中国移动安氏防火墙安全配置规范V10.docx

中国移动安氏防火墙安全配置规范V10.docx

《中国移动安氏防火墙安全配置规范V10.docx》由会员分享，可在线阅读，更多相关《中国移动安氏防火墙安全配置规范V10.docx（47页珍藏版）》请在冰豆网上搜索。

中国移动安氏防火墙安全配置规范V10

中国移动安氏防火墙安全配置规范

SpecificationforConfigurationofFirewallUsedinChinaMobile

版本号：

1.0.0

╳╳╳╳-╳╳-╳╳实施

╳╳╳╳-╳╳-╳╳发布

中国移动通信有限公司网络部

目录

1.范围1

2.规范性引用文件1

3.术语、定义和缩略语1

4.防火墙功能和配置要求1

4.1.引用说明1

4.2.日志配置要求3

4.3.告警配置要求3

4.4.安全策略配置要求3

4.5.攻击防护配置要求4

4.6.虚拟防火墙配置要求4

4.7.设备其他安全要求5

5.编制历史5

前言

为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准明确了安氏防火墙的配置要求。

本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。

本标准起草单位：

中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司

本标准主要起草人：

张瑾、赵强、来晓阳、周智、曹一生、陈敏时。

范围

本标准规定了安氏防火墙的配置要求，供内部和厂商共同使用；适用于通信网、业务系统和支撑系统的防火墙。

规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

表1-1

[1]

QB-╳╳-╳╳╳-╳╳╳╳

《╳╳通用安全功能和配置规范》

╳╳有限公司

[2]

QB-╳╳-╳╳╳-╳╳╳╳

《╳╳系统安全功能规范》

╳╳有限公司

[3]

QB-╳╳-╳╳╳-╳╳╳╳

《╳╳安全功能规范》

╳╳公司

[4]

《中国移动防火墙配置规范》

术语、定义和缩略语

下列术语、定义和缩略语适用于本标准：

表1-2

词语

解释

Firewall

防火墙

防火墙功能和配置要求

1.2.配置要求及引用说明

本要求主要采用引用《中国移动设备通用安全功能和配置规范》及《中国移动防火墙配置规范》基本要求，和根据安氏防火墙所特有配置特性综合后形成，具体配置规范见下表。

编号

内容

采纳意见

备注

安全要求-设备-防火墙-配置-1

不同等级管理员分配不同账号，避免账号混用。

完全采纳

安全要求-设备-防火墙-配置-2

应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳

安全要求-设备-防火墙-配置-3

防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

完全采纳

支持部分功能

安全要求-设备-防火墙-配置-4

账户口令的生存期不长于90天。

不采纳

设备不支持

安全要求-设备-防火墙-配置-5

应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

不采纳

设备不支持

安全要求-设备-防火墙-配置-6

应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

不采纳

设备不支持

安全要求-设备-防火墙-配置-7

在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。

完全采纳

安全要求-设备-防火墙-配置-8

对于具备字符交互界面及图形界面（含WEB界面）的设备，应配置定时账户自动登出。

完全采纳

安全要求-设备-防火墙-配置-9

对于具备console口的设备，应配置console口密码保护功能。

不采纳

设备不支持

安全要求-设备-防火墙-配置-10

对于防火墙远程管理的配置，必须是基于加密的协议。

如SSH或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理IP

完全采纳

安全要求-设备-防火墙-配置-11

在进行重大配置修改前，必须对当前配置进行备份。

完全采纳

安全要求-设备-防火墙-配置-12

设备应配置日志功能，记录对与防火墙设备自身相关的安全事件。

完全采纳

安全要求-设备-防火墙-配置-13

设备应配置NAT日志记录功能，记录转换前后IP地址的对应关系。

防火墙如果开启vpn功能，应配置记录vpn日志记录功能，记录vpn访问登陆、退出等信息。

完全采纳

安全要求-设备-防火墙-配置-14

设备应配置流量日志记录功能，记录防火墙拒绝，丢弃和接受的报文

完全采纳

安全要求-设备-防火墙-配置-15

在防火墙设备的日志容量达到75%时，防火墙可产生告警。

并且有专门的程序将日志导出到专门的日志服务器。

不采纳

设备不支持

安全要求-设备-防火墙-配置-16

防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。

帐号解锁等信息

完全采纳

安全要求-设备-防火墙-配置-17

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

完全采纳

安全要求-设备-防火墙-配置-18

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

建议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台处理。

完全采纳

安全要求-设备-防火墙-配置-19

设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。

完全采纳

安全要求-设备-防火墙-配置-20

告警信息应被保留，直到被确认为止.

部分采纳

安全要求-设备-防火墙-配置-21

设备应配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警，对每一个告警项是否告警可由用户配置。

完全采纳

安全要求-设备-防火墙-配置-22

可打开DOS和DDOS攻击防护功能。

对攻击告警。

DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。

维护人员可通过设置白名单方式屏蔽部分告警。

完全采纳，可参考安全要求-设备-防火墙-配置-44

安全要求-设备-防火墙-配置-23

可打开扫描攻击检测功能。

对扫描探测告警。

扫描攻击告警的参数可由维护人员根据网络环境进行调整。

维护人员可通过设置白名单方式屏蔽部分网络扫描告警。

完全采纳，可参考安全要求-设备-防火墙-配置-43

安全要求-设备-防火墙-配置-24

如防火墙具备关键字内容过滤功能，可打开该功能，在HTTP，SMTP，POP3等协议中对用户设定的关键字进行过滤。

不予采纳，此功能在安氏的UTM设备中予以提供

安全要求-设备-防火墙-配置-25

如防火墙具备网络病毒防护功能。

可打开病毒防护，对蠕虫等病毒传播时的攻击流量进行过滤。

如不具备相关模块，需要在安全策略配置中首先关注对常见病毒流量的端口的封堵

完全采纳，可参考安全要求-设备-防火墙-配置-41

安全要求-设备-防火墙-配置-26

对于防火墙的一些关键操作事件、配置更改、严重告警事件等，建议通过邮件等方式通知系统管理员

完全采纳

安全要求-设备-防火墙-配置-27

防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

完全采纳

安全要求-设备-防火墙-配置-28

所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。

完全采纳

安全要求-设备-防火墙-配置-29

在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。

完全采纳

安全要求-设备-防火墙-配置-30

对于访问规则的排列，应当遵从范围由小到大的排列规则。

应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。

完全采纳

安全要求-设备-防火墙-配置-31

在进行重大配置修改前，必须对当前配置进行备份。

完全采纳

安全要求-设备-防火墙-配置-32

对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。

完全采纳

安全要求-设备-防火墙-配置-33

访问规则必须按照一定的规则进行分组。

完全采纳

安全要求-设备-防火墙-配置-34

配置NAT，对公网隐藏局域网主机的实际地址。

完全采纳

安全要求-设备-防火墙-配置-35

隐藏防火墙字符管理界面的bannner信息

完全采纳

安全要求-设备-防火墙-配置-36

应用代理服务器，将从内网到外网的访问流量通过代理服务器。

防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。

完全采纳

安全要求-设备-防火墙-配置-37

防火墙设备必须关闭非必要服务。

完全采纳

安全要求-设备-防火墙-配置-38

防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。

如防火墙系统厂家已不再维护，需要及时更新版本或者撤换。

完全采纳

安全要求-设备-防火墙-配置-39

防火墙设备必须首先确保承载防火墙系统的底层操作系统安全。

完全采纳

安全要求-设备-防火墙-配置-40

防火墙策略配置时尽量不允许使用any toany，对于从防火墙内部到外部的访问也应指定策略;应定期的对防火墙策略进行检查和梳理

完全采纳

安全要求-设备-防火墙-配置-41

对于常见病毒及系统漏洞对应端口，应当进行端口的关闭配置。

完全采纳

安全要求-设备-防火墙-配置-42

采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进行防护

完全采纳

安全要求-设备-防火墙-配置-43

建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描攻击行为进行检测

完全采纳

安全要求-设备-防火墙-配置-44

打开防DDOS攻击功能。

完全采纳

安全要求-设备-防火墙-配置-45

限制ping包的大小，以及一段时间内同一主机发送的次数。

完全采纳

安全要求-设备-防火墙-配置-46

启用对带选项的IP包及畸形IP包的检测

完全采纳

安全要求-设备-防火墙-配置-47

对于防火墙各逻辑接口需要开启防源地址欺骗功能。

完全采纳

安全要求-设备-防火墙-配置-48

对于有固定模式串的攻击，在应急时可开启基于正则表达式的模式匹配的功能。

不采纳

设备不支持

安全要求-设备-防火墙-配置-49

回环地址（lookbackaddress）一般用于本机的IPC通讯，防火墙必须阻断含有回环地址（lookbackaddress）的流量。

完全采纳

安全要求-设备-防火墙-配置-50

防火墙异构部署要求。

在防火墙策略设置上，外层（如DMZ

区外侧）防火墙侧重实施粗粒度访问控制；内层防火墙（如DMZ

区内侧）侧重针对特定系统施细粒度访问控制，并且应增强防火墙相关日志审计及入侵检测功能设置。

完全采纳

安全要求-设备-防火墙-配置-51

防火墙须支持双机配置

完全采纳

安全要求-设备-防火墙-配置-52

防火墙须支持透明模式及路由模式配置要求

完全采纳

1.3.管理配置要求

编号：

安全要求-设备-防火墙-配置-1

要求内容

不同等级管理员分配不同账号，避免账号混用。

操作指南

1.参考配置操作

usrobjpasswdpadminNNtEDJuo3qa28

usrobjpasswdpguestfyRW3nLH7ywPl

usrobjaddadminppasswd""

2.补充操作说明

前两个用户为系统默认建立的帐号。

检测方法

3.判定条件

用配置中没有的用户名去登录，结果是不能登录。

4.检测操作

在图形界面登陆

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-2

要求内容

应删除或锁定与设备运行、维护等工作无关的账号。

操作指南

1.参考配置操作

usrobjdel

2.补充操作说明

使用usrobjlistadmin显示帐户信息。

检测方法

3.判定条件

配置中用户信息被删除。

4.检测操作

查看配置。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-3

要求内容

防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

操作指南

1.参考配置操作

usrobjaddadminp回车，输入密码。

2.补充操作说明

口令字符不完全符合要求。

检测方法

3.判定条件

该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。

4.检测操作

实验性建立帐户信息。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-4

要求内容

账户口令的生存期不长于90天。

操作指南

1.参考配置操作

设备无此功能。

2.补充操作说明

无。

检测方法

3.判定条件

设备无此功能。

4.检测操作

无。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-5

要求内容

应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

操作指南

1.参考配置操作

设备无此功能。

2.补充操作说明

无。

检测方法

3.判定条件

无。

4.检测操作

无。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-6

要求内容

应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

操作指南

1.参考配置操作

设备无此功能。

2.补充操作说明

无。

检测方法

3.判定条件

无。

4.检测操作

无。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-7

要求内容

在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。

操作指南

1.参考配置操作

usrobjaddadmin

usrobjauthorize

r|w|x>

2.补充操作说明

对于管理员不同权限设置，可以定义不同管理员的访问模块以及相应权限。

module包括：

system（系统）,net（网络）,svc（服务）,usr（用户）,time（时间）,nat（NAT）,policy（策略）,vpn（VPN）,smartpro（流探测）,log（日志）,other（其它）。

r|w|x代表不同管理权限，r代表只读,w读写,x无权限。

检测方法

3.判定条件

不同用户登陆，尝试访问不同的模块。

用户不能访问自己权限以外的模块。

4.检测操作

不同用户登陆，尝试访问不同的模块。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-8

要求内容

对于具备字符交互界面及图形界面（含WEB界面）的设备，应配置定时账户自动登出。

操作指南

1.参考配置操作

该设备自动设定。

2.补充操作说明

无。

检测方法

3.判定条件

停止操作一段时间，查看是否已经自动登出。

4.检测操作

无。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-9

要求内容

对于具备console口的设备，应配置console口密码保护功能。

操作指南

1.参考配置操作

该设备无此功能。

2.补充操作说明

无。

检测方法

3.判定条件

无。

4.检测操作

无。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-10

要求内容

对于防火墙远程管理的配置，必须是基于加密的协议。

如SSH或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理IP

操作指南

1.参考配置操作

系统默认支持ssh及WEBSSL两种加密管理方式，查看及增加管理IP操作如下：

查看管理IP

adminhostlist

增加管理IP

adminhostadd

2.补充操作说明

检测方法

3.判定条件

只支持ssh及WebSSL管理，对于非允许的ip地址不能登陆。

4.检测操作

使用非允许的ip地址登陆。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-11

要求内容

在进行重大配置修改前，必须对当前配置进行备份。

操作指南

1、参考配置操作

ruleconfigsave

2、补充操作说明

当前，LinkTrustFirewall提供5个预选位置供管理员保存当前配置，分别编号为1、2、3、4、5，编号0代表当前的配置。

检测方法

1.判定条件

查看是否有前期的配置备份。

2.检测操作

查看备份配置。

3.补充说明

无。

1.4.日志及告警配置要求

编号：

安全要求-设备-防火墙-配置-12至配置-15

要求内容

设备应配置日志功能，记录对与设备相关的安全事件。

日志记录的事件类型包括NAT、流量、管理员登陆及操作等。

操作指南

1.参考配置操作

logpolicyadd

anfcHTSORhPIi>

0..7>

mbyse>

2.补充操作说明

设备只支持纪录部分关键操作。

anfcHTSORhPIi>：

系统（以字母a表示）

NAT（以字母n表示）

包过滤（以字母f表示）

连接状态（以字母c表示）

HTTP代理（以字母H表示）

TELNET代理（以字母T表示）

SMTP代理（以字母S表示）

POP3代理（以字母O表示）

事前认证（以字母R表示）

双机热备（以字母h表示）

VPNPPP协议（以字母P表示）

VPNIPSec协议（以字母I表示）

流探测（以字母i表示）

mbyse>：

指日志处理方式，mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等，用户可根据需要选择。

检测方法

3.判定条件

在设备上正确纪录了日志信息。

4.检测操作

查看日志模块。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-16至配置-17

要求内容

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

操作指南

1.参考配置操作

logpolicyadd

anfcHTSORhPIi>

0..7>

mbyse>

2.补充操作说明

anfcHTSORhPIi>：

系统（以字母a表示）

NAT（以字母n表示）

包过滤（以字母f表示）

连接状态（以字母c表示）

HTTP代理（以字母H表示）

TELNET代理（以字母T表示）

SMTP代理（以字母S表示）

POP3代理（以字母O表示）

事前认证（以字母R表示）

双机热备（以字母h表示）

VPNPPP协议（以字母P表示）

VPNIPSec协议（以字母I表示）

流探测（以字母i表示）

mbyse>：

指日志处理方式，mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等，用户可根据需要选择。

检测方法

3.判定条件

在设备上正确纪录了日志信息。

4.检测操作

查看日志模块。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-18

要求内容

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

建议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台处理。

操作指南

1.参考配置操作

loghostadd

logpolicyadd

anfcHTSORhPIi>

0..7>

mbyse>

其中0:

EMERGENCY

1:

ALERT

2:

CRITICAL

3:

ERROR

4:

WARNING

5:

NOTICE

6:

INFO

7:

DEBUG

2.补充操作说明

可以设置发送的日志服务器IP地址。

检测方法

3.判定条件

日志服务器上是否接收到了正确的日志信息。

4.检测操作

在日志服务器上查看信息。

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-19

要求内容

设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。

操作指南

1.参考配置操作

参考日志配置模块，如下：

logpolicyadd

anfcHTSORhPIi>

0..7>

mbyse>

2.补充操作说明

设备只支持纪录部分关键操作。

anfcHTSORhPIi>：

系统（以字母a表示）

NAT（以字母n表示）

包过滤（以字母f表示）

连接状态（以字母c表示）

HTTP代理（以字母H表示）

TELNET代理（以字母T表示）

SMTP代理（以字母S表示）

POP3代理（以字母O表示）

事前认证（以字母R表示）

双机热备（以字母h表示）

VPNPPP协议（以字母P表示）

VPNIPSec协议（以字母I表示）

流探测（以字母i表示）

mbyse>：

指日志处理方式，mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等，用户可根据需要选择。

检测方法

3.判定条件

查看防火墙是否生成相应告警

4.检测操作

查看防火墙是否生成相应告警

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-20

要求内容

告警信息应被保留，直到被确认为止.

操作指南

1.参考配置操作

无

2.补充操作说明

无

检测方法

3.判定条件

4.检测操作

无

5.补充说明

无。

编号：

安全要求-设备-防火墙-配置-21

要求内容