互联网安全产品与防护手册.docxVIP

互联网安全产品与防护手册

第1章基础防护与访问控制

1.1防火墙策略配置与规则管理

在配置防火墙策略前，务必先明确业务需求，将“允许”与“拒绝”的边界划分清晰。以企业核心网段/24为例，默认策略应设置为“拒绝所有入站流量”，仅允许来自内网管理网段/24的SSH（端口22）和HTTP（端口80）服务通过，其他所有非业务端口（如8080,443,3306）一律阻断。配置策略时需遵循“最小权限原则”，避免开放不必要的端口。例如，若仅需允许Web访问，则不应开放8080端口，而应直接配置允许80端口，防止攻击者通过8080端口探测系统漏洞或进行横向移动。

利用防火墙的“高级规则编辑器”进行精细化控制，确保规则具有明确的优先级。在华为或Cisco等主流设备中，高优先级规则（Priority100-200）优先于低优先级规则，若未设置优先级，则按顺序匹配，这可能导致高优先级业务被低优先级规则意外拦截。配置完成后，必须执行“策略生效”并验证连通性。可通过在防火墙内网接口ping测试目标服务器，或在公网接口测试目标连接，确认业务流量正常，同时观察防火墙日志中是否有“策略未命中”或“拒绝”的告警记录。定期审查策略库，清理已停止使用的旧规则或不再需要的端口开放。例如，若某业务系统已下线，应立即从防火墙策略中移除对该系统相关端口（如