USG6000系列下一代防火墙大中型企业边界防护解决方案

大中型企业通常是指员工人数在500人以上的企业。大中型企业通常具有以下业务特征：

• 企业人员众多，业务复杂，流量构成丰富多样。
• 对外提供网络服务，例如公司网站、邮件服务等。
• 容易成为DDoS攻击的目标，而且一旦攻击成功，业务损失巨大。
• 对设备可靠性要求较高，需要边界设备支持持续大流量运行，即使设备故障也不能影响网络运转。

组网拓扑

组网说明

• 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检测和保护。

• 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对图1中的文件服务器开启文件过滤和内容过滤，针对邮件服务器开启邮件过滤，并且针对所有服务器开启反病毒和入侵防御。

• 针对内网员工访问外部网络的行为，开启URL过滤、文件过滤、内容过滤、应用行为控制、反病毒等功能，既保护内网主机不受外网威胁，又可以防止企业机密信息的泄露，提高企业网络的安全性。

• 在USG6000与出差员工、分支机构间建立VPN隧道，使用VPN保护公司业务数据，使其在Internet上安全传输。

• 开启DDoS防御功能，抵抗外网主机对内网服务器进行的大流量攻击，保证企业业务的正常开展。

• 针对内外网之间的流量部署带宽策略，控制流量带宽和连接数，避免网络拥塞，同时也可辅助进行DDoS攻击的防御。

• 部署华为网管系统（需要单独采购），记录网络运行的日志信息。日志信息可以帮助管理员进行配置调整、风险识别和流量审计。

• 采用双机热备部署，提高系统可靠性。单机故障时可以将业务流量从主机平滑切换至备机上运行，保证企业业务持续无间断的运行。