防火墙安全管理规定实用资料.docx
- 文档编号:12900464
- 上传时间:2023-04-22
- 格式:DOCX
- 页数:84
- 大小:845.35KB
防火墙安全管理规定实用资料.docx
《防火墙安全管理规定实用资料.docx》由会员分享,可在线阅读,更多相关《防火墙安全管理规定实用资料.docx(84页珍藏版)》请在冰豆网上搜索。
防火墙安全管理规定实用资料
1
目的Objective
规范防火墙系统的安全管理,保障公司防火墙系统的安全。
2适用范围Scope
本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理。
3定义
DMZ(demilitarizedzone):
中文名称为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
通常,它放在外网和内网中间,是内网中不被信任的系统。
在进行防火墙设置时可阻断内网对DMZ的公开访问,尤其禁止DMZ到内网的主动连接。
GRE(GenericRoutingEncapsulation):
即通用路由封装协议,它提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输。
VPN(VirtualPrivateNetworking):
即虚拟专用网,VPN是用以实现通过公用网络(Internet)上构建私人专用网络的一种技术。
4管理细则
4.1基本管理原则
1.公司IT系统不允许直接和外部网络连接(包括Internet、合资公司等等),必须经过防火墙的限制保护。
防火墙的建设、安装须遵守《防火墙建设规范》。
2.防火墙指令的配置须严格遵守附件一《防火墙指令描述格式》。
3.防火墙口令设置参照《帐号和口令标准》,并由安全控制办统一管理。
4.防火墙日志管理参照《系统日志管理规定》。
5.防火墙变更管理参照《IT生产环境变更管理流程》。
6.防火墙不允许直接通过Internet管理;内部管理IP地址只允许相关人员知晓。
7.防火墙紧急开通策略有效期为2周。
如2周内没有申请防火墙策略,则将自动失效。
8.在非工作时间处理防火墙紧急申请须遵循《紧急故障处理Token卡管理规定》。
4.2防火墙系统配置细则
1.当防火墙启动VPN功能时,需使用IPSEC进行隧道加密:
认证算法采用SHA-1,加密算法采用3DES算法。
2.防火墙闲置10分钟以上的登陆,连接要被强制掉线。
3.防火墙须配置成能防止已知的各种攻击,如:
tear-drop、syn-flood、ping-of-death、src-rout、land、default-deny。
4.安全日志至少应包含策略创建、变更和废除(停用)等日志,日志内容包括实施的帐号,实施的时间,实施的策略(开通的具体防火墙通道)、相应的IP地址等信息。
4.3防火墙策略管理配置细则
1.GRE、本地网VPN、DMZ、非生产环境(包括测试环境、UAT环境、试运行环境等)、临时性或任务性的防火墙策略须严格对源地址、应用端口进行限制,并设置策略有效期。
2.生产环境中,与IT应用相关针对普通用户的策略,在应用生命周期内,防火墙上不设置有效期限,但管理上须保证每年对所有应用进行一次审视。
3.Internet防火墙配置细则:
1)三个区域(Untrust/Trust/DMZ)间的策略遵循“缺省全部关闭,按需求开通的原则”。
2)未经允许,严禁Internet直接访问公司内部(除DMZ区的机器外)的网络。
3)DMZ区服务器只开放相应的应用端口,不得开放任意端口,特别是敏感端口。
如果可以收集用户的源地址,需要对源地址网段进行限制。
4)不得从公司内网直接访问Internet,允许从DMZ区域有限制的访问Internet。
5)DMZ服务器原则上不得开放主动对Internet的访问,监控、Email、proxy等除外。
6)公司内网必须有限制地访问DMZ区机器,并且只开放相应的端口。
7)DMZ服务器区内部服务器策略互通。
8)DMZ服务器访问/调用数据中心内网服务器,须指定相应的地址和端口。
4.数据中心服务器区防火墙配置细则:
1)对于普通用户端应用访问需求,防火墙只开放应用必需的端口。
2)对于普通用户和管理员维护的服务端口,通用区服务器、研发区、非研发区的防火墙对相应的端口须进行限制,可以不对用户侧源地址网段进行限制。
3)数据中心(研发区、非研发区、通用区)不同服务器区之间服务器在关闭高危端口后,可互通。
4)服务器主动往内网用户侧发起的访问需求不作限制。
5)对特殊IT应用和用户需求,遵照“缺省全部关闭,按需求开通”的原则执行。
5.绝密区防火墙配置细则:
1)严格按照“缺省全部关闭,按需求开通的原则”设置绝密区防火墙策略。
2)绝密区防火墙只对需要访问的IP地址开放需要使用的服务端口,并设置有效期。
3)服务器主动往内网用户侧发起的访问需求不作限制。
4.4策略申请流程
1.防火墙策略日常申请流程:
申请人填写电子流->直接主管审批->网络安全部审批->系统支持部接口人审核、分流->防火墙管理员给出实施指令->安全控制办按照实施指令进行配置->申请人确认。
4.5职责
1.申请人:
负责提出防火墙策略申请,需要保证申请信息准确、完整。
1)申请防火墙策略时,需提前咨询IT热线或系统维护人员,必须明确所申请的服务端口,不得在未知、不确认的情形下提交所有端口。
2)申请人须及时在防火墙电子流中确认策略是否生效,如策略未生效或未达到预期,请及时将电子流反馈给防火墙管理员。
3)防火墙策略到期或不再使用时,策略责任人必须提交防火墙策略取消电子流。
4)当防火墙策略责任人、策略的地址更改或者使用期限变化,申请人需要及时提交防火墙策略变更电子流。
2.直接主管:
负责确认电子流中提交人的身份和审批所提申请策略与业务需求是否相符。
3.网络安全部:
负责防火墙系统安全标准的制订、修改和稽核。
在防火墙策略申请中,负责对防火墙策略需求进行安全审核。
负责对防火墙日志进行审核,负责组织对防火墙永久策略的定期审视和修正。
1)网络安全部负责防火墙系统安全标准的制订、定期的修改和不定期的稽核。
2)网络安全部对用户申请的防火墙策略进行必要的安全审视。
3)网络安全部不定期对防火墙的登录信息、攻击日志等进行稽核。
4.系统支持部:
负责防火墙系统具体的方案设计、项目实施以及日常运维工作。
在防火墙策略申请中,负责根据用户的需求给出正确的实施指令。
1)防火墙管理员定时对防火墙的物理连通性,流量大小,CPU利用率,安全规则的有效性等各种指标进行监控,定期输出性能容量报告。
2)防火墙管理员须整理和维护安控办配置文档的准确性。
3)防火墙管理员参与日常防火墙的项目建设和方案设计工作。
4)网络支持部对防火墙策略是否按申请期限及时关闭、策略责任人信息进行例行化检查。
5.安全控制办:
维护与管理防火墙帐号;负责在防火墙上实施指令配置。
1)安全控制办统一管理防火墙的帐号,并及时日常维护,控制帐号申请人的资源池。
2)安全控制办负责按照防火墙申请流程中防火墙管理员给出的指令在防火墙上实施。
5奖惩
对违反本规定内容的,遵照《信息安全奖惩规定》处理。
6本规定的维护与解释
1、本规定由信息技术工程部每年审视一次,根据审视结果进行修订并颁布执行。
2、本规定的解释权归信息技术工程部。
3、本规定自签发之日起生效。
7支持文件SupportingDocument
8相关文件CorrelativeDocuments
USG6550防火墙
用户手册
查看类
关于本章
1.1查看设备运行状态
介绍查看设备运行状态的相关操作。
1.2查看接口流量
介绍查看接口流量的相关操作。
1.3查看ESN和系列号(USG6000)
通过displayesn命令可以查看设备及各部件的ESN。
1.4查看ESN和系列号(USG9500)
通过displayesn命令可以查看设备及各部件的ESN。
1.5查看光模块信息
通过displayesninterface命令可以查看光模块信息。
1.6查看会话表
会话表是设备转发报文的关键表项。
所以当出现业务故障时,通常可以通过Web查看会话表信息,大致定位发生故障的模块或阶段。
1.7查看日志
1.8查看报表
介绍查看报表的相关操作。
1.9查看VPN状态
1.1查看设备运行状态
介绍查看设备运行状态的相关操作。
通过Web方式查看设备部件状态
选择“面板>设备资源信息”,查看CPU使用率、内存使用率、CF卡使用率,如图1-1所示。
图1-1设备资源信息
参数
说明
CPU使用率
以标度盘和百分比显示当前CPU的使用情况。
当仪表盘指针移到黄色区域,表示当前CPU使用率达到预警状态。
当仪表盘指针移到红色区域,表示当前CPU使用率达到警告状态。
CPU使用率代表当前设备处理业务的繁忙程度,如果CPU使用率一直居高不下,可能是设备处理能力达到极限,不满足当前网络的部署需求,建议更换高处理性能的设备。
内存使用率
以标度盘和百分比显示当前内存的使用情况。
当仪表盘指针移到黄色区域,表示当前内存使用率达到预警状态。
当仪表盘指针移到红色区域,表示当前内存使用率达到警告状态。
CF卡使用率
以标度盘和百分比显示当前CF卡的使用情况。
当仪表盘指针移到黄色区域,表示当前CF卡使用率达到预警状态。
当仪表盘指针移到红色区域,表示当前CF卡使用率达到警告状态。
在软件或特征库等升级前,请确定剩余空间大小是否可存放待升级的文件。
如果空间不足,需要清理无用文件以保证存储空间满足新需要。
通过CLI方式查看设备部件状态
查看设备状态。
通常在发现某单板运行不正常时查看该单板状态。
USG6380'sDevicestatus:
SlotSubTypeOnlinePowerRegisterStatusRole
-------------------------------------------------------------------------------
0-RPUPresentPowerOnRegisteredNormalMaster
1-FIBAPresentPowerOnRegisteredNormalNA
5-PWRPresentPowerOnRegisteredNormalNA
7-FANPresentPowerOnRegisteredNormalNA
USG9560'sDevicestatus:
Slot#TypeOnlineRegisterStatusPrimary
--------------------------------------
1LPUPresentRegisteredNormalNA
2SPUPresentRegisteredNormalNA
6LPUPresentRegisteredNormalNA
8SPUPresentRegisteredNormalNA
9MPUPresentNANormalMaster
10MPUPresentRegisteredNormalSlave
12SFUPresentRegisteredNormalNA
13SFUPresentRegisteredNormalNA
14CLKPresentRegisteredNormalMaster
15CLKPresentRegisteredNormalSlave
16PWRPresentRegisteredAbnormalNA
17PWRPresentRegisteredNormalNA
18FANPresentRegisteredNormalNA
19FANPresentRegisteredNormalNA
项目
描述
Slot
当前在位设备的槽位号
Sub
子卡槽位号
Type
设备类型
Online
设备是否在线
●Present表示设备在线
●Absent表示设备不在线
Power
设备是否上电
●PowerOn表示设备上电
●PowerOff表示设备下电
Register
设备是否注册成功,NA表示FW启动必须运行的设备,没有这些设备FW就不能启动
Status
设备的状态
Primary
Role
当前设备是否有备份设备,NA表示该设备没有主备之分
其中Status状态为Abnormal说明状态异常。
可能的故障原因为:
1.设备的该槽位不支持这种接口卡。
2.接口卡损坏。
3.背板或主板上的插针损坏,如不正确的单板安装方式导致插针倾斜。
4.如果是FAN状态为Abnormal,则可能为风扇故障或不在位。
查看设备的健康检查信息
用户在任意视图下执行命令displayhealth命令查看设备的健康检查信息,包括CPU占用率和内存占用率。
#显示USG9500单板的健康检查信息。
SlotCPUUsageMemoryUsage(Used/Total)SimulateCPU
-----------------------------------------------------------------------
9MPU(Master)10%51%907MB/1746MBNone
1LPU14%18%384MB/2099MBNone
2SPU-CPU065%16%84MB/500MB0%
2SPU-CPU164%16%84MB/500MB0%
2SPU-CPU264%16%84MB/500MB0%
2SPU-CPU364%16%84MB/500MB0%
2SPU-CPU62%15%61MB/398MBNone
6LPU16%18%386MB/2099MBNone
8SPU-CPU265%16%84MB/500MB0%
8SPU-CPU362%16%84MB/500MB0%
8SPU-CPU62%15%60MB/398MBNone
10MPU(Slave)4%24%870MB/3602MBNone
-----------------------------------------------------------------------
SPUCPUAverageUtilization:
Management64%Dateplane3%
表1-1displayhealth命令的输出信息描述
项目
描述
Slot
单板槽位号。
displayhealthverbose命令可以显示从核CPU利用率使用情况。
例如
●LPU(VCPU0)为多核0号,(VCPU1)为多核1号,以此类推
●LPU为单核
CPUUsage
CPU利用率。
MemoryUsage(Used/Total)
所有注册状态板的内存使用情况。
●Total:
单板上当前可用的内存。
●Used:
单板上可用内存中已经被占用的内存。
#显示USG6000的健康检查信息。
-------------------------------------------------------------------------------
SlotCardSensorSensorNameStatusCurrent(V)Lower(V)Upper(V)
-------------------------------------------------------------------------------
0-01.1V_CORENormal1.10001.04001.1500
-13.3VNormal3.30003.12003.4500
-22.5VNormal2.52002.37002.6100
-31.5VNormal1.49001.42001.5700
-41.1VNormal1.09001.04001.1500
-50.75V_DDRNormal0.74000.71000.7800
-612VNormal11.880011.400012.6000
1-05.0VNormal4.95004.74005.2500
-12.5VNormal2.50002.36002.6200
-21.0VNormal0.99000.95001.0500
-31.8VNormal1.78001.71001.8900
-40.9VNormal0.90000.85000.9400
-53.3VNormal3.28003.12003.4600
-612VNormal11.940011.400012.6000
---------------------------------------------------------------
SlotCardSensorStatusCurrent(C)Lower(C)Upper(C)
---------------------------------------------------------------
0-0Normal36063
-1Normal51090
1-0Normal31063
--------------------------------------------------------------------------
PowerIDOnlineModeStateCurrent(A)Voltage(V)RealPwr(W)
--------------------------------------------------------------------------
5PresentACSupply14.212170
6Absent-----
-------------------------------------------------------------------------------
FanIDFanNumOnlineRegisterSpeedModeAirflow
-------------------------------------------------------------------------------
FAN0[3]PresentRegistered1(6880)AUTOLeft-to-Right
FAN1[2]PresentRegistered1(6880)AUTOLeft-to-Right
SystemMemoryUsageInformation:
Systemmemoryusageat2021-03-2616:
25:
01
-------------------------------------------------------------------------------
SlotTotalMemory(MB)UsedMemory(MB)UsedPercentageUpperLimit
-------------------------------------------------------------------------------
03789226559%95%
-------------------------------------------------------------------------------
SystemCPUUsageInformation:
Systemcpuusageat2021-03-2616:
25:
01
-------------------------------------------------------------------------------
SlotCPUUsageUpperLimit
-------------------------------------------------------------------------------
032%80%
-------------------------------------------------------------------------------
DiskUsageInformation:
Systemdiskusageat2021-03-2616:
25:
02
-------------------------------------------------------------------------------
SlotDeviceTotalMemory(MB)UsedMemory(MB)UsedPercentage
-------------------------------------------------------------------------------
0hda1:
117272561%
-------------------------------------------------------------------------------
查看接口流量
介绍查看接口流量的相关操作。
通过Web方式查看接口流量
选择“面板>设备状态图”,将鼠标光标停留在某接口上,可查看该接口的详细信息,如图1-2所示。
单击“刷新”后能够查看到接口的最新信息。
图1-1接口信息
参数
说明
接口状态
显示该接口的物理状态/链路状态。
●Up/LineUp:
接口物理/链路处于正常启动的状态。
●Down/LineDown:
接口物理层出现故障。
●AdministrativelyDown/LineDown:
说明该接口已被禁用。
安全区域
显示该接口所在安全区域。
IP地址/掩码
显示该接口的IP地址及子网掩码。
速率
显示该接口的速率。
模式
显示接口的双工模式。
输入/出流量
显示该接口接收/发送的流量大小。
输入/出错包数
显示该接口接收/发送的流量中的错包数。
通过CLI方式查看接口信息
该命令可以查看接口的IP地址、物理层及协议层状态、接口描述。
下面以USG6370系列为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 安全管理 规定 实用 资料
![提示](https://static.bdocx.com/images/bang_tan.gif)