配置原则和范围
原则
1.成熟性和可靠性原则
2.易用性和可维护性原则
3.可扩展性原则
范围
系统网络安全软硬件配置范围应与系统建设范围保持一致。
网络安全软硬件配置方案
主要包括安全设备名称,主要功能,能力需求等。
硬件设备
防火墙:访问控制、安全域隔离,对协议、地址和服务端口进行访问控制。
入侵防御(IPS):网络攻击防护、协议攻击检测;对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等攻击行为进行防护。
VPN:远程接入、身份认证、传输加密。
网闸:访问控制、物理边界隔离、通信协议转化、通信协议隔离。
应用防火墙(WAF):对Web服务器进行HTTP/HTTPS流量分析,防护以web应用程序漏洞为目标的攻击。
流量清洗设备:对分布式拒绝服务攻击(DDoS)等异常流量进行检测和实施防护。
流量探针:网络流量数据监测,异常流量发现、告警。
数据库审计:对数据库的访问行为进行记录和审计、关联分析、追根溯源。
运维堡垒机:管控和审计运维人员操作,运维账号管理、认证管理、权限管理和审计管理。