防火墙规则生成器

防火墙规则配置

• 规则名称：RDP-Allow-172.16.100.0_24-to-192.168.10.21

• 配置语法： Windows PowerShell（首选） New-NetFirewallRule -DisplayName "RDP-Allow-172.16.100.0/24-to-192.168.10.21" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 3389 -LocalAddress 192.168.10.21 -RemoteAddress 172.16.100.0/24 -Profile Domain,Private -Service TermService -EdgeTraversalPolicy Block -Enabled True -Group "RDP Controlled Access"

  netsh（兼容方案） netsh advfirewall firewall add rule name="RDP-Allow-172.16.100.0/24-to-192.168.10.21" dir=in action=allow protocol=TCP localport=3389 localip=192.168.10.21 remoteip=172.16.100.0/24 profile=domain,private edge=disable enable=yes

  可选（外围设备参考，仅在需要在边界或三层设备同步限制时使用）

  • Cisco IOS ACL（入方向应用在到达192.168.10.21的接口或下行方向） ip access-list extended ACL_RDP_TO_192_168_10_21 permit tcp 172.16.100.0 0.0.0.255 host 192.168.10.21 eq 3389 deny tcp any host 192.168.10.21 eq 3389 interface <WAN/LAN-if> ip access-group ACL_RDP_TO_192_168_10_21 in
  • Linux iptables（部署在目标主机或中间跳板） iptables -A INPUT -p tcp -s 172.16.100.0/24 -d 192.168.10.21 --dport 3389 -j ACCEPT iptables -A INPUT -p tcp -d 192.168.10.21 --dport 3389 -j DROP

• 协议详情：TCP/3389，入站；源地址 172.16.100.0/24；目标地址 192.168.10.21/32；Windows防火墙配置于 Domain,Private 配置文件；禁止边缘穿透

• 安全等级：中风险（已按网段和主机精确限制，仍为高价值服务，应持续加固与监控）

部署指南

• 适用环境：Windows Defender Firewall with Advanced Security（建议 Windows Server 2016/2019/2022 或 Windows 10/11 企业版）
• 配置位置：
  • 在目标主机 192.168.10.21 上创建上述入站规则
  • 如已启用内置“远程桌面（TCP-In/UDP-In）”宽泛规则，建议禁用或收紧其“远程 IP”范围，避免与最小权限冲突 PowerShell 示例（禁用内置宽泛规则，保留自定义规则不受影响） Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Where-Object {$_.DisplayName -like "TCP-In"} | Disable-NetFirewallRule
• 测试方法：
  1. 从 172.16.100.0/24 内任一客户端执行
     • Windows: Test-NetConnection 192.168.10.21 -Port 3389
     • 或 mstsc /v:192.168.10.21 进行实际登录验证（需开启 NLA）
  2. 从非 172.16.100.0/24 的网段测试应失败，以验证网段限制生效
  3. 服务器侧核查规则与计数器
     • Get-NetFirewallRule -DisplayName "RDP-Allow-172.16.100.0/24-to-192.168.10.21" | Get-NetFirewallAddressFilter
     • Get-NetFirewallPortFilter

注意事项

• 关键风险提示：
  • RDP 属于高价值攻击面。仅允许特定网段已显著降低风险，但仍需开启网络级别身份验证（NLA）、强口令、账户锁定策略，优先使用多因素认证或 RD Gateway + TLS。
  • 确保系统已打补丁（含 RDP 相关漏洞，如 BlueKeep/CVE-2019-0708 等）。
  • 若启用 IPv6，请确保不存在放宽的 IPv6 RDP 入站规则；如未使用 IPv6，可在入站规则中同样限制或禁用相关 IPv6 RDP。
• 性能影响说明：
  • 单条端口与网段匹配规则对主机性能影响可忽略不计；禁用不必要的通用 RDP 规则可减少匹配开销与误开放面。
• 监控建议：
  • 启用防火墙日志（允许与拒绝）并设定合理大小 Set-NetFirewallProfile -Profile Domain,Private -LogAllowed True -LogBlocked True -LogMaxSizeKilobytes 32767
  • 持续审计登录事件（安全日志 4624/4625，LogonType=10/7）并针对暴力尝试设置告警与封禁策略。
  • 定期复核规则有效性与命中情况，确认仅所需网段在访问。

防火墙规则配置

• 规则名称：Allow-MySQL-10.80.12.0_24-to-10.90.5.12

• 配置语法：

# ————— AWS Security Group (stateful, 目标通过绑定SG限定到10.90.5.12所在ENI/实例) —————
# 替换：sg-xxxx 为实际安全组ID；将该安全组绑定到私网IP为 10.90.5.12 的实例/ENI
aws ec2 authorize-security-group-ingress \
  --group-id sg-xxxx \
  --ip-permissions '[
    {
      "IpProtocol": "tcp",
      "FromPort": 3306,
      "ToPort": 3306,
      "IpRanges": [
        {
          "CidrIp":"10.80.12.0/24",
          "Description":"MySQL from 10.80.12.0/24 to 10.90.5.12"
        }
      ]
    }
  ]'

# CloudFormation 片段（可选）
# 将该SG与 10.90.5.12 对应的ENI/实例关联
SecurityGroupIngress:
  - IpProtocol: tcp
    FromPort: 3306
    ToPort: 3306
    CidrIp: 10.80.12.0/24
    Description: MySQL from 10.80.12.0/24

# ————— Azure NSG (stateful，可显式指定目标IP) —————
# 替换：RG、nsg-mysql、NIC/子网关联
az network nsg rule create \
  --resource-group RG \
  --nsg-name nsg-mysql \
  --name allow-mysql-10_80_12_0_24-to-10_90_5_12 \
  --priority 200 \
  --direction Inbound \
  --access Allow \
  --protocol Tcp \
  --source-address-prefixes 10.80.12.0/24 \
  --source-port-ranges "*" \
  --destination-address-prefixes 10.90.5.12 \
  --destination-port-ranges 3306

# ————— GCP VPC Firewall (stateful，入口无法直接写目标IP，用目标标签/SA限定到10.90.5.12实例) —————
# 替换：VPC_NAME；给 10.90.5.12 实例添加 network tag：mysql-10-90-5-12
gcloud compute firewall-rules create allow-mysql-10-80-12-0-24-to-10-90-5-12 \
  --network=VPC_NAME \
  --direction=INGRESS \
  --priority=1000 \
  --action=ALLOW \
  --rules=tcp:3306 \
  --source-ranges=10.80.12.0/24 \
  --target-tags=mysql-10-90-5-12 \
  --enable-logging

# ————— 阿里云 ECS 安全组（stateful，需将安全组绑定到10.90.5.12实例/网卡） —————
# 替换：cn-xxx、sg-xxxx；Priority 数字越小优先级越高
aliyun ecs AuthorizeSecurityGroup \
  --RegionId cn-xxx \
  --SecurityGroupId sg-xxxx \
  --IpProtocol tcp \
  --PortRange 3306/3306 \
  --SourceCidrIp 10.80.12.0/24 \
  --Policy accept \
  --Priority 1 \
  --NicType intranet \
  --Description "MySQL from 10.80.12.0/24 to 10.90.5.12"

• 协议详情：TCP/3306；单向入站（10.80.12.0/24 → 10.90.5.12/32）；连接为有状态（返回流量自动允许）
• 安全等级：中风险（数据库服务对内网受限放通；仍需加强身份认证与加密，防止横向移动与凭据滥用）

部署指南

• 适用环境：
  • 云安全组（AWS SG、Azure NSG、GCP VPC Firewall、阿里云 ECS 安全组）
• 配置位置：
  • AWS/阿里云：将规则添加到仅绑定至 10.90.5.12 实例/ENI 的安全组；无需规则顺序（无优先级概念），但建议将描述写清楚
  • Azure：在与 10.90.5.12 对应的 NIC 或其所在子网绑定的 NSG 中创建入站规则，优先级设置在其他更宽泛规则之前（数值更小优先）
  • GCP：在相应 VPC 上创建入口规则，使用 target-tags 或 target-service-accounts 将规则仅作用于 10.90.5.12 对应实例；优先级可用 1000（默认拒绝策略之上）
• 测试方法：
  • 从源网段内任一主机（10.80.12.0/24）执行：
    • mysql -h 10.90.5.12 -P 3306 -u -p
    • 或 nc -vz 10.90.5.12 3306
  • 验证失败场景：从非 10.80.12.0/24 源尝试应被拒绝
  • 配合流量日志核验：AWS VPC Flow Logs / Azure NSG Flow Logs / GCP VPC Firewall logging / 阿里云流日志

注意事项

• 关键风险提示：
  • 严禁放宽为 0.0.0.0/0 或更大网段，避免数据库暴露
  • 建议启用 MySQL 传输加密（TLS/SSL）与最小化账户权限，并限制允许的数据库用户来源主机
  • 若有跨区/跨VPC访问，确保路由、NAT、对等连接或专线等路径仅对该网段开放，避免旁路访问
• 性能影响说明：
  • 单一精确匹配规则对云安全组性能影响可忽略；启用日志可能略增计费与日志吞吐，但便于审计
• 监控建议：
  • 启用并定期审阅安全组/NSG/VPC 防火墙日志，建立告警（异常源IP、端口扫描、失败连接暴增）
  • 定期合规基线检查：仅保留必要来源、必要端口；为临时放通设置到期审计
  • 结合数据库审计与慢查询日志，监控异常访问行为与数据外流迹象