防火墙安全管理规定

1、防火墙安全管理条例内部披露目标规范防火墙系统的安全管理，确保公司防火墙系统的安全。适用范围本法规适用于公司内所有防火墙系统和策略的维护和管理。3定义非军事区：中文名称为“隔离区”，也称为“非军事区”。是为了解决安装防火墙后外部网络无法访问内部网络服务器的问题。它是非安全系统和安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域。一些必须公开的服务器设施，如企业网络服务器、FTP服务器和论坛，可以放在这个小的网络区域。通常，它位于外部网络和内部网络之间，是内部网络中不受信任的系统。设置防火墙时，可以阻止内部网络对非军事区的公共访问，尤其是禁止非军事区与内部网络的主动连接。GR

2、E(通用路由封装):通用路由封装协议，它提供一种机制，将一种协议的消息封装到另一种协议的消息中，使消息能够在异构网络中传输。虚拟专用网：虚拟专用网。虚拟专用网是一种用于在公共网络(因特网)上建立私有专用网的技术。4管理规则4.1基本管理原则1.公司的信息技术系统不允许与外部网络(包括互联网、合资企业等)直接连接。)，并且必须受到防火墙限制的保护。防火墙的构造和安装必须符合防火墙建设规范。2.防火墙指令的配置必须严格遵守附件1 防火墙指令描述格式。3.防火墙密码设置应参考帐号和口令标准，并由安全控制办公室管理。4.有关防火墙日志管理，请参考系统日志管理规定。5.有关防火墙更改管理，请参考IT生产

3、环境变更管理流程。6.防火墙不允许直接的互联网管理；内部管理IP地址只允许相关人员知道。7.防火墙紧急开放政策有效期为2周。如果两周内没有应用防火墙策略，它将自动过期。8.在非工作时间处理防火墙紧急应用程序必须遵循紧急故障处理Token卡管理规定。4.2防火墙系统配置规则1.防火墙启动VPN功能时，隧道加密采用IPSEC:认证算法采用SHA-1，加密算法采用3DES。2.如果防火墙闲置超过10分钟，连接将被迫断开。3.必须配置防火墙来防止已知的攻击，如：丢耳、syn-flood、ping-of-dead、src-rout、land、default-deny。4.安全日志应至少包含策略创建、更改

4、和撤销(停用)等日志。日志内容包括诸如实施的账号、实施的时间、实施的策略(打开的特定防火墙通道)、对应的IP地址等信息。4.3防火墙策略管理配置规则1.适用于GRE、局域网VPN、非军事区、非生产环境(包括测试环境、UAT环境、试运行环境等)。)，临时或任务防火墙策略必须严格限制源地址和应用端口，并设置策略有效期。2.在生产环境中，针对普通用户的与IT应用程序相关的策略在应用程序生命周期中没有在防火墙上的有效期限，但是管理层必须确保每年审查一次所有应用程序。3.互联网防火墙配置规则：1)三个区域(不可信/可信/非军事区)之间的政策遵循“默认全部关闭，按需开放”的原则。2)未经许可，严禁互联网直

5、接接入公司内部网络(非军事区内的机器除外)。3) DMZ服务器只打开相应的应用程序端口，不打开任何端口，尤其是敏感端口。如果可以收集用户的源地址，则需要限制源地址网段。4)不要从公司内部网络直接访问互联网，允许从非军事区有限地访问互联网。5)除监控、电子邮件、代理等外，非军事区服务器原则上不得主动接入互联网。6)公司内部网必须对非军事区机器有有限的访问权限，并且只能打开相应的端口。7) DMZ服务器区域内部服务器策略互操作性。8)当访问/调用数据中心的内部网服务器时，DMZ服务器必须指定相应的地址和端口。4.数据中心服务器区域防火墙配置1)对于普通用户的应用程序访问要求，防火墙只打开应用程序所

6、需的端口。2)对于普通用户和管理员维护的服务端口，一般区域服务器、研发区域和非研发区域的防火墙应限制相应的端口，不得限制用户端的源地址网段。3)关闭高风险端口后，数据中心不同服务器区域(研发区域、非研发区域和一般区域)的服务器可以相互通信。4)服务器对内网用户端发起的访问要求不受限制。5)对于特殊的信息技术应用和用户需求，遵循“默认全部关闭，按需打开”的原则。5.绝密区域防火墙配置规则：1)严格遵循“默认全部关闭，按需打开”的原则，在绝密区域设置防火墙策略。2)绝密区防火墙只打开需要访问的IP地址需要使用的服务端口，并设置有效期。3)服务器对内网用户端发起的访问要求不受限制。4.4策略应用流程

7、1.防火墙策略的日常应用流程：申请人填写电子流程-直接主管审批-网络安全部门审批-系统支持部门接口人审批、分流-防火墙管理员给出实施指令-安全控制办公室根据实施指令进行配置-申请人确认。4.5责任1.申请人：负责提交防火墙策略申请，需要确保申请信息准确完整。1)申请防火墙政策时，需要提前咨询信息技术热线或系统维护人员。申请的服务端口必须明确定义，所有端口不得在不知情或未经确认的情况下提交。2)申请人必须及时在防火墙电子流中确认该策略是否有效。如果政策无效或不符合预期，请及时将电子流量反馈给防火墙管理员。3)当防火墙策略过期或不再使用时，策略所有者必须提交防火墙策略以取消电子流量。4)当防火墙策

8、略负责人、策略地址或使用寿命发生变化时，申请人需要及时提交防火墙策略变更电子流程。2.直接主管：负责确认电子流程中提交者的身份，并审批所提出的应用策略是否符合业务需求。3.网络安全部：负责防火墙系统安全标准的制定、修订和审核。在防火墙策略应用中，负责防火墙策略需求的安全审计。负责审核防火墙日志，并组织防火墙永久策略的定期审查和修订。1)网络安全部负责制定、定期修订和不定期审核防火墙系统的安全标准。2)网络安全部应对用户使用的防火墙策略进行必要的安全检查。3)网络安全部将随时审核防火墙的登录信息和攻击日志。4.系统支持部：负责防火墙系统的具体方案设计、项目实施和日常运维。在防火墙策略应用中，负责根据用户的需求给出正确的实现指令。1)防火墙管理员定期监控防火墙的物理连通性、流量、CPU利用率、安全规则的有效性等指标，并定期输出性能容量报告。2)防火墙管理员应整理并保持安全控制办公室配置文件的准确性。3)防火墙管理员参与日常防火墙项目建设和方案设计。4)网络支持部根据申请截止时