文/丁坚

前面对H3C防火墙自身的加固做了详细的解释，本篇着重介绍运营商防火墙安全策略配置及建议。

防火墙作通常位于网络的边界，其主要职责，是保护客户网络的机密性，保障客户网络的可用性。同时，作为网络管理员，在保证了网络的安全和可用之余，还需要考虑维护的便利性。在日常网络运维中，网络管理员对防火墙操作最多的，莫过于安全策略，尤其是运营商的网络。防火墙后面涉及的网络平台类型众多、策略复杂，同时，随着每个类型的服务平台的不断升级及业务扩展，需要频繁的修改安全策略，这就对网络管理员提出了难题。今天，我们就解决、优化此问题，说明如何更好的部署H3C防火墙安全策略。

案例：

某运营商网络平台防火墙承载了100种业务，早期每个平台对外开放的端口数据已经一次性在防火墙平台上一次性部署完成，安全策略如下（类似）：

前期安全策略部署时，安全策略格式：

• 源域：网络会话发起方所处的网络区域
• 目的域：网络会话发起方访问的目的网络区域
• ID：由防火墙自动生成
• 源IP地址：网络会话发起方的IP地址
• 目的IP地址：网络会话访问的目的IP地址
• 过滤动作：permit（允许）/deny（阻断）

随着业务扩展，内网平台需要重新删除以前开放的端口、同时增加新的开放端口，类似上图中的安全策略，往往客户会直接新增类似上图中的安全策略解决，虽然事情可以解决，但是随着类似这种操作的不断增加，最终会导致防火墙安全策略过多，且功能无明显标识，给日常运维带来很大的不便。

针对上述方案，建议开局时安全策略部署时采取如下步骤：

（1）根据内网每个不同类型的平台分别建立不同的IP地址组，并进行中文描述

（防火墙-资源管理-地址-IP地址）

（2）定义所有平台需要开放的端口（防火墙-资源管理-服务-自定义服务）

（3）按照每个业务平台定义各自开放的端口集合

（防火墙-资源管理-服务-服务组）

（4）配置对应的安全策略

（防火墙—安全策略-域间策略）

按照此规范进行配置，配置原则为一平台一策略，别忘记了，策略的最后加上一条deny any。此策略是阻断所有没有授权开放的网络端口服务。防火墙分别针对每类平台开放不同的端口，未授权开放的端口，一律关闭，确保网络的安全。

按照上述配置方法，日常运维人员可以清晰的了解各个平台开放的端口和服务。对平时各个平台的对外开放的端口只需要在（防火墙-资源管理-服务-服务组）修改需要调整的端口，便捷、快速、准确。各个平台需要新增、删除服务器，只需要在（防火墙-资源管理-地址-IP地址）中修改IP地址即可。