防火墙安全管理规定

1 目的Objective

规范防火墙系统的安全管理，保障公司防火墙系统的安全。

2 适用范围Scope

本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理。

3 定义

DMZ（demilitarized zone）：中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。通常,它放在外网和内网中间，是内网中不被信任的系统。在进行防火墙设置时可阻断内网对DMZ的公开访问，尤其禁止DMZ到内网的主动连接。

GRE（Generic Routing Encapsulation）：即通用路由封装协议，它提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输。

VPN（Virtual Private Networking）：即虚拟专用网，VPN是用以实现通过公用网络（Internet）上构建私人专用网络的一种技术。

4 管理细则

4.1 基本管理原则

1.公司IT系统不允许直接和外部网络连接（包括Internet、合资公司等等），必须经过防

火墙的限制保护。防火墙的建设、安装须遵守《防火墙建设规范》。

2.防火墙指令的配置须严格遵守附件一《防火墙指令描述格式》。

3.防火墙口令设置参照《帐号和口令标准》，并由安全控制办统一管理。

4.防火墙日志管理参照《系统日志管理规定》。

5.防火墙变更管理参照《IT生产环境变更管理流程》。

6.防火墙不允许直接通过Internet管理；内部管理IP地址只允许相关人员知晓。

7.防火墙紧急开通策略有效期为2周。如2周内没有申请防火墙策略，则将自动失效。

8.在非工作时间处理防火墙紧急申请须遵循《紧急故障处理Token卡管理规定》。

4.2 防火墙系统配置细则

1.当防火墙启动VPN功能时，需使用IPSEC进行隧道加密：认证算法采用SHA-1，加密

算法采用3DES算法。

2.防火墙闲置10分钟以上的登陆，连接要被强制掉线。

3.防火墙须配置成能防止已知的各种攻击,如:tear-drop、syn-flood、ping-of-death、src-rout、

land、default-deny。

4.安全日志至少应包含策略创建、变更和废除（停用）等日志，日志内容包括实施的帐号，

实施的时间，实施的策略（开通的具体防火墙通道）、相应的IP地址等信息。

4.3 防火墙策略管理配置细则

1.GRE、本地网VPN、DMZ、非生产环境（包括测试环境、UAT环境、试运行环境等）、

临时性或任务性的防火墙策略须严格对源地址、应用端口进行限制，并设置策略有效期。

2.生产环境中，与IT应用相关针对普通用户的策略，在应用生命周期内，防火墙上不设

置有效期限，但管理上须保证每年对所有应用进行一次审视。

3.Internet防火墙配置细则：

1)三个区域（Untrust/Trust/DMZ）间的策略遵循“缺省全部关闭，按需求开通的原则”。

2)未经允许，严禁Internet直接访问公司内部（除DMZ区的机器外）的网络。

3)DMZ区服务器只开放相应的应用端口，不得开放任意端口，特别是敏感端口。如

果可以收集用户的源地址，需要对源地址网段进行限制。

4)不得从公司内网直接访问Internet，允许从DMZ区域有限制的访问Internet。

5)DMZ服务器原则上不得开放主动对Internet的访问，监控、Email、proxy等除外。

6)公司内网必须有限制地访问DMZ区机器，并且只开放相应的端口。

7)DMZ服务器区内部服务器策略互通。

8)DMZ服务器访问/调用数据中心内网服务器，须指定相应的地址和端口。

4.数据中心服务器区防火墙配置细则：

1)对于普通用户端应用访问需求，防火墙只开放应用必需的端口。

2)对于普通用户和管理员维护的服务端口，通用区服务器、研发区、非研发区的防火

墙对相应的端口须进行限制，可以不对用户侧源地址网段进行限制。

3)数据中心（研发区、非研发区、通用区）不同服务器区之间服务器在关闭高危端口

后，可互通。

4)服务器主动往内网用户侧发起的访问需求不作限制。

5)对特殊IT应用和用户需求，遵照“缺省全部关闭，按需求开通”的原则执行。

5.绝密区防火墙配置细则：

1)严格按照“缺省全部关闭，按需求开通的原则”设置绝密区防火墙策略。

2)绝密区防火墙只对需要访问的IP地址开放需要使用的服务端口，并设置有效期。

3)服务器主动往内网用户侧发起的访问需求不作限制。

4.4 策略申请流程

1.防火墙策略日常申请流程：

申请人填写电子流－>直接主管审批－>网络安全部审批－>系统支持部接口人审核、分流->防火墙管理员给出实施指令－>安全控制办按照实施指令进行配置－>申请人确认。

4.5 职责

1.申请人：负责提出防火墙策略申请，需要保证申请信息准确、完整。

1)申请防火墙策略时，需提前咨询IT热线或系统维护人员，必须明确所申请的服务端口，

不得在未知、不确认的情形下提交所有端口。

2)申请人须及时在防火墙电子流中确认策略是否生效，如策略未生效或未达到预期，请及

时将电子流反馈给防火墙管理员。

3)防火墙策略到期或不再使用时，策略责任人必须提交防火墙策略取消电子流。

4)当防火墙策略责任人、策略的地址更改或者使用期限变化，申请人需要及时提交防火墙

策略变更电子流。

2.直接主管：负责确认电子流中提交人的身份和审批所提申请策略与业务需求是否相符。

3.网络安全部：负责防火墙系统安全标准的制订、修改和稽核。在防火墙策略申请中，负

责对防火墙策略需求进行安全审核。负责对防火墙日志进行审核，负责组织对防火墙永久策略的定期审视和修正。

1)网络安全部负责防火墙系统安全标准的制订、定期的修改和不定期的稽核。

2)网络安全部对用户申请的防火墙策略进行必要的安全审视。

3)网络安全部不定期对防火墙的登录信息、攻击日志等进行稽核。

4.系统支持部：负责防火墙系统具体的方案设计、项目实施以及日常运维工作。在防火墙

策略申请中，负责根据用户的需求给出正确的实施指令。

1)防火墙管理员定时对防火墙的物理连通性，流量大小，CPU利用率，安全规则的有效性

等各种指标进行监控，定期输出性能容量报告。