Fortigate防火墙安全配置基线.docx
- 文档编号:29149690
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:27
- 大小:21.39KB
Fortigate防火墙安全配置基线.docx
《Fortigate防火墙安全配置基线.docx》由会员分享,可在线阅读,更多相关《Fortigate防火墙安全配置基线.docx(27页珍藏版)》请在冰豆网上搜索。
Fortigate防火墙安全配置基线
Fortigate防火墙安全配置基线
版本
版本控制信息
更新日期
更新人
审批人
V2.0
创建
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
2.
第1章概述
第2章
2.1目的
2.2
本文档旨在指导系统管理人员进行Fortigate防火墙的安全配置。
2.3适用范围
2.4
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
2.5适用版本
2.6
Fortigate防火墙。
2.7实施
2.8
2.9例外条款
2.10
第3章帐号、口令管理与认证授权
第4章
4.1帐号管理*
4.2
4.2.1用户帐号管理*
安全基线项目名称
用户帐号管理安全基线要求项
安全基线编号
SBL-FortiFW-02-01-01
安全基线项说明
应按照用户分配帐号。
避免不同用户间共享帐号。
避免用户帐号和设备间通信使用的帐号共享。
检测操作步骤
1、参考配置操作
2、
使用命令showsystemadmin查看是否有多余帐户
2、补充说明
无。
基线符合性判定依据
1、判定条件
2、
用配置中没有的用户名去登录,结果是不能登录
3、参考检测操作
4、
showsystemadmin
删除帐户:
Configsystemadmin
delete
5、补充说明
6、
无。
备注
需要手工判定检测。
4.2.2删除无关的帐号*
安全基线项目名称
无关的帐号安全基线要求项
安全基线编号
SBL-FortiFW-02-01-02
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的帐号。
检测操作步骤
1.参考配置操作
2.
usrobjdel
3.补充操作说明
4.
使用usrobjlistadmin显示帐户信息。
基线符合性判定依据
5.判定条件
6.
配置中用户信息被删除。
7.检测操作
8.
查看配置。
9.补充说明
10.
无。
备注
需要手工判定检测,无关帐户更多属于管理层面,需要人为确认。
4.2.3帐户登录超时*
安全基线项目名称
帐户登录超时安全基线要求项
安全基线编号
SBL-FortiFW-02-01-03
安全基线项说明
配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需再次登录才能进入系统。
检测操作步骤
1、参考配置操作
2、
设置超时时间为5分钟
configsystemglobal
setadmintimeout5
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
在超出设定时间后,用户自动登出设备。
3.参考检测操作
4.
showsystemglobal
5.补充说明
6.
无。
备注
需要手工检查
4.2.4帐户密码错误自动锁定*
安全基线项目名称
帐户密码错误自动锁定安全基线要求项
安全基线编号
SBL-FortiFW-02-01-04
安全基线项说明
在10次尝试登录失败后锁定帐户,不允许登录。
解锁时间设置为300秒
检测操作步骤
1、参考配置操作
2、
设置尝试失败锁定次数为10次
setadmin-lockout-threshold10
setadmintimeout1
setadmin-lockout-duration300
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。
3.参考检测操作
4.
showsystemglobal
5.补充说明
6.
无。
备注
注意!
此项设置会影响性能,建议设置后对访问此设备做源地址做限制。
需要手工检查。
4.3口令
4.4
4.4.1口令复杂度
安全基线项目名称
口令复杂度安全基线要求项
安全基线编号
SBL-FortiFW-02-02-01
安全基线项说明
防火墙的帐号密码必须符合密码复杂度要求,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1、参考配置操作
2、
configsystempassword-policy
setstatusenable
setapply-to[admin-passwordipsec-preshared-key]
setchange-4-charactersenable
setexpire90
setminimum-length8
setmust-contain[lower-case-letterUpper-case-letternon-alphanumericnumber]
end
2、补充说明
密码长度要求8位,大小写字母和特殊字符混合,密码超时时间90天。
基线符合性判定依据
1、判定条件
2、
Showsystempassword-policy
3、参考检测操作
4、
5、补充说明
6、
无。
备注
4.5授权
4.6
4.6.1远程维护的设备使用加密协议
安全基线项目名称
远程维护使用加密协议安全基线要求项
安全基线编号
SBL-FortiFW-02-03-01
安全基线项说明
对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH或者WEB SSL,如果只允许从防火墙内部进行管理,应该限定管理IP。
检测操作步骤
1.参考配置操作
2.
系统默认支持ssh及WEBSSL两种加密管理方式,查看及增加管理IP操作如下:
查看管理IP
adminhostlist
增加管理IP
adminhostadd
3.补充操作说明
基线符合性判定依据
1.判定条件
2.
只支持ssh及WebSSL管理,对于非允许的ip地址不能登陆。
3.检测操作
4.
使用非允许的ip地址登陆。
5.补充说明
6.
无。
备注
第5章日志安全要求
第6章
6.1日志服务器
6.2
6.2.1启用日志服务器
安全基线项目名称
启用日志服务器安全基线要求项
安全基线编号
SBL-FortiFW-03-01-01
安全基线项说明
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。
检测操作步骤
1.参考配置操作
2.
configlogsyslogdsetting
setstatusenable
end
3.补充操作说明
基线符合性判定依据
1.判定条件
2.
是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。
3.参考检测操作
4.
Showlogsyslogdsetting
5.补充说明
6.
无。
备注
6.2.2配置远程日志服务器
安全基线项目名称
配置远程日志服务器安全基线要求项
安全基线编号
SBL-FortiFW-03-01-02
安全基线项说明
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。
检测操作步骤
1.参考配置操作
configlogsyslogdsetting
setstatusenable
setserverXXX.XXX.XXX.XXX
setportXXX
end
2.补充操作说明
无。
基线符合性判定依据
1.判定条件
2.
是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。
3.参考检测操作
4.
Showlogsyslogdsetting
5.补充说明
6.
无。
备注
6.3告警配置要求
6.4
6.4.1配置对防火墙本身的攻击或内部错误告警
安全基线项目名称
配置对防火墙本身的攻击或内部错误告警安全基线要求项
安全基线编号
SBL-FortiFW-03-02-01
安全基线项说明
设备应具备向管理员告警的功能,配置告警功能,报告对防火墙本身的攻击或者防火墙的系统严重错误。
检测操作步骤
1.参考配置操作
2.
参考日志配置模块
基线符合性判定依据
1.判定条件
2.
查看防火墙是否生成相应告警
3.检测操作
4.
查看防火墙是否生成相应告警
5.补充说明
6.
无。
备注
6.4.2配置DOS和DDOS攻击告警
安全基线项目名称
配置DOS和DDOS攻击防护功能安全基线要求项
安全基线编号
SBL-FortiFW-03-02-02
安全基线项说明
可打开DOS和DDOS攻击防护功能。
对攻击告警。
DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。
维护人员可通过设置白名单方式屏蔽部分告警。
检测操作步骤
1.参考配置操作
2.
3.补充操作说明
4.
无。
基线符合性判定依据
1.判定条件
2.
查看是否已经将此功能打开。
3.检测操作
4.
查看配置。
5.补充说明
6.
无。
备注
6.4.3配置扫描攻击检测告警*
安全基线项目名称
配置扫描攻击检测告警安全基线要求项
安全基线编号
SBL-FortiFW-03-02-03
安全基线项说明
可打开扫描攻击检测功能。
对扫描探测告警。
扫描攻击告警的参数可由维护人员根据网络环境进行调整。
维护人员可通过设置白名单方式屏蔽部分网络扫描告警。
检测操作步骤
1.参考配置操作
2.
检测是否开启此功能
3.补充操作说明
4.
无
基线符合性判定依据
1.判定条件
2.
无
3.检测操作
4.
无
5.补充说明
6.
无。
备注
需手工判定。
6.5安全策略配置要求
6.6
6.6.1访问规则列表最后一条必须是拒绝一切流量
安全基线项目名称
访问规则列表最后一条必须是拒绝一切流量安全基线要求项
安全基线编号
SBL-FortiFW-03-03-01
安全基线项说明
所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。
检测操作步骤
1.参考配置操作
2.
设备默认最后一条为拒绝所有其他。
3.补充操作说明
4.
设备也支持主动建立禁止一切的策略。
基线符合性判定依据
1.判定条件
2.
无。
3.检测操作
4.
查看策略配置及测试访问。
5.补充说明
6.
无。
备注
6.6.2配置访问规则应尽可能缩小范围
安全基线项目名称
配置访问规则应尽可能缩小范围安全基线要求项
安全基线编号
SBL-FortiFW-03-03-02
安全基线项说明
在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围。
检测操作步骤
1.参考配置操作
2.
根据实际访问需求,缩小地址范围。
需要禁止anytoanyall和anyall和服务为all的规则。
3.补充操作说明
4.
我们在防火墙上可以定义不同范围的地址对象,在策略中进行引用即可。
如下命令用来建立不同范围的地址对象,供策略引用。
基线符合性判定依据
1.判定条件
2.
无。
3.检测操作
4.
根据实际访问需求,测试是否达到要求;查看配置。
5.补充说明
6.
无。
备注
6.6.3VPN用户按照访问权限进行分组*
安全基线项目名称
VPN用户按照访问权限进行分组安全基线要求项
安全基线编号
SBL-FortiFW-03-03-03
安全基线项说明
对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
检测操作步骤
1.参考配置操作
2.
policyadd
3.补充操作说明
4.
设备部分支持此项功能。
基线符合性判定依据
1.判定条件
2.
无。
3.检测操作
4.
按照需求访问进行检测。
5.补充说明
6.
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.6.4配置NAT地址转换*
安全基线项目名称
配置NAT地址转换安全基线要求项
安全基线编号
SBL-FortiFW-03-03-04
安全基线项说明
配置NAT,对公网隐藏局域网主机的实际地址。
检测操作步骤
1.参考配置操作
2.
检测是否启用NAT功能。
3.补充操作说明
4.
无
基线符合性判定依据
1.判定条件
2.
无。
3.检测操作
4.
从外网用NAT地址访问内网的IP
5.补充说明
6.
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.6.5关闭仅开启必要服务
安全基线项目名称
仅开启必要服务安全基线要求项
安全基线编号
SBL-FortiFW-03-03-05
安全基线项说明
防火墙设备必须仅开启必要服务。
与生产无关的服务端口不能开放规则。
检测操作步骤
1.参考配置操作
2.
policyadd
3.补充操作说明
4.
无
基线符合性判定依据
1.判定条件
2.
无。
3.检测操作
4.
查看策略,检查是否有不必要的服务
Policylist
5.补充说明
6.
无。
备注
6.6.6禁止使用any toanyall允许规则
安全基线项目名称
尽量不允许使用any toany安全基线要求项
安全基线编号
SBL-FortiFW-03-03-06
安全基线项说明
防火墙策略配置时不允许使用any toanyall允许规则,对于从防火墙内部到外部的访问也应指定策略;应定期的对防火墙策略进行检查和梳理
检测操作步骤
1.参考配置操作
2.
查看访问控制策略
policylist
配置防火墙策略
policyadd
3.补充操作说明
4.
无
基线符合性判定依据
1.判定条件
2.
无
3.检测操作
4.
policylist
5.补充说明
6.
无。
备注
6.7攻击防护配置要求
6.8
6.8.1配置应用层攻击防护*
安全基线项目名称
配置应用层攻击防护安全基线要求项
安全基线编号
SBL-FortiFW-03-04-01
安全基线项说明
建议采用防火墙自带的入侵检测模块对应用层攻击进行防护
检测操作步骤
1.参考配置操作
2.
enable[level]
其中级别如下,建议采用默认级别1
0-disable
1-duplicatepass-policymatchedpackets,
2-duplicatemorepass-policymatchedpackets
3-duplicateallpackets
3.补充操作说明
4.
无。
基线符合性判定依据
1.判定条件
2.
查看是否已经将此功能打开。
3.检测操作
4.
查看配置。
5.补充说明
6.
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.8.2配置网络扫描攻击防护*
安全基线项目名称
配置网络扫描攻击防护安全基线要求项
安全基线编号
SBL-FortiFW-03-04-02
安全基线项说明
建议采用防火墙自带的入侵检测模块对网络扫描攻击行为进行检测
检测操作步骤
1.参考配置操作
2.
启用流探测功能模块:
选择启用即可
3.补充操作说明
4.
无。
基线符合性判定依据
1.判定条件
2.
查看是否已经将此功能打开。
3.检测操作
4.
查看配置。
5.补充说明
6.
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.8.3限制ping包大小*
安全基线项目名称
限制ping包大小安全基线要求项
安全基线编号
SBL-FortiFW-03-04-03
安全基线项说明
限制ping包的大小,以及一段时间内同一主机发送的次数。
检测操作步骤
1.参考配置操作
2.
3.补充操作说明
4.
部分功能实现。
基线符合性判定依据
1.判定条件
2.
无。
3.检测操作
4.
查看配置;需求测试。
5.补充说明
6.
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.8.4启用对带选项的IP包及畸形IP包的检测
安全基线项目名称
启用对带选项的IP包及畸形IP包的检测安全基线要求项
安全基线编号
SBL-FortiFW-03-04-04
安全基线项说明
启用对带选项的IP包及畸形IP包的检测
检测操作步骤
1.参考配置操作
2.
antisetfragon
3.补充操作说明
4.
无。
基线符合性判定依据
1.判定条件
2.
查看是否已经将此功能打开。
3.检测操作
4.
查看配置。
5.补充说明
6.
无。
备注
第7章IP协议安全要求
第8章
8.1管理IP限制
8.2
8.2.1管理IP限制
安全基线项目名称
管理IP限制安全基线要求项
安全基线编号
SBL-FortiFW-04-01-01
安全基线项说明
系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。
检测操作步骤
1、参考配置操作
Configsystemadmin
Edit
Settrusthost1XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX
Settrusthost2XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX
Settrusthost3127.0.0.1255.255.255.255
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
通过设定,成功过滤非法的访问。
3.参考检测操作
4.
Showsystemadmin
5.补充说明
6.
无。
备注
第9章SNMP安全
第10章
10.1SNMP管理
10.2
10.2.1使用SNMPV2或以上版本
安全基线项目名称
使用SNMPV2或V3版本安全基线要求项
安全基线编号
SBL-FortiFW-05-01-01
安全基线项说明
系统应配置为SNMPV2或V3版本。
检测操作步骤
1、参考配置操作
configsystemsnmpcommunity
edit
setnameSNMP_Com1
setquery-v1-statusdisable
settrap-v1-statusdisable
setquery-v2c-statusenable
end
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
成功使能snmpv2c或V3版本。
3.参考检测操作
4.
Showsystemsnmpcommunity
5.补充说明
6.
无。
备注
10.3SNMP访问控制
10.4
10.4.1SNMP访问控制
安全基线项目名称
SNMP访问控制安全基线要求项
安全基线编号
SBL-FortiFW-05-02-01
安全基线项说明
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。
检测操作步骤
1、参考配置操作
configsystemsnmpcommunity
edit
confighosts
edit
setinterfaceinternal
setipXXX.XXX.XXX.XXX
end
end
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
通过设定acl来成功过滤特定的源才能进行访问。
3.参考检测操作
4.
Showsystemsnmpcommunity
5.补充说明
6.
无。
备注
第11章评审与修订
第12章
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Fortigate 防火墙 安全 配置 基线