公司刚做完等保2.0测评,安全设备堆了一堆,防火墙、WAF、日志审计全上了,结果某天内网一台路由器被改了DNS指向,员工访问银行网站跳转到钓鱼页——这事儿就发生在我们隔壁工位老张负责的项目里。
等保2.0不是买设备清单
很多人把等保2.0当成“交差工程”:买台下一代防火墙打个勾,装个堡垒机填个表,等测评一过,策略照旧用默认配置,路由ACL常年空着,管理口还开着HTTP。其实等保2.0第三级明确要求“通信传输应采用密码技术保证传输过程中数据的保密性”,但不少单位的边界路由器连TLS都懒得配,更别说启用IPSec或国密SM4隧道了。
路由层,是防御体系的第一道缝
别小看几条静态路由或OSPF重分发。攻击者常从BGP劫持、RIP欺骗、甚至ARP+DHCP组合拳切入。去年某省政务云就因核心路由器未关闭ICMP重定向,被构造恶意报文篡改了默认网关,横向渗透直接绕过所有上层WAF和IPS。
等保2.0在“安全区域边界”章节里反复强调“应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信”。翻译成人话就是:你不能让流量偷偷从路由器管理口、console口、甚至USB调试口溜出去。比如下面这段常见但危险的配置:
interface GigabitEthernet0/0/1
ip address 192.168.10.1 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 192.168.10.254看着干净,但缺了ACL限制管理网段、没关掉不必要的服务(如HTTP server、CDP)、也没启用SSHv2强制认证——这些恰恰是等保2.0“安全计算环境”和“安全区域边界”的扣分点。
真干活得这么对齐
把等保条款落到路由配置上,不是喊口号:
• “应启用设备的访问控制策略” → 每个物理/逻辑接口必须有in/out方向ACL,拒绝非业务端口(比如禁止外网访问路由器SNMP);
• “应提供重要数据处理系统的主备冗余” → OSPF/FHRP必须配健康检查,不能只写个standby 1 ip 192.168.1.254就完事;
• “应采用校验技术或密码技术保证重要数据在存储过程中的完整性” → 路由器配置文件导出时,得用SHA256签名存档,而不是直接FTP明文传。
有家做智能电表的公司,按等保2.0要求做了双机热备,但两台核心路由器之间的心跳线走的是VLAN 1,默认开启DTP和VTP,结果一次误操作触发VTP域同步,全网VLAN瞬间错乱——等保要的是“可用”,不是“看起来能切”,更不是“切完更乱”。
说白了,等保2.0是尺子,网络攻击防御体系是衣服。尺子量得再准,衣服剪得歪七扭八,照样漏风。路由器不是摆件,它既是流量闸门,也是策略落点。配置不细抠、策略不闭环、日志不上报,等保证书挂墙上,黑客进内网像回自己家。