等保2.0將等保工作的分為兩個(gè)層面即技術(shù)要求層面和管理要求層面，兩個(gè)層面又細(xì)分8個(gè)大類(lèi)，分別是技術(shù)要求層面（物理和環(huán)境安全，網(wǎng)絡(luò)和通信安全，設(shè)備和計(jì)算安全，應(yīng)用和數(shù)據(jù)安全）及管理要求層面（安全策略和管理制度，安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理）。而等保2.0在以上基本要求之外，還提出了云安全、移動(dòng)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全、大數(shù)據(jù)安全等網(wǎng)絡(luò)空間擴(kuò)展要求，且每個(gè)部分都有詳細(xì)的安全標(biāo)準(zhǔn)。

等保2.0的規(guī)范中，

并沒(méi)有要求使用任何一種產(chǎn)品，

只是要求你的網(wǎng)絡(luò)安全達(dá)

到一個(gè)什么樣的安全程度的標(biāo)準(zhǔn)。

但是我們?nèi)绾稳?shí)現(xiàn)這個(gè)標(biāo)準(zhǔn)？

在達(dá)成要求的整個(gè)過(guò)程中，

網(wǎng)絡(luò)安全產(chǎn)品是最低成本最高效率的路徑。

參照網(wǎng)絡(luò)安全法和等級(jí)保護(hù)標(biāo)準(zhǔn)的具體標(biāo)準(zhǔn)，等保三級(jí)系統(tǒng)設(shè)計(jì)需要很多許多類(lèi)的安全設(shè)備例防火墻、入侵檢測(cè)、入侵防御、堡壘機(jī)、上網(wǎng)行為管理、Web應(yīng)用防護(hù)等。

01  防火墻（ Firewall）

定義:相信大家都知道防火墻是干什么用的，我覺(jué)得需要特別提醒一下，防火墻抵御的是外部的攻擊，并不能對(duì)內(nèi)部的病毒 ( 如ARP病毒 ) 或攻擊有什么太大作用。

功能:防火墻的功能主要是兩個(gè)網(wǎng)絡(luò)之間做邊界防護(hù)，企業(yè)中更多使用的是企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的NAT、包過(guò)濾規(guī)則、端口映射等功能。生產(chǎn)網(wǎng)與辦公網(wǎng)中做邏輯隔離使用，主要功能是包過(guò)濾規(guī)則的使用。

部署方式:網(wǎng)關(guān)模式、透明模式

網(wǎng)關(guān)模式是現(xiàn)在用的最多的模式，可以替代路由器并提供更多的功能，適用于各種類(lèi)型企業(yè)透明部署是在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下，將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡(luò)中間，通過(guò)包過(guò)濾規(guī)則進(jìn)行訪問(wèn)控制，劃分安全域。

至于什么時(shí)候使用網(wǎng)關(guān)模式或者使用透明模式，需要根據(jù)自身需要決定，沒(méi)有絕對(duì)的部署方式。需不需要將服務(wù)器部署在 DMZ區(qū)，取決于服務(wù)器的數(shù)量、重要性。

高可用性:為了保證網(wǎng)絡(luò)可靠性，現(xiàn)在設(shè)備都支持主 - 主、主- 備，等各種部署。

02  防毒墻（防病毒網(wǎng)關(guān)）

定義:相對(duì)于防毒墻來(lái)說(shuō)，一般都具有防火墻的功能，防御的對(duì)象更具有針對(duì)性，那就是病毒。

功能:同防火墻，并增加病毒特征庫(kù)，對(duì)數(shù)據(jù)進(jìn)行與病毒特征庫(kù)進(jìn)行比對(duì)，進(jìn)行查殺病毒。

部署方式:與防火墻相同。

一般情況下使用透明模式部署在防火墻或路由器后或部署在服務(wù)器之前，進(jìn)行病毒防范與查殺。

03  入侵防御 (IPS)

定義:相對(duì)于防火墻來(lái)說(shuō)，一般都具有防火墻的功能，防御的對(duì)象更具有針對(duì)性， 能夠聯(lián)動(dòng)防火墻阻斷攻擊流量。

防火墻是通過(guò)對(duì)五元組進(jìn)行控制，達(dá)到包過(guò)濾的效果，而入侵防御 IPS，則是將數(shù)據(jù)包進(jìn)行檢測(cè) （深度包檢測(cè) DPI）對(duì)蠕蟲(chóng)、病毒、木馬、拒絕服務(wù)等攻擊進(jìn)行查殺。

功能:同防火墻，并增加 IPS 特征庫(kù)，對(duì)攻擊行為進(jìn)行防御。

部署方式:同防毒墻。

特別說(shuō)明:防火墻允許符合規(guī)則的數(shù)據(jù)包進(jìn)行傳輸，對(duì)數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進(jìn)行檢查，而防毒墻和入侵防御則通過(guò)更深的對(duì)數(shù)據(jù)包的檢查彌補(bǔ)了這一點(diǎn)。

04  統(tǒng)一威脅安全網(wǎng)關(guān) (UTM)

定義:提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上集成防病毒、入侵防護(hù)、URL過(guò)濾等功能安全模塊。

功能:同時(shí)具備防火墻、防毒墻、入侵防護(hù)等多個(gè)安全設(shè)備的功能

部署方式:因?yàn)榭梢源娣阑饓δ埽圆渴鸱绞酵阑饓?

現(xiàn)在大多數(shù)廠商，防病毒和入侵防護(hù)已經(jīng)作為防火墻的模塊來(lái)用，在不考慮硬件性能以及費(fèi)用的情況下，開(kāi)啟了防病毒模塊和入侵防護(hù)模塊的防火墻，和UTM其實(shí)是一樣的。至于為什么網(wǎng)絡(luò)中同時(shí)會(huì)出現(xiàn)UTM和防火墻、防病毒、入侵檢測(cè)同時(shí)出現(xiàn)。實(shí)際需要，在服務(wù)器區(qū)前部署防毒墻， 防護(hù)外網(wǎng)病毒的同時(shí)，也可以檢測(cè)和防護(hù)內(nèi)網(wǎng)用戶(hù)對(duì)服務(wù)器的攻擊。

05  IPSec VPN

IPSec VPN的使用可通過(guò)上述設(shè)備來(lái)做的，而且通過(guò)加密隧道訪問(wèn)網(wǎng)絡(luò)，本身也是對(duì)網(wǎng)絡(luò)的一種安全防護(hù)。

定義:采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)

功能:通過(guò)使用 IPSec VPN使客戶(hù)端或一個(gè)網(wǎng)絡(luò)與另外一個(gè)網(wǎng)絡(luò)連接起來(lái)，多數(shù)用在分支機(jī)構(gòu)與總部連接。

部署方式:網(wǎng)關(guān)模式、旁路模式

鑒于網(wǎng)關(guān)類(lèi)設(shè)備基本都具備 IPSec VPN功能，所以很多情況下都是直接在網(wǎng)關(guān)設(shè)備上啟用 IPSec VPN功能，也有個(gè)別情況新購(gòu)買(mǎi)IPSec VPN設(shè)備，在對(duì)現(xiàn)有網(wǎng)絡(luò)沒(méi)有影響的情況下進(jìn)行旁路部署，部署后需要對(duì)IPSec VPN設(shè)備放通安全規(guī)則，做端口映射等。也可以使用 windows server 部署 VPN，相比硬件設(shè)備穩(wěn)定性會(huì)差一些，受操作系統(tǒng)影響。

06  SSL VPN

定義:采用 SSL協(xié)議的一種 VPN技術(shù)，相比IPSec VPN使用起來(lái)要更加方便，SSL VPN使用瀏覽器即可使用。

功能:隨著移動(dòng)辦公的快速發(fā)展，SSL VPN的使用也越來(lái)越多，除了移動(dòng)辦公使用，通過(guò)瀏覽器登錄SSLVPN連接到其他網(wǎng)絡(luò)也十分方便， IPSec VPN更傾向網(wǎng)絡(luò)接入，而 SSL VPN更傾向?qū)?yīng)用發(fā)布。

部署方式:SSL VPN網(wǎng)關(guān)的部署一般采用旁路部署方式，在不改變用戶(hù)網(wǎng)絡(luò)的狀況下實(shí)現(xiàn)移動(dòng)辦公等功能。

07  WAF web 應(yīng)用防護(hù)系統(tǒng)

定義: WAF(Web Application Firewall)的防護(hù)方面是 web應(yīng)用，防護(hù)的對(duì)象是網(wǎng)站及 B/S 結(jié)構(gòu)的各類(lèi)系統(tǒng)。

功能:針對(duì) HTTP/HTTPS協(xié)議進(jìn)行分析，對(duì) SQL注入攻擊、XSS攻擊 Web攻擊進(jìn)行防護(hù)，并具備基于 URL 的訪問(wèn)控制；HTTP協(xié)議合規(guī)；Web敏感信息防護(hù)；文件上傳下載控制；Web 表單關(guān)鍵字過(guò)濾。網(wǎng)頁(yè)掛馬防護(hù)，Web shell 防護(hù)以及 web應(yīng)用交付等功能。

部署方式:通常部署在 web應(yīng)用服務(wù)器前進(jìn)行防護(hù)IPS也能檢測(cè)出部分web攻擊，但沒(méi)有WAF針對(duì)性強(qiáng)，所以根據(jù)防護(hù)對(duì)象不同選用不同設(shè)備，效果更好。

08  網(wǎng)絡(luò)安全審計(jì)

定義:審計(jì)網(wǎng)絡(luò)方面的相關(guān)內(nèi)容。

功能:針對(duì)互聯(lián)網(wǎng)行為提供有效的行為審計(jì)、內(nèi)容審計(jì)、行為報(bào)警、行為控制及相關(guān)審計(jì)功能。

滿(mǎn)足用戶(hù)對(duì)互聯(lián)網(wǎng)行為審計(jì)備案及安全保護(hù)措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。

部署方式:采用旁路部署模式，通過(guò)在核心交換機(jī)上設(shè)置鏡像口，將鏡像數(shù)據(jù)發(fā)送到審計(jì)設(shè)備。 

09  數(shù)據(jù)庫(kù)安全審計(jì)

定義:數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類(lèi)操作行為。

功能:審計(jì)對(duì)數(shù)據(jù)庫(kù)的各類(lèi)操作，精確到每一條 SQL命令，并有強(qiáng)大的報(bào)表功能。

部署方式:采用旁路部署模式，通過(guò)在核心交換機(jī)上設(shè)置鏡像口，將鏡像數(shù)據(jù)發(fā)送到審計(jì)設(shè)備。

10  日志審計(jì)

定義:集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶(hù)訪問(wèn)記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類(lèi)信息，經(jīng)過(guò)規(guī)范化、過(guò)濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理，結(jié)合豐富的日志統(tǒng)計(jì)匯總及關(guān)聯(lián)分析功能，實(shí)現(xiàn)對(duì)信息系統(tǒng)日志的全面審計(jì)。

功能:通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)日志進(jìn)行全面的標(biāo)準(zhǔn)化處理，及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件，為管理人員提供全局的視角，確?？蛻?hù)業(yè)務(wù)的不間斷運(yùn)營(yíng)。

部署方式：旁路模式部署。通常由設(shè)備發(fā)送日志到審計(jì)設(shè)備，或在服務(wù)器中安裝代理，由代理發(fā)送日志到審計(jì)設(shè)備。

11  運(yùn)維安全審計(jì) ( 堡壘機(jī) )

定義:在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下， 為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自?xún)?nèi)部合法用戶(hù)的不合規(guī)操作帶來(lái)的系統(tǒng)損壞和數(shù)據(jù)泄露，而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)，以便集中報(bào)警、記錄、分析、處理的一種技術(shù)手段。

功能:主要是針對(duì)運(yùn)維人員維護(hù)過(guò)程的全面跟蹤、 控制、記錄、回放，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤回放。

部署方式:旁路模式部署。使用防火墻對(duì)服務(wù)器訪問(wèn)權(quán)限進(jìn)行限制，只能通過(guò)堡壘機(jī)對(duì)網(wǎng)絡(luò)設(shè)備/服務(wù)器/數(shù)據(jù)庫(kù)等系統(tǒng)操作。

審計(jì)產(chǎn)品最終的目的都是審計(jì)，只不過(guò)是審計(jì)的內(nèi)容不同而已，根據(jù)不同需求選擇不同的審計(jì)產(chǎn)品，一旦出現(xiàn)攻擊、非法操作、違規(guī)操作、誤操作等行為，對(duì)事后處理提供有利證據(jù)。

12   入侵檢測(cè)（ IDS/APT）

定義:對(duì)入侵攻擊行為進(jìn)行檢測(cè)，IDS只可以檢測(cè)已知的威脅，APT既檢測(cè)未知威脅為主，又可以檢測(cè)已知威脅。

功能:通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析， 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

部署方式:采用旁路部署模式，通過(guò)在核心交換機(jī)上設(shè)置鏡像口，將鏡像數(shù)據(jù)發(fā)送到入侵檢測(cè)設(shè)備。

入侵檢測(cè)雖然是入侵攻擊行為檢測(cè)，但監(jiān)控的同時(shí)也對(duì)攻擊和異常數(shù)據(jù)進(jìn)行了審計(jì)，入侵檢測(cè)系統(tǒng)是等保三級(jí)中必配設(shè)備。

13  上網(wǎng)行為管理

定義:對(duì)上網(wǎng)行為進(jìn)行管理

功能:對(duì)上網(wǎng)用戶(hù)進(jìn)行流量管理、上網(wǎng)行為日志進(jìn)行審計(jì)、對(duì)應(yīng)用軟件或站點(diǎn)進(jìn)行阻止或流量限制、關(guān)鍵字過(guò)濾等。

部署方式:網(wǎng)關(guān)部署、透明部署、旁路部署

網(wǎng)關(guān)部署:在中小型企業(yè)網(wǎng)絡(luò)以上網(wǎng)行為管理為網(wǎng)關(guān)，可代替路由器或防火墻并同時(shí)具備上網(wǎng)行為管理功能

透明部署:大多數(shù)情況下，企業(yè)會(huì)選擇透明部署模式，將設(shè)備部署在網(wǎng)關(guān)與核心交換之間，對(duì)上網(wǎng)數(shù)據(jù)進(jìn)行管理

旁路部署:僅需要上網(wǎng)行為管理審計(jì)功能時(shí)，也可選擇旁路部署模式，在核心交換機(jī)上配置鏡像口將數(shù)據(jù)發(fā)送給上網(wǎng)行為管理。

上網(wǎng)行為管理應(yīng)該屬于網(wǎng)絡(luò)優(yōu)化類(lèi)產(chǎn)品，流控功能是最重要的功能，隨著技術(shù)的發(fā)展，微信認(rèn)證、防便攜式 wifi 等功能不斷完善使之成為了網(wǎng)絡(luò)管理員的最?lèi)?ài)。

14   負(fù)載均衡

定義:將網(wǎng)絡(luò)或應(yīng)用多個(gè)工作分?jǐn)傔M(jìn)行并同時(shí)完成，一般分為鏈路負(fù)載和應(yīng)用負(fù)載 ( 服務(wù)器負(fù)載 )。

功能:確保用戶(hù)的業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付給內(nèi)部員工和外部服務(wù)群,擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。

部署方式:旁路模式、網(wǎng)關(guān)模式、代理模式

旁路模式:通常使用負(fù)載均衡進(jìn)行應(yīng)用負(fù)載時(shí)，旁路部署在相關(guān)應(yīng)用服務(wù)器交換機(jī)上，進(jìn)行應(yīng)用負(fù)載

網(wǎng)關(guān)模式:通常使用鏈路負(fù)載時(shí)，使用網(wǎng)關(guān)模式部署

隨著各種業(yè)務(wù)的增加，負(fù)載均衡的使用也變得廣泛，web應(yīng)用負(fù)載，數(shù)據(jù)庫(kù)負(fù)載都是比較常見(jiàn)的服務(wù)器負(fù)載。鑒于國(guó)內(nèi)運(yùn)營(yíng)商比較惡心，互聯(lián)互通問(wèn)題較為嚴(yán)重，使用鏈路負(fù)載的用戶(hù)也比越來(lái)越多。 

15  漏洞掃描

定義:漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為。

功能:根據(jù)自身漏洞庫(kù)對(duì)目標(biāo)進(jìn)行脆弱性檢測(cè)，并生產(chǎn)相關(guān)報(bào)告，提供漏洞修復(fù)意見(jiàn)等。一般企業(yè)使用漏洞掃描較少，主要是大型網(wǎng)絡(luò)及等、分保檢測(cè)機(jī)構(gòu)使用較多。

部署方式:旁路部署， 通常旁路部署在核心交換機(jī)上，與檢測(cè)目標(biāo)網(wǎng)絡(luò)可達(dá)即可。

16   異常流量清洗

定義: 過(guò)濾以Flood型為主攻擊流量即DDoS攻擊流量。

功能:對(duì)異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注，也是現(xiàn)有針對(duì) DDOS攻擊防護(hù)的主要設(shè)備。

部署方式:旁路部署

17   網(wǎng)閘

定義:全稱(chēng)安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專(zhuān)用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接， 并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。

功能:主要是在兩個(gè)網(wǎng)絡(luò)之間做隔離并需要數(shù)據(jù)交換，網(wǎng)閘是具有中國(guó)特色的產(chǎn)品。

部署方式: 兩個(gè)安全級(jí)別不同的兩個(gè)網(wǎng)絡(luò)之間

防火墻是保證網(wǎng)絡(luò)層安全的邊界安全工具，而安全隔離網(wǎng)閘重點(diǎn)是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，阻斷網(wǎng)絡(luò)中 tcp 等協(xié)議，使用私有協(xié)議進(jìn)行數(shù)據(jù)交換。

網(wǎng)絡(luò)安全建設(shè)的成熟度并不是意味著網(wǎng)絡(luò)安全產(chǎn)品數(shù)量和種類(lèi)的堆疊，建議從安全體系的角度合理規(guī)劃、合理建設(shè)，盡量做到四個(gè)“W”，就是who（誰(shuí)），what（做了什么、改了什么、拿了什么），where（數(shù)據(jù)拿到哪里去了），when（什么時(shí)候拿的）。完成事前預(yù)防，事中控制，事后可查安全工作。