安氏防火墙安全配置基线.doc

《安氏防火墙安全配置基线.doc》由会员分享，可在线阅读，更多相关《安氏防火墙安全配置基线.doc（25页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、安氏防火墙安全配置基线中国移动通信XX 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章概述11.1目的11.2适用X围11.3适用版本11.4实施11.5例外条款1第2章账号管理、认证授权安全要求22.1账号管理2用户账号分配*2删除无关的账号*2XX登录超时*3XX密码错误自动锁定*42.2口令4口令复杂度要求42.3授权5远程维护的设备使用加密协议5第3章日志与配置安全要求63.1日志安全6对用户登录进行记录6记录与设备相关的安全事件7配置设备远程日

2、志功能83.2告警配置要求9配置对防火墙本身的攻击或内部错误告警9配置DOS和DDOS攻击告警10配置扫描攻击检测告警*113.3安全策略配置要求11访问规则列表最后一条必须是拒绝一切流量11配置访问规则应尽可能缩小X围12VPN用户按照访问权限进行分组*13配置NAT地址转换*13关闭仅开启必要服务14禁止使用anyto anyall允许规则153.4攻击防护配置要求15配置应用层攻击防护*15配置网络扫描攻击防护*16限制ping包大小*17启用对带选项的IP包与畸形IP包的检测18防火墙各逻辑接口配置开启防源地址欺骗功能18第4章IP协议安全要求194.1IP协议19使用SNMP V2或

3、者V3以上的版本对防火墙远程管理19第5章其他安全要求215.1其他安全配置21配置定时账户自动登出21配置consol口密码保护功能21第6章评审与修订2321 / 25第1章 概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的安氏防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行安氏防火墙的安全配置。1.2 适用X围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的X围包括：中国移动总部和各省公司信息化部门维护管理的安氏防火墙。1.3 适用版本安氏防火墙。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的

4、执行过程中若有任何疑问或建议，应与时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信XX管理信息系统部进行审批备案。第2章 账号管理、认证授权安全要求2.1 账号管理2.1.1 用户账号分配*安全基线项目名称用户账号分配安全基线要求项安全基线编号SBL-LinkTrustFW-02-01-01 安全基线项说明 不同等级管理员分配不同账号，避免账号混用。检测操作步骤1. 参考配置操作usrobj passwdp admin NNtEDJuo3qa28usrobj passwdp guest fyRW3nLH7yw

5、Plusrobj addadminp passwd 2. 补充操作说明前两个用户为系统默认建立的XX。基线符合性判定依据1. 判定条件用配置中没有的用户名去登录，结果是不能登录。2. 检测操作在图形界面登陆3. 补充说明无。备注有些防火墙系统本身就携带三种不同权限的账号，需要手工检查。2.1.2 删除无关的账号*安全基线项目名称无关的账号安全基线要求项安全基线编号SBL- LinkTrustFW-02-01-02安全基线项说明 应删除或锁定与设备运行、维护等工作无关的账号。检测操作步骤1. 参考配置操作usrobj del 2. 补充操作说明使用usrobj list admin显示XX信息。

6、基线符合性判定依据1. 判定条件配置中用户信息被删除。2. 检测操作查看配置。3. 补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3 XX登录超时*安全基线项目名称XX登录超时安全基线要求项安全基线编号SBL-LinkTrustFW -02-01-03 安全基线项说明配置定时XX自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、 参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据1. 判定条件在超出设定时间后，用户自动登出设备。2. 参考检测操作3. 补充说明无。备注需要手工检查。2.1.4 XX密码错误自动锁定

7、*安全基线项目名称XX密码错误自动锁定安全基线要求项安全基线编号SBL- LinkTrustFW -02-01-04 安全基线项说明在10次尝试登录失败后锁定XX，不允许登录。解锁时间设置为300秒检测操作步骤1、 参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据1. 判定条件超出重试次数后XX锁定，不允许登录，解锁时间到达后可以登录。2. 参考检测操作3. 补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL- LinkTru

8、stFW -02-02-01 安全基线项说明 防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1. 参考配置操作usrobj addadminp 回车，输入密码。2. 补充操作说明口令字符不完全符合要求。基线符合性判定依据1. 判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2. 检测操作实验性建立XX信息。3. 补充说明无。备注2.3 授权2.3.1 远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编号SBL-LinkTru

9、stFW-02-03-01安全基线项说明 对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP。检测操作步骤1. 参考配置操作系统默认支持ssh与WEB SSL两种加密管理方式，查看与增加管理IP操作如下：查看管理IPadminhost list增加管理IPadminhost add 2. 补充操作说明基线符合性判定依据1. 判定条件只支持ssh与Web SSL管理，对于非允许的ip地址不能登陆。2. 检测操作使用非允许的ip地址登陆。 3. 补充说明无。备注第3章 日志与配置安全要求3.1 日志安全3.1.1 对用户登录进

10、行记录安全基线项目名称用户登录进行记录安全基线要求项安全基线编号SBL-LinkTrustFW-03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以与远程登录时，用户使用的IP地址。检测操作步骤1. 参考配置操作log policy add 2. 补充操作说明：系统 （以字母a 表示）NAT （以字母n 表示）包过滤 （以字母f 表示）连接状态 （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表

11、示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec 协议（以字母I 表示）流探测（以字母i 表示） ：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。基线符合性判定依据设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以与远程登录时，用户使用的IP地址。备注3.1.2 记录与设备相关的安全事件安全基线项目名称记录与设备相关安全事件安全基线要求项安全基线编号SBL-LinkTrustFW-03-01-02安全

12、基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以与远程登录时，用户使用的IP地址。检测操作步骤1. 参考配置操作log policy add 2. 补充操作说明：系统 （以字母a 表示）NAT （以字母n 表示）包过滤 （以字母f 表示）连接状态 （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec 协议（以字母I 表示）流探测（

13、以字母i 表示） ：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。基线符合性判定依据1. 判定条件在设备上正确纪录了日志信息。2. 检测操作查看日志模块。3. 补充说明无。备注3.1.3 配置设备远程日志功能安全基线项目名称配置设备远程日志功能安全基线要求项安全基线编号SBL-LinkTrustFW-03-01-03安全基线项说明 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。建议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台处理。检测操作步骤

14、1. 参考配置操作loghost add 设备log policy add 其中0:EMERGENCY 1:ALERT 2:CRITICAL 3:ERROR 4:WARNING 5:NOTICE 6:INFO 7:DEBUG2. 补充操作说明可以设置发送的日志服务器IP地址。基线符合性判定依据1. 判定条件日志服务器上是否接收到了正确的日志信息。2. 检测操作在日志服务器上查看信息。3. 补充说明无。备注3.2 告警配置要求3.2.1 配置对防火墙本身的攻击或内部错误告警安全基线项目名称配置对防火墙本身的攻击或内部错误告警安全基线要求项安全基线编号SBL-LinkTrustFW-03-02-0

15、1 安全基线项说明 设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。检测操作步骤1. 参考配置操作参考日志配置模块，如下：log policy add 2. 补充操作说明设备只支持纪录部分关键操作。：系统 （以字母a 表示）NAT （以字母n 表示）包过滤 （以字母f 表示）连接状态 （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec 协议（以字

16、母I 表示）流探测（以字母i 表示） ：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。基线符合性判定依据1. 判定条件查看防火墙是否生成相应告警2. 检测操作查看防火墙是否生成相应告警3. 补充说明无。备注3.2.2 配置DOS和DDOS攻击告警安全基线项目名称配置DOS和DDOS攻击防护功能安全基线要求项安全基线编号SBL-LinkTrustFW-03-02-02安全基线项说明 可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。

17、维护人员可通过设置白方式屏蔽部分告警。检测操作步骤1. 参考配置操作antidos set synflood antidos set land onantidos set smurf onanti set frag onantidos set icmpmax antidos set udpmax blockshortip onblockipoptions on2. 补充操作说明无。基线符合性判定依据3. 判定条件查看是否已经将此功能打开。4. 检测操作查看配置。5. 补充说明无。备注3.2.3 配置扫描攻击检测告警*安全基线项目名称配置扫描攻击检测告警安全基线要求项安全基线编号SBL-Link

18、TrustFW-03-02-03安全基线项说明 可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白方式屏蔽部分网络扫描告警。检测操作步骤1. 参考配置操作可参考“安全要求-设备-防火墙-配置-43”2. 补充操作说明无基线符合性判定依据1. 判定条件无 2. 检测操作无 3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3 安全策略配置要求3.3.1 访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后一条必须是拒绝一切流量安全基线要求项安全基线编号SBL-LinkTrustFW

19、-03-03-01安全基线项说明 所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。检测操作步骤1. 参考配置操作设备默认最后一条为拒绝所有其他。2. 补充操作说明设备也支持主动建立禁止一切的策略。基线符合性判定依据1. 判定条件无。2. 检测操作查看策略配置与测试访问。3. 补充说明无。备注3.3.2 配置访问规则应尽可能缩小X围安全基线项目名称配置访问规则应尽可能缩小X围安全基线要求项安全基线编号SBL-LinkTrustFW-03-03-02安全基线项说明 在配置访问规则时，源地址和目的地址的X围必须以实际访问需求为前提，尽可能的缩小X围。检测操作步骤1. 参考配置操作根据实际访问

20、需求，缩小地址X围。需要禁止any to any all和any all和服务为all的规则。2. 补充操作说明我们在防火墙上可以定义不同X围的地址对象，在策略中进行引用即可。如下命令用来建立不同X围的地址对象，供策略引用。netobj hostadd netobj add netobj addstd netobj addipr netobj addifr netobj addznr 基线符合性判定依据1. 判定条件无。2. 检测操作根据实际访问需求，测试是否达到要求；查看配置。3. 补充说明无。备注3.3.3 VPN用户按照访问权限进行分组*安全基线项目名称VPN用户按照访问权限进行分组安全

21、基线要求项安全基线编号SBL-LinkTrustFW-03-03-03安全基线项说明 对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。检测操作步骤1. 参考配置操作vpn dialupuser add ip/maskpolicy add options toname2. 补充操作说明设备部分支持此项功能。基线符合性判定依据1. 判定条件无。2. 检测操作按照需求访问进行检测。3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.4 配置NAT地址转换*安全基线项目名称配置NAT地址转换安全基线要求项安全基线编

22、号SBL-LinkTrustFW-03-03-04安全基线项说明 配置NAT，对公网隐藏局域网主机的实际地址。检测操作步骤1. 参考配置操作nat11 add interface2. 补充操作说明无基线符合性判定依据1. 判定条件无。2. 检测操作从外网用NAT地址访问内网的IP3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.5 关闭仅开启必要服务安全基线项目名称仅开启必要服务安全基线要求项安全基线编号SBL- LinkTrustFW -03-03-05安全基线项说明 防火墙设备必须仅开启必要服务。与生产无关的服务端口不能开放规则。检测操作步骤1. 参

23、考配置操作policy add options toname2. 补充操作说明无基线符合性判定依据1. 判定条件无。2. 检测操作查看策略，检查是否有不必要的服务Policy list3. 补充说明无。备注3.3.6 禁止使用anyto anyall允许规则安全基线项目名称尽量不允许使用anyto any安全基线要求项安全基线编号SBL- LinkTrustFW -03-03-06安全基线项说明 防火墙策略配置时不允许使用anyto any all允许规则，对于从防火墙内部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理检测操作步骤1. 参考配置操作查看访问控制策略policy

24、list配置防火墙策略policy add options toname2. 补充操作说明无基线符合性判定依据1. 判定条件无2. 检测操作policy list3. 补充说明无。备注3.4 攻击防护配置要求3.4.1 配置应用层攻击防护*安全基线项目名称配置应用层攻击防护安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-01安全基线项说明 建议采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进行防护检测操作步骤1. 参考配置操作smartproenable level其中级别如下，建议采用默认级别10 - disable 1 - duplicate pass-

25、policy matched packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.2 配置网络扫描攻击防护*安全基线项目名称配置网络扫描攻击防护安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-02安全基线项说明 建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描

26、攻击行为进行检测检测操作步骤1. 参考配置操作启用流探测功能模块：smartproenable level其中级别如下，建议采用默认级别10 - disable 1 - duplicate pass-policy matched packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets通过WEB管理界面选择需要检测的扫描攻击行为的list，如下图：选择启用即可2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。备注根据应

27、用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.3 限制ping包大小*安全基线项目名称限制ping包大小安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-03安全基线项说明 限制ping包的大小，以与一段时间内同一主机发送的次数。检测操作步骤1. 参考配置操作antidos set icmpmax 2. 补充操作说明部分功能实现。基线符合性判定依据1. 判定条件无。2. 检测操作查看配置；需求测试。3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.4 启用对带选项的IP包与畸形IP包的检测安全基线项目名称启用对带选项的

28、IP包与畸形IP包的检测安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-04安全基线项说明 启用对带选项的IP包与畸形IP包的检测检测操作步骤1. 参考配置操作anti set frag on2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。备注3.4.5 防火墙各逻辑接口配置开启防源地址欺骗功能安全基线项目名称防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-05安全基线项说明 防火墙须支持透明模式与路由模式配置要求检测操作步骤1. 参考配

29、置操作启用或禁用网桥配置brconfig enabledisable 配置网桥接口brconfig attach 2. 补充操作说明无基线符合性判定依据1. 判定条件无2. 检测操作查看网桥配置brconfig list3. 补充说明1) 加入网桥的接口必须先加入layer2/layer3类型的安全域中2) 只包含一个接口的网桥是不可用的备注第4章 IP协议安全要求4.1 IP协议4.1.1 使用SNMP V2或者V3以上的版本对防火墙远程管理安全基线项目名称使用SNMPV2或者 V3以上的版本对防火墙远程管理安全基线要求项安全基线编号SBL-LinkTrustFW-04-01-01安全基线项

30、说明使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。检测操作步骤1参考配置操作 I.限制snmp远程管理的版本 II.删除默认的共同体(public)和用户名2补充操作说明基线符合性判定依据1.判定条件检查配置中snmp相关内容备注第5章 其他安全要求5.1 其他安全配置5.1.1 配置定时账户自动登出安全基线项目名称配置定时账户自动登出安全基线要求项安全基线编号SBL-LinkTrustFW-05-01-01 安全基线项说明 对于具备字符交互界面与图形界面（含WEB界

31、面）的设备，应配置定时账户自动登出。空闲时间设置5分钟。检测操作步骤1. 参考配置操作该设备自动设定。2. 补充操作说明无。基线符合性判定依据1. 判定条件停止操作一段时间，查看是否已经自动登出。2. 检测操作无。3. 补充说明无。备注5.1.2 配置consol口密码保护功能安全基线项目名称配置consol口密码保护功能安全基线要求项安全基线编号SBL-LinkTrustFW-05-01-02安全基线项说明 对于具备console口的设备，应配置console口密码保护功能。检测操作步骤1. 参考配置操作该设备无此功能。2. 补充操作说明无。基线符合性判定依据1. 判定条件无。2. 检测操作无。3. 补充说明无。备注第6章 评审与修订本标准由中国移动通信XX管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。