防火墙来源于建筑学，用以阻止火灾蔓延。网络中的防火墙更加高明，既能隔离安全风险的“火”，又能让“人”穿墙而过。

作为最基础的安全设备之一，防火墙在企业组织中得到广泛应用，但基础不意味着简单。

为确保防火墙的稳定高效运行，安全牛发布了《防火墙应用优化的12点建议》一文，提出通过分析和调整防火墙的配置策略，提升其运行性能和防护效果。

建议的落地与执行通常是复杂的一环，安博通以“晶石”安全策略智能运维平台为例，从策略智能运维出发，为你梳理12点建议落地执行的通路。

01 充分了解防火墙的运行策略

建议摘要：1）首先评估防火墙的现有配置，并映射网络架构，充分了解历史与当前策略。2）建设全面的日志记录系统，定期检查更新运营规则，确保配置的适用性。3）记录防火墙配置、网络图和安全规则，作为优化时的参考和审计。

落地指南

• 对云网混合架构下，异构设备的安全策略进行集中管理，让全网防火墙运行策略清晰可见。
• 提供策略自动开通、合规检查、历史台账、白名单等功能，实现策略的全生命周期管理，确保策略配置的适用性，保障持续优化与合规审计。

02 使用统一的防火墙管理工具

建议摘要：1）使用统一的、可兼容的防火墙管理方案，对不同品牌的防火墙进行纳管，使运行策略具有一致性和有效性。2）统一的管理工具，可以对所有防火墙进行监控、审计和报告，从而改进安全态势。

落地指南

• 可作为全网访问控制策略的集中管理与运维平台，对防火墙策略进行管理的同时，对路由交换、云平台上的访问控制策略一并管理，实现“云上+本地”安全策略一体化管理。

03 采用多层级的防火墙应用模式

建议摘要：1）实施多层级的防火墙应用模式，部署配置不同类型的防火墙，以增强安全性。2）相应配置边界层、内部层和应用层的防火墙，通过统一工具进行管控，提高防御多种威胁的能力。

落地指南

• 目前，绝大部分关基单位已实现异构品牌、多层级的防火墙应用模式，随之而来的是管理与运维差异性的问题。“晶石”可以有效解决异构设备导致的运维痛点，提升整体安全能力。

04 定期更新防火墙运行规则

建议摘要：1）为消除安全盲区，定期评估防火墙的运行规则与企业需求是否一致，删除陈旧、冗余的规则，关注可能影响设备性能或安全性的重叠规则。2）持续优化调整防火墙策略，尽量减小攻击面。

落地指南

• 策略注释与到期提醒功能，可以及时预警到期策略。
• 清理优化功能，发现隐藏、冗余、可合并等问题策略，并进行闭环整改，提高防火墙运行效率。
• 命中收敛功能，发现长期不命中或过于宽松的策略，给出收敛脚本，缩减核心业务的暴露面。

05 遵循最小权限原则

建议摘要：1）创建防火墙规则时，应遵循最小权限原则，建立基于身份的控制措施，确保用户只能访问必要的资源。2）定期评估并更新权限，及时撤销不再需要访问的人员或应用系统的权限，降低被非法访问的风险。

落地指南

• 事前控制：与企业的ITSM（IT服务管理）或工单系统对接，实现业务开通的全流程数字化；基于预置的宽松度检测规则，确保策略开通遵循最小权限原则，并关联至业务部门的申请者，便于后续清理和撤销。
• 事后收敛：针对历史遗留的宽松策略，通过命中收敛功能，发现长期不命中或过于宽松的策略，给出收敛脚本，逐步落实最小权限原则，缩减核心业务的暴露面。

06 实施网络分段

建议摘要：1）按照业务需求，将网络分为不同区域，以配合最小权限原则，使具体的安全措施更易于部署。2）能够隔离受影响的网段，保护其余网段，在遭受安全威胁时，提高企业的安全控制能力。

落地指南

• 进行网络规划设计时，大部分关基单位已经实施了网络分区、分段，并通过防火墙进行域间隔离。但随着网络配置的频繁变更，且缺乏有效的监控核验手段，很难评估当前网络分段的现状与效果。
• 全网逻辑拓扑可视，应用自研的安全可视化技术，实时了解业务区域划分情况，以及域间安全设备的有效性。
• 域间访问基线功能，定期对全网的域间访问策略进行基线核查，及时告警违规访问通路和违规策略，严格落实最小化原则。

07 对防火墙运行日志进行监控和记录

建议摘要：1）启用完善的防火墙日志功能，并使用安全信息和事件管理（SIEM）工具，实现异常情况自动报警。2）将防火墙运行日志保存在易于访问的安全位置，定期分析日志，以发现异常行为、潜在风险和待改进之处。3）完善的日志分析，还可以支撑响应决策和配置优化，从而增进威胁检测、故障排除工作成效。

落地指南

• 对防火墙运行日志进行监控和记录，主要接收并处理3种类型的日志：第一种是防火墙策略命中日志，可用于策略收敛；第二种是防火墙操作日志，可用于主动的策略变更监控分析；第三种是防火墙告警日志，依托SOAR（安全编排、自动化及响应）产品，进行安全事件的关联分析。

08 定期审计防火墙性能

建议摘要：1）执行严格的安全审计，确认防火墙的漏洞、脆弱性及合规情况。2）开展防火墙安全评估和渗透测试，全面检查配置以发现弱点。3）模拟网络攻击，分析防火墙在检测和阻止非法访问方面的有效性。

落地指南

• 合规审计功能，针对防火墙配置基线进行定期检查，发现配置问题并整改。
• 自动构建全网模拟仿真环境，以路径仿真分析方式模拟网络攻击，或从核心业务资产视角分析其对外暴露路径，验证检测防火墙在访问控制方面的有效性，进一步收敛业务暴露面。

09 及时进行补丁更新

建议摘要：1）防火墙的软件系统可能存在安全漏洞，应该通过自动化手段及时更新固件，并安装最新补丁。2）密切关注设备供应商发布的版本更新信息，在无人工干预的情况下定期进行软件更新检查，自动更新防火墙。3）监控跟踪防火墙的更新状态，经常检查软件发布说明了解关键信息。

落地指南

• 通过漏洞管理平台进行落地。

10 确保可靠的配置备份

建议摘要：1）为防范配置漂移风险，应定期备份防火墙配置，在发生故障时可尽快恢复正常运营状态。2）备份应保存在远离主系统的安全区域，并定期测试恢复过程，确保其有效性。3）可靠的配置备份，可以防止配置错误、硬件故障和恶意行为，提供快速恢复机制，缩短停运时间。

落地指南

• 纳管全网防火墙后，定期（如每天1次）对防火墙的全量配置进行采集留存，配置备份保存周期可达3年以上。
• 将任意时间点的配置文件进行对比分析，可视化展现配置差异。

11 实施规范的变更管理流程

建议摘要：1）实施规范的变更管理流程，减少非法或破坏性变更出现的风险，简化事后分析与合规遵从工作。2）临时仓促进行的更新，往往会导致安全漏洞或错误，影响防火墙的有效性。规范流程可加强安全运营人员的责任意识，降低错误配置的可能性。

落地指南

• 自动分析业务的访问控制策略开通需求，定位开通路径途经的防火墙或其他设备，进行安全风险分析与配置脚本生成，对开通结果进行自动验证。
• 可通过集成对接方式，内嵌到企业的ITSM、OA等工单类系统中，实现策略变更的全流程数字化，提高策略配置的准确性与敏捷性，让合规工作更高效、可持续。

12 加强用户沟通和安全意识

建议摘要：1）设立持续的培训计划和沟通渠道，提高用户对潜在风险的认知。2）模拟网络钓鱼，定期评估员工发现风险的能力。3）定期宣讲防火墙策略、不断变化的威胁及网络安全最佳实践，制订奖励制度，表彰和激励员工对网络安全做出积极贡献。

落地指南

• 结合企业安全教育进行落地。