一文读懂：等保中的网络安全设备及其应用场景

网络安全等级保护（以下简称：等保）是我国针对信息系统提出的安全要求。根据国家标准，网络安全等级分为五个等级，其中三级是针对重要信息系统所需的保护等级，属于“监管级别”防护标准，适用于涉及公民隐私、社会秩序、公共利益的重要信息系统，也是市面上等保测评最多的一个等级。为满足等保三级的测评及防护要求，组织需部署一系列必备的网络安全设备，核心要求包括安全网关、入侵检测系统、堡垒机、日志审计系统和主机安全等，具体需求需结合企业实际情况和测评机构的意见。

一、当我们在问需要哪些设备时，到底是在问什么？

首先我们总结一下等保三级合规的核心条件，等保三级并非“及格万岁”，而是要求企业构建“技术+管理”双重防护体系，核心条件包括：

• 硬件设备达标

需部署下一代防火墙、入侵检测/防御系统（IDS/IPS）、防病毒网关、日志审计系统、数据备份与恢复系统等。

• 管理制度健全

制定网络安全策略、应急预案、人员培训制度，并定期演练。

• 人员资质要求

安全管理员需通过等保专业培训，持证上岗。

• 年度测评与整改

每年自查，每三年重新测评，逾期未复评将被通报。

今天，我们主要讲讲网络安全设备。许多企业在初次接触等保测评时，不禁会发出很多疑问：防火墙已有，入侵检测还要买吗？堡垒机是一定要上的么？相信我们在问需要哪些网络安全设备时，其实真正想问的是如何平衡合规与成本。一般而言，理想的等保三级设备清单，大致包括边界防护、身份鉴别、入侵检测与防御、数据备份、安全运维、主机加固等类型，对应到安全设备通常包括：防火墙、入侵检测/防御、堡垒机、主机安全、日志/运维审计系统、数据备份设备等。然而，这些设备并不是每个都必须独立采购，关键在于“实质覆盖”而不是形态一一对应，具体还需结合实际业务和测评机构意见动态调整。

二、知己知彼百战百胜-常用网络安全设备及应用场景

《信息安全技术网络安全等级保护定级指南》（GB/T 22239-2019）对三级系统核心区域划分明确，根据要求，其设备清单也分成了四大类：

为了便于大家对网络安全设备有个直观的理解，我们按照功能的不同将网络安全设备划分为五大类，并作简要介绍：

（一）网络边界防护类

网络边界防护类设备主要用于保护网络边界安全，防止未经授权的访问或攻击。一般而言，该类设备主要分为以下三类：

1、防火墙（Firewall）

防火墙作为网络安全的前沿阵地，采用了多种类型以提供多层次的保护。广义的防火墙其实包括软件防火墙、网络层防火墙、应用层防火墙及下一代防火墙（Next-Generation Firewall, NGFW）。传统的防火墙主要依靠预先定义的安全规则来允许或拒绝网络流量，无法深入分析应用层内容，难以应对复杂的威胁。“下一代防火墙”这个名字表明了它们在网络安全领域的技术进步和演变。相对于传统防火墙，它们提供了更高级、更智能的功能以及更好的性能，以应对不断变化和升级的网络攻击手段。一般而言，会集成多种安全技术，能够有效识别和防御复杂威胁。因此，对于规模较小、网络结构简单的企业，传统防火墙可能仍然足够。对于大型企业服务提供商以及动态复杂网络的场景下，NGFW则能够提供更有效的保护和管理。

• 部署位置：网络边界第一道防线（互联网出口、业务分区边界）

• 核心功能：基于规则过滤进出网络的流量，支持包过滤、状态检测、应用层防护，同时可与IPS联动。

• 主要目的：阻断非法访问（如IP欺骗、端口扫描），保护内网资源，工作过程就像是一个智能筛子，过滤着进入你计算机的数据。当数据流进来的时候，防火墙会看看它是不是安全的。

  
  

2、Web应用防火墙（WAF）

随着Web应用越来越多，黑客的攻击目标也逐渐转向了针对Web安全的攻击。传统的防火墙主要专注于网络层的攻击防御，对Web安全的防御能力相对欠缺。因此，WAF（Web Application Firewall，Web 应用防护系统）的概念也就被提了出来。WAF说白了就是应用网关防火墙的一种，它只专注于Web安全的防御，近几年来逐渐被当成一个相对独立的产品方向来研究。

• 部署位置：WAF的本质是“专注于Web安全的防火墙”，一般部署在Web服务器之前，所有流量必须经过WAF才能到达服务器。

• 核心功能：Web安全关注于应用层的HTTP请求。因此，WAF的分析和策略都工作于应用层，主要防护应用层攻击（如SQL注入、XSS），通过正则匹配、语义分析检测恶意请求。然而，由于其深度检查和协议理解，可能会对性能产生一定影响。

• 主要目的：保障Web服务可用性，防止数据泄露，如电商支付接口防护（过滤盗刷请求），政务网站防篡改（阻断恶意脚本）等。

  
  

3、抗DDoS设备

DDoS攻击，即分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击，主要包含流量型攻击和应用层攻击，是对互联网基础设施的重要威胁之一，甚至可能导致一些关键业务发生长时间中断。抗DDoS设备又称DDOS流量清洗，是指通过专业的防DDoS设备或者服务对流量进行分析和过滤，将其中的正常流量和攻击流量区分开，并将正常流量回源到服务器，从而减轻服务器压力和风险。

• 部署位置：DDoS清洗设备的部署位置直接影响其防御效果和网络性能。其一般部署在网络出口处，可串联也可旁路部署，旁路部署需要在发生攻击时进行流量牵引。

• 核心功能：识别并清洗异常流量（如SYNFlood），支持近源压制和流量指纹分析。一般来说，会配置默认清洗阈值后，当流量超出后自动触发流量清洗，实现DDoS攻击防护。

• 主要目的：维持服务高可用性，避免资源耗尽，例如在游戏服务器场景中应对流量洪峰（如节日活动），金融支付场景中防业务中断等。

  
  

（二）入侵检测与防御类

1、入侵检测系统（IDS）

入侵检测系统IDS，从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。能在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

• 部署位置：IDS通常部署在网络内部的关键位置，如核心交换机、服务器区域等，用于监控内部网络的流量和行为。IDS也可以部署在网络边界，用于监控进入和离开网络的流量，检测外部攻击。

• 核心功能：旁路监控络流量、系统日志、用户行为等，以检测异常或已知的攻击模式，识别攻击行为（如端口扫描）并告警，不主动拦截。

• 主要目的：提供攻击取证，辅助安全分析，如金融数据中心旁路监测（不影响业务流量）。

  
  

2、入侵防御系统（IPS）

入侵防御系统IPS支持深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。IDS技术与IPS技术有一个重要的区别。IPS技术可以对检测出的威胁进行响应，通过尝试防止攻击。

• 部署位置：IPS通常部署在网络边界，作为网络的第一道防线，阻止外部攻击进入内部网络，也可以部署在网络内部的关键位置，如核心交换机、服务器区域等，用于保护内部网络的关键资源。

• 核心功能：在IDS基础上主动阻断攻击（如SQL注入试探），支持实时检测和防御，实时检测和阻止网络中的异常行为或已知的攻击模式。也可在检测到潜在的入侵行为时，自动采取措施，如丢弃报文、阻断连接等。IPS可以与防火墙等其他安全设备联动，形成强大的安全防护体系。

• 主要目的：实时终止威胁，减少响应延迟，例如在电商大促期间实时拦截CC攻击。

  
  

3、漏洞扫描器（VulnerabilityScanner）

漏洞扫描是基于CVE、CNVD等权威漏洞数据库，通过自动化工具对信息系统进行系统性安全检测的技术手段。其核心价值在于通过模拟攻击行为，发现系统存在的软件缺陷、配置错误或未修复补丁等安全隐患，为安全加固提供精准依据。

• 部署位置：漏洞扫描系统的部署位置可分为云部署和本地部署，云部署是指将漏洞扫描系统部署在云端服务器上，通过网络进行远程访问和管理。本地部署是指将漏洞扫描系统部署在企业内部的服务器上，通过局域网进行访问和管理。这种方式具有数据安全性高、扫描速度快、定制化能力强等优点。

• 核心功能：主动扫描系统/应用漏洞（如未修复的CVE）。在等保测评体系中，漏洞扫描是验证信息系统是否符合等保要求的关键环节，直接影响测评结果的合规性判定。

• 主要目的：提前发现风险，降低被利用概率。例如，系统上线前安全测试、合规检查（等保测评）。

  
  

（三）访问控制与加密类

1、虚拟专用网络（VPN）

VPN作为一种远程访问技术，其核心价值在于能够通过公用网络构建一个安全的专用网络，通过身份认证、数据加密和认证技术可以有效保证VPN网络与数据的安全性。等保三级以上要求远程访问必须采用双因子认证（如密码+动态令牌）。此外，加密协议优先选用国密算法（如SM4替代AES），并禁用过时协议（如PPTP），确保数据传输符合等保加密标准。通过VPN策略划分用户权限，实现“最小权限原则”。根据所使用的核心安全协议，VPN可以大致分为两大类：IPsec VPN和SSL VPN。这里说明一下VPN和代理服务器（Proxy Server）的区别。VPN为整个设备提供端到端的加密和全面的网络访问，而代理服务器仅为特定应用程序转发网络请求，并隐藏用户的原始IP地址，但通常不提供加密功能。

• 部署位置：VPN的部署位置需根据网络架构的安全需求确定，通常部署在互联网出口区域的边界区域，所有外部访问需先通过VPN加密，通过身份认证、远程通信加密、准入控制、访问控制等功能，实现对外网用户访问内网的安全。

• 核心功能：通过建立加密隧道传输数据，为远程用户提供加密的安全访问通道，确保数据在传输过程中的机密性和完整性。

• 主要目的：保障数据传输机密性，绕过公网风险，如企业分支机构安全互联，运维人员远程访问内网资源进行远程运维等。

  
  

2、网闸

网闸，全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。一般来说，为了保障网络安全，至少两个安全区之间要有物理隔离或高等级逻辑隔离设备（如内网隔离网闸）。尤其是政务、金融、高价值数据行业，物理单向传输已经成“硬指标”。网闸又分双向网闸，单向网闸。在选择和使用网闸时，用户需要根据自己的实际需求和预算，综合考虑其优势和挑战，选择合适的产品和解决方案。

• 部署位置：网闸通常位于网络的边界，作为网络与外部世界之间的门户。

• 核心功能：通过物理隔离和严格的数据审查，实现不同网络之间的安全隔离与信息交换。由于数据交换需要经过严格的审查和过滤，可能会对网络性能产生一定的影响。特别是在高流量的数据交换场景下，可能会出现延迟和性能下降的问题。

• 主要目的：主要是在两个网络之间做隔离并需要数据交换，虽然防火墙也能提供防护，但是在某些情况下，网闸提供的物理隔离更为彻底更为安全，两者常配合使用，构建多层防御。

  
  

3、数据加密设备

数据加密是数据安全的一个重要组成部分，可以防止数据被未经授权的人员或程序读取、修改或删除。根据等保三级的要求，在数据加密方面，应对存储在本地或异地的重要数据进行加密处理，并使用强度足够的加密算法和密钥管理机制。在数据访问控制方面应对访问重要数据的用户或程序进行身份认证、权限授权和行为审计，并使用多因素认证、最小权限原则和日志记录等手段。而数据加密设备用于保护在传输和存储过程中敏感数据的安全，通过加密算法可以保障数据内容不被未经授权的人士访问。其功能包括：保护传输中的数据，防止被截取以及确保存储数据的安全性。数据加密设备的种类很多，包括传统意义的密码机、密码模块，也有根据应用开发的加密网关、代理网关、TDE透明数据加密等，应根据实际情况进行选择。

• 部署位置：数据加密设备种类很多，如数据库加密网关部署在应用服务器-数据库之间，CASB代理网关则部署在目标应用的客户端和服务端之间。

• 核心功能：通过选择合适的加密方式、加密算法、认证方式、授权方式等，对数据进行加密、备份和访问控制，确保数据的保密性、完整性和可用性。

• 主要目的：对敏感数据进行加密，确保数据在传输和存储过程中的安全。

  
  

（四）安全审计与运营类

1、堡垒机（运维审计系统）

堡垒机，又称运维审计系统、跳板机，是一种位于内部网络与外部网络之间的安全防护设备，它充当了一个“中间人”的角色，所有对内部网络资源的远程访问都必须通过堡垒机进行。这一设计的核心目的，在于严格控制和记录所有进出网络的访问行为，确保敏感信息资产的安全。简而言之，堡垒机是企业网络边界的一道坚固防线，为内部网络提供了一层额外的保护屏障。

• 部署位置：堡垒机作为中间跳板服务器，通常被部署在内部网络和外部网络之间，属于网络边界的关键位置。通过对进出内部网络的流量的监控实现对关键服务器、数据库、云平台等的访问控制和安全审计。

• 核心功能：在等保三级的要求中，对于运维操作的安全性和合规性有着严格的规定。堡垒机作为一种集成了认证、授权、审计等功能的运维安全管理系统，能够很好地满足这些要求。其核心功能包括访问控制、操作审计、身份认证、安全隔离、会话管理、策略执行与合规性等。

• 主要目的：对企业而言，通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，保障企业效益。对管理员而言，所有运维账号的管理在一个平台上进行管理，账号管理更加简单有序，确保最小权限。对于运维人员而言，只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，无须记忆多个账号和口令。

  
  

2、数据库审计系统（DBAudit）

数据库审计系统是针对数据库操作行为的专业安全监控与审计工具，主要用于实时采集、分析数据库的访问流量和操作记录，精准识别违规访问、数据窃取、权限滥用等风险行为，为企业提供合规审计依据、数据安全防护和运维追溯能力。它如同数据库的“监控摄像头”，对所有进出数据库的操作进行全量记录和深度分析，是数据安全防护体系中的核心组件。

• 部署位置：‌数据库审计系统的部署位置主要分为旁路模式（网络旁路部署）和代理模式（服务器端安装Agent）两种方式‌，具体选择取决于网络架构和审计需求。旁路模式通过网络镜像方式采集流量，无需修改数据库配置，对业务无影响。代理模式在数据库服务器或中间件层安装探针，获取更详细的操作参数（如SQL语句中的具体值），但需考虑性能损耗。

• 核心功能：包括实时监测并智能地分析、还原各种数据库操作过程；根据规则设定及时阻断违规操作，保护重要的数据库表和视图；实现对数据库系统漏洞、登录账号、登录工具和数据操作过程的跟踪，发现对数据库系统的异常使用等。

• 主要目的：等保三级测评要求信息系统必须具备对数据库访问行为的全面监控能力。数据库审计系统在等保三级测评中扮演着不可或缺的角色，能够记录所有对数据库的访问操作，包括查询、修改、删除等行为，并生成详细的日志报告，确保每一个操作都有据可查，符合等保测评中关于审计日志记录的要求。

  
  

（五）专用防护设备

从《2025网络安全等级保护等级测评报告》来看，相信很多测评机构都会将网络分析及态势感知视作“高分项”纳入整改范围。报告模板要求，应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析，包括部署抗APT系统、全流量分析系统、沙箱系统、具备行为分析功能的态势感知系统、威胁情报系统等。这里简单介绍一下安全信息和事件管理/安全感知管理及蜜罐系统，供参考。

1、安全信息和事件管理/安全感知管理

安全信息和事件管理（SIEM）是一种综合性的安全管理解决方案，用于实时监测、分析和响应网络中的安全事件和威胁。SIEM系统通过收集来自各种安全设备和应用程序的日志和事件数据，对其进行聚合、分析和关联，以便发现潜在的安全威胁和异常行为。

安全感知管理平台（Security Intelligence Platform，SIP）也是一种综合型网络安全解决方案，目标在于帮助企业提升安全态势感知能力，应对不断变化的威胁环境。通过集成众多安全技术和数据来源，SIP可以实现更高效地威胁检测、响应和预防。SIP安全感知管理平台有助于企业更好地应对复杂多变的网络环境和安全挑战。虽然它与SIEM系统具有一定相似性，但SIP通常涵盖更广泛的功能、数据来源和自动化处理能力。在实际应用中，根据组织的特定需求和资源，可选择适当的安全感知管理平台以提高网络安全防御水平。

安全信息和事件管理/安全感知管理主要用于安全事件监测和响应、内部威胁检测、威胁情报分析、安全事件调查和取证。

2、蜜罐（Honeypot）

蜜罐（Honeypot）是一种主动防御技术，是一个包含漏洞的诱骗系统。其技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐的目的在于诱导攻击者对蜜罐服务进行攻击，从而提前发现识别异常行为，主动感知威胁，完善防御策略。

此外，对于统一威胁管理（UTM）做一个解释，其本身是一种将多种关键网络安全功能整合到单一硬件设备或软件解决方案中的安全架构，其核心目标是简化网络安全部署、管理和维护，可通过一个统一的管理界面，可以清晰地查看网络整体安全状况。

结语

等保三级的网络安全设备在保障信息系统安全方面起着至关重要的作用。实际上，对于网络安全设备的选择，我们只需要清楚等级保护测评在技术层面上要落地的核心模块是什么，如：边界防护、入侵检测、恶意代码防范、身份鉴别、运维安全、日志审计等等。再根据其核心防护要求去自我实现或匹配相应的网络安全设备即可。通过科学选型硬件设备、配置和管理这些设备，才可以有效提高组织的整体安全防护水平。在实施过程中，组织需关注设备的具体功能和对应关系，结合自身实际情况进行针对性的调整和优化，这样才能在控制合规成本的同时，构建起抵御高级网络威胁的坚固防线。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力。

原文链接：https://mp.weixin.qq.com/s/fX6mPMAblygyoSg0_t5nCg