摘要：2025年国家网络安全宣传周以“网络安全为人民，网络安全靠人民”为主题，再次将“人民”二字置于核心。

号主：老杨丨11年资深网络工程师，更多网工提升干货，

2025年国家网络安全宣传周以“网络安全为人民，网络安全靠人民”为主题，再次将“人民”二字置于核心。

这不是一句空话。当前，数据泄露、勒索软件、钓鱼攻击每天都在威胁普通用户的账户、隐私甚至财产。

咱作为网工，我们不能只盯着设备指标和协议优化，更要思考：我们的安全策略，是否真正守护了“人”？

今天，我就从技术视角，拆解如何将这一理念落实到防火墙、终端防护和访问控制等关键环节。

今日文章阅读福利：《 网络安全等保相关文件参考（限时下载）》

讲到安全，搞等保，多参考一些文件更得心应手啊。私信我，发送暗号“等保”，即可获取资源。

传统安全建设常聚焦于“防外攻”，但真正的风险往往来自内部疏忽或设计缺陷：

员工误点钓鱼邮件 → 终端感染 → 内网横向移动

开放不必要的远程管理端口 → 被爆破利用

数据库未加密 → 泄露即裸奔

新思路：安全架构应以“用户数据流”为中心，而非单纯以“网络边界”为中心。

许多企业防火墙策略粗放，如：

源区：办公网
目的区：服务器区
服务：ANY
动作：允许

这等于给攻击者开了“绿色通道”。

# 华为USG防火墙示例
security-policy
rule name Allow_HR_DB_Access
source-zone trust
destination-zone dmz
source-address 192.168.10.0 mask 255.255.255.0 # HR VLAN
destination-address 10.10.20.10 mask 32 # HR数据库
service tcp_1433 # SQL Server
action permit

效果：仅HR部门可访问HR数据库，且仅限SQL端口，极大缩小攻击面。

传统杀毒软件（AV）已无法应对无文件攻击、内存注入等高级威胁。

实战场景：

传统VPN“一次认证，长期访问”模式风险高。

身份强认证：多因素认证（MFA）

设备合规检查：终端是否有EDR、系统补丁是否最新

动态授权：基于用户角色、时间、位置动态调整权限

微隔离：即使接入内网，也只能访问授权资源

# 零信任策略示例
user:zhangsan@company.com
device:compliant(EDR=running,OS=patched)
access:
-app:CRM_System
port:443
duration:4h
-deny:all_others

工具推荐：华为iMaster NCE-Campus支持零信任策略下发。

孤立的日志毫无价值，必须集中分析。

# 收集以下日志源：
- 防火墙：会话日志、威胁日志
- 交换机：登录日志、配置变更
- 服务器：Windows Event Log、SSH登录
- 终端：EDR告警、进程启动

# 设置关联规则：
if (failed_login > 5 from same IP) and (success_login from another IP)
then "possible credential stuffing" → alert SOC

价值：从海量日志中识别出隐蔽攻击链。

“网络安全为人民”不是抽象的政治表述，而是对技术落地的根本要求。

作为一线工程师，我们应将用户数据安全视为最高优先级，通过精细化防火墙策略、部署EDR、实施零信任和建设SIEM平台，构建纵深防御体系。

每一次策略优化、每一条日志分析，都是在践行“为人民”的承诺。

网络安全不仅是技术战，更是责任战——守住数据，就是守住用户的信任。

来源：网络工程师俱乐部一点号