等保三级整改一站式方案简介.docxVIP

等保三级整改一站式方案简介 一、典型等级保护用户整改参考图（建设目标） 二、等保整改方案五步走 安全域划分 做等级保护的整改，第一步一定是要明确安全域。下面是经典安全域划分方案： 业务服务器域：客户的业务服务器和存储的安全区域 用户终端域：用户终端，一些完全不重要的服务器所在区域 安全管理域：安全管理中心，包括网管系统服务器，终端安全管理服务器等用于网络和安全运维管理的设备 互联网出口域：互联网出口的网络链路和安全设备 互联网出口 在互联网出口部署防火墙、入侵防御、病毒过滤、上网行为管理、链路负载均衡等； 安全域互访隔离 所有的安全域之间必须通过防火墙才能互联互通； Web 安全防护 web 服务器前部署web 防火墙； 安全管理中心 安全管理中心需要：漏洞扫描系统、数据库审计系统、终端安全管理系统、网管系统、APM 应用性能管理系统、SSL VPN、防病毒系统、运维堡垒主机等； 三、涉及产品列表，红色为深信服可提供的产品 产品类别深信服对应部署位置 产品类别 深信服对应 部署位置 产品作用 满足政策要求 应用负载均 AD 服务器前端 应用服务器负载均衡 网络安全-结构安全-避免单 衡 点故障 全局负载均 AD 主备数据中心 主备数据中心同时处理业务 网络安全-结构安全-数据备 衡 广域网优化 WOC/ 快 速 VPN 提升主备间的网速，避免单 条线路单点故障 份与恢复 广域网VPN WOC/ 快 速 VPN 总部和分支机 构 加密总部到分支机构的网络 链路 数据安全-数据完整性、保 密性 区 SSL VPN SSLVPN  SSLVPN 互联网出口EasyConnect SSLVPN 服务器前端EasyConnect  远程用户接入的身份认证和加密 鉴别用户身份、加密数据再传输、记录访问行为 应用虚拟化，数据不落地  数据安全-通信保密性 应用安全-身份鉴别、访问控制、-通信保密性、完整性、安全审计 防火墙 入侵防御 互 防病毒模块联 上网行为管 NGAF NGAF NGAF AC 互联网出口互联网出口互联网出口互联网出口 隔离互联网和内部网络防范网络入侵攻击 网络层病毒和恶意代码过滤内部用户上网的安全审计； 网络安全-访问控制网络安全-入侵防范 网络安全-恶意代码过滤 网络安全-结构安全、安全 网 理/审计 流量管理与控制； 审计、边界完整性、非法外 出 口 流量管理 AC 互联网出口 内部非法无线热点发现； 流量管理与控制 联 网络安全-结构安全 链路负载均 AD 互联网出口 链路负载均衡； 网络安全-结构安全 衡 安全 防火墙 NGAF 安全管理区的 隔离安全管理区和其他区域 网络安全-访问控制 域隔 外联口 离 网站 Web 防火墙 NGAF 业务服务区的 隔离业务服务器区和其他区 网络安全-访问控制、入侵 防护 外联口 域，防范web 层网络攻击 防范 应用性能管 APM 安全管理区域 网络设备、服务器、应用系 网络安全-资源控制 理 统监控； 主机安全-资源控制 安 资源阈值告警和预警； 应用安全-资源控制 全 防病毒系统 趋 势 、 安全管理区域 主机防病毒服务器，同时在 主机安全-恶意代码过滤 管 Symantec 终端安装病毒软件 理 数据库审计 深信服 安全管理区域 数据库访问的审计 主机安全-安全审计 中 系统 心 漏洞扫描 NGAF 安全管理区域 漏洞扫描 主机安全-入侵防范 终端安全管 安全管理区域 终端安全审计、终端端口管 主机安全-安全审计、访问 理系统 理、终端防火墙入侵防御等； 控制、入侵防范、非法外联 运维堡垒机 青莲 安全管理区域 运维审计 网路安全-网络设备防护 四、深信服产品简介