安氏防火墙安全配置基线.docx

安氏防火墙安全配置基线.docx

《安氏防火墙安全配置基线.docx》由会员分享，可在线阅读，更多相关《安氏防火墙安全配置基线.docx（28页珍藏版）》请在冰豆网上搜索。

安氏防火墙安全配置基线

安氏防火墙安全配置基线

版本

版本控制信息

更新日期

更新人

审批人

V2.0

创建

2012年4月

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录

第1章概述1

1.1目的1

1.2适用范围1

1.3适用版本1

1.4实施1

1.5例外条款1

第2章账号管理、认证授权安全要求2

2.1账号管理2

2.1.1用户账号分配*2

2.1.2删除无关的账号*2

2.1.3帐户登录超时*3

2.1.4帐户密码错误自动锁定*4

2.2口令4

2.2.1口令复杂度要求4

2.3授权5

2.3.1远程维护的设备使用加密协议5

第3章日志及配置安全要求6

3.1日志安全6

3.1.1对用户登录进行记录6

3.1.2记录与设备相关的安全事件7

3.1.3配置设备远程日志功能8

3.2告警配置要求9

3.2.1配置对防火墙本身的攻击或内部错误告警9

3.2.2配置DOS和DDOS攻击告警10

3.2.3配置扫描攻击检测告警*11

3.3安全策略配置要求11

3.3.1访问规则列表最后一条必须是拒绝一切流量11

3.3.2配置访问规则应尽可能缩小范围12

3.3.3VPN用户按照访问权限进行分组*13

3.3.4配置NAT地址转换*13

3.3.5关闭仅开启必要服务14

3.3.6禁止使用any toanyall允许规则15

3.4攻击防护配置要求15

3.4.1配置应用层攻击防护*15

3.4.2配置网络扫描攻击防护*16

3.4.3限制ping包大小*17

3.4.4启用对带选项的IP包及畸形IP包的检测18

3.4.5防火墙各逻辑接口配置开启防源地址欺骗功能18

第4章IP协议安全要求19

4.1IP协议19

4.1.1使用SNMPV2或者V3以上的版本对防火墙远程管理19

第5章其他安全要求21

5.1其他安全配置21

5.1.1配置定时账户自动登出21

5.1.2配置consol口密码保护功能21

第6章评审与修订23

第1章概述

1.1目的

本文档旨在指导系统管理人员进行安氏防火墙的安全配置。

1.2适用范围

本配置标准的使用者包括：

网络管理员、网络安全管理员、网络监控人员。

1.3适用版本

安氏防火墙。

1.4实施

1.5例外条款

第2章账号管理、认证授权安全要求

2.1账号管理

2.1.1用户账号分配*

安全基线项目名称

用户账号分配安全基线要求项

安全基线编号

SBL-LinkTrustFW-02-01-01

安全基线项说明

不同等级管理员分配不同账号，避免账号混用。

检测操作步骤

1.参考配置操作

usrobjpasswdpadminNNtEDJuo3qa28

usrobjpasswdpguestfyRW3nLH7ywPl

usrobjaddadminppasswd""

2.补充操作说明

前两个用户为系统默认建立的帐号。

基线符合性判定依据

1.判定条件

用配置中没有的用户名去登录，结果是不能登录。

2.检测操作

在图形界面登陆

3.补充说明

无。

备注

有些防火墙系统本身就携带三种不同权限的账号，需要手工检查。

2.1.2删除无关的账号*

安全基线项目名称

无关的账号安全基线要求项

安全基线编号

SBL-LinkTrustFW-02-01-02

安全基线项说明

应删除或锁定与设备运行、维护等工作无关的账号。

检测操作步骤

1.参考配置操作

usrobjdel

2.补充操作说明

使用usrobjlistadmin显示帐户信息。

基线符合性判定依据

1.判定条件

配置中用户信息被删除。

2.检测操作

查看配置。

3.补充说明

无。

备注

建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。

2.1.3帐户登录超时*

安全基线项目名称

帐户登录超时安全基线要求项

安全基线编号

SBL-LinkTrustFW-02-01-03

安全基线项说明

配置定时帐户自动登出，空闲5分钟自动登出。

登出后用户需再次登录才能进入系统。

检测操作步骤

1、参考配置操作

设置超时时间为5分钟

2、补充说明

无。

基线符合性判定依据

1.判定条件

在超出设定时间后，用户自动登出设备。

2.参考检测操作

3.补充说明

无。

备注

需要手工检查。

2.1.4帐户密码错误自动锁定*

安全基线项目名称

帐户密码错误自动锁定安全基线要求项

安全基线编号

SBL-LinkTrustFW-02-01-04

安全基线项说明

在10次尝试登录失败后锁定帐户，不允许登录。

解锁时间设置为300秒

检测操作步骤

1、参考配置操作

设置尝试失败锁定次数为10次

2、补充说明

无。

基线符合性判定依据

1.判定条件

超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。

2.参考检测操作

3.补充说明

无。

备注

注意！

此项设置会影响性能，建议设置后对访问此设备做源地址做限制。

需要手工检查。

2.2口令

2.2.1口令复杂度要求

安全基线项目名称

口令复杂度要求安全基线要求项

安全基线编号

SBL-LinkTrustFW-02-02-01

安全基线项说明

防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

检测操作步骤

1.参考配置操作

usrobjaddadminp回车，输入密码。

2.补充操作说明

口令字符不完全符合要求。

基线符合性判定依据

1.判定条件

该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。

2.检测操作

实验性建立帐户信息。

3.补充说明

无。

备注

2.3授权

2.3.1远程维护的设备使用加密协议

安全基线项目名称

远程维护使用加密协议安全基线要求项

安全基线编号

SBL-LinkTrustFW-02-03-01

安全基线项说明

对于防火墙远程管理的配置，必须是基于加密的协议。

如SSH或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理IP。

检测操作步骤

1.参考配置操作

系统默认支持ssh及WEBSSL两种加密管理方式，查看及增加管理IP操作如下：

查看管理IP

adminhostlist

增加管理IP

adminhostadd

2.补充操作说明

基线符合性判定依据

1.判定条件

只支持ssh及WebSSL管理，对于非允许的ip地址不能登陆。

2.检测操作

使用非允许的ip地址登陆。

3.补充说明

无。

备注

第3章日志及配置安全要求

3.1日志安全

3.1.1对用户登录进行记录

安全基线项目名称

用户登录进行记录安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-01-01

安全基线项说明

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

检测操作步骤

1.参考配置操作

logpolicyadd

anfcHTSORhPIi>

0..7>

mbyse>

2.补充操作说明

anfcHTSORhPIi>：

系统（以字母a表示）

NAT（以字母n表示）

包过滤（以字母f表示）

连接状态（以字母c表示）

HTTP代理（以字母H表示）

TELNET代理（以字母T表示）

SMTP代理（以字母S表示）

POP3代理（以字母O表示）

事前认证（以字母R表示）

双机热备（以字母h表示）

VPNPPP协议（以字母P表示）

VPNIPSec协议（以字母I表示）

流探测（以字母i表示）

mbyse>：

指日志处理方式，mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等，用户可根据需要选择。

基线符合性判定依据

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

备注

3.1.2记录与设备相关的安全事件

安全基线项目名称

记录与设备相关安全事件安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-01-02

安全基线项说明

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

检测操作步骤

1.参考配置操作

logpolicyadd

anfcHTSORhPIi>

0..7>

mbyse>

2.补充操作说明

anfcHTSORhPIi>：

系统（以字母a表示）

NAT（以字母n表示）

包过滤（以字母f表示）

连接状态（以字母c表示）

HTTP代理（以字母H表示）

TELNET代理（以字母T表示）

SMTP代理（以字母S表示）

POP3代理（以字母O表示）

事前认证（以字母R表示）

双机热备（以字母h表示）

VPNPPP协议（以字母P表示）

VPNIPSec协议（以字母I表示）

流探测（以字母i表示）

mbyse>：

指日志处理方式，mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等，用户可根据需要选择。

基线符合性判定依据

1.判定条件

在设备上正确纪录了日志信息。

2.检测操作

查看日志模块。

3.补充说明

无。

备注

3.1.3配置设备远程日志功能

安全基线项目名称

配置设备远程日志功能安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-01-03

安全基线项说明

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

建议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台处理。

检测操作步骤

1.参考配置操作

loghostadd设备

logpolicyadd

anfcHTSORhPIi>

0..7>

mbyse>

其中0:

EMERGENCY

1:

ALERT

2:

CRITICAL

3:

ERROR

4:

WARNING

5:

NOTICE

6:

INFO

7:

DEBUG

2.补充操作说明

可以设置发送的日志服务器IP地址。

基线符合性判定依据

1.判定条件

日志服务器上是否接收到了正确的日志信息。

2.检测操作

在日志服务器上查看信息。

3.补充说明

无。

备注

3.2告警配置要求

3.2.1配置对防火墙本身的攻击或内部错误告警

安全基线项目名称

配置对防火墙本身的攻击或内部错误告警安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-02-01

安全基线项说明

设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。

检测操作步骤

1.参考配置操作

参考日志配置模块，如下：

logpolicyadd

anfcHTSORhPIi>

0..7>

mbyse>

2.补充操作说明

设备只支持纪录部分关键操作。

anfcHTSORhPIi>：

系统（以字母a表示）

NAT（以字母n表示）

包过滤（以字母f表示）

连接状态（以字母c表示）

HTTP代理（以字母H表示）

TELNET代理（以字母T表示）

SMTP代理（以字母S表示）

POP3代理（以字母O表示）

事前认证（以字母R表示）

双机热备（以字母h表示）

VPNPPP协议（以字母P表示）

VPNIPSec协议（以字母I表示）

流探测（以字母i表示）

mbyse>：

指日志处理方式，mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等，用户可根据需要选择。

基线符合性判定依据

1.判定条件

查看防火墙是否生成相应告警

2.检测操作

查看防火墙是否生成相应告警

3.补充说明

无。

备注

3.2.2配置DOS和DDOS攻击告警

安全基线项目名称

配置DOS和DDOS攻击防护功能安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-02-02

安全基线项说明

可打开DOS和DDOS攻击防护功能。

对攻击告警。

DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。

维护人员可通过设置白名单方式屏蔽部分告警。

检测操作步骤

1.参考配置操作

antidossetsynflood

antidossetlandon

antidossetsmurfon

antisetfragon

antidosseticmpmax<2-10000|on>

antidossetudpmax<50-100000|on>

blockshortipon

blockipoptionson

2.补充操作说明

无。

基线符合性判定依据

3.判定条件

查看是否已经将此功能打开。

4.检测操作

查看配置。

5.补充说明

无。

备注

3.2.3配置扫描攻击检测告警*

安全基线项目名称

配置扫描攻击检测告警安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-02-03

安全基线项说明

可打开扫描攻击检测功能。

对扫描探测告警。

扫描攻击告警的参数可由维护人员根据网络环境进行调整。

维护人员可通过设置白名单方式屏蔽部分网络扫描告警。

检测操作步骤

1.参考配置操作

可参考“安全要求-设备-防火墙-配置-43”

2.补充操作说明

无

基线符合性判定依据

1.判定条件

无

2.检测操作

无

3.补充说明

无。

备注

根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.3安全策略配置要求

3.3.1访问规则列表最后一条必须是拒绝一切流量

安全基线项目名称

访问规则列表最后一条必须是拒绝一切流量安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-03-01

安全基线项说明

所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。

检测操作步骤

1.参考配置操作

设备默认最后一条为拒绝所有其他。

2.补充操作说明

设备也支持主动建立禁止一切的策略。

基线符合性判定依据

1.判定条件

无。

2.检测操作

查看策略配置及测试访问。

3.补充说明

无。

备注

3.3.2配置访问规则应尽可能缩小范围

安全基线项目名称

配置访问规则应尽可能缩小范围安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-03-02

安全基线项说明

在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。

检测操作步骤

1.参考配置操作

根据实际访问需求，缩小地址范围。

需要禁止anytoanyall和anyall和服务为all的规则。

2.补充操作说明

我们在防火墙上可以定义不同范围的地址对象，在策略中进行引用即可。

如下命令用来建立不同范围的地址对象，供策略引用。

netobjhostadd

netobjadd

netobjaddstd

netobjaddipr

netobjaddifr

netobjaddznr

基线符合性判定依据

1.判定条件

无。

2.检测操作

根据实际访问需求，测试是否达到要求；查看配置。

3.补充说明

无。

备注

3.3.3VPN用户按照访问权限进行分组*

安全基线项目名称

VPN用户按照访问权限进行分组安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-03-03

安全基线项说明

对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。

检测操作步骤

1.参考配置操作

vpndialupuseradd[ip/mask]

policyadd[options][toname]

2.补充操作说明

设备部分支持此项功能。

基线符合性判定依据

1.判定条件

无。

2.检测操作

按照需求访问进行检测。

3.补充说明

无。

备注

根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.3.4配置NAT地址转换*

安全基线项目名称

配置NAT地址转换安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-03-04

安全基线项说明

配置NAT，对公网隐藏局域网主机的实际地址。

检测操作步骤

1.参考配置操作

nat11add[interface]

2.补充操作说明

无

基线符合性判定依据

1.判定条件

无。

2.检测操作

从外网用NAT地址访问内网的IP

3.补充说明

无。

备注

根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.3.5关闭仅开启必要服务

安全基线项目名称

仅开启必要服务安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-03-05

安全基线项说明

防火墙设备必须仅开启必要服务。

与生产无关的服务端口不能开放规则。

检测操作步骤

1.参考配置操作

policyadd[options][toname]

2.补充操作说明

无

基线符合性判定依据

1.判定条件

无。

2.检测操作

查看策略，检查是否有不必要的服务

Policylist

3.补充说明

无。

备注

3.3.6禁止使用any toanyall允许规则

安全基线项目名称

尽量不允许使用any toany安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-03-06

安全基线项说明

防火墙策略配置时不允许使用any toanyall允许规则，对于从防火墙内部到外部的访问也应指定策略;应定期的对防火墙策略进行检查和梳理

检测操作步骤

1.参考配置操作

查看访问控制策略

policylist

配置防火墙策略

policyadd[options][toname]

2.补充操作说明

无

基线符合性判定依据

1.判定条件

无

2.检测操作

policylist

3.补充说明

无。

备注

3.4攻击防护配置要求

3.4.1配置应用层攻击防护*

安全基线项目名称

配置应用层攻击防护安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-04-01

安全基线项说明

建议采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进行防护

检测操作步骤

1.参考配置操作

smartproenable[level]

其中级别如下，建议采用默认级别1

0-disable

1-duplicatepass-policymatchedpackets,

2-duplicatemorepass-policymatchedpackets

3-duplicateallpackets

2.补充操作说明

无。

基线符合性判定依据

1.判定条件

查看是否已经将此功能打开。

2.检测操作

查看配置。

3.补充说明

无。

备注

根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.4.2配置网络扫描攻击防护*

安全基线项目名称

配置网络扫描攻击防护安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-04-02

安全基线项说明

建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描攻击行为进行检测

检测操作步骤

1.参考配置操作

启用流探测功能模块：

smartproenable[level]

其中级别如下，建议采用默认级别1

0-disable

1-duplicatepass-policymatchedpackets,

2-duplicatemorepass-policymatchedpackets

3-duplicateallpackets

通过WEB管理界面选择需要检测的扫描攻击行为的list，如下图：

选择启用即可

2.补充操作说明

无。

基线符合性判定依据

1.判定条件

查看是否已经将此功能打开。

2.检测操作

查看配置。

3.补充说明

无。

备注

根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.4.3限制ping包大小*

安全基线项目名称

限制ping包大小安全基线要求项

安全基线编号

SBL-LinkTrustFW-03-04-03

安全基线项说明

限制ping包的大小，以及一段时间内同一主机发送的次数