为规范数据中心机房的安全管理，根据《信息安全技术——信息系统安全等级保护基本要求》（GB/T 22239—2008）及ISO/IEC 27000系列标准，特制定《数据中心防火墙端口管理规定》。希望各方能共同遵守规范，共建安全的数据中心网络环境。

本规范适合于顺德职业技术学院数据中心机房及各校区托管服务器机房（以下简称“数据中心机房”）。

第一章 基本端口管理规定

第一条　数据中心机房内服务器或设备的所有人，必须根据信息安全等级保护及国家法律规定的网站备案要求，如实申报网络服务端口（以下简称“端口”）的用途、服务对象或使用人等资料，不得未经申报与批准，要求开放端口访问。对于不实申报的，一经发现将立即取消所有访问权限，并作为重大安全隐患进行如实通报，同时需要重新申报网络服务端口；对造成信息安全事故的，按有关规定追究相关人员责任，并在安全公告中实名公告责任单位及涉及安全事故的系统名称。

第二条　数据中心机房配备网络防火墙，用于保护生产运行的服务器及相关设备。为避免影响正常生产秩序，临时或非正式运行的服务器或设备应自行进行独立保护，不宜放置于防火墙内。

第三条　根据信息系统安全等级保护的要求，端口开放及权限控制必须基于最小配置及最小权限原则。严格禁止为数据中心机房内服务器或设备配置不受限制的防火墙访问规则（即，要严格禁止任何IP地址可访问该服务器或设备的任何端口的规则）。

第四条　数据中心防火墙DMZ区域内服务器或设备（以下简称“DMZ区域内设备”）可以对外提供服务，可相应设置外部访问规则。

第五条　DMZ区域内设备的端口分为公共服务端口、受限服务端口、内部管理端口及临时服务端口等4种类型。DMZ区域内的设备的所有端口缺省为内部端口，申请通过后才能放通外部访问端口。

第六条　公共服务端口、受限服务端口、内部管理端口及临时端口仅适用于IPv4地址类型。

第二章 内部管理端口及VPN账号管理规定

第七条　DMZ区域内部管理端口不对校外开放访问，校外管理服务器只能通过数据中心VPN服务进行访问。

第八条　数据中心VPN账号的申请人必须为本校职工、本校学生或其他与顺德职业技术学院签订劳动合同的员工。校外单位（厂家或服务商等）原则上不办理VPN账号申请。

第三章 临时服务端口规则

第九条　临时服务端口仅限特定IP地址在一定期限内进行访问。临时服务端口的服务期限最长为一个月，期满可申请延续。

第四章 公共服务端口管理规定

第十条　公共服务端口可被任何IP地址访问。

第十一条　原则上，防火墙默认不为公共服务端口设置其他管理规则。如果DMZ区域内设备需要进一步限制访问的，应申请配置限制规则。

第五章 其他管理规定

第十二条　信息管理中心将定期（每月不少于1次）对公共服务端口、受限服务端口、临时服务端口进行扫描，以确保及时发现安全漏洞及隐患。一旦发现高危漏洞，端口类型将转为内部管理端口而无需事先通知（仅封锁后通知），直至漏洞修复。

第十三条　本规定解释权归信息管理中心所有。

第十四条　本规定由发布之日起执行。