等保2.0將等保工作的分為兩個層面即技術要求層面和管理要求層面，兩個層面又細分8個大類，分別是技術要求層面（物理和環境安全，網絡和通信安全，設備和計算安全，應用和數據安全）及管理要求層面（安全策略和管理制度，安全管理機構和人員、安全建設管理、安全運維管理）。而等保2.0在以上基本要求之外，還提出了云安全、移動互聯網安全、物聯網安全、工業控制系統安全、大數據安全等網絡空間擴展要求，且每個部分都有詳細的安全標準。

等保2.0的規范中，

并沒有要求使用任何一種產品，

只是要求你的網絡安全達

到一個什么樣的安全程度的標準。

但是我們如何去實現這個標準？

在達成要求的整個過程中，

網絡安全產品是最低成本最高效率的路徑。

參照網絡安全法和等級保護標準的具體標準，等保三級系統設計需要很多許多類的安全設備例防火墻、入侵檢測、入侵防御、堡壘機、上網行為管理、Web應用防護等。

01  防火墻（ Firewall）

定義:相信大家都知道防火墻是干什么用的，我覺得需要特別提醒一下，防火墻抵御的是外部的攻擊，并不能對內部的病毒 ( 如ARP病毒 ) 或攻擊有什么太大作用。

功能:防火墻的功能主要是兩個網絡之間做邊界防護，企業中更多使用的是企業內網與互聯網的NAT、包過濾規則、端口映射等功能。生產網與辦公網中做邏輯隔離使用，主要功能是包過濾規則的使用。

部署方式:網關模式、透明模式

網關模式是現在用的最多的模式，可以替代路由器并提供更多的功能，適用于各種類型企業透明部署是在不改變現有網絡結構的情況下，將防火墻以透明網橋的模式串聯到企業的網絡中間，通過包過濾規則進行訪問控制，劃分安全域。

至于什么時候使用網關模式或者使用透明模式，需要根據自身需要決定，沒有絕對的部署方式。需不需要將服務器部署在 DMZ區，取決于服務器的數量、重要性。

高可用性:為了保證網絡可靠性，現在設備都支持主 - 主、主- 備，等各種部署。

02  防毒墻（防病毒網關）

定義:相對于防毒墻來說，一般都具有防火墻的功能，防御的對象更具有針對性，那就是病毒。

功能:同防火墻，并增加病毒特征庫，對數據進行與病毒特征庫進行比對，進行查殺病毒。

部署方式:與防火墻相同。

一般情況下使用透明模式部署在防火墻或路由器后或部署在服務器之前，進行病毒防范與查殺。

03  入侵防御 (IPS)

定義:相對于防火墻來說，一般都具有防火墻的功能，防御的對象更具有針對性， 能夠聯動防火墻阻斷攻擊流量。

防火墻是通過對五元組進行控制，達到包過濾的效果，而入侵防御 IPS，則是將數據包進行檢測 （深度包檢測 DPI）對蠕蟲、病毒、木馬、拒絕服務等攻擊進行查殺。

功能:同防火墻，并增加 IPS 特征庫，對攻擊行為進行防御。

部署方式:同防毒墻。

特別說明:防火墻允許符合規則的數據包進行傳輸，對數據包中是否有病毒代碼或攻擊代碼并不進行檢查，而防毒墻和入侵防御則通過更深的對數據包的檢查彌補了這一點。

04  統一威脅安全網關 (UTM)

定義:提供傳統防火墻、VPN功能基礎上集成防病毒、入侵防護、URL過濾等功能安全模塊。

功能:同時具備防火墻、防毒墻、入侵防護等多個安全設備的功能

部署方式:因為可以代替防火墻功能，所以部署方式同防火墻

現在大多數廠商，防病毒和入侵防護已經作為防火墻的模塊來用，在不考慮硬件性能以及費用的情況下，開啟了防病毒模塊和入侵防護模塊的防火墻，和UTM其實是一樣的。至于為什么網絡中同時會出現UTM和防火墻、防病毒、入侵檢測同時出現。實際需要，在服務器區前部署防毒墻， 防護外網病毒的同時，也可以檢測和防護內網用戶對服務器的攻擊。

05  IPSec VPN

IPSec VPN的使用可通過上述設備來做的，而且通過加密隧道訪問網絡，本身也是對網絡的一種安全防護。

定義:采用IPSec協議來實現遠程接入的一種VPN技術

功能:通過使用 IPSec VPN使客戶端或一個網絡與另外一個網絡連接起來，多數用在分支機構與總部連接。

部署方式:網關模式、旁路模式

鑒于網關類設備基本都具備 IPSec VPN功能，所以很多情況下都是直接在網關設備上啟用 IPSec VPN功能，也有個別情況新購買IPSec VPN設備，在對現有網絡沒有影響的情況下進行旁路部署，部署后需要對IPSec VPN設備放通安全規則，做端口映射等。也可以使用 windows server 部署 VPN，相比硬件設備穩定性會差一些，受操作系統影響。

06  SSL VPN

定義:采用 SSL協議的一種 VPN技術，相比IPSec VPN使用起來要更加方便，SSL VPN使用瀏覽器即可使用。

功能:隨著移動辦公的快速發展，SSL VPN的使用也越來越多，除了移動辦公使用，通過瀏覽器登錄SSLVPN連接到其他網絡也十分方便， IPSec VPN更傾向網絡接入，而 SSL VPN更傾向對應用發布。

部署方式:SSL VPN網關的部署一般采用旁路部署方式，在不改變用戶網絡的狀況下實現移動辦公等功能。

07  WAF web 應用防護系統

定義: WAF(Web Application Firewall)的防護方面是 web應用，防護的對象是網站及 B/S 結構的各類系統。

功能:針對 HTTP/HTTPS協議進行分析，對 SQL注入攻擊、XSS攻擊 Web攻擊進行防護，并具備基于 URL 的訪問控制；HTTP協議合規；Web敏感信息防護；文件上傳下載控制；Web 表單關鍵字過濾。網頁掛馬防護，Web shell 防護以及 web應用交付等功能。

部署方式:通常部署在 web應用服務器前進行防護IPS也能檢測出部分web攻擊，但沒有WAF針對性強，所以根據防護對象不同選用不同設備，效果更好。

08  網絡安全審計

定義:審計網絡方面的相關內容。

功能:針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。

滿足用戶對互聯網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息追蹤、系統安全管理和風險防范。

部署方式:采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數據發送到審計設備。 

09  數據庫安全審計

定義:數據庫安全審計系統主要用于監視并記錄對數據庫服務器的各類操作行為。

功能:審計對數據庫的各類操作，精確到每一條 SQL命令，并有強大的報表功能。

部署方式:采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數據發送到審計設備。

10  日志審計

定義:集中采集信息系統中的系統安全事件、用戶訪問記錄、系統運行日志、系統運行狀態等各類信息，經過規范化、過濾、歸并和告警分析等處理后，以統一格式的日志形式進行集中存儲和管理，結合豐富的日志統計匯總及關聯分析功能，實現對信息系統日志的全面審計。

功能:通過對網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理，及時發現各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保客戶業務的不間斷運營。

部署方式：旁路模式部署。通常由設備發送日志到審計設備，或在服務器中安裝代理，由代理發送日志到審計設備。

11  運維安全審計 ( 堡壘機 )

定義:在一個特定的網絡環境下， 為了保障網絡和數據不受來自內部合法用戶的不合規操作帶來的系統損壞和數據泄露，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便集中報警、記錄、分析、處理的一種技術手段。

功能:主要是針對運維人員維護過程的全面跟蹤、 控制、記錄、回放，以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放。

部署方式:旁路模式部署。使用防火墻對服務器訪問權限進行限制，只能通過堡壘機對網絡設備/服務器/數據庫等系統操作。

審計產品最終的目的都是審計，只不過是審計的內容不同而已，根據不同需求選擇不同的審計產品，一旦出現攻擊、非法操作、違規操作、誤操作等行為，對事后處理提供有利證據。

12   入侵檢測（ IDS/APT）

定義:對入侵攻擊行為進行檢測，IDS只可以檢測已知的威脅，APT既檢測未知威脅為主，又可以檢測已知威脅。

功能:通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析， 從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。

部署方式:采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數據發送到入侵檢測設備。

入侵檢測雖然是入侵攻擊行為檢測，但監控的同時也對攻擊和異常數據進行了審計，入侵檢測系統是等保三級中必配設備。

13  上網行為管理

定義:對上網行為進行管理

功能:對上網用戶進行流量管理、上網行為日志進行審計、對應用軟件或站點進行阻止或流量限制、關鍵字過濾等。

部署方式:網關部署、透明部署、旁路部署

網關部署:在中小型企業網絡以上網行為管理為網關，可代替路由器或防火墻并同時具備上網行為管理功能

透明部署:大多數情況下，企業會選擇透明部署模式，將設備部署在網關與核心交換之間，對上網數據進行管理

旁路部署:僅需要上網行為管理審計功能時，也可選擇旁路部署模式，在核心交換機上配置鏡像口將數據發送給上網行為管理。

上網行為管理應該屬于網絡優化類產品，流控功能是最重要的功能，隨著技術的發展，微信認證、防便攜式 wifi 等功能不斷完善使之成為了網絡管理員的最愛。

14   負載均衡

定義:將網絡或應用多個工作分攤進行并同時完成，一般分為鏈路負載和應用負載 ( 服務器負載 )。

功能:確保用戶的業務應用能夠快速、安全、可靠地交付給內部員工和外部服務群,擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。

部署方式:旁路模式、網關模式、代理模式

旁路模式:通常使用負載均衡進行應用負載時，旁路部署在相關應用服務器交換機上，進行應用負載

網關模式:通常使用鏈路負載時，使用網關模式部署

隨著各種業務的增加，負載均衡的使用也變得廣泛，web應用負載，數據庫負載都是比較常見的服務器負載。鑒于國內運營商比較惡心，互聯互通問題較為嚴重，使用鏈路負載的用戶也比越來越多。 

15  漏洞掃描

定義:漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測（滲透攻擊）行為。

功能:根據自身漏洞庫對目標進行脆弱性檢測，并生產相關報告，提供漏洞修復意見等。一般企業使用漏洞掃描較少，主要是大型網絡及等、分保檢測機構使用較多。

部署方式:旁路部署， 通常旁路部署在核心交換機上，與檢測目標網絡可達即可。

16   異常流量清洗

定義: 過濾以Flood型為主攻擊流量即DDoS攻擊流量。

功能:對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注，也是現有針對 DDOS攻擊防護的主要設備。

部署方式:旁路部署

17   網閘

定義:全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接， 并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。

功能:主要是在兩個網絡之間做隔離并需要數據交換，網閘是具有中國特色的產品。

部署方式: 兩個安全級別不同的兩個網絡之間

防火墻是保證網絡層安全的邊界安全工具，而安全隔離網閘重點是保護內部網絡的安全，阻斷網絡中 tcp 等協議，使用私有協議進行數據交換。

網絡安全建設的成熟度并不是意味著網絡安全產品數量和種類的堆疊，建議從安全體系的角度合理規劃、合理建設，盡量做到四個“W”，就是who（誰），what（做了什么、改了什么、拿了什么），where（數據拿到哪里去了），when（什么時候拿的）。完成事前預防，事中控制，事后可查安全工作。