公司刚搬到新办公室,IT 小李忙着给每台电脑配防火墙。他发现,光装个软件还不够,得把规则设对了,才能防住攻击又不影响正常办公。这其实就是网络端点防火墙配置的核心——既要安全,又不能卡脖子。
明确哪些设备需要保护
不是所有设备都走同一套规则。销售部的笔记本经常连咖啡厅 Wi-Fi,风险高,得严控;而财务部的台式机只在内网跑报销系统,可以适当放宽外联限制。先分清设备类型和使用场景,再定策略,避免“一刀切”导致某些人上不了网页或连不上打印机。
默认拒绝,按需放行
很多企业一开始图省事,设成“默认允许”,结果病毒一传就遍地开花。正确的做法是开启“默认拒绝”模式,只开放必要的端口和服务。比如办公电脑只需要访问 80、443(网页)、25/465(邮件)和公司内部 IP 段,其他一律拦下。
# Linux iptables 示例:默认拒绝,仅放行必要流量
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT及时更新应用白名单
新上了协同办公系统,员工打不开?可能是防火墙把它的进程挡了。每次部署新软件,记得把主程序路径加入白名单。比如企业微信的主程序通常是 C:\Program Files\Tencent\WXWork\WXWork.exe,在 Windows Defender 防火墙里手动放行,比临时关防火墙安全得多。
日志别堆着,要常看
有次市场部同事说视频会议老掉线,查了防火墙日志才发现是 UDP 16384-32768 范围的媒体端口被拦截。开了之后问题立马解决。建议每周抽十分钟翻翻告警日志,重点关注频繁被拒的 IP 和端口,说不定就能提前堵住一个隐患。
移动设备别漏管
现在很多人用自己手机连公司 Wi-Fi 查邮件。这类设备不受统一管理,更容易中招。可以在防火墙策略里设定:访客网络只能访问互联网,禁止访问内网任何主机,哪怕是一台共享打印机也不行。
测试别偷懒
改完规则后,别急着走人。拿一台测试机模拟普通员工操作:打开浏览器、登录 OA、下载附件、开视频会议。哪一步卡住,就回头调规则。有时候一条看似合理的策略,实际会让 Outlook 连不上服务器。
防火墙不是设完就高枕无忧的工具。它像办公室的门禁系统,得根据人员流动和业务变化不断微调。花点时间理清楚规则,比事后处理一次数据泄露轻松多了。