互联网安全产品与防护手册（执行版）.docxVIP

互联网安全产品与防护手册（执行版）

第1章基础架构与网络边界防护

1.1核心防火墙策略配置指南

策略命名规范是确保防火墙策略可追溯、可审计的关键第一步，所有新建策略必须遵循“业务功能+时间范围+源地址段”的命名逻辑，例如命名Web-WebApp-/24，避免使用纯数字或无意义的通用名称，便于后续排查故障。在策略对象定义阶段，需明确区分“允许（Allow）”与“拒绝（Deny）”的优先级关系，默认策略应设置为拒绝所有，仅在最后一条规则明确放行特定流量后方可生效，防止因默认拒绝导致业务完全中断。

针对HTTP/协议的访问控制，需精确匹配源端口范围，例如允许80端口范围通用于所有源网段，而443端口应仅允许特定业务系统的源IP访问，严禁使用模糊的“所有”关键字导致内网主机被公网直接攻击。针对ICMP协议，必须根据业务需求精细配置，仅允许必要的探测流量（如ping测试）或特定业务端口（如80/443），禁止开放全量的ICMP回显请求，以防御扫描型攻击的同时确保业务连通性。在策略执行层面，需启用“动作（Action）”字段明确规则行为，对于拒绝规则必须显式指定“丢弃（Drop）”而非“阻断（Block）”，因为Drop会记录日志便于审计，而Block默认会记录日志但可能影响业务性能。

所有配置策略后，必须立