網絡安全的基礎在于區(qū)域的劃分。當我們根據業(yè)務和管理需要，將企業(yè)網絡劃分為多個安全區(qū)域后，就可以有針對性的對不同區(qū)域進行安全防護。
　　那么根據什么標準劃分區(qū)域呢？參見第二頁的“信息安全整體解決方案”圖示。
　　我們將企業(yè)網劃分為十個區(qū)域：內網隔離區(qū)，工業(yè)生產區(qū)（非制造型企業(yè)沒有），互聯網邊界防御區(qū)，數據中心（對外），辦公區(qū)，云平臺\虛擬化區(qū)，數據中心（內部），安全運維區(qū)，云端服務區(qū)和分支機構。
　　上述每個區(qū)域，我們都將使用不同的手段來保障網絡層面的數據安全。

　　內網隔離區(qū)（工業(yè)生產區(qū)），一般是指企業(yè)內部的核心生產區(qū)域或者核心數據產生區(qū)。這個區(qū)域平時不容許有任何無關的網絡數據進入，因此控制的核心是單向網閘或者雙向網閘，將無關的數據阻擋在隔離區(qū)之外。

　　而進入隔離區(qū)的數據，同樣需要經過IPS，漏洞掃描，準入控制，病毒檢測，行為審計等等安全設備層層過濾后，才進入業(yè)務系統。

　　互聯網邊界防御區(qū)，一般是企業(yè)對外提供公共訪問服務（如：宣傳網站，公共會員服務，公共查詢服務等等）的區(qū)域。該區(qū)域直接面向全球互聯網，也是最容易受到非法攻擊的區(qū)域。因此，在該區(qū)域我們一般會部署多層防御機制。包括：防拒絕服務攻擊（DDoS）設備，負載均衡設備，下一代防火墻，Web應用防火墻，流量控制等安全設備。

　　同時，為了對外服務不間斷運行，上述設備都會采用雙機模式部署，防止單點失效。
　　而對外服務產生的數據都將存放在對外數據中心的數據庫中。為了防止公共數據受到非法入侵和篡改。我們將在對外數據中心部署：數據庫審計，數據備份，Web應用防火墻，網頁防篡改以及基本的下一代防火墻。

　　如果需要對外提供電子郵件服務，我們還將在電子郵件服務器前端部署反垃圾郵件網關，抵御垃圾郵件的侵擾。在后端部署郵件歸檔系統，對舊郵件實現歸檔保存，降低郵件服務器負荷。

　　辦公區(qū)、云平臺\虛擬化去、數據中心（內部）和安全運維區(qū)，這四個區(qū)域是企業(yè)網內部的主要區(qū)域。

　　其中：
　　辦公區(qū)：是企業(yè)員工的主要辦公場所，為這個區(qū)域提供安全穩(wěn)定的上網環(huán)境是這個區(qū)域的主要任務。我們通過下一代防火墻來抵御來自外接的惡意訪問行為。同時，該區(qū)域也是企業(yè)資料泄露的主要區(qū)域，我們在該區(qū)域重點防范員工的非法上網行為和資料外發(fā)導致的數據泄露行為。
　　云平臺\虛擬化區(qū)：現在企業(yè)在內部部署了大量的私有云平臺，例如文件云，桌面云等等。而內部業(yè)務系統也不再使用物理服務器，大量使用了虛擬化的服務器。那么為了保障云平臺和虛擬化環(huán)境的安全，我們會在該區(qū)域部署繼續(xù)云平臺的虛擬化防火墻和Web應用防火墻，來保障虛擬網絡的網絡安全。
　　數據中心（內部）：企業(yè)的內部數據中心，是企業(yè)生產經營數據的主要存放地。那么下一代防火墻和Web應用防火墻能有效的低于從三層直至七層的攻擊和嗅探行為，保障企業(yè)數據的安全可靠。
　　安全運維區(qū)：僅有了保障網絡安全的手段，對網絡安全的管理者來說是遠遠不夠的。他們需要實時掌握網絡中每一次訪問對企業(yè)網絡和業(yè)務系統產生的影響，他們需要知道過去的一分鐘，一個小說，一個月，究竟有多少合法訪問，有多少非法訪問；需要知道未來需要對網絡作出什么樣的調整，才能應對花樣百出的安全風險。因此，安全運維區(qū)將為網絡的管理者提供一個這樣的平臺：從每條細致的日志收斂到一次完整的訪問行為，從多個訪問行為追根溯源，追蹤到相應的合法或非法的訪問記錄。

　　云端服務區(qū)，分支機構，移動用戶和企業(yè)總部，四個區(qū)域一起組成了一個完整的企業(yè)網絡延伸區(qū)域。

　　部署在遠端云平臺（例如：阿里云，騰訊云，360云等等）上面的業(yè)務系統為企業(yè)提供一個靈活伸縮的外部環(huán)境。
　　而分支機構和移動用戶，作為企業(yè)生產力的延伸，它們可以分別通過IP Sec VPN和SSL VPN兩種安全鏈路，與企業(yè)網之間建立安全的數據隧道，使在其中傳遞的業(yè)務數據得到安全保障。同時還降低了不同網絡協議帶來的兼容性問題。對網絡協議和網絡波動比較敏感的視頻會議等系統，也能穩(wěn)定高效的運行。