2025年互联网安全防护与监控手册.docxVIP

2025年互联网安全防护与监控手册

第1章网络边界防护与入侵检测

1.1下一代防火墙策略配置与日志审计

在配置下一代防火墙（NGFW）前，需首先梳理业务网络拓扑，明确内网核心交换机与边界路由器之间的物理连接，确保管理VLAN与业务VLAN逻辑隔离，防止管理流量泄露至生产网络。针对核心业务端口，将默认策略设为“允许”，但在所有入站方向上启用深度包检测（DPI）功能，配置基于应用层的黑白名单策略，例如禁止访问未授权的内网子网IP段，仅允许特定业务端口（如80,443,445）通过。

开启防火墙的日志审计功能，将日志级别调至“详细”模式，确保所有入站、出站及转发的数据