网络防火墙管理规定

网络防火墙管理规定第一章总则1.1目的为统一公司网络边界防护策略，降低因非法接入、横向移动、数据外泄、勒索病毒、APT等威胁造成的业务中断与合规风险，特制定本规定。1.2适用范围本规定适用于公司总部、分支机构、数据中心、私有云、公有云VPC、托管机房、研发测试网、OT网、办公网、访客网、VPN接入网、第三方专线、5G切片等全部逻辑网络边界。1.3依据《网络安全法》第21、24、59条，《数据安全法》第27条，《个人信息保护法》第51条，《关键信息基础设施安全保护条例》第15、18条，ISO27001:2022A.13.1、A.13.2，NISTSP800-41Rev.1，等保2.0三级及以上控制点。第二章组织架构与职责2.1防火墙管理委员会（FWC）主任：CISO；成员：网络部、系统部、应用部、合规部、审计部、采购部、法务部、业务代表；职责：年度策略评审、重大变更审批、例外放行审批、预算审议。2.2防火墙运维组（FWO）隶属网络部，7×24小时三级值班（一线SOC、二线网络工程师、三线厂商专家）；职责：规则生命周期管理、漏洞补丁、故障应急、日志归档、容量预测。2.3防火墙审计组（FWA）隶属审计部，季度独立审计，拥有只读账号与日志仓库拉取权限；职责：策略合规抽检、变更回溯、违规通报、KPI出具。2.4业务申请方（BA）指提出端口开通需求的业务部门；职责：需求自评、风险自证、业务影响测试、规则有效性确认。第三章防火墙分类与技术基线3.1分类A.互联网边界防火墙（IFW）：南北向流量，双活集群，吞吐量≥100Gbps，IPS开启，SSL解密能力≥80%流量。B.核心内网防火墙（CFW）：东西向流量，微分段网关，支持VXLAN/EVPN，延迟≤50µs。C.应用防火墙（AFW）：面向Web、API、微服务，WAF规则集≥OWASPCRS3.3，Bot管理模块开启。D.云原生防火墙（CNFW）：对接KubernetesNP、Calico、Cilium，支持FQDNegress白名单。E.工控防火墙（OTFW）：基于白名单策略，深度包解析Modbus/TCP、IEC-104、DNP3，支持“学习-告警-阻断”三模式。3.2技术基线默认拒绝；隐藏管理口；管理通道仅允许运维堡垒机源地址；SNMP仅v3，AES-256；NTP可信源；登录失败5次锁定30分钟；会话idle超时300秒；日志外发RFC5424TLS1.3；固件升级签名验证；配置备份加密AES-256，密钥托管于HSM。第四章策略生命周期管理4.1需求提出BA在Jira创建FIREWALL类型工单，字段：业务名称、源地址、目的地址、端口、协议、预估带宽、有效期、合规理由、数据分级（L1-L4）、是否含个人信息、是否跨境、是否实时交易。4.2风险评估FWO使用公司《网络暴露面评分表》打分，≥60分需附加《安全加固方案》，包括：零信任代理、二次认证、流量镜像DLP、日志增强、源代码审计报告。4.3策略仿真FWO在测试防火墙（型号同生产）执行“what-if”仿真，使用真实脱敏流量重放，确保新增规则不会导致现有247条核心业务策略中断。4.4双人复核策略脚本由初级工程师生成后，推送GitLab，触发CI，Senior工程师必须于4小时内MRapprove，否则工单自动回退。4.5灰度发布生产变更窗口：工作日20:00-22:00；灰度顺序：先DMZ→测试区→10%生产→全量；每阶段观察SNMP流量counters、丢包率、会话新建速率、IPS误报；出现1%以上异常自动回滚。4.6基线核查发布后24小时内，FWA使用NipperStudio对策略做合规扫描，禁止出现：any-any规则、单端口≥65535的连续端口范围、隐藏规则、空注释、非业务高危端口（135/139/445/3389）放行。4.7定期清理每季度末月15日，FWO导出90天零流量策略清单，BA需在5个工作日内确认保留或删除；无回应则自动失效并冻结30天，30天后彻底删除。第五章访问控制矩阵5.1互联网入站仅开放80/443到DMZ-WAF，源地址0.0.0.0/0，IPS动作阻断≥高风险，GeoIP封锁高风险国家（朝、伊、古、叙、俄、白俄），CDN回源段额外加白。5.2互联网出站办公网终端默认仅允许443、80、22、git(9418)、pkg(80/443)五元组；其他端口需在ServiceNow提交“出站白名单”工单，经部门总监、CISO双批；财务、HR、法务额外走DLP通道。5.3服务器区互访Web→DB仅3306，Web→Cache仅6379，Cache→DB禁止；所有访问强制通过CFW，并记录完整SQL语句（DB防火墙插件）。5.4跨区域生产→测试网络默认隔离；如确需复制脱敏数据，使用“数据摆渡机”+一次性防火墙规则，有效期4小时，自动过期。5.5第三方专线采用“单边路由+VRF”技术，第三方仅可访问指定/30段；启用IPSecGRE加密，PFS组21；每季度更换预共享密钥，密钥长度≥256bit。第六章账号与认证管理6.1分级账号超级管理员（root）：仅2人，硬件加密卡+指纹+口令16位；策略管理员（policy）：5人，AD域账号+动态令牌；审计员（audit）：2人，只读，禁止SSH；API账号（automation）：仅允许堡垒机源地址，密钥托管Vault，有效期90天滚动。6.2特权操作所有root操作必须在堡垒机1920×1080录屏，日志保留3年；禁止root直接编辑配置文件，必须使用Ansibleplaybook，版本库Tag与工单绑定。6.3离职移交员工离职当日，HR在OA触发“账号冻结”流程，FWO值班经理30分钟内禁用所有防火墙账号，生成《账号冻结回执》邮件抄送审计部。第七章日志与监控7.1日志字段必须包含：时间戳（毫秒）、设备序列号、规则ID、源/目的IP、端口、协议、NAT前后地址、用户（如适用）、接口、动作、IPS签名、严重级别、字节数、会话ID。7.2存储周期原始日志：热存储30天（SSD），温存储180天（SATA），冷存储3年（对象存储，加密）；压缩格式：ZSTD，压缩比≥8:1；哈希校验：每文件SHA-256，写入区块链侧链，防篡改。7.3实时监控SOC使用Splunk建立“防火墙异常”仪表盘，阈值示例：单源IP新建会话≥5000/分钟；单目的端口≥50个不同IP扫描；GeoIP首次出现国家且流量≥10MB；以上触发1级工单，电话通知值班经理。第八章漏洞与补丁管理8.1漏洞评级CVSS9.0-10为P0，24小时内修复或提供虚拟补丁；CVSS7.0-8.9为P1，72小时内；CVSS4.0-6.9为P2，30天内；CVSS<4.0为P3，下个季度合并升级。8.2升级流程1)厂商发布通告→2)FWO评估影响→3)创建ChangeRFC→4)备份配置+导出许可证→5)在测试环境验证回退→6)灰度升级主控→7)观察2小时→8)升级数据面→9)审计部出具《升级合规报告》。8.3虚拟补丁若业务窗口不允许重启，使用IPS签名临时拦截；规则100%覆盖对应CVE攻击向量；待正式补丁完成后24小时内撤销虚拟补丁。第九章高可用与灾难恢复9.1双活集群互联网边界采用A-A模式，会话同步使用FGSP（FortinetGenericSessionSync），延迟≤3ms；单台故障RTO≤15秒，切换过程终端无感。9.2配置备份每6小时自动备份至GitLab私有库，命名规范：FW_YYYYMMDD_HHMMSS_设备SN.cfg；保留100个版本；任何人工修改必须当日推送新commit。9.3灾备演练每半年做一次“同城双活+异地冷备”切换演练：步骤：1)关闭主数据中心上行链路；2)监测BGP路由自动收敛（目标≤90秒）；3)验证DNS解析漂移；4)模拟10Gbps攻击流量清洗；5)业务验证脚本（200个API、50个Web页面、10笔支付订单）全部通过；6)出具《演练报告》，如RTO>5分钟则扣罚运维团队当季KPI20%。第十章第三方与外包管理10.1第三方接入必须签署《网络边界安全责任协议》，明确：禁止再托管；必须提供其上游运营商ASN与IP列表；必须启用与其对接的IPSec；必须接受公司远程漏洞扫描（每月一次）。10.2外包运维若引入外包人员，必须：通过背景调查（无犯罪记录）；签署保密协议；仅授予工单驱动的临时账号（有效期≤8小时）；所有操作屏幕录像，审计部每周抽检10%录像。第十一章绩效考核与奖惩11.1KPI指标FWO：P0漏洞未及时修复0次；策略仿真失败率≤1%；变更导致业务中断≤10分钟/季度；日志丢失率0%。BA：零流量策略占比≤5%；季度内违规外联事件0次。11.2奖励连续四个季度KPI满分，团队成员每人奖励5天带薪假+网络安全大会培训名额。11.3惩罚因违规变更导致重大事件（国标GB/T22240四级以上），责任人当季绩效清零，并视情节给予降职、解除劳动合同、追究民事赔偿。第十二章应急预案12.1事件分级L1特别重大：国家级APT、大规模数据泄露≥100万条；L2重大：勒索病毒横向移动≥50台；L3较大：单业务中断≥2小时；L4一般：单条防火墙策略误删。12.2响应流程1)检测：SOC发现→2)定级：FWO经理15分钟内初步定级→3)上报：L1/L230分钟内报CISO、CTO、CEO→4)遏制：立即封锁攻击源ASN、关闭相关策略、启动清洗中心→5)根除：补丁、隔离、镜像取证→6)恢复：逐步开放业务，持续监测24小时→7)复盘：72小时内召开跨部门复盘会，输出《事件报告》，包含时间线、影响面、损失评估、改进措施、责任人。12.3应急工具箱预配置脚本：any-any阻断脚本（一键下发）；BGP黑洞宣告脚本（/32精确封堵）；会话清空脚本（kill-session.py）；流量抓包脚本（tcpdump环形缓存500MB）；全部脚本存放于堡垒机/opt/emergency，权限750，哈希每日校验。第十三章合规与审计13.1等保测评每年一次，由公安部三所授权机构执行；测评前FWO使用Nessus进行预扫描，高危漏洞必须清零；测评报告纳入年终述职。13.2ISO27001年审审计组对“网络控制”领域抽样30个样本，发现不符合项需在30天内关闭；如二次跟踪仍未关闭，CISO向董事会做专项汇报。13.3审计轨迹所有防火墙CLI、Web、API操作必须送至syslog，字段不可省略；审计部使用ElasticStack建立“不可变索引”，索引权限仅审计部拥有；任何管理员无权删除。第十四章培训与意识14.1入职培训新员工3日内完成《防火墙基础》e-learning课程（45分钟），满分90分方可申请VPN账号。14.2实战演练每半年举办“红蓝对抗”内部赛：红队模拟外网入侵，蓝队基于防火墙日志做溯源与封禁；演练成绩纳入晋升参考。14.3外部培训FWO工程师每年至少参加一次厂商高级认证（如NSE8、CCIESecurity），费用公司承担，但须签署2年服务期协议。第