中南大学湘雅医院

痛点和需求

        用户原专线出口部署了一台防火墙，互联网出口有三条线路，串接部署一台防毒墙、一台防火墙和一台 WAF，银行及第三方接入出口楼层接入区未部署防护类设备。这种情况既无法满足合规性也难以发挥有效的安全防护作用。

防护层面：互联网出口“串糖葫芦式”部署一连串安全防护设备，运维复杂，存在单点故障风险 ; 专线出口只有三层访问控制策略， 缺乏应用层防护，银行及第三方接入防护真空，安全隐患大。

审计层面：用户上网行为无法审计，若发生信息泄密无从追溯。 

检测层面：缺乏对未知和潜伏威胁持续检测的能力。

解决之道 

        借助深信服等级保护2.0解决方案，用户不仅在合规方面高分通过了等保测评，还实现了安全的持续保护。

·首先对网络架构进行梳理，三个出口均采用双机冗余架构，避免单点故障，确保业务访问连续性，提高网络可靠性;

·IPS、WAF、FW替换成深信服下一代防火墙，实现各功能一体化联动防御，融合安全简单有效; 

·在出口以网桥模式部署深信服上网行为管理，满足审计合规的要求; 

· 通过部署链路负载均衡设备，实现故障切换和智能选路; 

·通过在核心交换机旁路部署潜伏威胁探针和安全感知平台，持续检测未知和潜伏威胁，协助用户掌握全网安全态势。

方案规划拓扑图如下: 

方案价值 

融合安全，简单有效

借助深信服下一代防火墙单太设备即可轻松满足原本需要 IPS、WAF 等多台设备才能满足的合规需求，此外设备内部功能可以有效联动，为用户构建了一体化联动防御体系，带来 L2-L7 层全方位的安全防护。通过提供可视化的风险分析报表，大幅减轻了用户运维负担。

全程保护，智能可视 

借助深信服下一代防火墙，结合业务情况匹配安全策略，提供事前、事中、事后的全程保护， 实现业务和安全 “一体之两翼、驱动之双轮”的效果，给用户业务提供了一个高效、稳定、安全的运行环境。用户借助可视化的综合风险报表，可以非常直观和清晰地看到网络中存在的问题，并且通过“一键式”、“向导式”的操作步骤轻松完成策略配置。 

服务可靠，审计合规 

双机冗余部署模式，降低了单点故障确保业务访问连续性，提高网络可靠性 ; 上网行为管理设备部署满足《网络安全法》日志记录相关要求，防止内网用户主动泄密事件发生，便于责任追溯。 

持续检测，快速响应 

通过部署安全感知平台及潜伏威胁探针，持续检测全网安全状态，尤其对于传统设备无法定位和发现的潜伏和未知威胁，平台能够依靠人工智能机制及时发现，并向下一代防火墙等防护类设备进行处置建议的快速下发，从而实现防御体系的快速加固。