中山大学数据中心防火墙端口管理规定

        为规范数据中心机房的安全管理,根据《信息安全技术——信息系统安全等级保护基本要求》(GB/T 22239—2008)及ISO/IEC 27000系列标准,特制定《数据中心防火墙端口管理规定》。希望各方能共同遵守规范,共建安全的数据中心网络环境。
        本规范适合于中山大学数据中心机房及各校区托管服务器机房(以下简称“数据中心机房”)。

        一、基本端口管理规定

        1.数据中心机房内服务器或设备的所有人,必须根据信息安全等级保护及国家法律规定的网站备案要求,如实申报网络服务端口(以下简称“端口”)的用途、服务对象或使用人等资料,不得未经申报与批准,要求开放端口访问。对于不实申报的,一经发现将立即取消所有访问权限,并作为重大安全隐患进行如实通报,同时需要重新申报网络服务端口;对造成信息安全事故的,按有关规定追究相关人员责任,并在安全公告中实名公告责任单位及涉及安全事故的系统名称。
        2.数据中心机房配备网络防火墙,用于保护生产运行的服务器及相关设备。为避免影响正常生产秩序,临时或非正式运行的服务器或设备应自行进行独立保护,不宜放置于防火墙内。
        3.根据信息系统安全等级保护的要求,端口开放及权限控制必须基于最小配置及最小权限原则。严格禁止为数据中心机房内服务器或设备配置不受限制的防火墙访问规则(即,要严格禁止任何IP地址可访问该服务器或设备的任何端口的规则)。
        4.数据中心防火墙DMZ区域内服务器或设备(以下简称“DMZ区域内设备”)可以对外提供服务,可相应设置外部访问规则;数据中心防火墙内部私有区域服务器或设备不可对外提供服务,仅可向数据中心DMZ区域内的服务器或设备提供服务。
        5.数据中心防火墙DMZ区域分为高安全保障等级DMZ区域(广州:IPv4地址段202.116.64.0/24,;IPv6地址段2001:250:3002:10::/64)与普通安全保障等级DMZ区域(广州:IPv4地址段202.116.65/24,;IPv6地址段2001:250:3002:2000::/64;珠海:IPv4地址段211.66.128.160/27)。
        6.DMZ区域内设备的端口分为公共服务端口、受限服务端口、内部管理端口及临时服务端口等4种类型。高安全保障等级DMZ区域内的设备的所有端口缺省为内部管理端口,申请通过后才能成为其他类型端口。
        7.公共服务端口适合于IPv4及IPv6的地址类型,而受限服务端口、内部管理端口及临时端口仅适用于IPv4地址类型。

        二、内部管理端口及L2TP/IPSec VPN帐号管理规定

        8.DMZ区域内部管理端口不对外开放访问,仅限与通过数据中心L2TP/IPSec VPN服务进行访问。
        9.数据中心L2TP/IPSec VPN帐号的申请人必须为本校A、B系列职工或其他与中山大学签订劳动合同的员工。校外单位(厂家或服务商等)因工作需要可通过本校有资格的申请人申请L2TP/IPSec VPN帐号。本校申请人需要提供本人NetID、需要管理的服务服务器或设备信息、联系电话及邮件地址、即时通讯ID,校外单位的L2TP/IPSec VPN帐号还需要提供校外单位联系人信息(联系人姓名、电话、邮件地址、即使通讯ID)及使用期限。校外单位L2TP/IPSec VPN帐号最长有效期为三个月(到期后可延期)。在申请审批通过后才可发放数据中心L2TP/IPSec VPN帐号。L2TP/IPSec的”预共享密钥(Pre-shared Key)”每三个月更换一次, “预共享密钥”仅会通知本校的L2TP/IPSec VPN帐号的申请人。

        三、临时服务端口规则

        10.临时服务端口仅限特定IP地址在一定期限内进行访问。临时服务端口的服务期限最长为一个月,期满可申请延续。

        四、受限服务端口管理规定

        11.受限服务端口仅限校内IP地址访问。普通安全保障等级DMZ区域内设备的受限服务端口为ftp(21)、telnet(23)、ssh(22)、mysql(3306)、ms-sql-s(1433)、remote-desktop(3389)。
        12.受限服务端口可申请成为特殊受限服务端口,除允许校内IP地址访问外,还可允许校外特定IP地址(由中心根据情况确定名单,一般为银行、公安、国安等机构)访问。
        13.原则上,防火墙不为受限服务端口设置其他管理规则。如果DMZ区域内设备需要进一步限制访问的,应在设备上自行配置限制规则。

        五、公共服务端口管理规定

        14.公共服务端口可被任何IP地址访问。普通安全保障等级DMZ区域内设备上的http(80)、https(443)端口为普通公共服务端口,只需要完成网站备案无须其他申请即可被任何IP地址访问。普通安全保障等级DMZ区域服务器或设备上的ftp(21)、ssh(22)、telnet(23)端口为特殊公共服务端口,须申请通过审批后才能被任何IP地址访问。普通安全保障等级DMZ区域设备上其他端口原则上不能成为公共服务端口。
        15.原则上,防火墙不为公共服务端口设置其他管理规则。如果DMZ区域内设备需要进一步限制访问的,应在设备上自行配置限制规则。

        六、其他管理规定

        16.网络与信息技术中心将定期(每月不少于1次)对公共服务端口、受限服务端口、临时服务端口进行扫描,以确保及时发现安全漏洞及隐患。一旦发现高危漏洞,端口类型将转为内部管理端口而无需事先通知(仅封锁后通知),直至漏洞修复。
        17.本规定由发布之日起执行。
        18.本规定由网络与信息技术中心负责解释。
 

                                                                                                                                       中山大学网络与信息技术中心
                                                                                                                                         二〇一三年十一月十九日