广域网边界安全隔离与防护

　　对于广域网边界安全防护需要从如下几个方面着重考虑：

　　1)人员多，应用杂：如何制定有效的ACL，ACL是基于IP和端口的，这样的机器语言无法直观、清晰的制定访问控制策略，容易出现错配、漏配;

　　2)传统FW缺乏应用层威胁防护，病毒木马在分支机构和总部间传播速度快

　　3)病毒木马占用广域网有限带宽，影响关键业务的传输

　　4)分支数量多，IT管理水平层次不齐，设备多，成本高，组网杂，维护难

▲广域网边界安全防护方案拓扑

　　通过在核心交换机与核心路由器之间部署深信服NGAF，可以帮助我们实现如下安全目标：

　　1)面向用户、应用的安全访问：将访问控制权限精确到用户与业务系统，有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂

　　2)广域网垃圾流量清洗：通过NGAF智能的内容安全过滤功能，将病毒、木马、蠕虫、DDoS等各种垃圾流量清除，确保带宽纯净，防止病毒扩散

　　3)一体化部署，简化组网： NGAF具备L2-L7一体化安全防护功能，可以简化组网，简便管理，提高性价比;

　　互联网出口边界防护

　　由于互联网边界实现了对外业务发布系统和内网终端的互联网接入，因此需要从如下几个方面着重考虑：

　　对外业务系统发布：

　　1)网站被挂马、数据遭篡改，企业/单位形象受损，造成经济损失，带来负面影响

　　2)合理控制服务器外联权限，封堵黑客远程控制，上传病毒、木马;

　　3)响应速度要求快，系统稳定性要求高，需要简化组网，降低延时，减少单点故障;