文档说明
本文档整合了B/S(浏览器/服务器)应用从互联网到应用服务器的端到端安全部署架构,涵盖了构建高安全等级Web应用所需的全部常见安全设备。该架构遵循纵深防御策略,满足等保2.0三级及以上标准要求。
一、总体设计原则
一个完整的B/S应用安全部署,核心思想是分层防御,各司其职:
- 分层防御:从互联网边界到核心数据,每一层都部署了相应的安全设备,即使某一层被突破,还有其他层进行防护。
- 各司其职:每类设备都有其专注的安全领域,从网络层、应用层到数据层,覆盖了攻击的各个环节。
- 协同联动:通过安全管理中心,各设备之间可以协同工作,形成更智能的防御体系。
二、网络部署综合拓扑图
下图展示了各类安全设备在典型B/S架构中的逻辑位置和层级关系:
#mermaid-svg-hwc8KtMTK93UhxhQ{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}@keyframes edge-animation-frame{from{stroke-dashoffset:0;}}@keyframes dash{to{stroke-dashoffset:0;}}#mermaid-svg-hwc8KtMTK93UhxhQ .edge-animation-slow{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 50s linear infinite;stroke-linecap:round;}#mermaid-svg-hwc8KtMTK93UhxhQ .edge-animation-fast{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 20s linear infinite;stroke-linecap:round;}#mermaid-svg-hwc8KtMTK93UhxhQ .error-icon{fill:#552222;}#mermaid-svg-hwc8KtMTK93UhxhQ .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-hwc8KtMTK93UhxhQ .edge-thickness-normal{stroke-width:1px;}#mermaid-svg-hwc8KtMTK93UhxhQ .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-hwc8KtMTK93UhxhQ .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-hwc8KtMTK93UhxhQ .edge-thickness-invisible{stroke-width:0;fill:none;}#mermaid-svg-hwc8KtMTK93UhxhQ .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-hwc8KtMTK93UhxhQ .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-hwc8KtMTK93UhxhQ .marker{fill:#333333;stroke:#333333;}#mermaid-svg-hwc8KtMTK93UhxhQ .marker.cross{stroke:#333333;}#mermaid-svg-hwc8KtMTK93UhxhQ svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-hwc8KtMTK93UhxhQ p{margin:0;}#mermaid-svg-hwc8KtMTK93UhxhQ .label{font-family:"trebuchet ms",verdana,arial,sans-serif;color:#333;}#mermaid-svg-hwc8KtMTK93UhxhQ .cluster-label text{fill:#333;}#mermaid-svg-hwc8KtMTK93UhxhQ .cluster-label span{color:#333;}#mermaid-svg-hwc8KtMTK93UhxhQ .cluster-label span p{background-color:transparent;}#mermaid-svg-hwc8KtMTK93UhxhQ .label text,#mermaid-svg-hwc8KtMTK93UhxhQ span{fill:#333;color:#333;}#mermaid-svg-hwc8KtMTK93UhxhQ .node rect,#mermaid-svg-hwc8KtMTK93UhxhQ .node circle,#mermaid-svg-hwc8KtMTK93UhxhQ .node ellipse,#mermaid-svg-hwc8KtMTK93UhxhQ .node polygon,#mermaid-svg-hwc8KtMTK93UhxhQ .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-hwc8KtMTK93UhxhQ .rough-node .label text,#mermaid-svg-hwc8KtMTK93UhxhQ .node .label text,#mermaid-svg-hwc8KtMTK93UhxhQ .image-shape .label,#mermaid-svg-hwc8KtMTK93UhxhQ .icon-shape .label{text-anchor:middle;}#mermaid-svg-hwc8KtMTK93UhxhQ .node .katex path{fill:#000;stroke:#000;stroke-width:1px;}#mermaid-svg-hwc8KtMTK93UhxhQ .rough-node .label,#mermaid-svg-hwc8KtMTK93UhxhQ .node .label,#mermaid-svg-hwc8KtMTK93UhxhQ .image-shape .label,#mermaid-svg-hwc8KtMTK93UhxhQ .icon-shape .label{text-align:center;}#mermaid-svg-hwc8KtMTK93UhxhQ .node.clickable{cursor:pointer;}#mermaid-svg-hwc8KtMTK93UhxhQ .root .anchor path{fill:#333333!important;stroke-width:0;stroke:#333333;}#mermaid-svg-hwc8KtMTK93UhxhQ .arrowheadPath{fill:#333333;}#mermaid-svg-hwc8KtMTK93UhxhQ .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-hwc8KtMTK93UhxhQ .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-hwc8KtMTK93UhxhQ .edgeLabel{background-color:rgba(232,232,232, 0.8);text-align:center;}#mermaid-svg-hwc8KtMTK93UhxhQ .edgeLabel p{background-color:rgba(232,232,232, 0.8);}#mermaid-svg-hwc8KtMTK93UhxhQ .edgeLabel rect{opacity:0.5;background-color:rgba(232,232,232, 0.8);fill:rgba(232,232,232, 0.8);}#mermaid-svg-hwc8KtMTK93UhxhQ .labelBkg{background-color:rgba(232, 232, 232, 0.5);}#mermaid-svg-hwc8KtMTK93UhxhQ .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-hwc8KtMTK93UhxhQ .cluster text{fill:#333;}#mermaid-svg-hwc8KtMTK93UhxhQ .cluster span{color:#333;}#mermaid-svg-hwc8KtMTK93UhxhQ div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-hwc8KtMTK93UhxhQ .flowchartTitleText{text-anchor:middle;font-size:18px;fill:#333;}#mermaid-svg-hwc8KtMTK93UhxhQ rect.text{fill:none;stroke-width:0;}#mermaid-svg-hwc8KtMTK93UhxhQ .icon-shape,#mermaid-svg-hwc8KtMTK93UhxhQ .image-shape{background-color:rgba(232,232,232, 0.8);text-align:center;}#mermaid-svg-hwc8KtMTK93UhxhQ .icon-shape p,#mermaid-svg-hwc8KtMTK93UhxhQ .image-shape p{background-color:rgba(232,232,232, 0.8);padding:2px;}#mermaid-svg-hwc8KtMTK93UhxhQ .icon-shape .label rect,#mermaid-svg-hwc8KtMTK93UhxhQ .image-shape .label rect{opacity:0.5;background-color:rgba(232,232,232, 0.8);fill:rgba(232,232,232, 0.8);}#mermaid-svg-hwc8KtMTK93UhxhQ .label-icon{display:inline-block;height:1em;overflow:visible;vertical-align:-0.125em;}#mermaid-svg-hwc8KtMTK93UhxhQ .node .label-icon path{fill:currentColor;stroke:revert;stroke-width:revert;}#mermaid-svg-hwc8KtMTK93UhxhQ :root{--mermaid-font-family:"trebuchet ms",verdana,arial,sans-serif;} 安全管理中心
运维管理区
核心内网
DMZ区(非军事化区)
互联网用户
边界路由器
抗DDoS设备
下一代防火墙 NGFW
入侵防御系统 IPS
Web应用防火墙 WAF
负载均衡器
内部防火墙
安全认证网关
应用服务器
数据库服务器
运维人员
堡垒机
日志审计系统
数据库审计系统
漏洞扫描系统
态势感知平台
入侵检测系统 IDS
网络准入控制 NAC
三、各类安全设备功能与部署详解
3.1 网络层防护设备
| 设备名称 |
部署位置 |
部署方式 |
核心功能 |
| 边界路由器 |
网络最外层,互联网入口 |
串联 |
网络层"第一道门",执行基础路由转发和简单的访问控制列表(ACL)。 |
| 抗DDoS设备 |
边界防火墙之前或并行 |
串联/旁路 |
检测并清洗大流量的分布式拒绝服务(DDoS)攻击,确保服务可用性。 |
| 下一代防火墙(NGFW) |
网络边界或区域边界 |
串联 |
执行访问控制策略(ACL)、网络地址转换(NAT)、划分安全区域,并能进行应用识别、入侵防御(IPS)、防病毒(AV) 等深度检测。 |
| 入侵防御系统(IPS) |
防火墙之后,DMZ区 |
串联 |
实时检测并主动阻断网络流量中的入侵行为,是对抗已知攻击的利器。 |
| 入侵检测系统(IDS) |
核心交换机旁路 |
旁路 |
通过镜像流量来分析网络中的异常行为并发出告警,只"看"不"挡",是防火墙和IPS的有益补充。 |
| 网络准入控制(NAC) |
接入层 |
串联 |
确保只有符合安全策略(如安装了最新补丁、防病毒软件)的终端设备才能接入网络。 |
| 上网行为管理 |
网络出口 |
串联 |
管理员工的上网行为,进行流量控制、应用限制和访问审计。 |
| 核心交换机 |
网络骨干 |
串联 |
高性能的数据交换中心,负责网络内所有数据的高速转发,连接所有服务器和网络设备。 |
3.2 应用层防护设备
| 设备名称 |
部署位置 |
部署方式 |
核心功能 |
| Web应用防火墙(WAF) |
DMZ区,WEB服务器前端 |
串联 |
应用层的"专业保镖",深度检测HTTP/HTTPS流量,防御SQL注入、XSS(跨站脚本攻击)、CC攻击等Web应用层威胁。 |
| 负载均衡器 |
DMZ区,WAF之后,应用服务器之前 |
串联 |
将用户请求分发到多个应用服务器,提升系统处理能力、可用性,并实现会话保持(Session Stickiness)。 |
| 安全认证网关 |
核心内网入口,应用服务器之前 |
串联 |
应用系统的"统一身份认证大门",对用户进行强身份认证 (如数字证书),实现单点登录(SSO)和精细化访问控制。 |
| API网关 |
微服务或应用集群前 |
串联 |
负责内部服务调用的管理、鉴权、限流和监控,是微服务架构中的关键组件。 |
| 网页防篡改系统 |
Web服务器上 |
主机级 |
通过文件监控、内核级防护等技术,保护网站页面内容不被非法篡改。 |
3.3 数据与审计防护设备
| 设备名称 |
部署位置 |
部署方式 |
核心功能 |
| 数据库审计系统(DAM) |
核心交换机旁路 |
旁路 |
对数据库的所有操作行为(查询、修改、删除等)进行细粒度审计和告警,满足合规要求。 |
| 数据库防火墙(DBF) |
数据库前端 |
串联 |
实时监控和阻断对数据库的非法操作和攻击,如SQL注入、高危操作等。 |
| 数据防泄漏系统(DLP) |
网络出口或终端 |
串联/主机级 |
监控并阻止敏感数据(如身份证号、银行卡号)通过邮件、即时通讯等途径非法外传。 |
| 数据备份系统 |
独立部署或与存储集成 |
旁路 |
对关键数据进行定期备份,是数据安全的最后一道防线,保障业务连续性。 |
3.4 运维与终端防护设备
| 设备名称 |
部署位置 |
部署方式 |
核心功能 |
| 堡垒机(Bastion Host) |
运维管理区 |
旁路 |
运维人员的"统一操作入口",管控所有对服务器、数据库等资产的运维操作,实现全程审计、录像和权限控制。 |
| 终端检测与响应(EDR/XDR) |
服务器和办公终端 |
主机级 |
提供端点层面的高级威胁检测和响应能力,可发现并处置未知恶意软件和APT攻击。 |
| 主机杀毒软件 |
所有服务器和终端 |
主机级 |
基础的恶意软件防护手段,查杀病毒、木马等已知恶意程序。 |
3.5 安全管理与运营设备
| 设备名称 |
部署位置 |
部署方式 |
核心功能 |
| 日志审计系统 |
安全管理中心 |
集中部署 |
收集网络中所有设备(防火墙、服务器等)的日志,进行集中存储、分析和审计,满足等保合规要求。 |
| 漏洞扫描系统 |
可部署在任意网段 |
旁路 |
定期对网络内的IP、系统、Web应用进行安全扫描,发现漏洞并生成报告,指导修复工作。 |
| 态势感知平台 |
安全管理中心 |
集中部署 |
安全运营的"大脑",通过大数据分析,将各种安全告警关联分析,展现全局安全态势,并支持响应处置。 |
| 安全访问服务边缘(SASE) |
云端或云节点 |
云原生 |
一种云原生的架构模型,将网络与安全功能(如SD-WAN、SWG、CASB)融合到云端服务中,适用于多分支和远程办公场景。 |
四、按部署区域分类汇总
为便于理解和实施,将上述设备按物理/逻辑部署区域汇总如下:
4.1 互联网出口区(边界层)
| 序号 |
设备名称 |
| 1 |
边界路由器 |
| 2 |
抗DDoS设备 |
| 3 |
下一代防火墙(NGFW) |
| 4 |
上网行为管理 |
4.2 DMZ区(非军事化区)
| 序号 |
设备名称 |
| 1 |
入侵防御系统(IPS) |
| 2 |
Web应用防火墙(WAF) |
| 3 |
负载均衡器 |
4.3 核心内网区
| 序号 |
设备名称 |
子区域 |
| 1 |
内部防火墙 |
内网入口 |
| 2 |
安全认证网关 |
应用接入层 |
| 3 |
API网关 |
应用接入层 |
| 4 |
应用服务器 |
业务应用层 |
| 5 |
数据库防火墙(DBF) |
数据层 |
| 6 |
数据库服务器 |
数据层 |
4.4 运维管理区
| 序号 |
设备名称 |
| 1 |
堡垒机 |
| 2 |
终端检测与响应(EDR) |
4.5 安全管理中心
| 序号 |
设备名称 |
| 1 |
日志审计系统 |
| 2 |
数据库审计系统(DAM) |
| 3 |
漏洞扫描系统 |
| 4 |
态势感知平台 |
4.6 旁路部署设备
| 序号 |
设备名称 |
| 1 |
入侵检测系统(IDS) |
| 2 |
数据防泄漏系统(DLP) |
| 3 |
数据备份系统 |
4.7 主机级部署
| 序号 |
设备名称 |
| 1 |
网页防篡改系统 |
| 2 |
主机杀毒软件 |
五、端到端数据流说明
一次完整的用户访问请求,经过的安全设备链路如下:
- 互联网用户 → 边界路由器(基础路由和ACL过滤)
- → 抗DDoS设备(清洗大流量攻击)
- → 下一代防火墙(NGFW)(访问控制、NAT、应用识别)
- → 入侵防御系统(IPS)(主动阻断入侵行为)
- → Web应用防火墙(WAF)(防御SQL注入、XSS等Web攻击)
- → 负载均衡器(流量分发、会话保持)
- → 内部防火墙(更严格的内部网络隔离策略)
- → 安全认证网关(强身份认证、单点登录、访问控制)
- → 应用服务器(业务逻辑处理)
- → 数据库服务器(数据读写)
六、常见设备组合与典型应用场景
| 安全等级需求 |
核心设备组合 |
适用场景 |
| 基础防护 |
防火墙 + 负载均衡 |
中小企业、内部管理系统 |
| 标准防护(等保二级) |
防火墙 + WAF + 堡垒机 + 日志审计 |
一般政务系统、企业官网 |
| 高等级防护(等保三级) |
NGFW + IPS + WAF + 安全认证网关 + 堡垒机 + 数据库审计 + 态势感知 |
金融、政务、医疗核心系统 |
| 云原生/混合云 |
上述设备云化版 + SASE + API网关 |
云上业务、多分支互联场景 |
七、总结
构建一个完整、高安全等级的B/S应用防护体系,核心要点如下:
| 层级 |
部署设备 |
解决的问题 |
| 边界层 |
路由器、抗DDoS、NGFW |
清洗大流量攻击,执行基础访问控制 |
| 应用接入层 |
IPS、WAF、负载均衡 |
防御应用层攻击,保障高可用 |
| 身份与访问层 |
安全认证网关、API网关 |
强身份认证,精细化权限管理 |
| 数据层 |
数据库防火墙、数据库审计 |
保护核心数据,满足合规审计 |
| 运维层 |
堡垒机、EDR |
规范运维操作,防范终端风险 |
| 管理层 |
日志审计、漏洞扫描、态势感知 |
集中监控、漏洞发现、安全运营 |
这套分层防御、纵深防御的体系,能够有效将安全风险控制在最小范围,是构建高安全等级B/S应用的坚实基础。