防火墙策略配置黄金法则

还记得 2017 年肆虐全球的 WannaCry 勒索病毒吗？它通过网络传播，感染了大量计算机，导致医院、学校、企业等众多机构的系统瘫痪。受害者的文件被加密，只有支付高额赎金才能解锁。据统计，全球有超过 150 个国家和地区受到影响，经济损失高达数十亿美元。这一事件让人们深刻认识到网络安全的重要性，也让防火墙这一网络安全设备走进了更多人的视野。

防火墙作为网络安全的第一道防线，就像一座坚固的城堡，阻挡着外部非法网络访问和内部敏感信息泄露。而防火墙策略配置，就如同城堡的防御规划，合理的策略能让防火墙发挥最大效能，不合理的策略则可能让防火墙形同虚设。接下来，就让我们一起揭开防火墙策略配置黄金法则的神秘面纱，看看如何为我们的网络构建起坚不可摧的安全防线。

黄金法则 1：默认拒绝原则

默认拒绝原则，简单来说，就是防火墙在默认情况下，对所有的网络流量采取拒绝通过的策略 。只有当明确配置了允许规则，特定的流量才被允许通过。这就好比你家的大门，默认是关闭的，只有当你确认来访的人是被邀请的客人，才会开门让其进入。

在实际的网络环境中，这一原则发挥着至关重要的作用。比如，一家企业的内部网络中存储着大量的商业机密和客户信息。如果防火墙没有采用默认拒绝原则，那么外部的网络攻击者就有可能轻易地尝试连接企业内部的各种服务器，寻找可乘之机。一旦有漏洞被发现，企业的数据就面临着被窃取、篡改的风险。

而当防火墙遵循默认拒绝原则时，外部未经授权的访问请求在一开始就会被拒绝。只有企业明确允许的外部服务，如企业的官方网站访问、合作伙伴的特定数据交互等，才会被放行。这大大降低了企业网络遭受外部攻击的风险，从源头上保障了网络的安全性。

默认拒绝原则为网络安全奠定了坚实的基础，它就像一道坚固的盾牌，将潜在的威胁拒之门外，是防火墙策略配置中不可或缺的重要原则。

黄金法则 2：最小权限访问

最小权限访问，是防火墙策略配置中另一条极为重要的黄金法则。这一法则的核心思想是，只授予主体（用户、设备或应用程序）完成其任务所必需的最小限度的访问权限 。简单来讲，就是让每个访问者只能访问他们真正需要的资源，而不能多也不能少。

在企业内部网络访问的场景中，最小权限访问法则的重要性体现得淋漓尽致。以一家大型企业为例，企业内部有多个部门，如研发部、销售部、财务部等。每个部门都有自己的业务需求和相应的网络资源访问需求。研发部的员工可能需要访问代码仓库、开发测试环境等资源；销售部的员工则主要需要访问客户关系管理系统、市场数据等；财务部的员工要处理财务报表、薪资信息等，需要访问财务相关的数据库和软件。

如果不遵循最小权限访问原则，而是给予所有员工完全的网络访问权限，那么一旦某个员工的账号被盗用，黑客就可以轻松获取企业内部的所有敏感信息，包括商业机密、财务数据、客户资料等。这将给企业带来巨大的损失，可能导致企业的商业信誉受损、客户流失，甚至面临法律风险。

相反，当企业严格遵循最小权限访问原则时，防火墙策略会根据员工的工作职能和需求，精确地分配访问权限。比如，研发部的员工只能访问与研发工作相关的资源，无法访问财务部的敏感财务数据；销售部的员工也不能随意进入研发部的代码仓库。这样一来，即使某个员工的账号出现安全问题，黑客也只能获取到该员工权限范围内的有限信息，大大降低了企业整体的安全风险。

最小权限访问法则就像是一把精准的 “权限手术刀”，通过精细地控制访问权限，最大程度地保护企业敏感信息的安全，是防火墙策略配置中不可或缺的关键法则。

黄金法则 3：多层防御机制

多层防御机制，就像是为网络安全构筑了一道道坚固的防线，每一层防线都肩负着独特的使命，它们相互协作，共同抵御来自外部和内部的各种网络威胁 。这一机制的核心在于，通过多个层面的安全防护措施，降低攻击成功的可能性，确保在任何一个层面的防护措施出现问题时，其他层面仍能继续为系统提供保护，从而最大程度地保障网络的安全性和稳定性。

以一个典型的企业网络架构为例，我们来深入了解多层防御机制是如何协同工作的。在企业网络与外部网络的边界处，部署着边界防火墙，它犹如网络的 “门卫”，是抵御外部攻击的第一道防线。边界防火墙主要基于源 IP 地址、目的 IP 地址、端口号和协议类型等基本信息对网络流量进行过滤。比如，它可以阻止来自已知恶意 IP 地址段的访问请求，或者禁止某些危险端口的连接，从而将大部分明显的外部攻击拒之门外。

在企业内部网络中，又进一步划分了不同的区域，如办公区、研发区、服务器区等，每个区域之间通过内部防火墙进行隔离。这些内部防火墙可以根据企业的业务需求和安全策略，对不同区域之间的流量进行更精细的控制。例如，办公区的员工可能只能访问特定的内部服务器资源，而无法直接访问研发区的敏感数据，这样即使外部攻击者突破了边界防火墙，也会在内部防火墙这里遇到阻碍，难以在整个网络中肆意妄为。

除了防火墙，入侵检测系统（IDS）和入侵防御系统（IPS）也是多层防御机制的重要组成部分。IDS 就像网络中的 “侦察兵”，实时监控网络流量，一旦发现可疑的行为模式，如大量的端口扫描、异常的协议请求等，就会立即发出警报。而 IPS 则更加主动，它不仅能检测到攻击行为，还能在攻击发生时立即采取行动，如阻断连接、重置会话等，直接将攻击扼杀在摇篮中。例如，当 IPS 检测到有黑客试图通过 SQL 注入攻击企业的数据库服务器时，它会迅速阻止相关的网络请求，保护数据库的安全。

在应用层面，应用程序防火墙（WAF）发挥着关键作用。它主要针对 Web 应用程序进行防护，能够检查 HTTP/HTTPS 协议的流量，识别和阻止各种针对 Web 应用的攻击，如跨站脚本攻击（XSS）、文件上传漏洞利用等。比如，当用户向 Web 应用提交数据时，WAF 会对数据进行严格的验证和过滤，防止恶意代码通过输入框注入到应用程序中。

数据加密也是多层防御机制不可或缺的一环。对于企业中的敏感数据，如客户信息、财务报表、商业机密等，在存储和传输过程中都进行加密处理。这样即使数据不幸被窃取，攻击者也难以读取其中的内容，大大降低了数据泄露带来的风险。例如，企业的数据库中存储的客户信用卡信息，会通过加密算法进行加密存储，只有拥有正确密钥的授权用户才能解密查看。

用户认证和授权机制则从人员访问的角度提供了安全保障。通过用户名 / 密码、双因素认证、生物特征认证等多种方式，确保只有合法的用户才能访问网络资源。同时，根据最小权限原则，为每个用户分配其完成工作所需的最低限度的访问权限，进一步减少因用户账号被盗用而导致的安全风险。比如，普通员工可能只能访问自己工作相关的文件和应用程序，而管理员则拥有更高的权限，但也仅限于管理和维护系统所必需的操作。

多层防御机制通过将不同类型的安全防护措施有机结合，从网络边界、内部网络、应用程序、数据以及用户等多个层面构建起了一个全方位、立体式的安全防护体系，为网络安全提供了坚实可靠的保障 。

黄金法则 4：定期更新策略

在快速发展的网络世界中，网络环境处于持续的动态变化之中，新的威胁、漏洞以及业务需求不断涌现。因此，定期更新防火墙策略是确保网络安全的关键举措，就如同为网络安全防线注入源源不断的 “活力”，使其能够始终适应不断变化的网络环境，有效抵御各种新型网络威胁 。

网络环境的变化因素复杂多样，新的恶意软件层出不穷，黑客攻击手段也日益翻新。比如，勒索软件家族不断演变，从最初简单的加密文件索要赎金，到如今采用更隐蔽的传播方式和更复杂的加密算法，给用户数据安全带来了极大的威胁。零日漏洞也频繁出现，这些漏洞一旦被黑客利用，可能导致严重的安全事故。例如，2021 年微软 Exchange 服务器被曝出存在多个零日漏洞，被黑客广泛利用，导致大量企业邮件系统遭受攻击，数据泄露风险剧增。

企业的业务需求也会随着市场竞争、产品迭代等因素发生变化。比如，企业拓展新的业务领域，可能需要引入新的应用程序和服务，这就要求防火墙策略能够及时调整，以允许相关的网络流量通过。同时，企业的组织架构调整、员工岗位变动等也会影响到网络访问权限的分配，需要对防火墙策略进行相应的更新。

为了确保防火墙策略能够及时适应这些变化，企业需要建立一套完善的策略更新机制。可以每月或每季度对防火墙策略进行一次全面审查，检查策略是否与当前的网络安全状况和业务需求相符。在审查过程中，要重点关注新出现的网络威胁和漏洞，及时调整策略以应对这些风险。例如，当发现一种新型的 DDoS 攻击方式在网络上蔓延时，企业应立即分析攻击特征，在防火墙策略中添加相应的防护规则，限制异常流量的进入，防止企业网络受到攻击。

还可以利用自动化工具来辅助策略更新工作。许多防火墙设备都提供了自动化更新功能，可以定期从安全厂商获取最新的威胁情报和规则库，自动更新防火墙策略。一些专业的网络安全管理软件也能够对网络流量进行实时监测和分析，当发现异常流量或潜在的安全风险时，自动生成策略更新建议，帮助管理员及时调整防火墙策略。例如，通过设置自动化脚本，定期扫描网络，一旦发现有新的设备接入或网络流量模式发生异常变化，就自动触发策略更新流程，确保防火墙策略能够及时适应网络环境的变化。

黄金法则 5：清晰的规则顺序

在防火墙策略配置中，规则顺序的重要性不容小觑，它就像是一场精心编排的演出，每个环节都有其特定的出场顺序，一旦顺序错乱，就可能引发意想不到的混乱。防火墙在处理网络流量时，会按照规则的先后顺序依次对数据包进行匹配和处理 。如果规则顺序设置不合理，就可能导致一些安全漏洞的出现，使得原本应该被阻挡的非法流量得以通过，给网络安全带来严重威胁。

为了更直观地理解这一点，我们来看一个实际的案例。假设某企业的防火墙策略中有两条规则，一条是允许企业内部员工访问公司的财务系统，源 IP 地址设定为企业内部办公网络的 IP 段，目的 IP 地址为财务系统服务器的 IP 地址，端口号为财务系统使用的特定端口；另一条规则是禁止所有来自外部网络的访问。正常情况下，禁止外部访问的规则应该排在前面，这样任何来自外部网络的访问请求在一开始就会被拒绝。但如果管理员不小心将这两条规则的顺序颠倒了，先允许了特定源 IP 的访问，然后才是禁止外部访问。那么，外部攻击者就可以利用这个漏洞，通过伪装成企业内部办公网络的 IP 地址，尝试访问财务系统。由于防火墙先匹配到允许访问的规则，这些非法访问请求就可能被放行，从而导致企业财务系统面临被攻击、数据泄露的风险。

那么，如何设置正确的规则顺序呢？一般来说，应该遵循 “先特殊后一般” 的原则 。将那些针对性强、条件更具体的规则放在前面，例如针对特定 IP 地址、特定端口、特定应用程序的访问控制规则。这些特殊规则能够优先对符合条件的流量进行精确处理，确保关键的安全需求得到满足。而那些较为通用的规则，如默认拒绝规则、允许常见服务的通用访问规则等，则放在后面。这样，当数据包进入防火墙时，首先会被前面的特殊规则进行严格筛选，只有那些不满足特殊规则的数据包才会继续被后面的通用规则处理，从而保证防火墙策略的严谨性和高效性。

在设置规则顺序时，还需要充分考虑网络流量的实际情况和业务需求 。比如，如果企业的业务中，某个特定应用程序的流量非常大，且对安全性要求极高，那么针对该应用程序的访问控制规则就应该尽量靠前，以减少不必要的匹配计算，提高防火墙的处理效率。同时，要定期对规则顺序进行审查和优化，随着网络环境的变化、业务的发展以及新的安全威胁的出现，及时调整规则顺序，确保防火墙始终能够有效地保护网络安全。

清晰的规则顺序是防火墙策略配置中不可或缺的关键环节，它直接关系到防火墙能否正常发挥其安全防护作用，为网络安全保驾护航。

黄金法则 6：避免使用 Allow ALL 规则

在防火墙策略配置中，有一条至关重要但却常常被忽视的法则，那就是要坚决避免使用 Allow ALL 规则 。Allow ALL 规则，简单来说，就是允许所有用户使用所有协议从所有网络访问到所有网络。乍一看，这种规则似乎能提供最大程度的网络连通性，让一切网络访问都畅通无阻。然而，这实际上是一种极其危险的做法，就像是为网络安全埋下了一颗随时可能引爆的 “定时炸弹”。

在实际的网络环境中，使用 Allow ALL 规则会让防火墙的防护功能形同虚设，无法对网络流量进行有效的控制和筛选。这意味着，无论是合法的访问请求还是恶意的攻击行为，都能轻松地通过防火墙，进入目标网络。比如，黑客可以利用这个漏洞，肆意扫描网络中的设备，寻找可利用的弱点；恶意软件也能毫无阻碍地传播，感染网络中的计算机，窃取敏感信息、破坏系统。

让我们来看一个真实的案例。某小型企业在配置防火墙策略时，为了图方便，使用了 Allow ALL 规则。他们认为自己的网络规模较小，没有什么重要的信息，不会成为黑客攻击的目标。然而，不久之后，企业的网络就遭受了严重的攻击。黑客通过网络扫描，发现了企业内部一台服务器存在安全漏洞，利用这个漏洞，黑客成功入侵了服务器，窃取了企业的客户信息、财务数据等重要资料。企业不仅面临着客户信任危机，还因数据泄露可能面临法律责任，最终不得不花费大量的时间和资金来进行数据恢复和网络安全加固，但损失已经无法挽回。

在一些网络安全意识较为薄弱的学校网络中，也存在类似的情况。为了方便学生和教职工访问各种网络资源，学校在防火墙策略中设置了 Allow ALL 规则。结果，一些学生利用这个漏洞，在校园网上下载大量的非法软件和盗版资源，甚至访问恶意网站，导致校园网多次遭受病毒攻击，网络瘫痪，严重影响了学校的正常教学秩序。

为了确保网络安全，我们必须摒弃使用 Allow ALL 规则的错误做法 。而是应该根据实际的业务需求，精细地制定访问控制规则。明确指定哪些用户、哪些源地址、哪些目的地址以及哪些协议是被允许通过的。例如，企业可以只允许内部员工通过特定的 IP 地址段访问公司的业务系统，只允许特定的外部合作伙伴通过指定的端口和协议与企业进行数据交互。这样，即使有黑客试图攻击网络，由于防火墙的严格限制，他们也很难找到可乘之机，从而大大降低了网络遭受攻击的风险。

配置案例分析

为了让大家更直观地理解这些黄金法则在实际中的应用，下面我们以华为 USG6000 系列防火墙为例，详细展示如何运用这些法则进行策略配置。

假设我们有一个企业网络，其拓扑结构如下：企业内部网络（Trust 区域）包含办公区、服务器区等；外部网络（Untrust 区域）通过防火墙与内部网络相连；还有一个 DMZ 区域，放置着对外提供服务的 Web 服务器、邮件服务器等 。

遵循默认拒绝原则

在华为 USG6000 系列防火墙中，默认情况下，域间流量（从一个区域流向另一个区域的流量）是被拒绝的 ，这正好符合默认拒绝原则。例如，外部网络（Untrust 区域）默认无法访问内部网络（Trust 区域）和 DMZ 区域，内部网络（Trust 区域）默认也无法访问外部网络（Untrust 区域）。这种默认配置大大降低了网络遭受外部攻击的风险，只有在明确配置了允许规则后，特定的流量才被放行。

实施最小权限访问

我们希望实现办公区的员工只能访问服务器区的文件服务器和邮件服务器，而不能访问其他服务器。在防火墙策略配置中，可以这样实现：

security-policy
rule name office_to_filemail
source-zone trust
source-address 办公区IP段 255.255.255.0 # 假设办公区IP段为192.168.1.0/24
destination-zone trust
destination-address 文件服务器IP 255.255.255.255
destination-address 邮件服务器IP 255.255.255.255
service tcp 25 110 143 445 # 邮件服务端口和文件共享端口
action permit

通过这样的配置，办公区的员工就只能访问指定的文件服务器和邮件服务器，满足了最小权限访问的要求，有效保护了其他服务器上的敏感信息不被非法访问。

构建多层防御机制

在这个企业网络中，多层防御机制体现在多个方面。首先，边界防火墙（华为 USG6000）作为第一道防线，对进出网络的流量进行基本的过滤，基于源 IP 地址、目的 IP 地址、端口号和协议类型等信息，阻止明显的非法流量。例如，禁止外部网络对内部网络的一些高危端口（如 3389 远程桌面端口）的访问：

security-policy
rule name block_remote_desktop
source-zone untrust
destination-zone trust
destination-port 3389
action deny

在内部网络中，通过划分不同的区域（如办公区、服务器区），并在区域之间设置防火墙策略，实现内部区域之间的隔离和访问控制。比如，办公区的员工不能直接访问服务器区的数据库服务器：

security-policy
rule name office_to_database_deny
source-zone trust
source-address 办公区IP段 255.255.255.0
destination-zone trust
destination-address 数据库服务器IP 255.255.255.255
action deny

同时，企业还部署了入侵检测系统（IDS）和入侵防御系统（IPS），实时监控网络流量，一旦发现异常流量或攻击行为，及时发出警报并采取相应的防御措施。例如，当 IPS 检测到有黑客试图通过 SQL 注入攻击 Web 服务器时，它会立即阻断相关的网络请求，保护 Web 服务器的安全。

定期更新策略

随着企业业务的发展，可能会新增一些应用系统或服务。比如，企业新上线了一个客户关系管理（CRM）系统，需要外部合作伙伴能够访问。这时，就需要及时更新防火墙策略，允许合作伙伴的 IP 地址段访问 CRM 系统的服务器：

security-policy
rule name partner_to_crm
source-zone untrust
source-address 合作伙伴IP段 255.255.255.0
destination-zone dmz
destination-address CRM服务器IP 255.255.255.255
service tcp 8080 # 假设CRM系统使用8080端口
action permit

定期对防火墙策略进行审查和更新，确保其与企业的业务需求和网络安全状况保持一致，是保障网络安全的重要措施。

确保清晰的规则顺序

在配置防火墙策略时，规则顺序非常重要。例如，我们有以下两条规则：

规则 1：允许内部网络（Trust 区域）访问外部网络（Untrust 区域）的 Web 服务（端口 80 和 443）：

security-policy
rule name trust_to_untrust_web
source-zone trust
destination-zone untrust
service tcp 80 443
action permit

规则 2：禁止内部网络（Trust 区域）访问外部网络（Untrust 区域）的所有其他服务：

security-policy
rule name trust_to_untrust_other_deny
source-zone trust
destination-zone untrust
action deny

在这种情况下，规则 1 必须排在规则 2 前面。因为防火墙会按照规则的先后顺序依次对数据包进行匹配和处理，如果规则 2 排在前面，那么所有从内部网络到外部网络的流量都会被拒绝，即使是访问 Web 服务的合法流量也无法通过。

避免使用 Allow ALL 规则

在整个防火墙策略配置过程中，坚决不使用 Allow ALL 规则。而是根据实际业务需求，精细地制定每一条访问控制规则。例如，对于 DMZ 区域的 Web 服务器，只允许外部网络（Untrust 区域）访问其 80 和 443 端口，用于 HTTP 和 HTTPS 服务：

security-policy
rule name untrust_to_webserver
source-zone untrust
destination-zone dmz
destination-address Web服务器IP 255.255.255.255
service tcp 80 443
action permit

这样，即使外部网络中有恶意攻击者，由于防火墙策略的严格限制，他们也很难对 Web 服务器进行非法访问，大大提高了 Web 服务器的安全性。

通过这个华为 USG6000 系列防火墙的配置案例，我们可以看到，遵循防火墙策略配置的黄金法则，能够构建出一个安全、高效、灵活的网络安全防护体系，有效保护企业网络免受各种网络威胁 。

原文始发于微信公众号（信息安全动态）：防火墙策略配置黄金法则