网站首页>>行业应用
等保直通车系统方案
以“主动防御、简易部署、安全合规、动态扩充”为核心,打造专用于解决等保2.0建设难点与痛点的快速解决方案,帮助用户实现统一的安全运营及管理。
通过部署等保一体机,能够帮助用户顺利通过等级保护测评。同时从物理安全、网络安全、主机安全、应用安全、数据安全等多个层面进行体系化等级保护建设,提高安全运维效率。同时,通过等保一体机可以提供的定制化安全增值服务,实现全网动态监测、精确感知、主动防护。
等级保护一体机具备如下特点:
1)满足合规要求
.满足等级保护2/3级要求
.满足行业规范要求
2)极简运维模式
.多种安全设备统一维护平台
.减少现网部署调整工作量
.设备部署上线快速/简单
3)可弹性扩展
.按需定义,弹性扩展
.业务敏捷,快速上线支持新要求
设备提供等保二级、三级套餐防护,综合了审计类、防护类和主机安全类三大块; 业务灵活编排,根据等保需求,可以灵活增加或者减少业务应用软件包,提供个性化安全增值服务; 统一运维平台:多业务应用软件运维平台统一; 支持其它软硬件平台扩展,包括服务器、工控机、云计算资源等。
硬件部署
硬件采用服务器方式部署,适用于小型政企机房通过等保场景。
等保二级采用一台服务器,等保三级根据冗余需求,采用两台服务器配置。服务器内置多种产品虚拟机。
产品拓扑如下:
根据拓扑,在用户内外网之间放置等保直通车。在这个组网设计中,用户的业务系统与虚拟防火墙部署在同一虚拟网络内,用户内网服务器与防火墙的网关需要配置指向防火墙。通过虚拟防火墙,内网服务器与互联网网关隔离,访问内网服务器的流量都要进出虚拟防火墙。
云端部署
云端部署适用于私有云、VPC和混合云。目前等保直通车分为防火墙、一体机(包含WAF、运维审计系统、运维监控系统、日志审计系统、安全管理平台)及漏扫;每个系统需要单独开通1台虚拟机资源,防火墙采用线上开通虚机后台替换镜像的方式部署,一体机和漏扫采用后台开通虚机,将虚机网络关联到用户VPC(虚拟私有云)内的方式进行部署;
整体VPC内部署关系示意图,图中审计部分采用旁路方式接入,非审计部件(防火墙、入侵防御、WAF)采用直连方式。
在这个组网设计中,用户的业务系统与虚拟防火墙部署在同一VPC内,用户VPC内网服务器与防火墙的网关需要配置指向防火墙。通过虚拟防火墙,内网服务器与互联网网关隔离,访问内网服务器的流量都要进出虚拟防火墙。
互联网用户访问防火墙绑定的公网地址时,此时在虚拟防火墙上添加了DNAT规则,那么互联网用户就能够访问位于VPC内的内网服务器了。并且,在虚拟防火墙上配置了SNAT规则,内网服务器也能够访问互联网。
互联网用户访问内网服务器示意图:
内网用户访问互联网示意图: