深信服下一代防火墙-等保最佳选择.docVIP

深信服下一代防火墙NGAF 三级等保最佳选择 深信服科技有限公司 目录 一、医院三级等保要求的硬件部署拓扑图 3 1.1 详细的部署情况： 3 二、深信服下一代防火墙简介 4 2.1 七层内容安全检测 4 2.2 智能联动 4 2.3 双向安全防护 4 2.4 检测终端安全隐患 5 2.5含应用控制和流量控制附加功能 5 三、 部署位置、满足三级等保项 5 3.1深信服下一代防火墙部署在业务服务器区域边界 5 3.2深信服下一代防火墙部署在互联网出口区域 6 3.3深信服下一代防火墙部署在安全管理区域边界 6 3.4深信服下一代防火墙部署在医保接入边界 7 3.5深信服下一代防火墙部署在楼层无线接入区 7 四、深信服三级等保解决方案优势 8 4.1 通过统一管理平台对设备进行全面管理 8 4.2 保证业务系统的高效运行降低单点故障率 8 4.3 安全防护效果 8 一、医院三级等保要求的硬件部署拓扑图 为满足三级等级保护要求，需要对当前网络做对应的改进。等级保护要求提升当前整体网络物理安全、主机安全、网络安全、应用安全和数据安全，首先必须对整体网络划分不同安全域，即内网终端域、内网服务器区域、安全管理域、外网终端域、外网服务器区域、互联网接入域和对外发布服务器区域，在各个区域之间部署相应的安全设备，以满足信息安全等级保护要求，详细的部署设备如图1所示： 图1 详细的部署情况： 序号 产品 部署位置 数量 基本功能 业务服务器边界下一代防火墙 内网核心交换区与业务服务器交换区边界之间 2 核心交换区和业务服务器区域之间的安全防御,保证主机安全，防范入侵防御、恶意代码 互联网出口下一代防火墙 部署在互联网出口处 1 网络出口安全防御，同时具备web应用强检测功能、入侵防御功能和防病毒功能 安全管理区防火墙 安全管理区接入 1 部署防火墙实现管理区域与其他区域之间的隔离，保证分离区域的安全性 楼层接入区防火墙 楼层接入区无线接入 2 保证楼层之间无线接入用户的安全性 医保接入防火墙 医保接入前端 2 实现内务内网以医保线路的安全隔离，保证内网安全 应用性能管理系统APM 安全管理区 1 全网的网络管理功能及部分的应用、安全管理功能 堡垒机 安全管理区 2 全网重要资产的运维审计、账号管理及资源控制 数据库审计系统 内网业务服务器区 2 现有的防统方系统 终端管理系统 安全管理区 1 现有系统 二、深信服下一代防火墙简介 深信服携十年应用层的丰富经验在国内率先推出下一代防护墙（NGAF）的产品，该产品面向应用层涉及，能够精确识别用户、应用和内容，具备完整的安全防护能力，能够全面替代传统防火墙、并具强劲应用层处理能力的全新网络安全设备。具体特点如下： 2.1 七层内容安全检测 通过下一代防火墙系统实现七层内容安全检测,实现包括漏洞防护（IPS）、服务器防护(WAF)、病毒防护(AV)等以及智能的内容安全过滤，防止各种应用威胁干扰医院重要业务系统的稳定运行，确保数据的安全。 2.2 智能联动 下一代防火墙的FW、IPS、WAF等防护模块智能联动，自动生成防护策略，有效防护APT攻击。 2.3 双向安全防护 防止黑客入侵，获取权限，窃取数据：通过双向内容检测技术等多种应用内容防护功能防止黑客入侵、SQL注入、窃取业务系统数据等，并保证业务系统稳定运行。 2.4 检测终端安全隐患 检测发现内部中毒及中木马终端，帮助单位排除安全隐患，防止“肉鸡”出现； 2.5含应用控制和流量控制附加功能 部署位置、满足三级等保项 3.1深信服下一代防火墙部署在业务服务器区域边界 根据信息安全等级保护基本要求GB/T22239-2008，深信服下一代防火墙部署在业务服务器区域边界能够满足以下要求： 7.1.2 网络安全 结构安全(G3) c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 访问控制（G3） a) 应在网络边界部署访问控制设备，启用访问控制功能； b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； c) 应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； e) 应限制网络最大流量数及网络连接数； f) 重要网段应采取技术手段防止地址欺骗； g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 入侵防范（G3） a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络