网络安全的基础在于区域的划分。当我们根据业务和管理需要，将企业网络划分为多个安全区域后，就可以有针对性的对不同区域进行安全防护。
　　那么根据什么标准划分区域呢？参见第二页的“信息安全整体解决方案”图示。
　　我们将企业网划分为十个区域：内网隔离区，工业生产区（非制造型企业没有），互联网边界防御区，数据中心（对外），办公区，云平台\虚拟化区，数据中心（内部），安全运维区，云端服务区和分支机构。
　　上述每个区域，我们都将使用不同的手段来保障网络层面的数据安全。

　　内网隔离区（工业生产区），一般是指企业内部的核心生产区域或者核心数据产生区。这个区域平时不容许有任何无关的网络数据进入，因此控制的核心是单向网闸或者双向网闸，将无关的数据阻挡在隔离区之外。

　　而进入隔离区的数据，同样需要经过IPS，漏洞扫描，准入控制，病毒检测，行为审计等等安全设备层层过滤后，才进入业务系统。

　　互联网边界防御区，一般是企业对外提供公共访问服务（如：宣传网站，公共会员服务，公共查询服务等等）的区域。该区域直接面向全球互联网，也是最容易受到非法攻击的区域。因此，在该区域我们一般会部署多层防御机制。包括：防拒绝服务攻击（DDoS）设备，负载均衡设备，下一代防火墙，Web应用防火墙，流量控制等安全设备。

　　同时，为了对外服务不间断运行，上述设备都会采用双机模式部署，防止单点失效。
　　而对外服务产生的数据都将存放在对外数据中心的数据库中。为了防止公共数据受到非法入侵和篡改。我们将在对外数据中心部署：数据库审计，数据备份，Web应用防火墙，网页防篡改以及基本的下一代防火墙。

　　如果需要对外提供电子邮件服务，我们还将在电子邮件服务器前端部署反垃圾邮件网关，抵御垃圾邮件的侵扰。在后端部署邮件归档系统，对旧邮件实现归档保存，降低邮件服务器负荷。

　　办公区、云平台\虚拟化去、数据中心（内部）和安全运维区，这四个区域是企业网内部的主要区域。

　　其中：
　　办公区：是企业员工的主要办公场所，为这个区域提供安全稳定的上网环境是这个区域的主要任务。我们通过下一代防火墙来抵御来自外接的恶意访问行为。同时，该区域也是企业资料泄露的主要区域，我们在该区域重点防范员工的非法上网行为和资料外发导致的数据泄露行为。
　　云平台\虚拟化区：现在企业在内部部署了大量的私有云平台，例如文件云，桌面云等等。而内部业务系统也不再使用物理服务器，大量使用了虚拟化的服务器。那么为了保障云平台和虚拟化环境的安全，我们会在该区域部署继续云平台的虚拟化防火墙和Web应用防火墙，来保障虚拟网络的网络安全。
　　数据中心（内部）：企业的内部数据中心，是企业生产经营数据的主要存放地。那么下一代防火墙和Web应用防火墙能有效的低于从三层直至七层的攻击和嗅探行为，保障企业数据的安全可靠。
　　安全运维区：仅有了保障网络安全的手段，对网络安全的管理者来说是远远不够的。他们需要实时掌握网络中每一次访问对企业网络和业务系统产生的影响，他们需要知道过去的一分钟，一个小说，一个月，究竟有多少合法访问，有多少非法访问；需要知道未来需要对网络作出什么样的调整，才能应对花样百出的安全风险。因此，安全运维区将为网络的管理者提供一个这样的平台：从每条细致的日志收敛到一次完整的访问行为，从多个访问行为追根溯源，追踪到相应的合法或非法的访问记录。

　　云端服务区，分支机构，移动用户和企业总部，四个区域一起组成了一个完整的企业网络延伸区域。

　　部署在远端云平台（例如：阿里云，腾讯云，360云等等）上面的业务系统为企业提供一个灵活伸缩的外部环境。
　　而分支机构和移动用户，作为企业生产力的延伸，它们可以分别通过IP Sec VPN和SSL VPN两种安全链路，与企业网之间建立安全的数据隧道，使在其中传递的业务数据得到安全保障。同时还降低了不同网络协议带来的兼容性问题。对网络协议和网络波动比较敏感的视频会议等系统，也能稳定高效的运行。