运营商信息化整体解决方案

运营商信息化解决方案运营商事业部

目录Contents深信服在运营商信息化深信服运营商信息化解决方案1234运营商互联网边界安全解决方案运营商信息化终端安全接入解决方案5运营商信息化应用系统安全及优化解决方案运营商信息化安全感知平台运营商信息化IT系统私有云及云安全解决方案深信服公司简介1、上网行为管理2、下一代防火墙3、统一接入平台4、数据库审计5、移动终端管理6、等级保护产品1、应用交付2、桌面虚拟化3、超融合架构4、私有云安全公有云1、云安全2、云灾备3、超融合架构4、私有云安全企业移动化办公专家-口袋助理企业级无线物联网-信锐科技深信服公司简介2660万成立4.2亿16亿2000年2005年2010年2015年100亿2020年百亿目标荣誉CMMI5国际认证第一批国家高新技术企业

连续六年获得“深圳市重点软件企业”

连续五年被评为“国家规划布局内重点软件企业”

连续八届获得“亚太地区德勤高科技高成长500强”

连续两届获得《财富》杂志评选的“中国卓越雇主奖”

海外分支机构：美国、英国、香港、新加坡、马来西亚、印度尼西亚、泰国分支机构：55个、员工超过3000人深信服公司简介硅谷北京深圳研发中心：深信服运营商信息化与集采应用交付

连续四年入围中国电信四七层交换机产品集采

连续三年中国联通负载均衡产品采集测试通过

连续三年中国移动负载均衡产品采集测试通过下一代防火墙中国电信连续三年WAF集采入围中国移动连续两年WAF采集，16年即将中标上网行为管理

中标中国联通内网上网行为审计并应用23省份

中国移动研究院测试排名第一并获25省份应用VPN

中国移动15年首次VPN集采入围，获大规模应用信息安全主流供应商上网行为审计应用于23省份，通过接口帮助

集团实现了策略与日志的全网统一管理；VPN统一接入平台应用于联通集团实现内网跨域访问与

外网访问的统一接入管理并在集团及18省获应用

参与IPS、WAF、IDS等内网安全项目，并在16等省份获

应用上网行为管理应用于集团及25省份；VPN与亚信联创、神州泰岳、亿阳信通4A系统深度定

制，实现4A系统的安全接入并获规模应用；VPN在四川、云南、贵州等24个省份实现移动办公、BOSS接入、4A接入、代维接入的全网应用，部分省份应用规模达5万用户信息安全主流供应商

在集团、福建、广西、湖南等19多省份MSS/BSS系

统VPN接入达到上万并发用户规模；应用交付应用在WAP网关、网上营业厅、各类增值

业务系统与办公信息化系统等场景；

下一代防火墙应用在云资源池、互联星空、网上营

业厅、各类增值业务系统与办公信息化系统等场景广电网络及二级运营商虚拟运营商

为20余省/市广电网络及二级运营商客户提供等级

保护安全安全评估服务、安全加固规划与解决方案；

在江苏等16省份实现应用交付在广电网络云媒体电视

平台的规模应用；

为12个虚拟运营商提供安全与优化解决方案

目录Contents深信服在运营商信息化深信服运营商信息化解决方案1234运营商互联网边界安全解决方案运营商信息化终端安全接入解决方案5运营商信息化应用系统安全及优化解决方案运营商信息化安全感知平台运营商信息化IT系统虚拟化及安全解决方案运营商信息化IT殊途同归的IT基础设施架构管

网络端

终端/用户云应用/数据中心智能终端智能设备大数据云计算互联网接入生产业务：BOSS&CRM区、BASS、电子渠道、能力开放平台生产运营：BOMC区、4A区、SMP大数据平台外部网络接入内部网络接入维护终端、测试终端、第三方终端办公终端云终端运营商信息化需求分析远程用户内网用户平台丰富单点登录远程应用发布SSL终端数据加密终端安全管控用户终端业务交付外部用户单边加速应用优化终端安全权限控制病毒检测防外联进程检测桌面虚拟化对外发布内部业务服务器性能优化可视化应用管控

核心业务系统安全SSL数据加密漏洞扫描应用安全云计算集中云化部署动态分配资源数据防泄密云平台安全虚机防逃逸云安全扫描桌面虚拟化数据中心业务交付链路负载均衡全局负载均衡灰度威胁识别网页防篡改WEB安全风险网络接入业务交付外部网络接入内部网络接入网络边界安全认证鉴权越权访问多种认证方式主从账号绑定国密算法

安全域划分互联网接入行为管理与审计恶意扫描入侵和攻击快速、安全WLAN边界安全

云应用/数据中心信息化私有云平台

信息化业平台务安全服务器虚拟化存储虚拟化管理平台云安全云负载云接入云桌面端

终端/用户管

网络

网络安全及优化服务

安全、快速的WIFI网络云桌面终端统一安全接入平台EMM深信服在信息化云管端架构下的产品映射高端万兆AD/数据库审计/等万兆IPS/WAF/AF/VPN核心路由/交换安全区域省公司地市公司办公区域代理商营业厅桌面终端员工合作方代维人员桌面终端第三方用户(外协人员等)省公司办公区域外网内网内网市公司无线办公区域有线接入WLAN接入3G/4G接入跨运营商接入无线办公区域Internet合作伙伴

(银行、SP等)运营商其他网络BSS系统MSS系统OSS系统融合InternetVPN接入/WAF/传统安全防护互联网

边界安全互联网

边界审计WiFi安全安全接入平台互联网边界安全负载均衡运营商信息化整体解决方案

虚拟化及平台安全智能安全服务运营商信息化解决方案12354运营商互联网边界安全解决方案运营商信息化终端安全接入解决方案运营商信息化应用系统安全及优化解决方案运营商信息化安全感知平台运营商信息化IT系统云计算安全解决方案运营商信息化终端接入平台方案部署核心路由/交换安全区域省公司地市公司办公区域代理商营业厅网管中心客服中心办公人员云终端员工合作方第三方用户(外协人员等)省公司办公区域外网内网内网市公司无线办公区域有线接入WLAN接入3G/4G接入跨运营商接入无线办公区域Internet合作伙伴

(银行、SP等)运营商其他网络BSS系统MSS系统OSS系统Internet应用系统安全接入平台桌面虚拟化远程终端安全接入SSLVPN方案快速动态压缩技术HTP技术多线路复用技术安全多种组合认证方式多种加密传输算法VPN专线技术零痕迹访问功能易用

单点登录默认页面服务

完全页面定制完善权限划分远程安全接入EC解决方案架构简单-采用深信服SSLVPN设备和高性能服务器（群）搭建应用发布-将指定的应用程序如BOSS，BASS，OA，Mail等系统以虚拟图像发布到各种终端，数据不落地终端支持-支持windows、iOS和Android等各类终端BOSS，BASS，OA等系统虚拟终端服务器群SSLVPN(远程应用发布模块)应用程序窗口发布（截屏信息）屏幕刷新、键盘敲击、鼠标移动移动办公人员PC、移动终端跨平台快速部署数据集中管理安全性高虚拟图像发布速度快兼容性好移动互联网远程安全接入方案EasyAPP移动应用如BOSS等系统服务器深信服SSL

VPN互联网Android平台Windows平台深信服客户端（EasyConnect）VPN隧道SDKSDKSDK认证加密APP客户端SDK集成方案：支持客户自主研发的IOS、安卓APP客户端安全的接入企业内部应用服务器iOS平台终端安全接入解决方案定通过高强度的身份认证，确立接入用户身份，验证其合法性管基于用户，用户组，角色，组织层级的不同，为用户分配不同的访问策略和访问权限记记录每一个用户的访问行为，制止和告警高危操作用户访问日志日志日志安全支持日志分级分权限管理支持第三方独立数据中心用户访问日志风险日志记录核心配置篡改、设备暴破攻击记录非法用户行为流量带宽趋势日志支持统计用户访问流量、带宽趋势日志。系统信息日志提供了调试、信息、告警、错误四个级别的运行日志用户名、用户组、主机IP、资源IP、行为、时间、认证方式端到端的应用接入安全深信服SSLVPN解决方案身份认证多种方式确定用户唯一身份组合认证安全性赶超网银结合企业现有认证体系支持单点登录从用户访问到事后审计，提供端到端安全防护终端检查客户端安全检查客户端零痕迹SSL专线功能智能超时控制防中间人攻击应用发布发布虚拟应用到任意终端跨平台同步/分享文档文件支持虚拟应用调用本地摄像头，打印机等传输加密完全满足国家GM/T国家标准公安部、国家密码管理局检测通过服务器防护用户、组、角色多维度授权主从账号绑定服务器地址伪装应用地址隐藏日志记录支持外置数据中心支持多种日志格式详细记录用户接入访问过程运营商桌面云应用领域需求运维监控呼叫中心……研发中心营业厅OA办公桌面云坐席需要安装软件终端，运维工作两大业务扩展快，传统PC无法做到快速部署上线接入办公网/生产网/互联网容易导致网络安全风险坐席终端多，需要绿色节能厂家、第三方人员、维护人员……PC\智能移动终端\专用终端认证鉴权，安全隔离厂家、第三方人员、维护人员……PC\智能移动终端\专用终端认证鉴权，安全隔离自营营业厅，代办点MDCN/互联网接入；计费、打印机、扫描仪、等多外设生产数据防泄密系统部署、软件更新需逐台处理，耗费大量时间和精力运营商信息化桌面云需求分析成本高、效率低安全威胁终端设备资源利用率低灵活的访问和使用更易于数据的备份需求挑战目标运用桌面虚拟化技术，与传统桌面管理结合，全面解决办公桌面问题更方便地集中管理设备、数据盗用病毒/恶意软件人为泄露业务连续性难以保证IE配置被用户擅自修改、OA控件损坏、Office软件版本问题外网办公速度慢、用户体验差更易于数据的安全更稳定可靠降低耗电、节能减排呼叫中心场景方案设计呼叫坐席呼叫坐席城域网Inetrnet居家客服桌面云超融合平台VMVMVMVMVMVM呼叫中心桌面云虚拟桌面控制器VDCCRM系统OA系统语音系统VPN运维监控桌面云设计方案BSS/OSS/MSS/MDCN核心应用客户端应用桌面云超融合平台VMVMVMVMVMVM专有桌面（职工）VMVMVMVMVMVM池化桌面（第三方）登录/认证桌面图像、指令等数据（数据不落地）虚拟桌面控制器VDC外出故障处理（社区、街道、企业等）用户/终端准入控制VPN运营商员工终端第三方运维（流动性大）桌面云超融合平台VMVMVMVMVMVM营业厅桌面云计费系统客户系统BSS系统城域网Inetrnet互联网虚拟桌面控制器VDCVPN自营营业厅营业厅方案设计备注：外设兼容性好（零总线外设映射）、终端和虚拟机绑定（硬件特征码）、数据导出控制（外设黑白名单）、能够兼容营业厅各种终端桌面云应用介绍-产品技术架构用户端数据中心端STD-100云平台aSV

For

aDeskaSAN

For

aDesk服务器/存储虚拟化系统平台资源管理策略管理桌面管理用户管理统一管理平台硬件管理云桌面接入控制系统平台（VDC）硬件VDC软件VDC独享桌面/共享桌面/虚拟应用深信服一站式解决方案，融合优化，确保卓越体验与性能。硬件桌面云一体机STD-200HSTD-500云终端桌面云应用介绍-产品功能项目功能名称项目功能名称项目功能名称项目功能名称终端设备与操作系统支持终端支持安全策略认证方式支持桌面会话管理多会话管理瘦终端管理VDC统一管控操作系统支持密码管理连接远程诊断瘦终端ROM管理外设支持USB总线映射单点登录会话查询瘦终端信息管理虚拟打印深信服AC联动自动重连虚拟桌面管控音频映射流量加密会话资源管理外设管理软件安装权限设置桌面交付协议SRAP高速传输协议客户端安全检查单向传输维护模式多媒体重定向技术应用程序白名单VMS管理配置VMS管理一体机化关机360浏览器闪存盘基于策略的访问控制状态查询配置锁定虚拟桌面类型独享桌面服务端访问控制虚拟桌面资源管理桌面命名规则自动登录共享桌面个人盘加密桌面资源管理平台运维管理分级管理远程应用用户身份安全硬件特征码认证容量管理配置文件自动备份VDC部署模式部署模式USBKEY认证桌面资源关联管理VMS管理日志查询网关部署短信认证桌面资源分配SNMP支持单臂部署LDAP桌面资源状态查询syslog支持混合集群RADIUS虚拟机实例管理虚拟机管理VDS部署向导式部署非对称集群CA批量管理集群部署接入选项客户端接入第三方数据库结合分组管理虚拟存储VDIClient桌面管理模式模板克隆管理员操作数据管理数据平衡存储方案混合IO存储还原模式虚拟机状态查看数据重建热点缓存快照模式虚拟机管理虚拟机共享数据回迁数据通信存储通信专用模式重复数据IO加速副本技术网络连通性探测IP内存页合并HA机制桌面云产品特性ARM架构一体化设计绿色环保运行效率更高稳定性更好功耗10瓦、无噪音节能环保硬件集成化、发热少寿命高达5到8年新一代云终端（aDesk）桌面云产品特性高性价比易用性好良好扩展高稳定性一站式购买，降低成本开机即用，向导式部署无缝扩展，性能自动均衡集群设计，故障自动迁移软硬件一体化云桌面平台桌面云产品优势流畅1零总线外设映射SRAP+视频重定向SSD缓存加速2稳定关键节点HA设计多副本存储机制全自动化故障切换3安全多重身份认证端到端防护体系虚拟化杀毒方案4高效融合化交付架构基于Clear控制台故障智能诊断运营商信息化桌面云业务价值A集中管理，提高运营商信息化部署及运维效率简化桌面运维流程C不同地方，办公人员桌面随身化敏捷高效的办公服务B移除终端数据，控制外设使用，减少安全隐患保护运营商信息系统的安全D节省电力成本，降低呼叫中心等场景噪音构建绿色节能型机房深信服内外网隔离桌面云设计方案双网瘦终端（双网口+切换器）物理隔离外网桌面云（专有）内网桌面云（还原）AB对比项目传统方案深信服方案多PC硬盘隔离卡多网隔离方案物理隔离是是是多系统无缝切换是否是客户端免维护否否是客户端无数据否否是数据集中管控否否是双桌面快速切换、提升运营商信息安全、降低桌面繁杂度

运营商信息化解决方案12354运营商互联网边界安全解决方案运营商信息化终端安全接入解决方案运营商信息化应用系统安全及优化解决方案运营商信息化安全感知平台运营商信息化IT系统云计算安全解决方案核心路由/交换安全区域省公司地市公司办公区域代理商员工合作方第三方用户(外协人员等)省公司办公区域外网内网内网市公司无线办公区域有线接入WLAN接入3G/4G接入跨运营商接入无线办公区域Internet合作伙伴

(银行、SP等)运营商其他网络BSS系统MSS系统OSS系统融合Internet互联网

边界安全互联网

边界审计WiFi安全互联网边界安全互联网边界安全部署方案边界安全互联网边界安全应用场景互联网边界安全

各类办公互联网出口；各类合作伙伴(银行、SP等)出口；各类运营商其他网络出口；

省公司与各地市网络出口；……

办公WLAN用户接入安全管理办公WLAN用户接入安全管理IDS防病毒网关网页防篡改专业及时病毒库更新实时动态检测分析立体病毒防御方案灵活多变部署模式3500+条漏洞特征库数十万条病毒、木马等恶意内容特征库2000+Web应用威胁特征库传统防火墙IPSWAF基于应用的深度入侵防御僵尸网络检测独特的应用攻击防护完整的终端安全保护智能DOS/DDOS防护网络攻击检测网络层攻击防护访问控制流量控制路由协议、NATOWASPTOP10威胁防护细化WEB应用防护网页防篡改敏感信息防泄漏主动防御技术网关型网页防篡改爬虫技术网页缓存高、中、低三种匹配灵敏度短信、邮件多种报警边界安全区域安全防御体系方案特点：完整、精简的安全架构，满足高可靠要求2022/10/22下一代防火墙L2-7层双向防御体系应用层安全网络层安全Web攻击防护应用内容的访问控制基于应用访问控制策略路由NATIP/MAC绑定包过滤状态检测流量会话管理抗拒绝服务攻击基于用户的访问控制入侵防御恶意代码防护信息泄露防护僵尸网络防护软件架构：单次解析引擎硬件架构：多核并行处理架构HA/AA部署安全联动【模块间智能联动、云安全联动、策略智能联动】Webshell防护黑链防护VPN安全及管理网关杀毒防DoS攻击防ARP攻击异常流量告警集中管理外置数据中心互联网出口边界安全防护解决方案互联网出口安全防护解决方案身份认证多种方式确定用户唯一身份AD域单点登录结合计费系统等第三方认证微信认证全面的应用控制及审计+有效的流量控制+事前、事中、事后的安全防护网页过滤URL库+URL智能识别非法、色情、反动等类型的网页过滤恶意网址过滤应用控制应用特征识别库无关应用的封堵应用管理标签化邮件过滤流量管理用户、应用流量分析带宽保障、限制动态流控P2P智能流控审计记录访问的网页记录外发信息记录流量大小安全管理实现网络访问控制，设置用户的互联网访问权限；提供内部网络安全防护，防御网络病毒攻击；帮助管理员发现内网安全威胁，减少经济损失；统一集中式管理，提高管理效率。功能目的防火墙、防DoS、ARP攻击；网关杀毒；危险行为识别；无线热点发现；集中管理、外置数据中心。身份认证确立上网用户身份，验证其合法性；以该信息作为用户标识，对用户的上网行为进行控制及审计。IP/MAC绑定；本地用户名-密码认证；第三方服务器认证；DKEY双因素认证；单点登录；微信认证功能目的Name:Group:IP:Name:Group:IP:Name:Group:IP:网页过滤过滤非法、不良网站，避免法律风险；过滤游戏、赌博、购物、在线视频等网站，提高员工工作效率；过滤恶意网页，保障上网安全；功能目的URL过滤千万级URL识别库；URL智能识别系统；URL云共享；自定义URL；恶意网址过滤千万级URL库URL智能识别云共享自定义URL恶意网址过滤网页过滤应用控制应用特征识别库应用管理标签化防代理共享邮件控制封堵IM聊天、炒股、游戏、下载、在线视频等应用，规范化上网行为，提高工作效率；封堵代理、翻墙软件，规避不当上网行为带来的法律风险；封堵邮件，防止敏感信息泄露；功能目的应用特征识别库；应用管理标签化；邮件控制；防代理共享。流量管理根据业务类型进行带宽限制或保障，保证核心业务畅通运行；灵活分配带宽资源，实现动态调整，提高带宽利用率；功能目的多级父子通道；动态流控；P2P智能流控；多线路复用；虚拟线路行为审计记录内网用户的上网行为，一旦发生网络违法违规事件可作为追查证据；统计用户的上网时间、应用流量、应用分布等，为企业决策提供依据；记录内网安全事件，帮助管理员发现安全威胁。功能目的网页访问审计；邮件审计；IM聊天应用审计；外发文件审计；……办公WLAN用户接入安全管理内部员工认证外部员工认证用户审计带宽保障对于非法言论的审计，审计日志可留存审计日志数据中心可搜索查询用户流量访问报表日志查询安全KEY外来人员通过访问无线访问认证无法与域结合认证，采用短信认证外来人员可选微信认证方式内部有线接入方式访问通过域认证内部员工通过无线WLAN访问无法得到有效认证，采用域认证结合方向多用户接入无线网络时无法保障用户应用级带宽流量限制部分对于带宽占用比较大的应用，如P2P办公WLAN用户认证过程

外部访客短信认证内部员工域认证运营商信息化解决方案12354运营商互联网边界安全解决方案运营商信息化终端安全接入解决方案运营商信息化应用系统安全及优化解决方案运营商信息化安全感知平台运营商信息化IT系统虚拟化安全解决方案核心路由/交换安全区域省公司代理商/合作厅营业厅/客服终端员工第三方用户(外协/运维人员等)省公司办公区域市公司Internet经分系统CRM系统计费系统InternetEDC边界应用系统安全防护IT承载网合作伙伴

(银行、SP等)端点检测桌面虚拟化加密数据库数据库审计失陷检测安全分析平台运营商信息化应用系统安全及优化负载均衡应用系统安全及优化应用场景应用系统安全防护及优化网上营业厅；平台防护BSS/MSS/OSS系统；虚拟化云主机BSS安全隔离与防护呼叫中心(含客服中心、增值业务中心)；DNS防护；各类办公系统……内网入侵持续检测与响应WEB应用传输加密

应用交付优化平台公有云/私有云深度健康检查应用性能监控分析丰富报表短信、邮件告警高性能集群HTTPSWEB漏洞扫描DDOS防护NAT地址隐藏ACL、防火墙TCP单边加速图片转码DNS透明代理DNS解析调度全局负载四七层负载均衡会话保持浪涌保护故障切换性能优化硬件软件稳定可用安全访问速度体验传统单数据中心容灾及多活数据中心云数据中心SANGFORAD提供全面的四层调度策略SANGFORAD接收到用户的访问流量后，分析目的IP和端口，通过预先设定负载策略将用户访问流量分配到不同的服务器节点之上。静态算法：IP、轮询、加权轮询、优先级、首个可用动态就近性：动态反馈、最快响应其他负载算法：Hash算法、UDP强行负载156432IP：PORT四层转发调度SANGFORAD提供全面的七层调度策略分析HTTP请求，基于URI、Cookies、HOST、HTTP-Head进行调度将不同的HTTP请求交给不同的或多个服务器来响应以分担负载支持HTTP请求改写和应答改写，以及页面跳转和丢弃实现业务架构灵活配置和扩展index.htma.gifc.jspJSPserverGIFserverHTMLserver七层内容交换index.htma.gifc.jspSANGFORAD提供应用级服务器检查机制基于硬件运行状况的主动检查：通过PING、SNMP等方式监控服务器的运行状况基于应用类型的主动检查：TCP、UDP、HTTP、DNS、Radius等都可以通过相应的检测机制监控应用的运行状况基于观测方式的被动检查：根据观测到的服务器连接数，上下行数据报文等参数，判定服务器节点是否有效自定义内容检查机制：是通过预设自定义字符串，来判断服务器应用是否运行正常应用级健康检查服务器健康检查SANGFORAD提供全面的会话保持算法SANGFORAD会话保持用以识别客户与服务器之间交互过程的关联性，在作负载均衡的同时，还保证一系列相关联的访问请求会保持分配到一台服务器上，以确保应用不会出错支持的会话保持方式：基于源IP保持、Cookie（插入、被动、改写）、HTTP-Header、Radius、SSLSessionID与应用系统无缝结合，保障业务连续性1537642815376428会话保持（SessionPersistence）CA服务器证书密文数据明文数据SANGFORAD提供SSL卸载功能SSL加密通道提供高级别安全加密高端平台内置有SSL卸载芯片，轻松应对数万级TPS的业务量处理完善的SSL证书验证体系支持，支持标准格式证书导入，客户端证书认证，提供加密通道卸载服务器SSL处理性能问题，释放计算资源SSL卸载（SSLOffload）OSPFIP-Anycast方式调度SANGFORAD提供基于IP方式访问的全局调度通过动态路由协议在多个站点发布相同的应用服务IP，利用网络中的路由信息实现用户的就近访问和站点冗余。当多个站点同时在线提供服务时，用户访问应用服务会根据路由信息来选择出最近站点。当某个站点出现故障时，OSPF路由会自动删除到该站点的路由，待该站点恢复以后，OSPF路由则会重新将该站点的路由加入。应用安全防护平台服务器外发内容过滤网页防篡改：静态、动态敏感信息防泄露：身份证号、信用卡号、财务数据等应用信息隐藏：HTTP出错页面、响应报文头隐藏、FTP信息隐藏防止端口/服务扫描防止应用漏洞扫描弱口令保护/防暴力破解关键URL保护防网站结构扫描防止网络爬虫攻击强化的WEB防护防SQL注入攻击防OS命令注入XSS攻击、CSRF攻击基于应用的入侵防御服务器漏洞攻击防护终端漏洞攻击防护DOS攻击应用层DOS攻击CC攻击权限控制可执行程序上传过滤上行病毒木马清洗切断webshell流量扫描过程攻击过程破坏过程用户/黑客Web应用服务器窃取内容L2-7层双向防御体系应用层安全网络层安全安全运维管理Web攻击防护应用内容的访问控制基于应用访问控制L2-7层双向的防御体系2022/10/22策略路由NATIP/MAC绑定包过滤状态检测流量会话管理抗拒绝服务攻击基于用户的访问控制入侵防御恶意代码防护信息泄露防护统一的攻击日志实时漏洞检测主动风险评估有效攻击日志有效安全事件基于业务的风险管理联动安全日志基于用户的安全日志僵尸网络防护单次解析引擎安全联动【模块间智能联动、云安全联动、策略智能联动】Webshell防护黑链防护应用层深度检测+联动防御的安全平台——应对攻击的变化，让防御更有效深度检测联动防御双向监测内容级检测脆弱性检测资产数据检测L2-7层防御基于攻击链防护模块间联动云-端联动做防御的，不应该总想着能阻止攻击，而应该思考怎么提高攻击成本。总想着“阻止”攻击是无知的表现。——情报中心总经理深度检测：L2-7层双向的安全检测僵尸机恶意外链敏感信息外泄检测网页篡改监测入侵攻击检测系统漏洞检测异常流量监测电磁波/天线802.11

MACTCP/IP协议栈操作系统Web服务架构Web应用架构业务内容构建L2-7层安全防御体系，让安全无短板双向的安全检测，有效防止信息外泄、僵尸网络深度检测：内容及资产安全检测检测正常协议交互中的非法内容提升应用识别的精确度提升威胁检测的精确度威胁识别脆弱性识别资产识别威胁出现的频率脆弱性的严重程度资产价值安全事件的可能性安全事件的损失风险值资产=业务威胁=攻击脆弱性=漏洞如何实现持续检测探测边界突破持续渗透安装工具横向移动窃取/破坏基于攻击链的全风险持续检测新业务上线业务运行业务更新业务运行全业务生命周期的漏洞持续检测在可视的基础上进行持续检测持续检测模型风险建模检测终端异常行为异常行为建模资产异常流量数据泄露行为攻击特征检测非法访问行为实时漏洞行为可视用户可视业务可视流量日志身份终端类型漏洞数据数据包情景位置应用接入方式情景位置内容软件系统信息实现持续检测的技术架构服务器/虚拟化服务器终端安全检测边界防护云平台SandBox在线专家云扫描未知威胁检测终端安全云监测监测探针下一代防火墙+检测下一代防火墙+检测监测探针终端组件终端组件威胁情报快速响应微信服务号管理中心全网安全监测平台集中管理平台运维界面深信服安全云云端扫描监测平台：深信服云端部署，用户本地无需部署，取得用户授权后，将业务发布域名/ip录入监测平台即进入监测服务队列，在扫描完毕后会给用户生成相应的报告；服务器端点检测软件：在客户服务器部署，对文件进行扫描，发现是否存在入侵遗留的后门脚本，不确认定的部分可以由云端专家进行二次确认；旁路检测探针：旁路部署在客户服务器前端交换机，对镜像过来的流量做检测，监测组件接入云端分析能力，能够发现用户的业务服务器是否存在异常，发现异常给用户输出安全分析报告。立体化安全检测云端监测：通过深信服云端安全平台，在用户授权的情况下，输入业务域名/IP，远程对进行网站进行可用性、脆弱性、内容安全、高危0-day漏洞监测；从外部视角监测业务安全状况；端点检测：通过在业务主机部署终端检测软件，通过文件与账号视角检测主机是否存在入侵；流量检测：在服务器前端交换机旁路部署检测探针，检测业务服务器所有进出流量，对于异常流量可接入云端进行专家确认，通过流量视角检测业务是否存在异常；（对于内网环境需要讨论：是否可以在联通内部建立私有平台，定期上门+专家服务）深信服业务安全监测基于攻击链的安全风险持续检测邮件杀毒云查杀（多引擎）检测技术异常终端的检测技术云端沙盒分析恶意网页木马检测攻击特征检测恶意链接检测（自动生成）木马远控检测异常流量检测局域网攻击特征监测访问异常行为检测实时漏洞检测使用后门的行为检测Web系统弱点检测标准端口异常协议检测内网扫描行为检测账号密码破解行为检测内网病毒传播检测信息泄露检测Web攻击检测Webshell检测勒索病毒行为检测网页篡改检测黑链检测基于攻击链的全风险持续检测端口/服务扫描检测IP扫描检测检测技术异常服务器端的检测技术服务器向外RDP请求主动外发DNS异常链接服务器向外SSH请求webshell上传检测网页被篡改网页存在黑链网页存在黑链内网进行扫描批量登陆异常数据库异常访问Web攻击检测漏洞攻击检测缓冲区溢出检测应用漏洞攻击检测跳板攻击检测内网dos攻击内网入侵攻击行为账号密码爆破弱密码扫描僵尸木马检测威胁情报收集漏洞扫描检测云端安全联动2022/10/22SandBox沙盒检测环境：危险行为进程操作文件操作网络行为注册表操作1.可疑流量上报2.沙盒执行检测深信服安全云4.云同步更新4.安全规则下发3.生成安全规则未知快速检测，新策略快速下发数据库安全审计SELECTName,Credit_Card,Exp,ZIPFROMCustomers…数据库张三(正常员工)审计策略DBS13审计数据归档SELECTName,Address,OrderHistoryFROMCustomers…2DAS支持审计的数据库类型：Oracle、SQLserver、Mysql、DB2等web审计（审计访问数据库对应的服务器系统）、数据库审计（访问真正的数据库）web审计数据库审计三层关联数据库安全审计数据库安全释放服务器计算资源，

节省硬件投资成本数据库根据业界最新漏洞列表，内置安全规则；同时支持灵活的条件自定义安全规则数据库账号安全参考北研给的漏洞列表，做了内置规则；同时支持灵活的条件自定义安全规则选择学习的数据库IP（不是web端），在web端模拟登录成功和登录失败两次操作，会根据学到的特征进行判断爆库、撞库

数据库安全审计日志运营商信息化解决方案12354运营商互联网边界安全解决方案运营商信息化终端安全接入解决方案运营商信息化应用系统安全及优化解决方案运营商信息化安全感知平台运营商信息化IT系统虚拟化安全解决方案生产业务区域BOSS内部接口子域运营商信息化应用技术架构运营管理区域4A/BMOC大数据区域vSwitchDBVMWEBVMAPPVMWEBVMDBVMWEBVM互联网子域外部接口子域开发测试子域生产业务运营管理测试开发vSwitchDBVMWEBVMAPPVMWEBVMDBVMWEBVM互联网接口子域内部接口子域外部接口子域vSwitchDBVMWEBVM开发测试接口子域传统网络架构虚拟化架构深信服业务支撑网云计算安全方案架构生产业务子域运营管理子域大数据子域互联网接口子域外部接口子域内部接口子域开发测试接口子域业务支撑网统一资源池CoreCoreCoreCore生产业务子域运营管理子域大数据子域CMnet非移动IT接口外部接口互联网接口内部接口O域M域移动其他IT接口开发接口子域终端接口子域核心区域核心区域接入区域虚拟安全资源池vAFvAFvIDSvADvIPSwafvSSLvSSLvAC安全服务平台………ADWAFIPSAF云计算平台安全SSLIT系统云计算虚安全应用场景虚拟化平台安全需求核心业务区域云计算安全防护（MSS/OSS/BSS）；互联网出口子域安全隔离与防御；内部接口安全子域安全防御与隔离外部接口安全子域防护安全防御与隔离开发测试接口子域安全防护与隔离终端接口子域终端安全防护；各类办公系统……IT系统云化基础平台安全虚机之前的安全防护IDS防病毒网关网页防篡改专业及时病毒库更新实时动态检测分析立体病毒防御方案灵活多变部署模式3500+条漏洞特征库数十万条病毒、木马等恶意内容特征库2000+Web应用威胁特征库传统防火墙IPSWAF基于应用的深度入侵防御僵尸网络检测独特的应用攻击防护完整的终端安全保护智能DOS/DDOS防护网络攻击检测网络层攻击防护访问控制流量控制路由协议、NATOWASPTOP10威胁防护细化WEB应用防护网页防篡改敏感信息防泄漏主动防御技术网关型网页防篡改爬虫技术网页缓存高、中、低三种匹配灵敏度短信、邮件多种报警边界安全区域安全业务支撑数据中心物理计算资源…WEBAPPMAILVDI接口区域IT支撑云计算安全防护方案东西向南北向在出口部署万兆下一代硬件防火墙，对所有的物理服务器进行防护在不同业务子域内部署下一代虚拟软件防火墙进行区域划分和访问控制，虚拟机之间通讯都经过虚拟防火墙，提供与硬件防火墙同样的防护功能虚拟化防火墙vAF主要功能双向内容安全二到七层防护异常流量清洗虚拟区域划分安全风险可视实时漏洞分析云安全物理安全网关虚拟软件网关NGAFvNGAF（虚拟下一代防火墙）专为虚拟化网络安全而设计，它能以虚机的形式部署在Vmware虚拟化平台中，并完全适配vCenter和vmotion的监管，支持虚机的克隆和迁移等配置和操作，实现最高的易用性可以精确的对hypervisor平台的L2到L7层流量分析和控制，可以解决虚拟网络中的区域隔离、边界控制、风险识别、漏洞检测、应用控制、应用安全、威胁防护等安全功能vNGAF同样可以在虚拟网络中启用HA高可靠性部署，可以真正做到7*24*365的无间断安全防护，实现最高的可用性和可靠性专业的虚拟网络安全防护完善的安全体系MAILVDIWEBAPP安全域安全域Hypervisor（vSwitch）可以针对虚拟机做细粒度的安全防护根据虚拟网络安全需要进行区域划分虚拟网络没有安全防护导致风险泛滥vNGAF深度的虚拟网络安全防护提供虚拟网络内部的区域隔离和安全接入控制。安全防护的粒度可以细化到针对某一个具体的虚拟机，提供针对连接状态和应用协议、应用内容的深度威胁检测和防护传统出口安全过滤汇聚交换机A虚拟平台vswitchWEB/24汇聚交换机AAPP/24部署虚拟安全软件汇聚交换机A虚拟平台WEB/24汇聚交换机AAPP/24vswitchvNGAF缩小风险范围减少核心冲击防止虚机攻击确保应用安全清洗异常流量全面的虚拟网络风险控制vswitch实现L2-7层威胁统一防护僵尸机恶意外链敏感信息外泄检测网页篡改监测L2-L7攻击防护业务漏洞主动发现被动发掘业务漏洞物理层802.11

MACTCP/IP协议栈操作系统Web服务架构Web应用架构业务内容安全可视—攻击与漏洞关联已知攻击防护——内部风险防护——不仅仅需要防护外部攻击，还要检查服务器外发流量是否有风险差异化优势在于

弥补了传统安全设备只防外不防内的漏洞