精选-信息安全-深信服-云安全-等保一体机-技术白皮书

等级保护的现状与挑战信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障，是信息安全保障工作中国家意志的体现等级保护发展历程01994 〉 01999 〉 02007国务院147号令匏一次提出等堀坪炉的嵋士，及玉

时化.后航行分等盟“邦并：

GB17859国黑号制帆整飕布.信强系浇等费

保护注卷回助避精的法期.

公通字［200力43号算蛆保仲管理打工港布，纲硬如间底说.如何施肯L7及如匚li?h帼弼商界■©2015®2017©2018工作要点工作要点t臾硼网0号小珥丸115哥工昨死东:落支闺宗信早安辛寺里保妒耨潼.《网络安全法》第二十T"国宝实行河搭安全等甄像拧吊.度二工法是司塔登第圾•再刈度由佥旦相三笈1,年士月1日起揄上

《信息安全技术网络安全等级保护基本要求》■KM. 般侬a24困代.等保2.0主要变化

开展等保的意义01濯是合法合理要求高斯化责任和工作方法让安堂朝亨堂生命用厢02明确组里建博目标改变以桂•点咕抑万式让安至建修电加毋系化03提高人既安辛洋山栩立等我化的防炉里寓合强分配信息安辛国百同时等级保护建设是一项体系化的工程，在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。大量安全硬件设备采购机房环境、空间、制冷设崭名、维护工作量大网络排隼难度更大深信服等保一体机概述深信服等保一体机解决方案是基于用户在等保建设中的实际需求， 推出软件定义、轻量级、快速交付的实用有效的一站式解决方案，不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评，同时通过丰富的安全能力，可帮助用户为各项业务按需提供个性化的安全增值服务。采用基于标准 X86平台打造的等保一体机，无需交付过多专有硬件设备，即可完成等级保护合规交付。漏洞扫描数据库审计防火墙WAF风险监测配置核查日志审计Q端点安全运维审计等保一体机，无需交付过多专有硬件设备，即可完成等级保护合规交付。漏洞扫描数据库审计防火墙WAF风险监测配置核查日志审计Q端点安全运维审计ALLIN等级保护一体机2深信服等保一体机技术架构系统整体架构深信服等保一体机架构由两部分组成：一是超融合基础架构，二是一体机管理平台。在等保一体机架构上，客户可以基于自身安全需求按需构建等级保护安全建设体系。CSSP安全管理应用编排 应用管理部署规划安全组件下T防** 腾轴I上网行为附 敏据际审计SSLVPN 或CSSP安全管理应用编排 应用管理部署规划安全组件下T防** 腾轴I上网行为附 敏据际审计SSLVPN 或HBW超融合基础架构1r-・ ।*—[[** ।*—11»*—।[二—一-一，超融合基础架构以虚拟化技术为核心，利用计算虚拟化、存储虚拟化、网络虚拟化等模块，将计算、存储、网络等虚拟资源融合到一台标准X86服务器中，形成基础架构单元。并且多套单元设备可以通过网络聚合起来，实现模块化的无缝横向扩展，形成统一的等保一体机资源池。一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力；通过接口自动化部署组件，降低组网难度，减少上架工作量；借助虚拟化技术的优势，提升用户弹性扩充和按需购买安全的能力，从而提高组织的安全服务运维效率。超融合基础架构超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成,从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。计算虚拟化传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。深信服等保一体机创新性的使用计算资源虚拟化技术，通过通用的x86服务器经过服务器虚拟化模块，呈现标准的安全设备虚拟机。安全设备虚拟机不是由真实的电子元件组成，而是由一组虚拟组件（文件）组成，这些虚拟组件与物理服务器的硬件配置无关。OSOSOSHardwareHypervisor是一种运行在物理服务器和操作系统之间的中间软件层 ，可允许多个操作系统和应用共享一套基础物理硬件，因此也可以看作是虚拟环境中的“元”操作系统，它可以协调访问服务器上的所有物理设备和虚拟机， 也叫虚拟机监视器(VMM,VirtualMachineMonitor)。Hypervisor是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。当服务器启动并执行Hypervisor时，它会给每一台安全组件分配适量的内存、CPU、网络和磁盘，并加载所有安全组件的客户操作系统。VMM(VirtualMachineMonitor)对物理资源的虚拟可以划分为三个部分：CPU虚拟化、内存虚拟化和I/O设备虚拟化，其中又以CPU的虚拟化最为关键。计算虚拟化在传统虚拟化技术基础上进行了多项针对化的改进和优化，这包括如下几个方面。安全组件生命周期管理计算虚拟化提供了安全组件从创建至删除整个过程中的全面管理，就像人类的生命周期一样，安全组件最基本的生命周期就是创建、使用和删除这三个状态。当然还包含如下几个状态：?创建安全组件?安全组件开关机、重启、挂起?更新安全组件硬件配置?迁移安全组件及/或安全组件的存储资源?分析安全组件的资源利用情况?删除安全组件安全组件的HAHA全称是HighAvailability（高可用性）。在等保一体机平台中，安全组件所在物理主机的网线被拔出或存储不能访问等出现的物理故障时， 会将此安全组件切换到其他的主机上重新启动运行，保障安全组件正常使用。计算虚拟化存在后台进程，通过轮询的机制，每隔 5s检测一次安全组件状态是否异常，发现异常时，切换安全组件到其他主机运行。下面任意一种情况发生，都会触发安全组件切换主机：1、连续三次检测到安全组件所连接的物理网卡被拔出（不包括网卡被禁用情况）；2、连续两次检测到安全组件所在的当前主机无法访问安全组件的存储；通过计算虚拟化的HA技术，提供了安全防护的高可用性，极大缩短了由于各种主机物理或者链路故障引起的安全防护中断时间。动态资源调度在等保一体机方案中，计算虚拟化管理平台提供动态资源调度技术，通过引入一个自动化机制，持续地动态平衡资源能力，将安全组件迁移到有更多可用资源的主机上，确保每个安全组件在任何节点都能及时地调用相应的资源。计算虚拟化的动态资源调度功能其实现原理：通过跨越集群之间的心跳机制，定时监测集群内主机的CPU和内存等计算资源的利用率，并根据用户自定义的规则来判断是否需要为该主机在集群内寻找有更多可用资源的主机， 以将该主机上的安全组件通过安全组件迁移技术迁移到另外一台具有更多合适资源的服务器上。动态资源扩展在传统的硬件解决方案中，经常会遇到资源计算的问题，如何保证资源刚刚好是一个非常令客户头痛的问题。等保一体机的硬件资源动态热添加功能，能够非常有效地利用主机资源，并且全自动化以减少运维成本。存储虚拟化传统硬件安全解决方案提供的硬件存储资源一般存在资源不足或者资源冗余的情况。深信服等保一体机创新性的使用存储资源虚拟化技术，融合了分布式缓存、SSD读写缓存加速、多副本机制保障、故障自动重构机制等诸多存储技术，能够充分保证安全组件高效稳定可靠的运行。存储虚拟化通过主机管理、磁盘管理、缓存技术、存储网络、冗余副本等技术，管理等保一体机平台内所有硬盘，“池化”集群所有硬盘存储的空间，通过向计算虚拟化提供访问接口，使得安全组件可以进行安全配置策略以及安全日志的保存、管理和读写等整个存储过程中的操作。存储自动精简配置如果采用传统的硬件安全方案，需要用户对当前和未来业务发展规模进行正确的预判，提前做好安全应用存储资源的规划。但在实际中，由于对应用系统规模的估计不准确，往往会造成容量分配的浪费。即使是最优秀的系统管理员，也不可能恰如其分的为安全应用分配好存储资源，而没有任何的浪费。自动精简配置(ThinProvisioning)是一种先进的、智能的、高效的容量分配和管理技术，它扩展了存储管理功能，可以用小的物理容量为操作系统提供超大容量的虚拟存储空间。并且随着应用的数据量增长，实际存储空间也可以及时扩展，而无须手动扩展。一句话而言，自动精简配置提供的是“运行时空间”，可以显著减少已分配但是未使用的存储空间。等保一体机采用了自动精简配置技术有效的解决了存储资源的空间分配难题，提高了资源利用率。采用自动精简配置技术的数据卷分配给用户的是一个逻辑的虚拟容量，而不是一个固定的物理空间，只有当用户向该逻辑资源真正写数据时，才按照预先设定好的策略从物理空间分配实际容量。私网链路聚合等保一体机采用存储虚拟化的私网链路聚合技术是为了提高网络可靠性和性能设置，使用私网链路聚合功能不需要交换机上配置链路聚合， 由存储私网负责链路聚合的功能，使用普通的二层交换机，保证正确的连接即可。传统的链路聚合是按主机IP进行均分，即每两台主机间只能用一条物理链路。而私网链路聚合采用按照TCP连接进行均分，两台主机间的不同TCP连接可使用不同物理链路。在保障可靠性的同时，还达到了更加充分的利用所有链路资源的能力数据一致性检查等保一体机的存储虚拟化采用一致性复制协议来保证多个副本数据的一致性，即只有当所有副本都写成功，才返回写入磁盘成功。 正常情况下存储虚拟化会保证每个副本上的数据都是完全一致，从任一副本读到的数据都是相同的。如果某个副本中的某个磁盘短暂故障， 存储虚拟化会暂时不写这个副本，等恢复后再恢复该副本上的数据；如果磁盘长时间或者永久故障， 存储虚拟化会把这个磁盘从群集中移除掉，并为副本寻找新的副本磁盘，再通过重建机制使得数据在各个磁盘上的分布均匀。网络虚拟化等保一体机的网络虚拟化设计基于netmap和dpdk的方案，针对数据IO密集型网络应用程序而设计，从而解决安全组件的高性能和安全组件的自编排。支持专有网卡和通用网卡等保一体机平台对于Intel和Broadcom的e1000e,igb,ixgbe,bnx2,tg3,bnx2x等可编程网卡支持高性能方案，对e1000等网卡支持通用方案，保证硬件兼容性。跨安全组件的全局内存池等保一体机平台设计并实现了零拷贝的数据面环境，一个跨内核跨进程的全局内存引用机制，真正做到网卡收包一次拷贝，所有安全组件共享引用的方式,数据可以从网卡传送到安全组件而无需再次拷贝，减少对网络传输和网络延迟的影响。避免中断处理和上下文切换单数据线程亲和锁定到硬件线程，避免内核和用户空间之间的上下文切换、线程切换和中断处理，同时每个线程有直接的高速缓冲，避免了缓冲区争用。在理想情况下，当数据包到达系统时，所有处理该数据包所需的信息最好都已经在内核的本地高速缓存中。我们可以设想一下，如果当数据包到达时，查找表项目、数据流上下文、以及连接控制块都已经在高速缓存中的话， 那么就可以直接对数据包进行处理，而无需“挂起”并等待外部顺序内存访问完成。安全组件数据更稳定等保一体机平台设计了检测监控机制，在最极端的情况，即使进程意外死亡，也能秒级别做到安全组件无感知的网络恢复。数据平面负责报文的转发，是整个系统的核心，数据平面由多个数据转发线程和一个控制线程组成， 控制线程负责接收控制进程配置的消息，数据线程是实现报文的处理。系统中所有的报文都是由数据线程接收的，需要做转发的报文，不需要送到linux协议栈，直接在数据线程中处理后从网卡发出，对于到设备本身的报文（如ssh,telnet,ospf,bgp,dhcp等等），数据线程无法直接处理，通过TUN接口将报文重新送到linux协议栈处理，从linux协议栈的发出的报文需经过数据线程中转后才可从折本发出数据面为底层处理和数据包IO提供了与硬件打交道的功能，而应用层协议栈在上方提供了一个优化的网络堆栈实现。 与LinuxSMP解决方案相比，降低了对Linux内核的依赖性，从而具有更好的扩展性和稳定性。一体机管理平台架构一体机管理平台主要由平台管理CSSP、安全组件两大模块构成，其中安全组件提供各类安全服务，而CSSP作为统一的管理中心，承担对安全组件的管理与编排、与外部的UI接口以及日志、告警等信息处理系统。一体机管理平台的整体技术架构如下图所示，利用超融合基础架构提供的资源，将各类安全组件进行统一部署和管理，对内利用安全服务链可以将任意安全组件进行自由组合，对外提供自由的安全编排服务能力。虚拟路由器等保一体机内部虚拟网络通过多个虚拟路由器实现对整个安全防护网络的连通，具体如下?rt_lan_cssp,简称LAN路由器，它的作用是与物理网络互联。路由模式下，负责将物理网络进来的出站流量引流到内部。 单臂模式下，负责将物理网络进来的出入站流量引流到内部。?rt_wan_cssp,简称WAN路由器，它的作用是与物理网络互联，并将从物理网络进来的入站流量引流到内部。 WAN路由器仅在路由模式下起作用，单臂模式下流量不经过WAN路由器。?rt_data_core_cssp,简称核心路由器，实际上它在等保一体机中的作用不大，只是负责把从LAN路由器接收过来的流量再向内转发。?rt_bord_cssp_admin,简称边界路由器，它负责将从核心路由器接收过来的流量，根据应用编排顺序转发到不同的安全应用。?rt_manage_core_cssp,简称管理路由器，用与转发CSSP与各安全应用组件之间的内部管理流量。?switch_lan_cssp,简称镜像交换机，主要用于将物理网络引流进来的流量镜像到网络通信审计vAC和风险监测vAF上。?dvs_config_ip_cssp,简称配置交换机，用于CSSP给新创建的安全应用组件自动分配IP地址使用。应用编排等保一体机根据不同部署模式，数据转发流程也有所区别。单臂模式数据转发：物理交换机->LAN路由器，核心路由器，边界路由器->安全组件1->边界路由器->安全组件2->边界路由器->核心路由器->LAN

路由器->物理交换机。路由模式数据转发：物理交换机->LAN路由器->核心路由器->边界路由器->安全组件1->边界路由器->安全组件2->边界路由器->核心路由器->LAN路由器->WAN路由器->物理交换机。图防火墙数据流图VPN数据流图堡垒机数据流图数据库审计数据流3深信服等保一体机功能介绍安全组件介绍下一代防火墙深信服等保一体机中的下一代防火墙组件具有完备的 L2-L7层一体化的双向防御体系，智能融合了防火墙、WAF、IPS、实时漏洞检测等多项安全功能,为业务提供全流程的保护，为企业安全赋能支持对1000种以上应用、2500种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持自定义规则；提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定。入侵防护漏洞规则特征库数量在 4000条以上；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；具备防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle>MSSQL）的弱密码扫描功能。Web攻击防护保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、Webshell脚本上传、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击和网站内容管理系统漏洞防护；参数防护提供主动防御和自定义参数防护两种方式，主动防御通过自学习形成参数白名单，阻断异常参数内容，自定义参数提供更定制化的参数防护；应用隐藏支持HTTP和FTP服务隐藏，可针对HTTP响应报文头和HTTP出错页面的过滤，Web响应报文头可自定义，隐藏FTP服务器返回的软件版本信息；弱口令防护支持FTP弱口令防护，Web登录弱口令防护，Web登录明文传输检测；权限控制支持文件上传服务器过滤、支持指定URL的黑名单、加入排除URL目录功能；策略制定配置选项:可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号；登录防护用户登录权限防护，支持页面双因子认证方式，加强敏感页面的访问权限控制；HTTP异常检测检测HTTP协议异常，可针对HTTPGET、POST、HEAD、OPTIONS、PUT、DELETE、TRACE、SEARCH、CONNECT>LOCK、UNLOCK等方法进行过滤；CC攻击防护支持HTTP协议CC攻击防护，根据源IP请求阈值来控制；网站扫描防护防止Web服务器被常见扫描器扫描出漏洞；缓冲区溢出检测支持URL溢出检测，POST实体溢出检测以及HTTP头部各字段溢出检测；Https防护支持对Https进行解密并进行内容检测，需导入服务器证书。能够实时发现和跟踪网络中存在的主机、服务和应用，发现服务器软件的漏洞，并把漏洞的危害和解决方法通过日志和报表进行展示，支持对网站黑链进行检测。数据库审计深信服等保一体机中的数据库安全审计系统DAS组件对用户数据安全新方向的不断探索，创新地将数据安全防护与大数据分析相结合，它能为用户提供完整的数据库审计分析、泄密轨迹分析、数据库访问关系可视、数据库攻击威胁分析。支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、MySQL数据库审计；支持同时审计多种数据库及跨多种数据库平台操作。SSLVPN深信服等保一体机中的SSLVPN组件是国内第一品牌，行业标准引领者。支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法；支持各种NAT网络环境下的VPN组网；支持第三方标准IPSecVPN进行对接；*总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略。堡垒机深信服等保一体机中的LogBase运维安全管理系统组件是思福迪公司自主研发的，具有完全知识产权的安全审计类产品。该系统能够实现对运维人员日常服务器、网络设备、数据库维护过程的行为记录、监视、控制等功能，具备异常操作行为的告警及阻断能力，拥有完善的安全审计报表系统，是一款具备“事前控制、事后审计”能力的产品；同时还具备服务器密码管理，访问权限控制等功能，通过该产品的部署，各组织单位能够获得对内部以及第三方运维人员操作行为的全面审计与控制能力，弥补传统系统审计能力不足的缺点，完善企事业单位安全审计体系建设。支持SSH、RDP等多种协议。对运维人员进行身份鉴别、单点登录、访问授权、关键访问二次审批、违规访问告警与阻断、操作过程监控，并提供历史记录查询、综合审计报告。主机杀毒深信服等保一体机中的终端检测响应平台（EDR）组件是针对终端安全提供的，由轻量级的端点安全软件和管理平台软件共同组成。 EDR的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查，支持微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置，以及热点事件 IOC的全网威胁定位，历史行为数据的溯源分析，远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。日志审计深信服等保一体机中的综合日志分析系统组件是南京聚铭网络科技有限公司独立研发的、拥有自主知识产权的专业日志审计产品。系统能够实时采集企业内部各种安全设备、网络设备、主机、操作系统、业务系统等日志信息，协助用户进行安全分析及合规审计，及时、有效的发现安全事件及审计违规。支持安全审计和安全分析等国标、行标，支持数据集群、热扩容，基于关联、多维度场景关联、机器学习等多种分析模式，内置各类分析场景，满足安全监控、安全分析、安全审计、安全可视化等用户实际需求。漏洞扫描深信服等保一体机中的漏洞扫描管理系统组件是南京聚铭网络科技有限公司自主研发的拥有自主知识产权的专业漏洞管理产品。 它协助用户实现企业内安全配置的集中采集、风险分析、处理的工作，它提供分布式的部署和管理方式，它是企业日常信息安全工作的重要支撑支持暴力破解攻击、缓冲区溢出、远程获取shell、拒绝服务、远程文件访问、文件传输协议、数据库、思科产品等，及时发现各类系统中存在的安全漏洞，协助企业发现和修复漏洞。负载均衡深信服等保一体机中的应用交付组件在传统负载均衡的基础上，融入大量安全和优化技术，内容涵盖了用户访问的全过程，确保核心IT应用可以稳定、安全和高效地交付给最终用户。支持基于五元组、时间计划、目标域名、应用类型、线路质量等条件进行流量分发，提供多达20种调度算法，满足用户多元化的流量管理需求。内置全球地址库、国内各大运营商和省市地址库，通过动态全网更新技术保证地址库的准确性。准确监控线路运行状态，可根据延迟、丢包率和流量情况进行规则的动态调节，使用流量分配更加合理。上网行为管理深信服等保一体机中的上网行为管理组件秉持“让上网可视可控，让数据更有价值”的理念，通过专业的用户认证与管理、应用控制、流量管控、行为审计等功能，让客户看得清带宽流量现状，管得住应用和内容，以此提高办公效率、规避泄密和法规风险、保障内网数据安全，实现上网可视化管理。支持29种认证方式，常用的有IP/MAC绑定、密码认证、短信认证、微信具备全国认证、结合多种第三方服务器认证等，满足各种场景的上网认证需求具备全国领先的应用识别特征库和URL库，能识别3000多种网络应用以及1000多种移动应用，并且每2周更新和淘汰一次，时效性更强、准确度更高。应用控制更精细，可区分应用动作（如社交网站的浏览、发帖回帖、上传）、区分方向（如网盘的上传、下载）进行管控。采用应用标签化管理，做到对指定类别的应用进行批量管理，策略部署更简单。精确控制P2P上下行流量，相比市场上其他P2P控制技术可提高30%以上的带宽利用率。根据具体的带宽空闲程度和业务需要，受限的通道可以突破上限，提高带宽利用率和用户体验。能够针对URL类型、文件类型做流控，通道流量实时可视化以及细粒度的可视化报表。具备业界最好的内容识别与管控技术，可以对多种外发途径的数据进行有效识别和管控， 如网盘上传附件控制、论坛上传附件审计和控制、邮件外发附件审计与控制、 IM外发文件审计与控制等。可以对SSL加密的网站内容精准识别与控制，如邮件客户端收发加密邮件、加密论坛审计等。场景化服务交付深信服等保一体机解决方案为满足核心业务系统持续保护，不止合规，打造了一站式场景化服务安全能力。典型场景如下：核心系统安全防护核心系统的安全建设思路一般要满足业务的全生命周期的安全， 达成业务安全等保合规要求，安全能力随着业务增加线性增长。深信服等保一体机解决方案通过下一代防火墙、SSLVPN、运维安全管理、数据库安全审计模块，达到纵深防护、助力合规、服务可视、安全运营的效果典型拓扑如下:WEB网站安全防护Web网站主要会受到网页被篡改影响公众形象，网站被攻击影响业务开展，数据被窃取影响单位信誉，安全事件被通报带来负面影响等安全风险。深信服等保一体机解决方案通过下一代防火墙和数据库审计模块，实现网站安全可视，实时漏洞发现，事件预警和快速响应。典型拓扑如下:

不T5典型拓扑如下不T5典型拓扑如下3.2.3关键业务系统安全接入3.2.4关键业务系统安全运维关键业务系统运维需要注意数据加密防止被窃听，防止由于账号公用导致出现安全事件难以定责，提供日志或者视频回访等回溯机制。深信服等保一体机通过下一代防火墙、SSLVPN、堡垒机模块，实现提升主机安全性、集中安全策略,特权用户管理，安全合规和事件责任回溯。典型拓扑如下：4深信服等保一体机典型部署等保一体机支持网关部署和单臂部署两种方式接入到网络环境中。 当选择单臂模式部署时，等保一体机旁挂在局域网的数据核心交换机上， 如下图（左）所示;当选择网关模式部署时，等保一体机用接在数据核心交换机与出口网关之间，如下图（右）所示。图等保一体机支持的两种部署模式当将等保一体机单臂部署在网络环境中时，需要在核心交换机上配置策略路由，将互联网与内网等保业务系统的流量都镜像至等保一体机； 当将等保一体机作为网关部署在网络环境中时，只需要保证等保业务系统与等保一体机网络可达即可。接下来的章节将根据网关模式、单臂模式、单台主机、集群的组合情况来详细介绍网关部署模式和单臂部署模式。4.1单机单臂部署单机单臂部署适用于功能演示或对现有数据中心等保业务进行扩充加固场景，接线少，部署简单，但不支持物理服务器高可用，部署如下：

单机单臂组网叫崔休。LMII配下说十，单机单臂组网佛松百寸ntithfl人坨3乩里liHuEthLf型机国编）33普由强口Bth2及第核心交换机对接策略路由配置说明：与等保一体机互联的网口配置为三层接口，如果双机集群场景需要对接主备业务引流链路时可以启用 VLANIF并配置策略路由参考配置如下：在翱理交操机俄修上配者的策略将由1-RlACLffi*策略路由参考配置如下：在翱理交操机俄修上配者的策略将由1-RlACLffi*ip第Ee$£-li。Atl.narw10p+flTifta附irvy业晶系班00.02S520per*a»iikWOE0,00,255&中2-配■黄菊路由ffifiT-ttroute-nuppbrp-r^rrrt55rtuechip4ddTttiset沿net.hop5030.0JJ-喇f口ungfor(conftg)*fiterficeEthernet0/1ippolicyroute-nuppbr3叫帖*8门邮［*由图［*«Elherntt0/2ippolicyrOutt-rrdppbrungfat4config>interfAttEcherrwtQ/3ippolicyroutv-mappbr双机单臂部署两台集群部署适用于功能演示或对现有数据中心等保业务进行扩充加固场景，接线少，部署简单，支持HA功能，部署如下:双机集群单臂组网事,件机K|1*.皆0事,件机K|1*.皆0嘲11.管壶口fekhiO文.JElhl(41111>Hl*fk"Hr板对谩11fu.?hh.^(，F：«L«<班说口fuHkI I।EthS件（I国八％,前不命上拒蔺忡MJf.Il策略路由参考配置如下:在痴恋交蚓I在痴恋交蚓I翻「上配芭驼第路更由1U1ACLK*ip占Kl_name10 agany00.025S20peffM3附业帚第况0.0.Qj$5占曲2-配■血路由.JfttT-ttrodte-mappb,p*<mrtSSmutchip』日出aci.n&nvsetipnet_hop3Q.3O.OJ3-■创口ta的砧Ethernet0/1ippolicyroute-mappbrMrtghrfcanfig]rinrecfElherrwt0/2Ippolicy