默认的就可以

 第一步：确立“默认拒绝”的安全基调

• 为什么这么做？ 默认拒绝遵循“最小权限原则”，即除了你明确允许放行的业务流量外，其他所有未知的、潜在的恶意流量一律拦截。这能有效防止因配置遗漏导致内部服务（如数据库、远程管理端口）意外暴露在公网。
• 如何检查？ 在配置完所有业务放行策略后，检查策略列表的最底部，确保有一条不可删除的隐式规则，其动作为 deny 或 drop。

 第二步：创建自定义的 IPS 和 AV 安全配置文件

• 新建配置文件：在防火墙的“对象”或“安全配置文件”菜单下，分别新建独立的 IPS 配置文件（如 IPS_Policy_Business）和 AV 配置文件（如 AV_Policy_Business）。
• 初始阶段建议“告警不阻断”：在开局初期，建议将 IPS 和 AV 的动作模式先设置为“告警（Alert/Log）”或“观察模式”。让设备先运行一段时间，观察日志中是否有误报（即把正常业务流量当成了威胁）。确认无误报后，再逐步将关键策略的动作切换为“阻断（Block/Protect）”。
• 按需精简特征库：如果你的防火墙设备内存较小（如 2G 及以下），或者担心开启全量检测影响业务性能，可以在 IPS/AV 配置文件中精简特征库。例如，只加载与当前业务相关的漏洞特征，排除非必要的检测模块，这能有效降低设备负载并减少误判。

 第三步：精细化绑定安全策略

• 按需调用：在配置具体的安全策略（例如从 Untrust 区域到 Trust 区域的入站策略）时，在“动作”选择“允许（Permit）”的同时，在高级选项或内容安全检测选项中，勾选并绑定你刚刚创建的 IPS_Policy_Business 和 AV_Policy_Business。
• 区分流量方向：
  • 入站流量（Untrust -> Trust/DMZ）：建议同时开启 IPS 和 AV 检测，严防外部黑客攻击和病毒木马传入。
  • 出站流量（Trust -> Untrust）：建议重点开启 AV 检测和 IPS 中关于“僵尸网络、木马外联”的特征，防止内网主机中毒后向外发起攻击或泄露数据。

 第四步：开启日志与持续监控

• 如果有大量正常业务被 IPS/AV 拦截，说明特征库过于严格或存在误报，需要调整配置文件（如添加白名单或关闭特定误报特征）。
• 确认业务运行平稳且无异常拦截后，开局配置才算真正完成。

结论速览

一、默认 default 策略特点

1. 规则粗放，大多域间流量直接放行，攻击、病毒、入侵拦截弱
2. 未绑定 IPS/AV 特征库检测，采购的安全授权无法生效
3. 仅适合临时调试，正式业务必须重构策略

二、标准开局安全策略配置步骤

1. 基础域划分

2. 策略设计原则

• 最小权限放行：只放业务必要端口，其余全部拒绝
• 外网入站严格管控，内网出站按需管控
• 所有通行流量绑定 IPS 入侵防御、AV 病毒查杀

3. 典型策略模板

4. 安全引擎配套设置

1. 更新 IPS、AV 特征库至最新版本
2. 防护动作：攻击流量阻断，病毒文件删除 / 隔离
3. 开启日志记录，便于事后溯源排查

三、两种模式选择建议

1. 测试阶段：临时沿用 default 策略，调试业务连通性
2. 正式上线：废弃默认策略，新建自定义最小权限规则，绑定安全检测授权

四、开局额外加固

1. 关闭不必要远程管理端口，仅内网维护地址可登录设备
2. 开启策略日志、攻击告警
3. 定期升级固件与安全特征库