先搞懂防火墙策略匹配的 “底层规则”
-
自上而下,顺序执行
防火墙接收流量后,从策略列表第一条开始,逐条匹配 “源 IP、目的 IP、端口、协议、安全区域” 等条件;
-
匹配即停止
只要某条策略的所有条件都满足,就执行该策略的动作(允许 / 阻断),不再检查后续策略;
-
缺省策略兜底
所有手动配置的策略都不匹配时,触发 “缺省策略(Default Policy)”,默认动作就是 “全禁止”。
策略 1:阻断所有高风险端口(21、23、135、445、3389等);
策略 2:允许运维终端访问服务器的 RDP(3389 端口)。
三个维度说透 “全禁止” 的不可替代性
1. 安全理念:守住 “最小权限” 的最后防线
你手动配置的策略可能只覆盖了已知业务(如 80 端口 Web 服务、3306 端口数据库),但网络中永远有遗漏场景:新业务端口未及时配置、旧业务下线后策略未删除、隐藏端口未发现;
攻击者会扫描所有开放端口寻找疏漏,比如你忘了阻断 1433 端口(SQL Server),就能直接尝试暴力破解;
对于电力监控系统、金融核心系统等关键场景,一个端口的疏漏就可能导致设备被入侵、数据被篡改。
2. 合规要求:等保 2.0 与行业规范的 “硬性指标”
电力行业:《电力监控系统安全防护规定》(能源局 36 号令)明确要求 “禁止未授权访问”;
金融行业:银保监会要求核心业务系统防火墙必须启用 “默认拒绝” 策略,仅开放必要端口。
3. 风险防控:避免 “配置疏漏” 引发的安全事故
放开缺省策略的惨痛教训
案例 1:企业内网防火墙 “全通”,勒索病毒爆发
案例 2:电力监控系统防火墙 “全允许”,遭黑客入侵
这些误解要澄清
误区 1:“全禁止会影响业务,改成全通更方便”
误区 2:“前面已经有很多允许策略了,缺省策略无所谓”
误区 3:“工业防火墙不需要全禁止,业务协议固定”
守住最后一道防线,让防火墙真正 “防得住”
等保2.0的要求更原则化和效果导向。与这条“全禁止策略”相关的核心要求主要在于 “访问控制” 和 “安全审计”,具体体现在以下条款中(以第三级为例):
-
安全区域边界 > 访问控制(8.1.3.3)
“应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。”
-
这是“全禁止策略”要求的最根本来源。它要求防火墙的默认行为应该是 “拒绝所有” ,然后通过规则明确允许必要的通信。这被称为 “默认拒绝,按需允许” 或 “白名单” 原则。配置一条最终的“拒绝所有”策略,是实现这一技术要求的最直接、最清晰、最可验证的方法。
-
-
安全计算环境 > 访问控制(8.1.4.3)
“应授予管理用户所需的最小权限,实现管理用户的权限分离。”
-
这与“默认拒绝”的思想一脉相承,都是“最小权限原则”的体现。防火墙策略只允许业务需要的最小范围流量。
-
为什么业界普遍说“必须有一条全禁止策略”?
-
最佳实践的技术实现:为了满足“默认拒绝”的等保要求,在防火墙策略列表末尾添加一条
deny ip any any或deny all规则,是通用、标准且无可争议的配置方法。测评人员检查时,看到这条规则,就能立刻验证“默认拒绝”原则得到了技术落实。 -
测评的可操作性:这为测评人员提供了一个清晰、明确的检查点。如果没有这条规则,测评人员就需要花费大量精力去分析所有允许规则之间的逻辑关系,判断是否存在“隐式允许”的漏洞,工作量巨大且容易出错。
-
防止配置疏漏:它能有效防止因管理员疏忽而导致未预料到的流量被放行,是安全架构中的最后一道可靠屏障。
