防火墙安全配置基线.docx
- 文档编号:4797496
- 上传时间:2022-12-09
- 格式:DOCX
- 页数:26
- 大小:161.72KB
防火墙安全配置基线.docx
《防火墙安全配置基线.docx》由会员分享,可在线阅读,更多相关《防火墙安全配置基线.docx(26页珍藏版)》请在冰豆网上搜索。
防火墙安全配置基线
H3C防火墙安全配置基线
版本
版本控制信息
更新日期
更新人
审批人
V2.0
创建
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
1.4实施1
1.5例外条款1
第2章帐号管理、认证授权安全要求2
2.1帐号管理2
2.1.1用户帐号分配*2
2.1.2删除无关的帐号*3
2.1.3帐户登录超时*3
2.1.4帐户密码错误自动锁定*4
2.2口令5
2.2.1口令复杂度要求5
2.3授权6
2.3.1远程维护的设备使用加密协议6
第3章日志及配置安全要求7
3.1日志安全7
3.1.1记录用户对设备的操作7
3.1.2开启记录NAT日志*7
3.1.3开启记录VPN日志*8
3.1.4配置记录拒绝和丢弃报文规则的日志8
3.2告警配置要求9
3.2.1配置对防火墙本身的攻击或内部错误告警9
3.2.2配置TCP/IP协议网络层异常报文攻击告警9
3.2.3配置DOS和DDOS攻击告警10
3.2.4配置关键字内容过滤功能告警*12
3.3安全策略配置要求13
3.3.1访问规则列表最后一条必须是拒绝一切流量13
3.3.2配置访问规则应尽可能缩小范围13
3.3.3VPN用户按照访问权限进行分组*14
3.3.4配置NAT地址转换*15
3.3.5隐藏防火墙字符管理界面的bannner信息16
3.3.6避免从内网主机直接访问外网的规则*16
3.3.7关闭非必要服务17
3.4攻击防护配置要求17
3.4.1拒绝常见漏洞所对应端口或者服务的访问17
3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能19
第4章IP协议安全要求19
4.1功能配置19
4.1.1使用SNMPV2c或者V3以上的版本对防火墙远程管理19
第5章其他安全要求22
5.1其他安全配置22
5.1.1外网口地址关闭对ping包的回应*22
5.1.2对防火墙的管理地址做源地址限制22
第6章评审与修订24
第1章概述
1.1目的
本文档旨在指导系统管理人员进行H3C防火墙的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
H3C防火墙。
1.4实施
1.5例外条款
第2章帐号管理、认证授权安全要求
2.1帐号管理
2.1.1用户帐号分配*
安全基线项目名称
用户帐号分配安全基线要求项
安全基线编号
SBL-H3C-02-01-01
安全基线项说明
不同等级管理员分配不同帐号,避免帐号混用。
检测操作步骤
1.参考配置操作
#
local-useruser1
passwordcipherW@FSOR(5:
L'LK8RI6$H@XA!
!
authorization-attributelevel3
service-typetelnet
#
local-useruser2
passwordcipherW@FSOR(5:
L'LK8RI6$H@XA!
!
authorization-attributelevel2
service-typetelnet
#
2.补充操作说明
无。
基线符合性判定依据
1.判定条件
用配置中没有的用户名去登录,结果是不能登录。
2.检测操作
#
local-useruser1
passwordcipherW@FSOR(5:
L'LK8RI6$H@XA!
!
authorization-attributelevel3
service-typetelnet
#
local-useruser2
passwordcipherW@FSOR(5:
L'LK8RI6$H@XA!
!
authorization-attributelevel2
service-typetelnet
#
3.补充说明
无。
备注
有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。
2.1.2删除无关的帐号*
安全基线项目名称
无关的帐号安全基线要求项
安全基线编号
SBL-H3C-02-01-02
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的帐号。
检测操作步骤
1.参考配置操作
[H3C]undolocal-useruser1
2.补充操作说明
无
基线符合性判定依据
1.判定条件
配置中用户信息被删除。
2.检测操作
3.补充说明
无。
备注
建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。
2.1.3帐户登录超时*
安全基线项目名称
帐户登录超时安全基线要求项
安全基线编号
SBL-H3C-02-01-03
安全基线项说明
配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需再次登录才能进入系统。
检测操作步骤
1、参考配置操作
设置超时时间为5分钟
2、补充说明
无。
基线符合性判定依据
1.判定条件
在超出设定时间后,用户自动登出设备。
2.参考检测操作
3.补充说明
无。
备注
需要手工检查。
2.1.4帐户密码错误自动锁定*
安全基线项目名称
帐户密码错误自动锁定安全基线要求项
安全基线编号
SBL-H3C-02-01-04
安全基线项说明
在10次尝试登录失败后锁定帐户,不允许登录。
解锁时间设置为300秒
检测操作步骤
1、参考配置操作
设置尝试失败锁定次数为10次
2、补充说明
无。
基线符合性判定依据
1.判定条件
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。
2.参考检测操作
3.补充说明
无。
备注
注意!
此项设置会影响性能,建议设置后对访问此设备做源地址做限制。
需要手工检查。
2.2口令
2.2.1口令复杂度要求
安全基线项目名称
口令复杂度要求安全基线要求项
安全基线编号
SBL-H3C-02-02-01
安全基线项说明
防火墙管理员帐号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1.参考配置操作
[H3C]local-useradmin
[H3C-luser-huawei]service-typetelnetlevel3
[H3C-luser-huawei]passwordcipherAq1!
Sw2@
2.补充操作说明
无
基线符合性判定依据
1.判定条件
该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。
2.检测操作
此项无法通过配置实现,建议通过管理实现。
3.补充说明
无。
备注
2.3授权
2.3.1远程维护的设备使用加密协议
安全基线项目名称
远程维护使用加密协议安全基线要求项
安全基线编号
SBL-H3C-02-03-01
安全基线项说明
对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH或者WEBSSL,如果只允许从防火墙内部进行管理,应该限定管理IP。
检测操作步骤
1.参考配置操作
登陆设备web配置页面,在“设备管理”----“服务管理”下选择ssh、https方式登陆设备。
配置针对SSH登陆用户IP地址的限定:
#
aclnumber3000
rule0permitipsource[ipaddress][wildcard]
#
user-interfacevty04
acl3000inbound
protocolinboundssh
#
2.补充操作说明
无
基线符合性判定依据
1.判定条件
查看防火墙是否启用了ssh、https服务;针对SSH登陆用户进行IP地址限定。
2.检测操作
通过ssh、https方式登陆设备进行检测。
3.补充说明
无。
备注
第3章日志及配置安全要求
3.1日志安全
3.1.1记录用户对设备的操作
安全基线项目名称
用户对设备记录安全基线要求项
安全基线编号
SBL-H3C-03-01-01
安全基线项说明
配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号解锁等信息。
配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。
检测操作步骤
1.参考配置操作
[H3C]info-centerenable
2.补充操作说明
设备默认开启日志功能,记录在设备的logbuffer中。
基线符合性判定依据
1.判定条件
检查配置中的logbuffer相关配置。
2.检测操作
备注
3.1.2开启记录NAT日志*
安全基线项目名称
开启记录NAT日志安全基线要求项
安全基线编号
SBL-H3C-03-01-02
安全基线项说明
开启记录NAT日志,记录转换前后IP地址的对应关系。
检测操作步骤
1.参考配置操作
[H3C]userlogflowexportversion3
[H3C]userlogflowexporthost[logserveripaddress][logserverport]
2.补充操作说明
防火墙自身不记录NAT日志信息,需要配置专门的日志服务器,防火墙将NAT日志信息发送到专门的日志服务器。
基线符合性判定依据
1.判定条件
检查配置中的NAT日志相关配置;
2.检测操作
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.1.3开启记录VPN日志*
安全基线项目名称
开启记录VPN日志安全基线要求项
安全基线编号
SBL-H3C-03-01-03
安全基线项说明
开启记录VPN日志,记录VPN访问登陆、退出等信息。
检测操作步骤
1.参考配置操作
[H3C]info-centerenable
2.补充操作说明
设备默认会记录VPN日志,不需要额外配置。
基线符合性判定依据
1.判定条件
检查配置中的日志相关配置
2.检测操作
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.1.4配置记录拒绝和丢弃报文规则的日志
安全基线项目名称
配置记录拒绝和丢弃报文规则的日志安全基线要求项
安全基线编号
SBL-H3C-03-01-04
安全基线项说明
配置防火墙规则,记录防火墙拒绝和丢弃报文的日志。
检测操作步骤
1.参考配置操作
设备默认记录,不需要额外配置;
2.补充操作说明
无
基线符合性判定依据
使用displaytrapbuffer检查
备注
3.2告警配置要求
3.2.1配置对防火墙本身的攻击或内部错误告警
安全基线项目名称
配置对防火墙本身的攻击或内部错误告警安全基线要求项
安全基线编号
SBL-H3C-03-02-01
安全基线项说明
配置告警功能,报告对防火墙本身的攻击或者防火墙的系统内部错误。
检测操作步骤
1.参考配置操作
无需配置,设备默认开启;
2.补充操作说明
基线符合性判定依据
1.判定条件
通过查看设备的trapbuffer信息;
2.检测操作
备注
3.2.2配置TCP/IP协议网络层异常报文攻击告警
安全基线项目名称
配置TCP/IP协议网络层异常报文攻击告警安全基线要求项
安全基线编号
SBL-H3C-03-02-02
安全基线项说明
配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。
检测操作步骤
1.参考配置操作
登陆防火墙web配置页面,在“攻击防范”----“报文异常检测”选择所需的针对异常攻击报文的检测。
2.补充操作说明
无
基线符合性判定依据
1.判定条件
检查防火墙攻击防范配置;
2.检测操作
登陆防火墙web页面,在“攻击防范”----“入侵检测统计”中查看攻击防范的效果;
备注
3.2.3配置DOS和DDOS攻击告警
安全基线项目名称
配置DOS和DDOS攻击防护功能安全基线要求项
安全基线编号
SBL-H3C-03-02-03
安全基线项说明
配置DOS和DDOS攻击防护功能。
对DOS和DDOS攻击告警。
维护人员应根据网络环境调整DDOS的攻击告警的参数。
检测操作步骤
1.参考配置操作
登陆防火墙web配置页面,在“攻击防范”----“流量异常检测”中,选择需要防范的攻击类型。
2.补充操作说明
基线符合性判定依据
1.判定条件
检查防火墙攻击防范配置;
2.检测操作
登陆防火墙web页面,在“攻击防范”----“入侵检测统计”中查看攻击防范的效果;
备注
3.2.4配置关键字内容过滤功能告警*
安全基线项目名称
配置关键字内容过滤功能告警安全基线要求项
安全基线编号
SBL-H3C-03-02-04
安全基线项说明
配置关键字内容过滤功能,在HTTP,SMTP,POP3等应用协议流量过滤包含有设定的关键字的报文。
针对关键字过滤是应用层过滤机制,对系统性能有一定影响。
针对HTTP协议内容访问的网站关键字段,包含暴力、淫秽、违法等类型。
可添加内容库实现。
检测操作步骤
1.参考配置操作
登陆防火墙web配置页面,在“应用控制”----“内容过滤”,根据需求选择关键字、URL主机名、文件名等方式进行过滤。
2.补充操作说明
基线符合性判定依据
1.判定条件
检查防火墙“应用控制”配置;
2.检测操作
登陆防火墙web页面配置,在“应用控制”----“内容过滤”----“统计信息”中查看过滤功能实施效果。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.3安全策略配置要求
3.3.1访问规则列表最后一条必须是拒绝一切流量
安全基线项目名称
访问规则列表最后一条必须是拒绝一切流量安全基线要求项
安全基线编号
SBL-H3C-03-03-01
安全基线项说明
防火墙在配置访问规则列表时,最后一条必须是拒绝一切流量。
检测操作步骤
1.参考配置操作
#
aclnumber3001
rule0permitipdestination[ipaddress][mask]
rule1denyip
#
2.补充操作说明
无
基线符合性判定依据
1.判定条件
检查配置中的ACL设置
2.检测操作
备注
3.3.2配置访问规则应尽可能缩小范围
安全基线项目名称
配置访问规则应尽可能缩小范围安全基线要求项
安全基线编号
SBL-H3C-03-03-02
安全基线项说明
在配置访问规则时,源地址,目的地址,服务或端口的范围必须以实际访问需求为前提,尽可能的缩小范围。
禁止源到目的全部允许规则。
禁止目的地址及服务全允许规则,禁止全服务访问规则。
检测操作步骤
1.参考配置操作
登陆防火墙web配置页面,在“防火墙”----“安全策略”----“域间策略”中增加访问规则,需要填写的内容是:
源域、目的域、源IP地址、目的IP地址、服务(访问的协议和端口)、过滤动作(permitordeny)、时间段。
2.补充操作说明
基线符合性判定依据
1.判定条件
检查防火墙“域间策略”配置,域间策略详细到协议、端口、具体的IP地址;
2.检测操作
无;
备注
3.3.3VPN用户按照访问权限进行分组*
安全基线项目名称
VPN用户按照访问权限进行分组安全基线要求项
安全基线编号
SBL-H3C-03-03-03
安全基线项说明
对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
检测操作步骤
1.参考配置操作
#
local-user[vpnuser]
passwordcipher[password]
service-typeppp
authorization-attributelevel[0-3]//设定用户的访问权限
#
domainsystem//对VPN用户采用本地验证
authenticationppplocal
ippool1[ippooladdressrange]
#
l2tpenable//启用L2TP服务
#
interfacevirtual-template1//配置虚模板Virtual-Template的相关信息
ipaddress[ipaddress][mask]
pppauthentication-modechapdomainsystem
remoteaddresspool1
#
l2tp-group1//设置一个L2TP组,指定接收呼叫的虚拟接口模板
allowl2tpvirtual-template1
#
2.补充操作说明
基线符合性判定依据
1.判定条件
检查配置中用户设置:
2.检测操作
使用displaylocal-user检查
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.3.4配置NAT地址转换*
安全基线项目名称
配置NAT地址转换安全基线要求项
安全基线编号
SBL-H3C-03-03-04
安全基线项说明
配置NAT地址转换,对互联网隐藏内网主机的实际地址。
检测操作步骤
1.参考配置操作
#
aclnumber3001
#
interfaceGigabitEthernet0/0
portlink-moderoute
natoutbound3001
#
2.补充操作说明
基线符合性判定依据
1.判定条件
配置中有nat或者static的内容
2.检测操作
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.3.5隐藏防火墙字符管理界面的bannner信息
安全基线项目名称
隐藏防火墙字符管理界面的bannner信息安全基线要求项
安全基线编号
SBL-H3C-03-03-05
安全基线项说明
隐藏防火墙字符管理界面的bannner信息。
检测操作步骤
1.参考配置操作
[H3C]undocopyright-infoenable
2.补充操作说明
基线符合性判定依据
1.判定条件
登陆设备后,字符管理页面消失;
2.检测操作
telnet登陆到设备,字符管理页面消失;
备注
3.3.6避免从内网主机直接访问外网的规则*
安全基线项目名称
避免从内网主机直接访问外网的规则安全基线要求项
安全基线编号
SBL-H3C-03-03-06
安全基线项说明
应用代理服务器,将从内网到外网的访问流量通过代理服务器。
防火墙只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从内网的主机直接到外网的访问规则。
检测操作步骤
1.参考配置操作
2.补充操作说明
基线符合性判定依据
1.判定条件
检查防火墙“域间策略”,配置了针对代理服务器到外网的访问规则;
2.检测操作
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.3.7关闭非必要服务
安全基线项目名称
关闭非必要服务安全基线要求项
安全基线编号
SBL-H3C-03-03-07
安全基线项说明
防火墙设备必须关闭非必要服务。
检测操作步骤
1.参考配置操作
登陆防火墙web配置页面,在“设备管理”----“服务管理”中关闭非必要的服务,比如http、telnet、ftp等。
2.补充操作说明
基线符合性判定依据
1.判定条件
检查配置中是否关闭对应服务
2.检测操作
备注
3.4攻击防护配置要求
3.4.1拒绝常见漏洞所对应端口或者服务的访问
安全基线项目名称
拒绝常见漏洞所对应端口或者服务的访问安全基线要求项
安全基线编号
SBL-H3C-03-04-01
安全基线项说明
配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。
检测操作步骤
1.参考配置操作
#
aclnumber3001
rule0denytcpdestination-porteq135
rule1denytcpdestination-porteq136
rule2denytcpdestination-porteq138
rule3denytcpdestination-porteq4444
rule4denytcpdestination-porteq389
rule5denytcpdestination-porteq445
rule6denytcpdestination-porteq4899
rule7denytcpdestination-porteq6588
rule8denytcpdestination-porteq1978
rule9denytcpdestination-porteq593
rule10denytcpdestination-porteq3389
rule11denytcpdestination-porteq137
rule12denytcpdestination-porteqtalk
rule13denytcpdestination-porteq139
rule14denytcpdestination-porteq2745
rule15denytcpdestination-porteq1080
rule16denytcpdestination-porteq6129
rule17denytcpdestination-porteq3127
rule18den
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 安全 配置 基线