工控防火墙洞察报告 工控防火墙洞察报告 * 目 录 前言 .................................................................... ................. 1 1. 工控防火墙概念 ................................................................. 3 1) 深度解析工控协议 .................................................... 3 2) 白名单机制 ...................

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 （增强级） 负载均衡 门户网站 于安全服务 于防御 + 安全与家职守 对外业务安全于监测、于防护 对外服务器域 亏联网域 办公外网 终端接入域 预约挂号系 统 APP 平台 下一代防火墙 （基础级） 社保 局 交换机 广域网优 化 下一代防火墙 （基础级） 交换机 检测探针 下一代防火墙 （基础级） 交换机 下一代防火墙 （基础级） 交换机 门诊区 行政区 住院区 药房区 上网行 为管理 下一代防火 墙 （基础级） 交换机 检测探针 交换机 下一代防火墙 检测探针 （增强级） 下一代防火墙 （增强级） 交换机 数据库审计 IaaS 边界

明御 NTA 明御 WAF 数据库 审计 日志 审计 EDR 数据库 防火墙 网络结 构优化 安全策 略调整 通信传 输加密 安全管理中心 堡垒机 日志审计 漏洞扫描 EDR 管控 等级保护三级典型拓扑 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 数据库 防火墙 数据库 审计 数 据 中 心 区 办 公 区 核心交换机 核心交换区 移动办公 分支机构 SSL VPN IPSEC VPN 网络设计合理： 选择具有冗余性能的路由器、交换机、防火墙等设备； 链路带宽需要根据业务高峰期的峰值带宽进行设计。 1 2 3 4 网络分区： 根据不同的功能进行网络区域划分，区域内划分 VLAN ，区域之间通过防火墙进行区域隔离和访问 控制。 加密通信： 采用 SSL VPN 对移动办公用户数据进行加密； 采用 IPSEC VPN 安全区域边界设计 等保要求 控制点 对应产品和方案 安全区域边界 边界防护 下一代防火墙，身份认证与准入 访问控制 下一代防火墙， Web 应用防火墙，数据库防火墙 入侵防范 入侵检测与防御系统、 APT 防护、 DPI 流量分析 恶意代码和垃圾邮件防范 防病毒网关、垃圾邮件网关、邮件审计、下一代防火墙 安全审计 集中日志审计、上网行为管理 可信验证 可信计算机制 NGFW Internet

网络的安全威胁往往被忽略 办公网络成为安全洼地！！ 网络外部 网络 内网终端有没有肉鸡不清楚？ 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 虚拟机 CRM 供应链系统 财务共享中心等 互联网 办公 PC 办公 PC 办公 PC 办公终端区 专线 互联网 VPN 汇聚交换 汇聚交换 核心交换 汇聚交换 核心交换 华为防火墙 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 安全集中监控、管理层面薄弱；没安全运营中心，可视化展示。 安全技术体系需求 已有措施 • 结合当前网络结构和安全建设结构可以分析出，将会建设阿里 的私有云、直销分支等，基础机构已经比较完善，但是安全防 御能力弱，只有出口华为防火墙。其他安全措施都需要加强。 1 2 3 目录 安全趋势及风险分析 总体规划框架思路 Contents 具体落地方法及解决方案 4 典型案例 思考：企业需要怎么样设计安全体系？ 安全技术

模进行规划 虚拟网络服务规划 资源池规划设计方案 - 网络资源池（资源层） 24 IaaS 网络服务 VPC 虚拟路由器 负载均衡 安全服务 安全组 密钥对 防火墙 存储服务 云存储 快照 计算服务 云主机 主机高可用 …… …… …… …… 备份 镜像 / 快照  云服务设计的主要原则：产品响应描述 注：  政务外网 接入区 市县网 接入区 网闸 接入路由器 市县网 市县网 接入区 互联网区 核心交换机 安全管理区 交换机 交换机 交换机 交换机 运维管 理 认证 Ă 防火墙 防火墙 计算区 存储区 云管区 负载均衡 负载均衡 交换机 运维管理区 网络设计方案 - 架构设计（基础设施层） 31  交换机配置和数量需通过计算服务器和存储服务器等进行推导 区域 针对不同区域进行不同的安全防 护手段；如区域边界采用防火墙 隔离；安全管理区部署数据库审 计、日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 37  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 控制域 技术产品 安全通信网络 / 安全区域边界 智慧防火墙（含 AV ） 安全通信网络 / 安全区域边界 安全接入网关系统（

模进行规划 虚拟网络服务规划 资源池规划设计方案 - 网络资源池（资源层） 24 IaaS 网络服务 VPC 虚拟路由器 负载均衡 安全服务 安全组 密钥对 防火墙 存储服务 云存储 快照 计算服务 云主机 主机高可用 …… …… …… …… 备份 镜像 / 快照  云服务设计的主要原则：产品响应描述 注：  政务外网 接入区 市县网 接入区 网闸 接入路由器 市县网 市县网 接入区 互联网区 核心交换机 安全管理区 交换机 交换机 交换机 交换机 运维管 理 认证 Ă 防火墙 防火墙 计算区 存储区 云管区 负载均衡 负载均衡 交换机 运维管理区 网络设计方案 - 架构设计（基础设施层） 31  交换机配置和数量需通过计算服务器和存储服务器等进行推导 区域 针对不同区域进行不同的安全防 护手段；如区域边界采用防火墙 隔离；安全管理区部署数据库审 计、日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 37  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 控制域 技术产品 安全通信网络 / 安全区域边界 智慧防火墙（含 AV ） 安全通信网络 / 安全区域边界 安全接入网关系统（

就要去现场调查，首 先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工 作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火墙， 很多安全设备，都不如你实实在在拿出备案证明，拿出测评报告说服力强。 出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护工作和没有开展等级保护 工作被通报的内容就显然 手段； 防火墙策略 防火墙 g) 应按照对业务服务的重要次序来指定带宽分配优先级别， 保证在网络发生拥堵的时候优先保护重要主机。 辅助防火墙设备部署 QOS 策略 防火墙、流控系统 43 网络安全解读 分类 基本要求 说明及技术方案 产品部署 网络安全 访问控制 （ G3 ） a) 应在网络边界部署访问控制设备，启用访问控制功能； 防火墙做边界访问控制 防火墙 b) 应能根据会话状态信息为数据流提供明确的允许 访问的能力，控制粒度为端口级； 防火墙策略 防火墙 c) 应对进出网络的信息内容进行过滤，实现对应用层 HTTP 、 FTP 、 TELNET 、 SMTP 、 POP3 等协议命令级 的控制； IPS 实现 4-7 层协议安全控制 下一代防火墙 /WAF d) 应在会话处于非活跃一定时间或会话结束后终止网络连 接； 防火墙会话老化，设置会话超时时间 防火墙 e) 应限制网络最大流量数及网络连接数；

IP 欺骗、防 IP 扫描等强大的功能，同时板卡支持分 布式处理和热插拔，是医院核心交换机的理想选择。 核心由于是双核心，每台核心配置有双引擎模块，双电源，保证设备的可靠稳定性。 同时配置有防火墙业务插卡和入侵检测业务插卡，报障网络运行的安全性。 接入设备选择由于也是采用千兆桌面，选择标准如内网接入设备选择说明。 4.2.3 设备网 设备网网络拓扑： 31 建设方案建议书 此次设 帮助安全管理员发现网络安全的隐患。 需要说明的是，IDP 是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵 检测系统作为网络安全体系的第二道防线，对在防火墙系统阻断攻击失败时，可以最大 限度地减少相应的损失。因此，IDP 应具备更多的检测能力，能够和其他安全产品（边 界防火墙、内网安全管理软件等）进行联动。 5.2.5 主机恶意代码防范 恶意代码防范采用锐捷网络防火墙RG-WALL 1600-XA 系列，可提供网络边界的安全 防护与隔离功能，配合锐捷应用安全域解决方案，能够实现基于用户的访问控制管理、 安全事件联动处理。 各类恶意代码尤其是病毒、木马等是对 XX 市人民医院的重大危害，病毒在爆发时将 使路由器、三层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。 49 建设方案建议书 针对病毒的风险，我们建议重点是将病毒消灭或封堵在终端这个源头上。比如，在 所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力并及时升

年 等保三级 必配推荐：防火墙 /UTM 、 IDS/IPS 、日志审计、网络审计、堡垒机、漏扫、 VPN 、终端安全管理、数据库审计、网络版杀毒软件、安全管理平台 选配推荐：抗 DDOS 、网闸、防毒墙、 WAF 、网络准入、 4A 账号管理、负载均衡、态势感知、终端数据防泄漏、负载均衡、 VSG 视频安全防护系统、网页防篡改 等保二级 必配推荐：防火墙 /UTM 、 IDS/IPS 云服务客户 安全通信 第 46页 安全服务体系 安全服务体系 产品服 务内容 产品资源支撑 云安全服务 等保服务 安全运营 下一代防火墙 云主机安全 云堡垒机 漏洞扫描 数据库审计 日志审计 WEB 应用防火墙 网页防篡改 安全管理中心  SSL VPN  等保咨询  等保建设  等保整改  等保测评  安全咨询服务  安全评估 移动终端管理 漏洞检测 访问控制 运维安全管理 应用身份鉴别 应用访问控制 代码安全 应用漏洞检测 应用业务审计 应用防篡改 数 据 安 全 数据安全防护 数据库防火墙 数据库审计 数据备份与恢复 个人信息保护 数据加密 安全通信网络 通信 网络 网络隔离 网络访问控制 流量管理 通信校验 链路加密 网络扩展 安全运营平台 全流量订阅分析

OTHER DATA LAKES 3rd PARTIES INCONSISTENT APIs 漏洞扫描 安全 Web 网关 上网行为管理 网络流量分析 主机加固 端点安全 IDS/IPS 防火墙 高级威胁防护 邮件安全网关 数据防泄漏 整合所有安全产品，统一快速的调度 DATA LAKES, SIEMs THREAT PLATFORMS & ANALYTICS ORCHESTRATION OTHER DATA LAKES 3rd PARTIES APIs 漏洞扫描 安全 Web 网关 上网行为管理 网络流量分析 主机加固 端点安全 CASK 平 台 IDS/IPS 防火墙 高级威胁防护 邮件安全网关 数据防泄漏 CASK 的工作方式 自动执行动作 行为阻断 策略应用 启用查杀 告警通知 合规部门 安全运维人员 事件回溯 排查验证 事件目录 事件联动编排 防泄漏 主机 加固 端点 安全 防火墙 数据存储 威肋分析 通知告警 联动动作 确定的行为 待定的行为 事件驱动架 构 安全运维人员互动 确定的场景事件 待定的事件 事件 代理 事件分类账 E H E H E H E H E H E H EH = Event Handler 事件处理程序 事件驱动的安全自动联动 防火墙阻断 终端防护隔离 邮件网关拦截