用戶感言

部署深信服下一代應用防火墻加固了我們內部網絡的安全性，解決了傳統防火墻不能滿足的SQL注入、DDOS攻擊、網頁篡改、Web防護等安全性問題，對我們的網站服務器和內網用戶上網所產生的安全威脅實現了全面有效的安全防護。方案具有針對性，設備運行穩定，性能表現良好。

——某省財政廳

應用背景

省財政廳門戶網站承擔著“宣傳經濟發展、對外交流、公開信息”等重要功能，是服務于和諧社會的窗口。一旦受到黑客攻擊，不僅影響網站的正常工作，同時還降低網站的公信力，嚴重的情況下會導致重要信息的泄密，危及政府和企業形象。

面對現階段越來越嚴重的網絡安全威脅，該省財政廳進行了深入的檢測和評估，包括抗DDOS等攻擊的防護設備、網站的防篡改、服務器的漏洞檢測和防范、應急預案等等。發現的各種內容安全威脅主要有：漏洞利用、拒絕服務攻擊和分布式拒絕服務攻擊、零時差攻擊、間諜軟件、協議異常和違規檢測、偵測和掃描、Web入侵、病毒木馬等。針對以上問題如采用軟件的方式解決，其性能依存于服務器的性能、操作系統的穩定性和安全性、本身軟件的穩定性等，制約其功能發揮的因素很多，同時要對流量進行全面的七層分析和清洗，服務器的CPU和內存要求特別高，軟件的性能發揮出現瓶頸。

深信服解決之道

安全防護提升拓撲圖

通過在互聯網接入路由器后面部署一臺深信服NGAF-2020，開啟IPS、AV功能授權，可以實現對內網終端和對外業務發布系統的雙重防護：

對外業務發布系統防護：

1）防止黑客入侵，獲取權限，竊取數據：通過NGAF的漏洞防護、服務器防護、病毒防護等多種應用內容防護功能，防止黑客入侵，保證服務器穩定運行；

2）精確控制服務器外聯權限：通過NGAF精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯流量，阻斷各種無關非法外聯流量；

3）簡化組網、降低延時：NGAF具備L2-L7一體化安全防護功能，可以簡化組網，減少故障點，通過單次解析引擎減低延時；

內部終端安全防護：

1）全面防護，標本兼治：通過NGAF的惡意網站過濾功能，防止終端訪問威脅網站和應用；通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術手段；

2）垃圾流量清洗：通過NGAF智能的內容安全過濾功能，將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除，確保帶寬純凈，防止病毒擴散

3）精確識別，防止非法外聯：通過NGAF精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯流量，阻斷各種無關非法外聯流量，防止終端被作為跳板入侵服務器

4）一體化部署，配置簡單：NGAF具備L2-L7一體化安全防護功能，可以簡化組網，簡便管理，提高性價比；

應用效果

通過深信服下一代應用防火墻在互聯網出口的部署，不僅為該省財政廳互聯網出口7層的流量進行了有效的清洗，同時為信息中心門戶提供了有利的安全保障，從最優投資的角度減少了多余安全設備的投資。