本帖最后由 KYLE_K 于 2020-3-14 18:10 编辑
等保2.0中涉及不少安全要求条款,其中有7条可以通过SSL VPN部署来实现相关保护,相关安全要求与应用部署如下:相关安全要求1: 相关应用部署 在SSL VPN上发布资源,用户通过登录SSL VPN建立加密隧道访问相关系统,保证相关系统与用户通信过程中的保密性。相关配置如下: 新建资源:
填写资源协议、IP、端口等相关信息:
使相关配置立即生效:
相关安全要求2: 应能够对非授权设备私自联到内部网络行为进行检查或限制 相关应用部署 启用硬件特征码认证,对硬件接入进程审批,禁止未经审批的设备接入内网,相关配置如下: 启用硬件特征码认证,不启用自动审批功能:
在对应用户中启用硬件特征码认证
对接入的硬件设备进行审批
相关安全要求3: a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户身份进行鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
相关应用部署: 启用账户密码认证+多种辅助认证: 关于同时使用多种认证的相关说明如下: SSL认证方式分为主要认证和辅助认证,主要认证有用户名/密码认证、数字证书/Dkey认证、外部认证(LDAP认证和RADIUS认证),辅助认证有硬件特征码认证、短信认证、动态令牌认证,多种认证方式组合认证有如下规则: 1、用户至少启用一种主要认证,不能只启用辅助认证而不启用主要认证; 2、本地用户名/密码与外部认证不能同时启用; 3、满足以上两点条件的情况下,多种认证方式均可以同时使用进行组合认证,比如:外部认证可以和数字证书/Dkey认证同时使用,数字证书/Dkey认证可以和硬件特征码认证同时使用,外部认证可以和动态令牌认证及短信认证同时使用等
相关安全要求4: a)应启用安企审计功能,审计覆盖到每个用户,对重要的用户行为和意要安全事件进行审计;
b ) 审计记录应包括事件的日期和时间、用户、事件类型、事件是帮成功及其他与审计相关的信息;
c) 应对审计记录进行保护.定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应对审计进程进行保护.防止未经授权的中断。 相关应用部署 前三条可以参考前两天发的帖子 《SSL VPN在等保2.0中的配置(等保二级)》。VPN用户使用情况审计,通过外置数据中心实现,不存在审计进程在客户端被中断的情况 相关安全要求5: 应采用密码技术保证重要数据在传输过程中的保密性, 包括但不限于鉴别数据、重要业务数据和重要个人信息等; 相关应用部署 与前文“相关安全要求1”配置相同,可以参考前文相“关安全要求1”进行配置
相关安全要求6: 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性 相关应用部署 通过集群部署实现,集群部署配置如下: 单臂集群多线路部署: https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=26512
单臂集群单线路部署: https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=26528
网关集群多线路部署: https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=21004
网关集群单线路部署: https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=26507
分布式集群部署: https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=6148
相关安全要求7: 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; 相关应用部署 可通过SNMP配置,将设备运行信息发到网管系统,通过网管系统对设备运行状态进行集中监测。SNMP置如下:
SNMP的MIB库下载: | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
