公司刚做完一次安全审计,结果出来时运维小李傻眼了:一条开放 22 端口的防火墙规则,竟然把内网数据库服务器暴露在公网三个月。更离谱的是,这条规则是两年前临时开通的,早已没人记得。
为什么要做合规性检查?
防火墙不是设完就一劳永逸的工具。业务在变,人员在流动,策略却常常被遗忘。一条过期的放行规则,可能就是黑客进入的后门。合规性检查不是应付上级的流程,而是给网络做定期体检。
常见的合规问题包括:开放端口超出业务需要、策略顺序不合理导致优先级冲突、冗余或无效规则堆积、未遵循最小权限原则等。比如市场部申请了一个临时访问测试服务器的规则,项目结束没关,一年后还在运行——这就是典型的“僵尸规则”。
怎么动手查?
如果你用的是主流防火墙设备,比如华为、H3C 或 FortiGate,通常自带策略分析工具。但更实用的方式是导出策略表,用脚本辅助筛查。下面是一个简单的 Python 脚本片段,用来找出所有允许 ANY 源地址访问关键端口的高风险规则:
<code>
import csv
with open('firewall_rules.csv', newline='') as f:
reader = csv.DictReader(f)
for row in reader:
if row['Source'] == 'ANY' and row['Destination Port'] in ['22', '3389', '445']:
print(f"高风险规则: {row['Rule Name']} 允许 ANY 访问 {row['Destination Port']}")
</code>
这个脚本不能直接拿来用,得根据你导出的 CSV 字段名调整。但它能快速筛出明显违规的条目,比一行行人工核对省力得多。
别忽略策略顺序和冲突
防火墙策略是按顺序匹配的。如果前面有一条“允许所有流量通过”的规则,后面加再多限制都没用。检查时要关注策略的排列逻辑,确保 deny 规则不会被前面的 allow 提前放过。
有些工具能自动检测策略重叠或阴影规则(被前面规则覆盖而永不生效的条目)。比如两条规则,第一条允许 A 访问 B 的 80 端口,第二条禁止 A 访问 B —— 第二条永远执行不到。这类问题靠肉眼很难发现。
建立定期审查机制
建议每季度做一次全面检查,每次变更后做快速核验。可以把检查清单固化下来:是否有明确负责人?是否记录业务用途?是否有有效期?新规则上线时,顺便清理一批老规则,避免越积越多。
某电商公司在大促前例行检查,发现一个旧 CDN 回源规则仍然开着全端口访问,立刻收紧范围。后来才知道,攻击者已经尝试利用该路径探测两周了。一次普通的检查,挡住了潜在的大事故。