1、背景需求
　　该公司在本地有多个办公点，各个办公点通过裸光纤相连，上网出口统一。
　　互联网接入区是内部员工访问互联网的出口同时会发布一些内网服务，缺乏未知威胁实时检测功能. 
　　有移动用户安全接入需求，需要与域控制器联动认证，精细化分配用户权限。
　　大多数分子公司的网络安全防护较差，分子公司本地出现安全威胁后很容易通过广域网接入区将安全威胁传入总部数据中心。

2、方案概述
　　互联网出口区域部署下一代防火墙增强对应用层协议的防护；启用防火墙与云端引擎联动功能，防火墙对经过的数据进行相应检查，当发现本地规则库无法匹配时，会将该数据上传到云脑进行检查是否是风险数据，云脑检查出来该数据是风险数据时，就会把该规则从云脑下发到防火墙本端，那么后续防火墙设备就具备了该风险的防护能力。
　　互联网DMZ区域部署SSLVPN设备，供移动用户安全接入公司网络，访问内部资源。移动用户接入SSLVPN后访问内网资源，会经过下一代防火墙做2-7层的安全过滤，提高安全性。
　　广域网接入区部署隔离防火墙，可以有效防止分支公司的安全威胁（挖矿病毒、木马等）通过VPN隧道传入到上海总部。
　　行为管理开启上网权限策略，控制用户能够使用网络资源的权限，包括应用控制、SSL管理、QQ白名单和邮件过滤。

3、方案价值
　　3.1 防护更有效
　　融合安全的防护体系使得下一代防火墙实现了前所未有的安全能力的融合使得我们实现了可以针对攻击链条的全程保护，而更强的能力也就带来了更多的数据来源、更全面的分析结果。当我们具备了这些条件以后也就随之带来了更加有效的安全防护。
　　3.2 管理更简单
　　下一代防火墙通过运营中心帮助运维人员快速进行安全体检，帮助运维实现对资产动态的监控、分析。
　　检测结果形成待处理问题，安全运营形成闭环。
　　让安全管理像安全一台电脑一样简单快速。