占有率第一。

4.4.2 產(chǎn)品功能列表

4.5 廣域網(wǎng)優(yōu)化WOC介紹

4.5.1 廣域網(wǎng)優(yōu)化產(chǎn)品簡(jiǎn)介

深信服2007年正式推出亞太地區(qū)首款廣域網(wǎng)優(yōu)化產(chǎn)品，也是業(yè)內(nèi)第一款集成應(yīng)用加速、流量削減、流量管理、加速VPN、應(yīng)用虛擬化等一體化的產(chǎn)品。推出至今通過(guò)持續(xù)創(chuàng)新，提升用戶體驗(yàn)，目前已發(fā)展為中國(guó)廣域網(wǎng)優(yōu)化市場(chǎng)的領(lǐng)導(dǎo)者。

深信服廣域網(wǎng)優(yōu)化產(chǎn)品為中國(guó)最完整的廣域網(wǎng)優(yōu)化解決方案，具有協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jī)?yōu)化等多種技術(shù)，能夠幫助用戶加快關(guān)鍵應(yīng)用的響應(yīng)速度，為用戶帶來(lái)更高的投資回報(bào)比，該產(chǎn)品在惡劣的網(wǎng)絡(luò)傳輸環(huán)境中的加速效果尤為明顯。

功能全面：深信服廣域網(wǎng)優(yōu)化產(chǎn)品擁有VPN、流量管理、流量削減、應(yīng)用加速、智能報(bào)表等多合一功能，幫助用戶提高廣域網(wǎng)帶寬資源的利用率。

價(jià)值最高：可大幅度提高關(guān)鍵業(yè)務(wù)系統(tǒng)的響應(yīng)速度；削減傳輸線路中60%～90%的冗余數(shù)據(jù)，緩解帶寬壓力；在高時(shí)延，高丟包的鏈路環(huán)境下?lián)碛懈@著的加速效果。

品牌首選：擁有7項(xiàng)專利技術(shù)；連續(xù)多年入圍Gartner WOC魔力象限和中央政府采購(gòu)名單；用戶數(shù)量超過(guò)2000 多家，囊括政府、金融、運(yùn)營(yíng)商、能源、教育、企業(yè)等各行業(yè)用戶。

4.5.2 產(chǎn)品功能列表

4.2 上網(wǎng)行為管理AC介紹

4.2.1 上網(wǎng)行為管理AC簡(jiǎn)介

2005年，深信服科技推出中國(guó)第一款專業(yè)上網(wǎng)行為管理產(chǎn)品，得益于深信服提供的專業(yè)上網(wǎng)行為管理技術(shù)和業(yè)界性能最強(qiáng)的處理平臺(tái)，該產(chǎn)品的用戶數(shù)量已達(dá)13000多家，其中超過(guò)5000家為中高端客戶。正是由于客戶的大力支持，深信服上網(wǎng)行為管理產(chǎn)品才能獲得市場(chǎng)占有率第一，成為業(yè)界第一品牌。

2011年底，深信服根據(jù)市場(chǎng)需求，及時(shí)推出了業(yè)內(nèi)真正高性能大并發(fā)的萬(wàn)兆性能上網(wǎng)行為管理設(shè)備。采用最新的高性能硬件平臺(tái)，獨(dú)立的內(nèi)存管理系統(tǒng)，高度網(wǎng)絡(luò)處理架構(gòu)及最新的全業(yè)務(wù)識(shí)別引擎，深信服萬(wàn)兆性能上網(wǎng)行為管理產(chǎn)品滿足大企業(yè)、運(yùn)營(yíng)商、高效等高帶寬行業(yè)客戶需求，全面助力高帶寬場(chǎng)景下的上網(wǎng)行為管控。

4.2.2 產(chǎn)品功能列表

4.3 應(yīng)用交付AD介紹

4.3.1 應(yīng)用交付AD簡(jiǎn)介

深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備，能夠?yàn)橛脩舻膽?yīng)用發(fā)布提供包括多數(shù)據(jù)中心負(fù)載均衡、多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。配合性能優(yōu)化、單邊加速以及多重智能管理等技術(shù)，實(shí)現(xiàn)對(duì)各個(gè)數(shù)據(jù)中心、鏈路以及服務(wù)器狀態(tài)的實(shí)時(shí)監(jiān)控，同時(shí)根據(jù)預(yù)設(shè)規(guī)則將用戶的訪問(wèn)請(qǐng)求分配給相應(yīng)的數(shù)據(jù)中心、鏈路以及服務(wù)器，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)流的合理分配，使所有的數(shù)據(jù)中心、鏈路和服務(wù)器都得到充分的利用。不僅擴(kuò)展應(yīng)用系統(tǒng)的整體處理能力，提高其穩(wěn)定性，更可切實(shí)改善用戶的訪問(wèn)體驗(yàn)，降低組織的IT投資成本。

多合一負(fù)載均衡

功能全面：深信服應(yīng)用交付解決方案包含全局負(fù)載均衡、多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡三位一體，幫助用戶提高多數(shù)據(jù)中心、多鏈路、服務(wù)器資源的利用率。

高性價(jià)比：深信服AD系列應(yīng)用交付產(chǎn)品打破國(guó)外廠商壟斷，在無(wú)需購(gòu)買額外授權(quán)的情況下，一臺(tái)設(shè)備具備了三大負(fù)載均衡功能，并直接開通SSL加速、緩存、壓縮等眾多優(yōu)化功能，獲得超出業(yè)界同類產(chǎn)品的投資回報(bào)。

快速、智能

單邊加速功能：獨(dú)一無(wú)二的單邊加速功能，用戶客戶端無(wú)需安裝任何插件或軟件即可提升訪問(wèn)速度。打造穩(wěn)定智能的業(yè)務(wù)發(fā)布平臺(tái)，使得用戶可以更快更穩(wěn)定地訪問(wèn)發(fā)布內(nèi)容。

商業(yè)智能分析：深信服AD應(yīng)用交付產(chǎn)品在保證數(shù)據(jù)交互穩(wěn)定性的前提下，不僅可以知悉組織網(wǎng)絡(luò)、服務(wù)器以及數(shù)據(jù)中心的運(yùn)行狀況，更可幫助組織分析自身的業(yè)務(wù)系統(tǒng)運(yùn)行狀況，進(jìn)而為高層的網(wǎng)絡(luò)優(yōu)化和業(yè)務(wù)優(yōu)化提供決策依據(jù)。

智能優(yōu)化技術(shù)：DNS透明代理、鏈路/服務(wù)器擁塞繁忙保護(hù)、智能路由、短信/郵件智能告警技術(shù)進(jìn)一步提升各類資源的利用率，增強(qiáng)用戶的訪問(wèn)體驗(yàn)。

4.3.2 產(chǎn)品功能列表

4.6 集中管理平臺(tái)SC介紹

4.6.1 集中管理平臺(tái)簡(jiǎn)介

隨著信息化建設(shè)的不斷擴(kuò)張，面對(duì)設(shè)備數(shù)量較多、地域分布廣的網(wǎng)絡(luò)部署，如何高效、快速的對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行全面管理，成為系統(tǒng)管理人員首要考慮的問(wèn)題。

深信服推出了集中管理平臺(tái)SC產(chǎn)品，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的上網(wǎng)行為管理產(chǎn)品和VPN產(chǎn)品進(jìn)行集中式統(tǒng)一的管理，管理人員只需簡(jiǎn)單幾步的操作即可對(duì)分布各地的網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控、策略下發(fā)、日志查詢和升級(jí)維護(hù)等。集中管理平臺(tái)支持強(qiáng)、弱管理結(jié)合，分支機(jī)構(gòu)能夠在總部下發(fā)的策略配置模板中，根據(jù)實(shí)際情況進(jìn)行細(xì)微調(diào)整，貼合管理需求。通過(guò)部署深信服集中管理平臺(tái)，能夠有效提高網(wǎng)絡(luò)管理效率，降低管理成本，減輕管理員負(fù)擔(dān)。

4.6.2 產(chǎn)品功能列表

4.7 WLAN產(chǎn)品介紹

4.7.1 WLAN產(chǎn)品簡(jiǎn)介

深信服萬(wàn)兆系列無(wú)線控制器是深信服自主研發(fā)的集中管理無(wú)線接入點(diǎn)的控制設(shè)備，集防火墻，用戶認(rèn)證服務(wù)器，證書頒發(fā)中心，無(wú)線射頻管理軟于一體。具有多元化的認(rèn)證方式，精細(xì)化的用戶管理，協(xié)議優(yōu)化，射頻優(yōu)化，二三層漫游，靈活的Q0S控制，本地轉(zhuǎn)發(fā)、應(yīng)用識(shí)別管控等功能。能夠減少企業(yè)部署復(fù)雜度，降低企業(yè)部署成本，為客戶打造安全、快速、可運(yùn)營(yíng)的無(wú)線網(wǎng)絡(luò)。

配合深信服無(wú)線AP系列，定位于大型WLAN接入業(yè)務(wù)，如：企業(yè)、商超連鎖、校園、酒店、醫(yī)院等高速的wifi應(yīng)用場(chǎng)景。

更安全

?  更全面的安全

n  端到端防護(hù)，全面保障無(wú)線業(yè)務(wù)安全

除了數(shù)據(jù)加密、身份認(rèn)證、攻擊防護(hù)等傳統(tǒng)安全措施以外，額外提供精細(xì)化授權(quán)、企業(yè)級(jí)防火墻與內(nèi)置CA等高級(jí)安全特性，構(gòu)建端到端的無(wú)線安全架構(gòu)。

n  更安全的專業(yè)模塊

無(wú)需額外搭建CA證書服務(wù)器，內(nèi)置CA快速構(gòu)建更可靠的無(wú)線安全認(rèn)證體系；

內(nèi)置企業(yè)級(jí)防火墻。

n  更精細(xì)的認(rèn)證與授權(quán)

支持預(yù)共享密鑰、portal、802.1x、CA證書、短信、微信、二維碼等多種用戶認(rèn)證機(jī)制；

支持基于用戶身份、終端類型、地理位置、時(shí)間等不同使用環(huán)境的訪問(wèn)許可和流量策略。

n  全面的終端識(shí)別、應(yīng)用識(shí)別、URL識(shí)別

基于接入終端類型、操作系統(tǒng)的精細(xì)化識(shí)別，并作相應(yīng)控制。

能精確識(shí)別無(wú)線流量屬于具體的什么應(yīng)用，設(shè)備內(nèi)置應(yīng)用識(shí)別規(guī)則庫(kù)，支持超過(guò)1500種以上的應(yīng)用，并保持每?jī)蓚€(gè)星期更新一次，保證應(yīng)用識(shí)別的準(zhǔn)確率，

設(shè)備內(nèi)置海量預(yù)分類的URL地址庫(kù)，支持根據(jù)URL類別實(shí)現(xiàn)URL控制。有效的豐富了無(wú)線網(wǎng)絡(luò)應(yīng)用層的管理。

?  更便捷的安全

n  802.1X認(rèn)證一鍵配置

無(wú)需依賴IT人員的協(xié)助，用戶通過(guò)web界面下載安全配置工具，一鍵即能完成802.1x的自動(dòng)配置，簡(jiǎn)單便捷的加入到企業(yè)安全架構(gòu)中。

n  用戶和終端自動(dòng)綁定

可實(shí)現(xiàn)用戶首次登錄時(shí)，系統(tǒng)自動(dòng)完成賬號(hào)與終端MAC綁定，無(wú)需管理員參與，實(shí)現(xiàn)“人-機(jī)”唯一對(duì)應(yīng)。同時(shí)，針對(duì)用戶擁有多種終端的情況，可實(shí)現(xiàn)用戶與多終端綁定關(guān)系，防止越權(quán)訪問(wèn)，加強(qiáng)安全性。

?  訪客管理便捷

n  二維碼訪客認(rèn)證—助企業(yè)提升品牌形象

內(nèi)置二維碼認(rèn)證模塊，訪客連接WiFi后，內(nèi)網(wǎng)系統(tǒng)向訪客終端自動(dòng)推送二維碼，內(nèi)部接待員工掃一掃，系統(tǒng)通過(guò)認(rèn)證返回提示，只需簡(jiǎn)單2步即可完成認(rèn)證過(guò)程。

更快速  

?  協(xié)議棧加速

針對(duì)協(xié)議棧加速，提升傳輸效率。針對(duì)干擾的無(wú)線網(wǎng)絡(luò)環(huán)境下，無(wú)線網(wǎng)絡(luò)速度提升2到8倍，解決無(wú)線網(wǎng)絡(luò)由于干擾導(dǎo)致的無(wú)線傳輸速率低、丟包等網(wǎng)絡(luò)質(zhì)量問(wèn)題。同時(shí)，客戶端無(wú)需安裝任何插件，對(duì)用戶側(cè)透明。

?  智能射頻優(yōu)化

當(dāng)部署的AP功率太大會(huì)干擾到周圍的其他無(wú)線設(shè)備，同時(shí)浪費(fèi)電能和增加輻射；但是AP功率太小，無(wú)法滿足覆蓋要求。由于無(wú)線射頻環(huán)境是動(dòng)態(tài)變化的，所以深信服千兆系列無(wú)線控制器能夠?qū)P實(shí)現(xiàn)射頻智能功率調(diào)整，改善射頻環(huán)境。同時(shí)，也能夠?qū)ぷ餍诺肋M(jìn)行調(diào)整，有效的避開干擾信道。

?  智能負(fù)載均衡

能夠根據(jù)AP當(dāng)前的負(fù)載情況及其他條件（如：流量、接入人數(shù)、頻段等），控制終端的接入，達(dá)到無(wú)線網(wǎng)絡(luò)負(fù)載均衡，提高網(wǎng)絡(luò)吞吐量和服務(wù)質(zhì)量的目的。終端請(qǐng)求接入某個(gè)AP，無(wú)線控制器根據(jù)該AP與鄰居AP的負(fù)載，決定是否允許新的客戶端接入，終端可自動(dòng)連接其他空閑AP，達(dá)到負(fù)載分擔(dān)的效果。

?  平均帶寬分配

由于所有終端搶到的空口機(jī)會(huì)差不多相等，高速率終端每次快速發(fā)完自己的數(shù)據(jù)后都要等待低速終端慢騰騰的發(fā)完它的數(shù)據(jù)，所以，高速率終端的性能基本上與低速率終端的性能是一樣的，顯然，整體的性能也被大幅拉了下來(lái)。所以，當(dāng)環(huán)境中存在低速率用戶時(shí)，需降低其對(duì)整體性能的影響。因此深信服無(wú)線控制器支持用戶平均分配帶寬，根據(jù)時(shí)間公平算法，防止單個(gè)用戶拉低網(wǎng)絡(luò)整體速度。

可運(yùn)營(yíng)

?  大屏顯示

內(nèi)置大屏顯示功能，能夠顯示實(shí)時(shí)狀態(tài)，每個(gè)AP位置、接入用戶數(shù)，接入用戶的用戶名。

?  智能頁(yè)面推送

能夠自定義頁(yè)面推送，可以基于SSID，AP，用戶組去推送不同的頁(yè)面。并且也能夠?qū)崿F(xiàn)認(rèn)證前推送以及認(rèn)證后推送。并且終端自適應(yīng)技術(shù)能夠保障終端頁(yè)面自適應(yīng)，提高了用戶體驗(yàn)。

?  短信認(rèn)證—內(nèi)置廣告推送中心，實(shí)現(xiàn)定向營(yíng)銷

內(nèi)置短信認(rèn)證模塊, 終端連接WiFi后，通過(guò)接收短信獲取驗(yàn)證碼，快速認(rèn)證，方便快捷。同時(shí)，用戶通過(guò)短信認(rèn)證上網(wǎng)，支持手機(jī)號(hào)采集與導(dǎo)出，為商業(yè)營(yíng)銷及分析提供依據(jù)；在用戶接入無(wú)線網(wǎng)絡(luò)時(shí)，根據(jù)用戶名、用戶組、位置的區(qū)別進(jìn)行個(gè)性化通知和廣告推送；支持WiFi在線時(shí)長(zhǎng)管理，促進(jìn)用戶互動(dòng)，同時(shí)防止蹭網(wǎng)、長(zhǎng)時(shí)間在線等方式造成資源耗用

?  微信認(rèn)證—為企業(yè)微信公眾賬號(hào)加油

內(nèi)置微信認(rèn)證模塊，通過(guò)獨(dú)有的應(yīng)用識(shí)別進(jìn)行微信識(shí)別，認(rèn)證前放通微信流量，待訪客終端關(guān)注某官方微信過(guò)后，通過(guò)微信進(jìn)行認(rèn)證上網(wǎng)。并且后期可以通過(guò)此微信推送廣告，達(dá)到良好的營(yíng)銷效果。

4.7.2 產(chǎn)品功能列表