【网络安全】等保三级过评必备！常用设备部署位置 + 核心功能总结

根据等保 2.0 三级要求（GB/T 22239-2019），结合典型网络架构，等保三级常用设备部署位置及功能总结如下，按网络层级划分：

边界接入层（互联网 / 专网出口）

位置	设备/系统	功能要求
互联网出口	下一代防火墙+ IPS	① 双向访问控制 ② 阻断恶意流量
VPN 接入点	VPN 网关（IPsec/SSL）	① 远程接入加密 ② 身份认证
边界流量监控	流量探针 + 威胁情报	① 异常流量识别 ② 0day 攻击预警

典型场景：某金融机构互联网出口部署「防火墙 + IPS+VPN」，防火墙策略精确到端口 / 协议（如仅开放 443/8080），IPS 阻断 SQL 注入、挖矿木马，VPN 强制双因素认证。

核心交换层（网络中枢）

位置

设备/系统

功能要求

核心交换机旁路

IDS

（入侵检测系统）

① 全流量监测

② 东西向攻击发现（如 APT）

核心交换机旁路

网络审计设备

① 会话级日志留存（≥6 个月）

② 操作行为回溯

部署技巧：IPS 串联需考虑性能瓶颈，IDS旁路部署时核心交换机配远程镜像，覆盖所有 VLAN 流量（如办公区、服务器区）。

安全区域边界（区域隔离）

区域边界	设备 / 系统	功能要求
服务器区边界	防火墙	① 服务器区仅允许特定 IP 访问（如办公区→Web 区单向）
数据库区边界	数据库防火墙 + 审计系统	① 阻断越权 SQL ② 高危操作审计（如 delete）
物联网 / 工控区	工业防火墙 + 网闸	① 协议深度过滤（Modbus/OPC-UA） ② 物理隔离

案例：某政务中心将互联网与政务外网用网闸隔离，仅允许白名单 IP 通过特定端口（如 8090）传输生产数据，阻断 U 盘摆渡攻击。

服务器及应用层

位置	设备 / 系统	功能要求
Web 服务器前端	Web 应用防火墙	① 防御 OWASP Top10 ② 爬虫拦截
API 接口区	API 网关 + 流量清洗	① 限流抗 DDoS ② 敏感数据脱敏
数据库服务器	审计系统（Agent 部署）	① 字段级操作记录 ② 特权账号监控

合规要点：WAF 需配置「学习模式」生成基线，避免误阻断业务；数据库审计需覆盖所有管理员操作（如 root 远程登录）。

终端及接入层

位置	设备 / 系统	功能要求
办公终端	EDR（终端检测响应）+ 杀毒软件	① 恶意进程查杀 ② 外设管控（禁用 USB）
移动终端	MDM（移动设备管理）	① 越狱检测 ② 数据擦除（远程可控）
无线接入点（AP）	无线控制器 + 准入系统	① MAC 地址认证 ② 非法 AP 检测

部署示例：某医院要求所有终端安装 EDR，通过准入系统校验补丁状态，未打补丁设备强制隔离至修复区。

集中管控与审计

位置	设备 / 系统	功能要求
安全管理中心	日志审计平台	① 全设备日志聚合 ② 关联分析（如防火墙 + IDS 联动
漏洞管理平台	漏洞扫描器	① 每月全量扫描 ② 0day 漏洞应急
备份与容灾	备份一体机 + 异地存储	① 系统 / 数据备份（≥每周 1 次，） ② 恢复演练（季度）

关键合规红线（等保三级强制项）

1、边界必须冗余：互联网出口需双防火墙热备。

2、审计不可绕过：所有设备日志需同步至 SIEM，且不可关闭审计功能

3、权限最小化：服务器区禁止默认共享，数据库账号权限细分（如开发库只读）

4、密码强管控：特权账号密码≥12 位（字母 + 数字 + 符号），定期更换（≤90 天）

部署建议：结合「一个中心三重防护」框架（安全管理中心 + 边界 / 计算 / 应用防护），优先在互联网出口、服务器区、数据库三大核心位置部署高防设备，终端层通过 EDR 实现轻量化防护，最终通过等保三级测评（如渗透测试、配置核查）验证有效性。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力。

原文来源：微信公众号|不二网工

信创产业市场规模或将突破 2 万亿大关！多部门联合整顿信创集采乱象，推动产业健康发展

一图读懂《工业互联网安全分类分级管理办法》