通过在服务器集群汇聚交换前双机部署两台深信服下一代应用防火墙NGAF，可实现业务系统服务器的逻辑隔离，防止来自网络层面、系统层面、应用层面以及数据层面的安全威胁在业务系统数据中心各区域内扩散。

　　二期建设采用业务系统一站式应用安全加固部署方案，通过深信服下一代防火墙NGAF的部署可以从从攻击源头上帮助企业防护导致业务系统服务器区内业务各类网络、系统、应用、数据层面的安全威胁；同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。

　　1、深信服下一代防火墙AF-8020双机部署于核心交换前可实现业务系统服务器区一站式整体安全防护；

　　2、通过防火墙子系统模块的访问控制策略ACL可实现网络安全域划分，阻断各个区域间的网络通信，防止威胁扩散，防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题；

　　3、通过DDOS/DOS子系统功能模块进行网络层面的安全加固，可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题；

　　4、通过防病毒子系统功能模块可实现各个安全域的流量清洗功能，清洗来自其他安全域的病毒、木马、蠕虫，防止各区域进行交叉感染；
      5、利用入侵防御子系统功能模块可实现对服务器集群操作系统漏洞（如：winserver2003、linux、unix等）、应用程序漏洞（IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等）的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题；

　　6、通过web安全子系统功能模块的开启，可实现对各个区域（尤其是DMZ区）的web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利，使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题；

　　7、通过信息泄漏防护子系统功能模块的开启，可自定义业务系统的敏感信息防止黑客绕过防御体系窃取业务系统的敏感信息；

　　8、通过防篡改子系统功能模块的开启，可防止黑客利用各层面安全漏洞非法篡改业务系统合法界面，防止被篡改界面发布于众；  

　　9、通过风险评估子系统模块的启用对服务器集群进行安全体检，通过一键策略部署的功能开启入侵防御子系统模块、web安全子系统模块的对应策略，可帮助管理员的实现针对性的策略配置。

　　10、通过智能联动模块的应用，可形成防火墙子系统功能模块、入侵防御子系统功能模块、web安全子系统功能模块的智能联动，有效的防止工具型、自动化的黑客攻击，提高攻击成本，可抑制APT攻击的发生。