把防火墙规则变成一张表,心里才踏实
公司刚上线的新系统,半夜被扫出一堆异常登录,一查日志全是国外IP在试密码。这时候你再翻文档、翻命令历史,手忙脚乱加封禁规则,已经晚了。其实,网络入侵防御不是靠临时救火,而是靠日常的清晰管理。我习惯把所有防护动作列成表格,像排班表一样一目了然。
第一步:梳理你的资产和风险点
先别急着上工具,拿出一张表格,列出你负责的所有服务器、端口、服务类型。比如:
| 主机名 | IP地址 | 开放端口 | 用途 | 责任人 |
|----------|------------|--------|------------|------|
| web01 | 192.168.1.10 | 80,443 | 对外网站 | 张伟 |
| db01 | 192.168.1.20 | 3306 | 数据库 | 李芳 |
| backup-svr | 192.168.1.50 | 22 | 备份服务器 | 王强 |
这张表不光是记录,它能帮你发现风险。比如看到backup-svr只开了22端口,但其实没必要对外暴露,那就立刻加防火墙策略限制来源IP。
第二步:用表格定义访问控制策略
很多人直接在防火墙上敲命令,时间一长谁也记不清哪条规则是干啥的。我用表格来定义ACL(访问控制列表),比如:
| 规则编号 | 源IP | 目标IP | 协议 | 端口 | 动作 | 备注 |
|-------|------------|------------|----|-----|------|----------------|
| 1001 | 192.168.1.0/24 | 192.168.1.20 | TCP | 3306 | 允许 | 内网访问数据库 |
| 1002 | ANY | 192.168.1.10 | TCP | 80 | 允许 | 网站对外服务 |
| 1003 | ANY | ANY | ANY | ANY | 拒绝 | 默认拒绝一切 |
这张表就是你防火墙配置的“蓝图”。每次变更前先更新表格,审批通过后再执行,避免误操作。
第三步:日志告警也得进表格
入侵检测不能只靠设备报警。我把常见的攻击特征和应对方式也列成表,比如:
| 告警类型 | 日志关键词 | 风险等级 | 应对措施 |
|--------------|--------------------|--------|----------------------------|
| SSH暴力破解 | Failed password for | 高 | 自动封禁IP 24小时,通知管理员 |
| SQL注入尝试 | ' OR 1=1-- | 高 | 记录IP,检查Web应用防火墙状态 |
| 端口扫描 | multiple port scan | 中 | 加入观察名单,持续监控 |
运维同事一看就知道怎么处理,不用每次重新判断。
定期更新才是关键
上周我们发现一个旧测试服务器还在列表里,已经下线半年了都没删。这种“僵尸资产”最容易被攻击者利用做跳板。所以我定了一条规矩:每月第一个周五,所有人一起核对一次防护表格,过期的删,新增的补。就像清理衣柜,定期整理才能保持清爽。
网络入侵防御不是装个WAF就完事,而是靠一套可追踪、可复盘的管理机制。表格看着土,但它能让复杂的事变清楚,关键时刻不掉链子。