内网终端互联网接入：

　　1)浏览器、OS、Flash漏洞多，上网容易感染病毒、木马，窃取隐私

　　2)合理控制服务器外联权限，封堵黑客远程控制终端，将内网终端作为跳板，入侵服务器

　　3)用户权限多样，安全策略配置复杂

▲互联网边界安全方案拓扑

　　通过在互联网接入路由器后部署深信服NGAF，网上交易系统部署在DMZ区，可以实现对内网终端和对外业务发布系统的双重防护

　　对外业务发布系统防护：

　　1)防止黑客入侵，获取权限，窃取数据：通过NGAF的漏洞防护、服务器防护、病毒防护等多种应用内容防护功能，防止黑客入侵，保证服务器稳定运行;

　　2)精确控制服务器外联权限：通过NGAF精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量;

　　3)简化组网、降低延时： NGAF具备L2-L7一体化安全防护功能，可以简化组网，减少故障点;通过单次解析引擎减低延时;

　　内部终端安全防护：

　　1)全面防护，标本兼治：通过NGAF的恶意网站过滤功能，防止终端访问威胁网站和应用;通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段;

　　2)精确识别，防止非法外联：通过NGAF精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量，防止终端被作为跳板入侵服务器

　　3)一体化部署，配置简单： NGAF具备L2-L7一体化安全防护功能，可以简化组网，简便管理，提高性价比