檢查項(xiàng)分類

編號(hào)

等保合規(guī)檢查項(xiàng)

云防火墻提供的對(duì)應(yīng)能力

相關(guān)功能介紹

安全區(qū)域邊界 > 邊界防護(hù)

11

應(yīng)能夠?qū)?nèi)部用戶非授權(quán)連到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查。

部署云防火墻實(shí)現(xiàn)南北向和東西向訪問(wèn)的網(wǎng)絡(luò)流量分析、全網(wǎng)流量可視化、對(duì)主動(dòng)外聯(lián)行為的分析和阻斷、開(kāi)通或變更白名單策略。

網(wǎng)絡(luò)流量分析概述

安全區(qū)域邊界 > 訪問(wèn)控制

13

應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下受控接口拒絕除允許通信外的所有通信。

部署云防火墻實(shí)現(xiàn)統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的南北向訪問(wèn)策略和業(yè)務(wù)與業(yè)務(wù)之間的東西向微隔離策略，達(dá)到協(xié)議、端口、地域、應(yīng)用級(jí)訪問(wèn)控制粒度。

• 配置互聯(lián)網(wǎng)邊界訪問(wèn)控制策略

• 配置主機(jī)邊界訪問(wèn)控制策略

• 配置VPC邊界訪問(wèn)控制策略

14

應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化。

您需要根據(jù)業(yè)務(wù)部署云防火墻實(shí)現(xiàn)策略命中計(jì)數(shù)功能，確保沒(méi)有冗余的策略。云防火墻訪問(wèn)控制策略可配置優(yōu)先級(jí)，您可以根據(jù)業(yè)務(wù)需求優(yōu)化訪問(wèn)控制列表。

• 配置互聯(lián)網(wǎng)邊界訪問(wèn)控制策略

• 配置主機(jī)邊界訪問(wèn)控制策略

• 配置VPC邊界訪問(wèn)控制策略

15

應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許或拒絕數(shù)據(jù)包進(jìn)出。

部署云防火墻實(shí)現(xiàn)對(duì)進(jìn)出訪問(wèn)控制策略進(jìn)行嚴(yán)格設(shè)置。訪問(wèn)控制策略包括源類型、訪問(wèn)源、目的類型、目的、協(xié)議類型、目的端口、應(yīng)用協(xié)議、動(dòng)作、描述和優(yōu)先級(jí)。

配置互聯(lián)網(wǎng)邊界訪問(wèn)控制策略

16

應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許或拒絕訪問(wèn)的能力。

部署云防火墻實(shí)現(xiàn)狀態(tài)級(jí)對(duì)互聯(lián)網(wǎng)上的惡意流量入侵活動(dòng)和常規(guī)攻擊行為進(jìn)行實(shí)時(shí)阻斷和攔截。

IPS配置

17

應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制。

部署云防火墻實(shí)現(xiàn)跨VPC數(shù)據(jù)流的應(yīng)用協(xié)議、內(nèi)容的訪問(wèn)控制。

配置VPC邊界訪問(wèn)控制策略

安全區(qū)域邊界 > 入侵防范

18

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。

部署云防火墻實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)上的惡意流量入侵活動(dòng)和常規(guī)攻擊行為進(jìn)行實(shí)時(shí)阻斷和攔截。

IPS配置

19

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

部署云防火墻實(shí)現(xiàn)出方向流量的主動(dòng)外聯(lián)、失陷感知等出方向流量分析和攻擊防護(hù)及訪問(wèn)控制。

• 配置互聯(lián)網(wǎng)邊界訪問(wèn)控制策略

• 主動(dòng)外聯(lián)

• 失陷感知

20

應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。

部署云防火墻結(jié)合威脅情報(bào)和智能引擎等對(duì)云上進(jìn)出網(wǎng)絡(luò)的惡意流量進(jìn)行實(shí)時(shí)檢測(cè)與阻斷，支持防御挖礦蠕蟲等新型網(wǎng)絡(luò)攻擊，并通過(guò)積累大量惡意攻擊樣本，形成精準(zhǔn)防御規(guī)則。云防火墻入侵檢測(cè)功能支持發(fā)現(xiàn)挖礦蠕蟲感染事件。

• IPS配置

• 漏洞防護(hù)

21

當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

部署云防火墻實(shí)現(xiàn)攻擊行為的檢測(cè)和記錄，提供網(wǎng)絡(luò)阻斷功能，記錄風(fēng)險(xiǎn)級(jí)別、事件名稱、防御狀態(tài)、源IP、目的IP、方向、判斷來(lái)源、發(fā)生時(shí)間和動(dòng)作。

入侵防御

安全區(qū)域邊界 > 惡意代碼和垃圾郵件防范

22

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。

部署云防火墻實(shí)現(xiàn)網(wǎng)絡(luò)惡意代碼攻擊的檢測(cè)和防護(hù)，并實(shí)時(shí)在線更新惡意代碼檢測(cè)規(guī)則。

• 入侵防御

• 漏洞防護(hù)

安全區(qū)域邊界 > 安全審計(jì)

24

應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。

部署云防火墻利用日志審計(jì)模塊記錄所有流量日志、事件日志和操作日志。

日志審計(jì)

25

審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。

部署云防火墻實(shí)現(xiàn)日志記錄事件被掃描到的時(shí)間、威脅類型、進(jìn)出方向、源IP和目的IP、應(yīng)用類型、嚴(yán)重性等級(jí)以及動(dòng)作狀態(tài)等信息。

日志審計(jì)

26

應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

部署云防火墻實(shí)現(xiàn)日志分析功能，依托日志服務(wù)產(chǎn)品，存儲(chǔ)日志數(shù)據(jù)，并提供實(shí)時(shí)日志分析能力。

日志分析概述

27

應(yīng)能對(duì)遠(yuǎn)程訪問(wèn)的用戶行為、訪問(wèn)互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

部署云防火墻實(shí)現(xiàn)日志分析功能，依托日志服務(wù)產(chǎn)品，存儲(chǔ)日志數(shù)據(jù)，并提供實(shí)時(shí)日志分析能力。

日志分析概述