Q4: 工控防火墙白名单策略怎么配置？

Q4: 工控防火墙白名单策略怎么配置？

A: 白名单策略配置是工控防火墙部署的核心环节，建议采用以下步骤：

1. 业务流量基线采集：在正式部署前，将防火墙设为监听模式（只记录不拦截），运行一段时间采集正常业务通信的完整流量基线，包括通信双方 IP、端口、协议类型、功能码、数据访问范围等。
2. 策略分析与确认：分析采集到的流量基线，与业务人员逐一确认每条通信的合法性。排除非必要的通信，保留业务必需的最小流量集合，形成白名单策略草案。
3. 渐进式部署：采用"告警优先"模式上线——白名单匹配的流量正常放行，不在白名单中的流量记录并告警但不拦截。观察运行一段时间，确认无业务中断后，再切换为"严格拦截"模式。
4. 持续优化：业务变更时同步更新白名单策略。建议建立策略变更审批流程，任何新增通信规则需经安全人员和业务人员共同确认。
5. 定期审计：每季度审查白名单策略的有效性，清理过期规则，评估策略覆盖率。