網(wǎng)絡安全等級保護測評的目的和作用

目的：

通過進行網(wǎng)絡安全等級保護測評活動，能夠?qū)π畔⑾到y(tǒng)安全防護體系能力進行分析與確認；發(fā)現(xiàn)存在的安全隱患；幫助運營使用單位認識不足，及時改進；有效提升其網(wǎng)絡安全防護水平；遵循國家等級保護有關規(guī)定的要求，對信息系統(tǒng)安全建設進行符合性測評。

作用：

① 掌握信息系統(tǒng)的安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設整改需求。

② 衡量信息系統(tǒng)的安全保護管理措施和技術措施是否符合等級保護基本要求，是否具備了相應的安全保護能力。

③ 等級測評結(jié)果，為公安機關等安全監(jiān)管部門開展監(jiān)督、檢查、指導等工作提供參照。

以下為網(wǎng)絡安全等級保護網(wǎng)絡設備、安全設備知識點匯總

1、防火墻（ Firewall）

定義:相信大家都知道防火墻是干什么用的， 我覺得需要特別提醒一下，防火墻抵御的是外部的攻擊，并不能對內(nèi)部的病毒 ( 如ARP病毒 ) 或攻擊沒什么太大作用。

功能:防火墻的功能主要是兩個網(wǎng)絡之間做邊界防護， 企業(yè)中更多使用的是企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的NAT、包過濾規(guī)則、端口映射等功能。生產(chǎn)網(wǎng)與辦公網(wǎng)中做邏輯隔離使用， 主要功能是包過濾規(guī)則的使用。

部署方式:網(wǎng)關模式、透明模式 :

網(wǎng)關模式是現(xiàn)在用的最多的模式，可以替代路由器并提供更多的功能，適用于各種類型企業(yè)透明部署是在不改變現(xiàn)有網(wǎng)絡結(jié)構(gòu)的情況下，將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡中間，通過包過濾規(guī)則進行訪問控制，做安全域的劃分。 至于什么時候使用網(wǎng)關模式或者使用透明模式，需要根據(jù)自身需要決定，沒有絕對的部署方式。需不需要將服務器部署在 DMZ區(qū)，取決于服務器的數(shù)量、重要性。

總之怎么部署都是用戶自己的選擇！

高可用性:為了保證網(wǎng)絡可靠性，現(xiàn)在設備都支持主 - 主、主- 備，等各種部署。
 

2、防毒墻

定義:相對于防毒墻來說，一般都具有防火墻的功能， 防御的對象更具有針對性，那就是病毒。

功能:同防火墻，并增加病毒特征庫，對數(shù)據(jù)進行與病毒特征庫進行比對，進行查殺病毒。

部署方式:同防火墻，大多數(shù)時候使用透明模式部署在防火墻或路由器后或部署在服務器之前，進行病毒防范與查殺。


3、入侵防御 (IPS)

定義:相對于防火墻來說，一般都具有防火墻的功能，防御的對象更具有針對性， 那就是攻擊。防火墻是通過對五元組進行控制，達到包過濾的效果，而入侵防御 IPS，則是將數(shù)據(jù)包進行檢測 （深度包檢測 DPI）對蠕蟲、病毒、木馬、拒絕服務等攻擊進行查殺。

功能:同防火墻，并增加 IPS 特征庫，對攻擊行為進行防御。

部署方式:同防毒墻。

特別說明一下:防火墻允許符合規(guī)則的數(shù)據(jù)包進行傳輸，對數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進行檢查，而防毒墻和入侵防御則通過更深的對數(shù)據(jù)包的檢查彌補了這一點。

 
4、統(tǒng)一威脅安全網(wǎng)關 (UTM)

定義:簡單的理解，把威脅都統(tǒng)一了，其實就是把上面三個設備整合到一起了。

功能:同時具備防火墻、防毒墻入侵防護三個設備的功能。

部署方式:因為可以代替防火墻功能，所以部署方式同防火墻

現(xiàn)在大多數(shù)廠商，防病毒和入侵防護已經(jīng)作為防火墻的模塊來用，在不考慮硬件性能以及費用的情況下，開啟了防病毒模塊和入侵防護模塊的防火墻，和UTM其實是一樣的。至于為什么網(wǎng)絡中同時會出現(xiàn) UTM和防火墻、防病毒、入侵檢測同時出現(xiàn)。

第一，實際需要，在服務器區(qū)前部署防毒墻， 防護外網(wǎng)病毒的同時，也可以檢測和防護內(nèi)網(wǎng)用戶對服務器的攻擊。第二，花錢，大家都懂的?？傊€是那句話，設備部署還是看用戶。


5、IPSEC VPN

把 IPSECVPN放到網(wǎng)絡安全防護里，其實是因為大多數(shù)情況下， IPSEC VPN的使用都是通過上述設備來做的，而且通過加密隧道訪問網(wǎng)絡，本身也是對網(wǎng)絡的一種安全防護。

定義:采用 IPSec 協(xié)議來實現(xiàn)遠程接入的一種 VPN技術，至于什么是 IPSEC 什么是 VPN，小伙伴們請自行百度吧

功能:通過使用 IPSECVPN使客戶端或一個網(wǎng)絡與另外一個網(wǎng)絡連接起來，多數(shù)用在分支機構(gòu)與總部連接。

部署方式:網(wǎng)關模式、旁路模式

鑒于網(wǎng)關類設備基本都具備 IPSECVPN功能，所以很多情況下都是直接在網(wǎng)關設備上啟用 IPSEC VPN功能，也有個別情況新購買IPSEC VPN設備，在對現(xiàn)有網(wǎng)絡沒有影響的情況下進行旁路部署，部署后需要對IPSECVPN設備放通安全規(guī)則，做端口映射等等。也可以使用 windows server 部署 VPN，需要的同學也請自行百度 ~相比硬件設備，自己部署沒有什么花費，但 IPSECVPN受操作系統(tǒng)影響，相比硬件設備穩(wěn)定性會差一些。


以上設備常見廠家( 不排名啊不排名 )

JuniperCheck Point Fortinet （飛塔）思科 天融信 山石網(wǎng)科 啟明星辰 深信服 綠盟網(wǎng)御星云 網(wǎng)御神州 華賽 梭子魚 迪普H3C


6、 網(wǎng)閘

定義:全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡之間的鏈路層連接， 并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備

功能:主要是在兩個網(wǎng)絡之間做隔離并需要數(shù)據(jù)交換，網(wǎng)閘是具有中國特色的產(chǎn)品。

部署方式:兩套網(wǎng)絡之間

防火一般在兩套網(wǎng)絡之間做邏輯隔離， 而網(wǎng)閘符合相關要求，可以做物理隔離，阻斷網(wǎng)絡中 tcp 等協(xié)議，使用私有協(xié)議進行數(shù)據(jù)交換，一般企業(yè)用的比較少， 在對網(wǎng)絡要求稍微高一些的單位會用到網(wǎng)閘。


7、SSL VPN

定義:采用 SSL協(xié)議的一種 VPN技術，相比 IPSEC VPN使用起來要更加方便，畢竟 SSL VPN使用瀏覽器即可使用。

功能:隨著移動辦公的快速發(fā)展，SSL VPN的使用也越來越多，除了移動辦公使用，通過瀏覽器登錄SSLVPN連接到其他網(wǎng)絡也十分方便， IPSEC VPN更傾向網(wǎng)絡接入，而 SSL VPN更傾向?qū)冒l(fā)布

部署:SSL VPN的部署一般采用旁路部署方式，在不改變用戶網(wǎng)絡的狀況下實現(xiàn)移動辦公等功能。

 
8、WAF (Web Application Firewall) web 應用防護系統(tǒng)

定義:名稱就可以看出，WAF的防護方面是 web應用，說白了防護的對象是網(wǎng)站及 B/S 結(jié)構(gòu)的各類系統(tǒng)。

功能:針對 HTTP/HTTPS協(xié)議進行分析，對 SQL注入攻擊、XSS攻擊 Web攻擊進行防護，并具備基于 URL 的訪問控制； HTTP協(xié)議合規(guī)；Web敏感信息防護；文件上傳下載控制；Web 表單關鍵字過濾。網(wǎng)頁掛馬防護，Webshell 防護以及 web應用交付等功能。

部署:通常部署在 web應用服務器前進行防護

IPS 也能檢測出部分web攻擊，但沒有WAF針對性強，所以根據(jù)防護對象不同選用不同設備，效果更好。


9、網(wǎng)絡安全審計

定義:審計網(wǎng)絡方面的相關內(nèi)容

功能:針對互聯(lián)網(wǎng)行為提供有效的行為審計、內(nèi)容審計、行為報警、行為控制及相關審計功能。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風險防范。

部署:采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數(shù)據(jù)發(fā)送到審計設備。

 
10、數(shù)據(jù)庫安全審計

定義:數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為。

功能:審計對數(shù)據(jù)庫的各類操作，精確到每一條 SQL命令，并有強大的報表功能。

部署:采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數(shù)據(jù)發(fā)送到審計設備。


11、日志審計

定義:集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進行集中存儲和管理，結(jié)合豐富的日志統(tǒng)計匯總及關聯(lián)分析功能，實現(xiàn)對信息系統(tǒng)日志的全面審計。

功能:通過對網(wǎng)絡設備、安全設備、主機和應用系統(tǒng)日志進行全面的標準化處理，及時發(fā)現(xiàn)各種安全威脅、異常行為事件，為管理人員提供全局的視角，確?？蛻魳I(yè)務的不間斷運營安全部署:旁路模式部署。通常由設備發(fā)送日志到審計設備， 或在服務器中安裝代理，由代理發(fā)送日志到審計設備。


12、運維安全審計 ( 堡壘機 )

定義:在一個特定的網(wǎng)絡環(huán)境下， 為了保障網(wǎng)絡和數(shù)據(jù)不受來自內(nèi)部合法用戶的不合規(guī)操作帶來的系統(tǒng)損壞和數(shù)據(jù)泄露， 而運用各種技術手段實時收集和監(jiān)控網(wǎng)絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡活動，以便集中報警、記錄、分析、處理的一種技術手段。

功能:主要是針對運維人員維護過程的全面跟蹤、 控制、記錄、回放，以幫助內(nèi)控工作事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放。

部署:旁路模式部署。使用防火墻對服務器訪問權限進行限制，只能通過堡壘機對網(wǎng)絡設備/服務器/數(shù)據(jù)庫等系統(tǒng)操作。

可以看出審計產(chǎn)品最終的目的都是審計，只不過是審計的內(nèi)容不同而已，根據(jù)不同需求選擇不同的審計產(chǎn)品，一旦出現(xiàn)攻擊、非法操作、違規(guī)操作、誤操作等行為，對事后處理提供有利證據(jù)。

 
13、入侵檢測（ IDS）

定義:對入侵攻擊行為進行檢測

功能:通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析， 從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象

部署:采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數(shù)據(jù)發(fā)送到入侵檢測設備。

入侵檢測雖然是入侵攻擊行為檢測， 但監(jiān)控的同時也對攻擊和異常數(shù)據(jù)進行了審計，所以把入侵檢測系統(tǒng)也放到了審計里一起介紹。入侵檢測系統(tǒng)是等保三級中必配設備。


14、上網(wǎng)行為管理

定義:顧名思義，就是對上網(wǎng)行為進行管理

功能:對上網(wǎng)用戶進行流量管理、上網(wǎng)行為日志進行審計、對應用軟件或站點進行阻止或流量限制、關鍵字過濾等

部署:網(wǎng)關部署、透明部署、旁路部署

網(wǎng)關部署:中小型企業(yè)網(wǎng)絡較為簡單，可使用上網(wǎng)行為管理作為網(wǎng)關，代替路由器或防火墻并同時具備上網(wǎng)行為管理功能

透明部署:大多數(shù)情況下，企業(yè)會選擇透明部署模式，將設備部署在網(wǎng)關與核心交換之間，對上網(wǎng)數(shù)據(jù)進行管理

旁路部署:僅需要上網(wǎng)行為管理審計功能時，也可選擇旁路部署模式，在核心交換機上配置鏡像口將數(shù)據(jù)發(fā)送給上網(wǎng)行為管理

個人覺得上網(wǎng)行為管理應該屬于網(wǎng)絡優(yōu)化類產(chǎn)品，流控功能是最重要的功能，隨著技術的發(fā)展，微信認證、防便攜式 wifi 等功能不斷完善使之成為了網(wǎng)絡管理員的最愛 ~

 
15、負載均衡

定義:將網(wǎng)絡或應用多個工作分攤進行并同時完成，一般分為鏈路負載和應用負載 ( 服務器負載 )

功能:確保用戶的業(yè)務應用能夠快速、安全、可靠地交付給內(nèi)部員工和外部服務群,擴展網(wǎng)絡設備和服務器的帶寬、增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性

部署:旁路模式、網(wǎng)關模式、代理模式

旁路模式:通常使用負載均衡進行應用負載時，旁路部署在相關應用服務器交換機上，進行應用負載

網(wǎng)關模式:通常使用鏈路負載時，使用網(wǎng)關模式部署

隨著各種業(yè)務的增加，負載均衡的使用也變得廣泛， web應用負載，數(shù)據(jù)庫負載都是比較常見的服務器負載。鑒于國內(nèi)運營商比較惡心，互聯(lián)互通問題較為嚴重，使用鏈路負載的用戶也比越來越多。

 
16、漏洞掃描

定義:漏洞掃描是指基于漏洞數(shù)據(jù)庫， 通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。

功能:根據(jù)自身漏洞庫對目標進行脆弱性檢測， 并生產(chǎn)相關報告，提供漏洞修復意見等。一般企業(yè)使用漏洞掃描較少，主要是大型網(wǎng)絡及等、分保檢測機構(gòu)使用較多

部署:旁路部署， 通常旁路部署在核心交換機上， 與檢測目標網(wǎng)絡可達即可。


17、異常流量清洗

定義:看名字吧

功能:對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注，也是現(xiàn)有針對 DDOS攻擊防護的主要設備

部署:旁路部署