網(wǎng)絡(luò)安全設(shè)備包括IP協(xié)議密碼機(jī)、安全路由器、線(xiàn)路密碼機(jī)、防火墻等，廣義的信息安全設(shè)備除了包括上述設(shè)備外，還包括密碼芯片、加密卡、身份識(shí)別卡、電話(huà)密碼機(jī)、傳真密碼機(jī)、異步數(shù)據(jù)密碼機(jī)、安全服務(wù)器、安全加密套件、金融加密機(jī)/卡、安全中間件、公開(kāi)密鑰基礎(chǔ)設(shè)施（PKI)系統(tǒng)、授權(quán)證書(shū)（CA)系統(tǒng)、安全操作系統(tǒng)、防病毒軟件、網(wǎng)絡(luò)/系統(tǒng)掃描系統(tǒng)、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全預(yù)警與審計(jì)系統(tǒng)等。

可以通過(guò)防火墻設(shè)置，使Internet或外部網(wǎng)用戶(hù)無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò)，或者對(duì)這種訪問(wèn)配備更多的限定條件。在網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)接口處應(yīng)設(shè)置防火墻設(shè)備；服務(wù)器必須放在防火墻后面。

傳統(tǒng)的安全設(shè)備包括防火墻、UTM統(tǒng)一威脅管理、入侵檢測(cè)引擎、認(rèn)證計(jì)費(fèi)、日志系 統(tǒng)等產(chǎn)品， 這些傳統(tǒng)的安全設(shè)備可以組建完整的網(wǎng)絡(luò)進(jìn)行設(shè)備的安裝調(diào)試， 滿(mǎn)足學(xué)生了解產(chǎn) 品配置、了解產(chǎn)品功能的作用。傳統(tǒng)的安全設(shè)備是安全攻防實(shí)驗(yàn)室不可或缺的產(chǎn)品，它們的 組合可以完成安裝調(diào)試級(jí)別的所有實(shí)驗(yàn)。

SZSM 安全沙盒系統(tǒng)——DigitalChina Secure SandBox（簡(jiǎn)稱(chēng)：DCSS）是使實(shí)驗(yàn)室具有攻防教學(xué)功能的獨(dú)特產(chǎn)品，為計(jì)算機(jī)安全教 育提供實(shí)驗(yàn)課程以及實(shí)驗(yàn)環(huán)境。教師通過(guò)登錄DCSS系統(tǒng)的管理平臺(tái)SandBox Management 6 Centrol（簡(jiǎn)稱(chēng)：SMC）進(jìn)行實(shí)驗(yàn)課程的教學(xué)工作，學(xué)生也可以通過(guò)登錄SMC進(jìn)行教學(xué)課程的 實(shí)驗(yàn)操作。DCSS是SZSM網(wǎng)絡(luò)公司專(zhuān)為網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)室研發(fā)的產(chǎn)品，是進(jìn)行網(wǎng)絡(luò)安全 攻擊和防御的模擬平臺(tái)，鍛煉學(xué)生動(dòng)態(tài)網(wǎng)絡(luò)安全維護(hù)的能力。其名取材于軍事術(shù)語(yǔ)“沙盤(pán)”，這意味著安全沙盒可以通過(guò)模擬實(shí)戰(zhàn)演練戰(zhàn)術(shù)和技術(shù)，其先進(jìn)的設(shè)計(jì)理念為國(guó)內(nèi)首創(chuàng)。

1、運(yùn)行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運(yùn)行，避免因?yàn)橄到y(tǒng)的崩潰和損壞而對(duì)系統(tǒng)存貯、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免由于電磁泄漏，產(chǎn)生信息泄露，干擾他人，受他人干擾。

2、網(wǎng)絡(luò)上系統(tǒng)信息的安全。包括用戶(hù)口令鑒別，用戶(hù)存取權(quán)限控制，數(shù)據(jù)存取權(quán)限，方式控制，安全審計(jì)，安全問(wèn)題跟蹤，計(jì)算機(jī)病毒防治，數(shù)據(jù)加密。

3、網(wǎng)絡(luò)上信息傳播安全，即信息傳播后果的安全。包括信息過(guò)濾等。它側(cè)重于防止和控制非法、有害的信息進(jìn)行傳播后的后果。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍?

4、網(wǎng)絡(luò)上信息內(nèi)容的安全。它側(cè)重于保護(hù)信息的保密性、真實(shí)性和完整性。避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽(tīng)、冒充、詐騙等有損于合法用戶(hù)的行為。本質(zhì)上是保護(hù)用戶(hù)的利益和隱私。

針對(duì)重要信息可能通過(guò)電磁輻射或線(xiàn)路干擾等泄漏。需要對(duì)存放絕密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。對(duì)存有重要數(shù)據(jù)庫(kù)且有實(shí)時(shí)性服務(wù)要求的服務(wù)器必須采用UPS不間斷穩(wěn)壓電源，且數(shù)據(jù)庫(kù)服務(wù)器采用雙機(jī)熱備份，數(shù)據(jù)遷移等方式保證數(shù)據(jù)庫(kù)服務(wù)器實(shí)時(shí)對(duì)外部用戶(hù)提供服務(wù)并且能快速恢復(fù)。

對(duì)于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對(duì)一些關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制、加強(qiáng)口令字的使用、及時(shí)給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開(kāi)。

應(yīng)用系統(tǒng)安全上，主要考慮身份鑒別和審計(jì)跟蹤記錄。這必須加強(qiáng)登錄過(guò)程的身份認(rèn)證，通過(guò)設(shè)置復(fù)雜些的口令，確保用戶(hù)使用的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對(duì)用戶(hù)所訪問(wèn)的信息做記錄，為事后審查提供依據(jù)。我們認(rèn)為采用的入侵檢測(cè)系統(tǒng)可以對(duì)進(jìn)出網(wǎng)絡(luò)的所有訪問(wèn)進(jìn)行很好的監(jiān)測(cè)、響應(yīng)并作記錄。

透明代理模式的工作原理是，當(dāng)WEB客戶(hù)端對(duì)服務(wù)器有連接請(qǐng)求時(shí)，TCP連接請(qǐng)求被WAF截取和監(jiān)控。WAF偷偷的代理了WEB客戶(hù)端和服務(wù)器之間的會(huì)話(huà)，將會(huì)話(huà)分成了兩段，并基于橋模式進(jìn)行轉(zhuǎn)發(fā)。從WEB客戶(hù)端的角度看，WEB客戶(hù)端仍然是直接訪問(wèn)服務(wù)器，感知不到WAF的存在；從WAF工作轉(zhuǎn)發(fā)原理看和透明網(wǎng)橋轉(zhuǎn)發(fā)一樣，因而稱(chēng)之為透明代理模式，又稱(chēng)之為透明橋模式。

這種部署模式對(duì)網(wǎng)絡(luò)的改動(dòng)最小，可以實(shí)現(xiàn)零配置部署。另外通過(guò)WAF的硬件Bypass功能在設(shè)備出現(xiàn)故障或者掉電時(shí)可以不影響原有網(wǎng)絡(luò)流量，只是WAF自身功能失效。缺點(diǎn)是網(wǎng)絡(luò)的所有流量（HTTP和非HTTP）都經(jīng)過(guò)WAF對(duì)WAF的處理性能有一定要求，采用該工作模式無(wú)法實(shí)現(xiàn)服務(wù)器負(fù)載均衡功能。