一、典型等级保护用户整改参考图(建设目标)
二、等保整改方案五步走
1.安全域划分
做等级保护的整改,第一步一定是要明确安全域。下面是经典安全域划分方案:
业务服务器域:客户的业务服务器和存储的安全区域
用户终端域:用户终端,一些完全不重要的服务器所在区域
安全管理域:安全管理中心,包括网管系统服务器,终端安全管理服务器等用于网络和安全运维管理的设备
互联网出口域:互联网出口的网络链路和安全设备
2.互联网出口
在互联网出口部署防火墙、入侵防御、病毒过滤、上网行为管理、链路负载均衡等;
3.安全域互访隔离
所有的安全域之间必须通过防火墙才能互联互通;
4.Web安全防护
web服务器前部署web防火墙;
5.安全管理中心
安全管理中心需要:漏洞扫描系统、数据库审计系统、终端安全管理系统、网管系统、APM应用性能管理系统、SSL VPN、防病毒系统、运维堡垒主机等;
三、涉及产品列表,红色为深信服可提供的产品
| 产品类别 | 深信服对应 | 部署位置 | 产品作用 | 满足要求 | |
| 数据与应用区 | 应用负载均衡 | AD | 服务器前端 | 应用服务器负载均衡 | 网络安全-结构安全-避免单点故障 |
| 全局负载均衡 广域网优化 | AD WOC/快速VPN | 主备数据中心 | 主备数据中心同时处理业务 提升主备间的网速,避免单条线路单点故障 | 网络安全-结构安全-数据备份与恢复 | |
| 广域网VPN | WOC/快速VPN | 总部和分支机构 | 加密总部到分支机构的网络链路 | 数据安全-数据完整性、保密性 | |
| SSL VPN | SSLVPN EasyConnect | 互联网出口 | 远程用户接入的身份认证和加密 | 数据安全-通信保密性 | |
| SSLVPN | SSLVPN EasyConnect | 服务器前端 | 鉴别用户身份、加密数据再传输、记录访问行为 应用虚拟化,数据不落地 | 应用安全-身份鉴别、访问控制、-通信保密性、完整性、安全审计 | |
| 互 联 网 出 口 | 防火墙 | NGAF | 互联网出口 | 隔离互联网和内部网络 | 网络安全-访问控制 |
| 入侵防御 | NGAF | 互联网出口 | 防范网络入侵攻击 | 网络安全-入侵防范 | |
| 防病毒模块 | NGAF | 互联网出口 | 网络层病毒和恶意代码过滤 | 网络安全-恶意代码过滤 | |
| 上网行为管理/审计 | AC | 互联网出口 | 内部用户上网的安全审计; 流量管理与控制; 内部非法无线热点发现; | 网络安全-结构安全、安全审计、边界完整性、非法外联 | |
| 流量管理 | AC | 互联网出口 | 流量管理与控制 | 网络安全-结构安全 | |
| 链路负载均衡 | AD | 互联网出口 | 链路负载均衡; | 网络安全-结构安全 | |
| 安全域隔离 | 防火墙 | NGAF | 安全管理区的外联口 | 隔离安全管理区和其他区域 | 网络安全-访问控制 |
| 网站防护 | Web防火墙 | NGAF | 业务服务区的外联口 | 隔离业务服务器区和其他区域,防范web层网络攻击 | 网络安全-访问控制、入侵防范 |
| 安 全 管 理 中 心 | 应用性能管理 | APM | 安全管理区域 | 网络设备、服务器、应用系统监控; 资源阈值告警和预警; | 网络安全-资源控制 主机安全-资源控制 应用安全-资源控制 |
| 防病毒系统 | 趋势、Symantec | 安全管理区域 | 主机防病毒服务器,同时在终端安装病毒软件 | 主机安全-恶意代码过滤 | |
| 数据库审计系统 | 深信服 | 安全管理区域 | 数据库访问的审计 | 主机安全-安全审计 | |
| 漏洞扫描 | NGAF | 安全管理区域 | 漏洞扫描 | 主机安全-入侵防范 | |
| 终端安全管理系统 | 安全管理区域 | 终端安全审计、终端端口管理、终端防火墙入侵防御等; | 主机安全-安全审计、访问控制、入侵防范、非法外联 | ||
| 运维堡垒机 | 青莲 | 安全管理区域 | 运维审计 | 网路安全-网络设备防护 |
