一个真实的企业网络防护场景
某中型制造企业在接入互联网后,陆续收到内部系统被扫描的告警。IT负责人发现,攻击流量大多来自境外IP,且集中在80、443和22端口。问题根源出在网络边界——仅靠路由器自带的基础防火墙,根本挡不住有组织的探测。
他们决定部署一台专用防火墙设备,重新规划边界防护策略。这个过程,其实很多公司都会遇到。
基础架构与防护目标
该企业出口为双线路(电信+联通),内网划分了办公区、服务器区和生产控制区。核心需求很明确:
- 对外只开放官网和OA系统的443端口
- 禁止外部直接访问内部办公网
- 限制服务器区对外出站连接
- 阻断已知恶意IP通信
防火墙策略配置示例
使用主流防火墙设备(如华为USG、深信服AF等),配置如下安全策略:
# 安全策略规则表(简化示意)
源区域 目标区域 协议 端口 动作
--- --- --- --- ---
Internet Server TCP 443 允许
Internet Server TCP 80 允许(重定向至443)
Internet Office any any 拒绝
Server Internet TCP 443 允许(仅更新用)
Office Internet any any 允许
Production any any any 拒绝(默认隔离)每条规则都带有日志记录,方便后续审计。特别注意,默认策略设为“拒绝所有”,再按需开通,这是最小权限原则的核心。
IP黑名单自动封禁
通过对接威胁情报平台,每天自动导入最新的恶意IP列表。配置脚本定时更新防火墙地址组:
<system>
<schedule name="update-threat-ip">
<action>run-cli</action>
<command>import address-group ThreatIP from https://ti.example.com/ipblock.txt</command>
<interval>daily</interval>
</schedule>
</system>一旦发现某个IP尝试暴力破解SSH,立即触发联动封锁,持续24小时。
DMZ区的合理利用
把官网和OA前置到DMZ区,与内网完全隔离。即使Web服务器被攻陷,攻击者也无法直接跳转到办公网段。数据库只接受来自应用服务器的3306访问,其他一律拒绝。
这种“层层设卡”的思路,就像小区的门禁系统:大门有人值守,楼栋要刷卡,家里还得有防盗门。网络边界不是一堵墙,而是一套组合防线。
配置后的效果
上线一周后,外联告警下降90%以上。原本每天几百次的SSH爆破尝试,现在基本在首包就被丢弃。更重要的是,内部员工开始意识到“不是连上网就能随便访问”,安全意识也跟着上来了。
网络边界防护不一定要用最贵的设备,但配置必须贴合实际业务。一套清晰、可维护、有日志支撑的策略,比堆砌功能更有价值。