自动化运维系统是内网的核心管控平台，其安全性十分重要。一旦该系统被攻破，攻击者就能获得“上帝视角”的超级权限，可能造成敏感数据泄露、关键业务中断、被潜伏操控等严重损失。

防守方的网络边界一般会部署防火墙等安全设备，但数据中心内部、运维区域内部大都没有设置网络访问规则，没有充分收敛暴露面，仍然存在被攻击的风险。

Firewalld是Linux操作系统标配的开源防火墙，其功能和性能都十分强大，可以为自动化运维系统提供全面防护，有效收敛系统暴露面，降低网络安全风险。

在某大型银行的HVV过程中，安博通安全服务团队以开源防火墙Firewalld，保障自动化运维系统。实现高性价比部署、灵活定制使用，为自动化运维系统增加双重防护。

1、防护准备

提前准备下列信息：

（1）可以登录自动化运维系统后台（SSH，22/TCP）的堡垒机IP地址、终端IP地址。

（2）可以登录自动化运维系统前台（HTTPS，443/TCP）的堡垒机IP地址、终端IP地址。

（3）与自动化运维系统对接的应用系统IP地址，即调用自动化运维系统API（HTTPS，443/TCP）的ITSM或OA系统IP地址。

（4）探活设备或网管终端的主机IP地址，其需要定期探测（通常为ICMP协议）自动化运维系统的状态。

（5）自动化运维系统是否开启了防火墙日志采集功能。

（6）分布式部署的自动化运维系统的各主机IP地址。

2、开源防火墙配置

将上述需要访问自动化运维系统的IP地址，转换为Firewalld可以识别的IP地址集和安全策略命令行，配置使其生效。

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source ipset="https" port port="443" protocol="tcp" accept

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source ipset="ssh" port port="22" protocol="tcp" accept

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source ipset="web" port port="80" protocol="tcp" accept

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source address="10.112.228.180" accept

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source ipset="icmp" protocol value="1" accept

firewall-cmd --permanent --add-port=514/udp

3、防护效果

在为期一个月的HVV行动中，自动化运维系统作为封禁处置的主力，快速封禁了数千个IP地址/段。该系统未被恶意扫描或攻击，开源防火墙防护效果佳。