- 4
- 0
- 约1.98万字
- 约 29页
- 2026-06-26 发布于江西
- 举报
网络安全防护与漏洞扫描指南(执行版)
第1章网络边界防护架构与策略部署
1.1核心防火墙规则精细化配置
在核心防火墙(如CiscoASA或PaloAlto)中,首先需基于“最小权限原则”构建基础访问控制列表(ACL)。对于内网核心服务器,仅允许来自特定管理网段(如/24)的SSH端口(22端口)访问,禁止直接访问数据库端口(如3306)或HTTP服务端口(80/443),仅通过应用网关(AppGateway)的白名单进行转发,以此切断直接攻击路径。针对Web应用层,配置基于业务逻辑的精细化规则,例如:仅允许IP地址0访问80端口,且最大并发连接数(MaxConnections)限制为50,超时时间设置为30秒,同时开启SSL握手前向保密(PPTE)和加密传输(TLS1.3),防止中间人攻击和数据泄露。
对数据库服务器实施严格的源站限制,禁止任何非授权内网主机访问MySQL端口(3306)或PostgreSQL端口(5432),即使对方拥有root权限,若未通过受信任的应用服务连接,防火墙应直接丢弃数据包;若必须开放,需额外部署应用防火墙(AppFW)进行二次鉴权。配置基于“默认拒绝”策略的ACL项,在防火墙规则表中,将非授权IP段的所有流量标记为“拒绝”,并启用“超时后自动丢弃”功能,设置超
原创力文档

文档评论(0)