网络安全等保三级培训材料

网络安全培训材料

1、测试环境

路由器、交换机、防火墙

2、测试说明

网络安全测评共有7步，分别是结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护，如下是步骤详解。

3、测试步骤

3.1 三级等保要求

3.1.1 结构安全

a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。检查方法和判断标准：

询问网络管理员，主要网络设备的性能及业务高峰期流量，性能指的是网络设备中的CPU、内存等资源的占用是否合理，是否具备冗余空间，一般来说CPU、内存占用率不超过30%，未发生业务高峰流量瓶颈事件，则符合。

主要网络设备是指：核心交换机、汇聚层交换机、核心到互联网出口的设备

核心网络设备：核心交换机、互联网边界网络设备（看业务需求）

b)应保证网络各个部分的带宽满足业务高峰期需要。

检查方法和判断标准：

确认内部的网络带宽，一般是千兆以上，大网络可能是万兆，主要网络设备间可能是光纤万兆接口。

外部出口带宽：无论出口带宽多少，建议保持在80%一下，或看实际业务需求对出口带宽做单独要求（如学校开学期间数据流陡增，日常出口流量建议在50%左右）。

c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。

检查方法和判断标准：

主要查看网络设备中的路由控制是否建立了安全的访问路径，也就是说在网络设备中应配置路由认证功能，则算符合；如果网络设备中未配置此功能，则不符合。

或直接采用静态路由指向。

d)应绘制与当前运行情况相符的网络拓扑结构图。

检测方法和判断标准：

询问网络管理员，检查网络拓扑图，查看其与当前运行的网络情况是否一致。

应绘制与当前运行情况相符合的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新，则算符合；其他一律不符合。

e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不

同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。检查方法和判断标准：

应在主要网络设备上进行VLAN划分或者子网划分，不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信，则需要通过路由器或者三层交换机等三层设备实现。

网络设备上划分VLAN，并且为各子网分配了地址段，则算符合，如下图:

f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与

其他网段之间采取可靠的技术隔离手段。

检查方法和判断标准：

检查网络拓扑图，查看是否将重要网段部署在网络边界处，重要网段和其他网段之间是否配置安全策略进行访问控制。

如网络内部有对外的应用，是否单独划分DMZ区？DMZ区和网络设备交互之间是否有安全设备进行防护；

是否在服务器区/数据存储区/数据库区到网络设备直接有安全隔离设备进

行访问控制和安全防护，建议做白名单的控制形式。

g)应按照对业务服务的重要次序来指定带宽分配优先级，保证在网络发生拥堵

的时候优先保护重要主机。

检测方法和判断标准：

1、出口部署有流控设备，做了流量控制的配置，如整体出口带宽有100M，

单独划分10M给官方网站，防止因其他业务导致出口带宽占满官方

网站无法对外提供服务。

2、上网行为管理设备可以对内部的业务数据进行优先级排序，保证重

要业务数据处理的优先级。

如果上诉两种都没有，不符合，如有一种，部分符合，存在两种算符合（看具体应用，如无重要业务系统，存在一种也算符合）。

3.1.2访问控制

a)应在网络边界部署访问控制设备，启用访问控制功能。

检测方法和判断标准：

访问控制设备：汇聚、核心交换机、防火墙、堡垒机、VPN等

在看各类设备上是否有访问控制功能，如做acl或黑、白名单的配置，如有，符合，如网络设备仅配置网络互通或未启用acl，安全设备对任意流量直接放行，不符合

下图是交换机访问控制策略配置：表示192.168.30.0网段与192.168.20.0网段之间不能互相访问。

b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒

度为端口级。

检测方法和判断标准：

内部配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。如网络设备/安全设备控制列表有明确的拒绝/允许功能，算部分符合，如控制粒度达到端口级，则算符合。

下图表示交换机中配置基于端口级的访问控制策略。192.168.30.0网段内的主机均能访问192.168.10.100主机的80端口，其余网段均拒绝访问。

c)应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，

POP3等协议命令级的控制。

检测方法和判断标准：

1、对访问控制策略加上基于协议的过滤，在网络设备或安全设备上做；

2、在安全设备上对基于协议的请求做不同类型的需求过滤，如http的post和

get请求的区分对待，如在入侵检测设备进行配置。

如满足1，算部分符合，如，满足1、2或2，算符合。

d)应在会话处于非活跃一定时间或会话结束后终止网络连接。

检查方法和判断标准：

一般来说此项基本在防火墙上完成，路由器和交换机不适用，通过查看是否有设置其相关的功能模块，如有，则开启并设置会话超时时间，则算符合。

e)应限制网络最大流量数及网络连接数。

检查方法和判断标准：

此标准一般在防火墙或安全设备上查看，查看防火墙是否有确认的配置，如有，符合，如没有对其的控制，不符合。

f)重要网段应采取技术手段防止地址欺骗。

检测方法和判断标准：

检查路由器和交换机中是否对服务器区配置了IP+MAC绑定技术，如对服务器区配置了该技术，则符合，如仅针对用户区或未做该操作，算不符合。

Arp 10.10.10.1 0000.e268.9980 arpa如有该类似配置，则算符合

防火墙上如有以下类似配置，则算符合。