部署实例

　　普通企业环境

　　这是最为普通的企业环境防毒墙部署案例。利用防毒墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网（DMZ区）。内部网络一般采用私有的IP地址，DMZ的服务器可以采用公网地址，也可以采用私有地址，但是需要在防毒墙上做相应的地址转换来保证外部用户对服务器的正常访问。一般常用的安全策略是：外部网络不允许访问内部网络，内部网络用户可以根据不同的权限访问Internet资源；内部用户和外部用户只允许访问DMZ区指定服务器的指定服务。

　　具体的环境如下图：

　　网络多出口部署我们经常会碰到企业的局域网有多个出口，比如Internet出口，总部出口等。金山防毒墙支持将DMZ接口做为一个外网接口，支持多出口的接入。例如我们可以将防毒墙的外网口接Internet接入服务器，将DMZ口接入总部接入的服务器，利用路由的选择来分流去往两个区域的流量，可以将缺省的网关指向Internet处的路由器，添加相应的去往总部网络方向的路由策略。然后针对不同的网络之间的数据通讯，采用相应的安全策略。另外的一种多出口的接入方式也可以两个防毒墙的方式，分别对于与相应的链路，这种方式也可以利用路由的选择来实现。具体的环境如下图：

　　单台防毒墙实现多出口的接入：

　　两台防毒墙实现多出口的接入：

　　高可靠性配置的部署

　　高可靠性网络的部署是为了避免因为网络的故障和设备的停工造成的损失。金山防毒墙支持全面的高可靠性解决方案，包括防火墙之间的冗余配置和整体链路的冗余配置。配置防火墙冗余总共需要三套IP地址，其中每个防毒墙有一套自己真实的地址（内部地址，外部地址和DMZ区地址），另外两个防毒墙还共享一套虚拟的地址，而真正起作用的正是这套真实的地址，内部用户的网关以及外部的一些相关的路由设置都需要指向这个虚拟的地址。具体的环境如下图：

　　防毒墙本身的冗余配置：

　　整体链路的冗余配置：

　　分布式网络环境的部署分布式的环境一般分为一个中心节点和多个分支节点，金山防毒墙支持对这种结构的整体的配置。一般来说，中心节点采用性能高的金山防毒墙，可以采用双机热备份的模式，保证网络的可靠性；对于较大的有专线接入的分支节点，可以采用性能稍低的金山防毒墙，一方面保证该分支网络的安全，另外也可以通过VPN功能实现与总部的信息通讯的安全；对于没有专线的分支节点，可以采用金山防毒墙自带的对子网拨号的VPN功能，也能够实现与总部之间的安全通讯。