企业网络应划分为三个主要安全区域:Trust(内网)、Untrust(外网)、DMZ(对外服务区)。每个区域的安全级别不同,Trust区域安全级别最高,Untrust区域最低。
1. 最小权限原则
按需开放端口和服务,例如仅允许办公网段访问数据库的3306端口,禁止外部直接访问。
2. 协议与端口限制
禁用高风险服务(如Telnet、FTP明文传输),强制使用加密协议(如SFTP、HTTPS)。
3. 策略优先级
策略按配置顺序从上至下匹配,精准规则应置于列表顶端,默认策略设为拒绝所有。
配置内网接口加入Trust区域,创建允许内网访问外网HTTP服务的安全策略,并启用反病毒扫描。
记录所有被拦截和放行的流量,设置告警规则,定期分析日志优化规则。