安氏防火墙安全系统配置基线

1、实用文案安氏防火墙安全配置基线中国移动通信有限公司管理信息系统部2012年04月版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。标准文档目录第1章概述 11.1 目的11.2 适用范围11.3 适用版本11.4 实施11.5 例外条款1第2章账号管理、认证授权安全要求 22.1 账号管理21 用户账号分配*22 删除无关的账号*33 帐户登录超时*44 帐户密码错误自动锁定*52.2 口令62.2.1 口令复杂度要求62.3 授权72.3.1 远程维护的设备使用加密协议 7第3章日志及配置安全要求 8

2、3.1 日志安全83.1.1 对用户登录进行记录 83.1.2 记录与设备相关的安全事件93.1.3 配置设备远程日志功能 11.3.2 告警配置要求123.2.1 配置对防火墙本身的攻击或内部错误告警 123.2.2 配置DOS和DDOS攻击告警 .3 配置扫描攻击检测告警*15.3.3 安全策略配置要求 163.3.1 访问规则列表最后一条必须是拒绝一切流量 配置访问规则应尽可能缩小范围 VPN用户按照访问权限进行分组* 配置NAT地址转换*.5 关闭仅开启必要服务.6 禁止使用any to an

3、yall 允许规则 21.3.4 攻击防护配置要求 223.4.1 配置应用层攻击防护* 配置网络扫描攻击防护* 限制 pi ng 包大小 *.4 启用对带选项的IP包及畸形IP包的检测 防火墙各逻辑接口配置开启防源地址欺骗功能 26第4章 IP协议安全要求 28IP 协议284.1.1 使用SNMP V2或者V3以上的版本对防火墙远程管理 28第5章 其他安全要求 305.1 其他安全配置 301. 配置定时账户自动登出 30.2. 配己置con sol 口密码保护功能 31第6章评审与修订32第1章概述1.1目的本文档规定了中国

4、移动管理信息系统部所维护管理的安氏防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行安氏防火墙的安全配置。1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括： 中国移动总部和各省公司信息化部门维护管理的安氏防火 墙。1.3适用版本安氏防火墙。1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因， 送交中国移动通信有限公司管理信息系统部进行审批备案。第2章账号

5、管理、认证授权安全要求2.1账号管理2.1.1用户账号分配安全基线项目名称用户账号分配安全基线要求项安全基线编SBL-Li nkTrustFW-02-01-01号安全基线项不冋等级管理员分配不冋账号，避免账号混用。说明检测操作步1.参考配置操作骤usrobj passwdp adm in NNtEDJuo3qa28usrobj passwdp guest fyRW3 nLH7ywPIusrobj addadm inp user namepasswd 2.补充操作说明前两个用户为系统默认建立的帐号。基线符合性1. 判定条件判定依据用配置中没有的用户名去登录，结果是不能登录。2.检测操作在图形界面

6、登陆3.补充说明 无。备注有些防火墙系统本身就携带三种不冋权限的账号，需要手工检查。2.1.2删除无关的账号安全基线项目名称无关的账号安全基线要求项安全基线编SBL- Lin kTrustFW-02-01-02号安全基线项应删除或锁定与设备运行、维护等工作无关的账号。说明检测操作步1.参考配置操作骤usrobj del 2.补充操作说明使用usrobj list admin显示帐户信息。基线符合性1. 判定条件判定依据配置中用户信息被删除。2.检测操作查看配置。3.补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3帐户登录超时安全基线项目名称帐户登录超时安全基

7、线要求项安全基线编号SBL- Lin kTrustFW -02-01-03安全基线项说明配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据判定条件在超出设定时间后，用户自动登出设备。参考检测操作补充说明无。备注需要手工检查。2.1.4帐户密码错误自动锁定安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL- Lin kTrustFW -02-01-04安全基线项说明在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒检测操作步骤1、参考配置操作设置尝试失败锁

8、定次数为 10次2、补充说明无。基线符合性判定依据1. 判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2. 参考检测操作3. 补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。 需要手工检查。2.2 口令2.2.1 口令复杂度要求安全基线项口令复杂度要求安全基线要求项目名称安全基线编SBL- Lin kTrustFW -02-02-01号安全基线项防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和说明特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步1.参考配置操作骤usrobj ad

9、dadm inp user name回车，输入密码。2.补充操作说明口令字符不完全符合要求。基线符合性1. 判定条件判定依据该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。1. 检测操作实验性建立帐户信息。2. 补充说明无。备注2.3授权231远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编SBL-Li nkTrustFW-02-03-01号安全基线项对于防火墙远程管理的配置， 必须是基于加密的协议。 如SSH或者WEB SSL，说明如果只允许从防火墙内部进行管理，应该限定管理IP。检测操作步1.参考配置操作骤系统默认支持ssh及WEB SS

10、L两种加密管理方式，查看及增加管理IP操作如下：查看管理IPadm in host list增加管理IPadm in host add 2.补充操作说明基线符合性1. 判定条件判定依据只支持ssh及Web SSL管理，对于非允许的ip地址不能登陆。2.检测操作使用非允许的ip地址登陆。3.补充说明无。备注第3章日志及配置安全要求3.1日志安全3.1.1对用户登录进行记录安全基线项目名称用户登录进行记录安全基线要求项安全基线编号SBL-Li nkTrustFW-03-01-01安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登

11、录时，用户使用的IP地址。检测操作步骤1. 参考配置操作log policy add 2. 补充操作说明系统（以子母a表示）NAT（以字母n表示）包过滤（以字母f表示）连接状态（以字母c表示）HTTP代理（以字母 H表示）TELNET 代理（以字母 T表示）SMTP代理（以字母 S表示）POP3代理（以字母0表示）事前认证（以字母 R表示）双机热备（以字母 h表示）VPN PPP协议（以字母P表示）VPN IPSec协议（以字母1表示）流探测（以字母i表示）:指日志处理方式，mbyse 分别指发送本地一、 发送本地一日志、外发syslog 主机、外发snmp trap 主机、email告警等，

12、用户可根 据需要选择。基线符合性设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的判定依据账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。备注3.1.2记录与设备相关的安全事件安全基线项记录与设备相关安全事件安全基线要求项目名称安全基线编SBL-Li nkTrustFW-03-01-02号安全基线项说明检测操作步骤设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。1. 参考配置操作log policy add 2. 补充操作说明系统（以字母a表示）NAT （以字母n表示）包过滤（

13、以字母f表示）连接状态（以字母c表示）HTTP代理（以字母 H表示）TELNET 代理（以字母 T表示）SMTP代理（以字母 S表示）POP3代理（以字母O表示）事前认证（以字母 R表示）双机热备（以字母 h表示）VPN PPP协议（以字母P表示）VPN IPSec协议（以字母I表示）流探测（以字母i表示） :指日志处理方式，mbyse 分别指发送本地一、 发送本地二 日志、外发syslog 主机、外发snmp trap 主机、email告警等，用户可根 据需要选择。基线符合性1. 判定条件判定依据在设备上正确纪录了日志信息。2. 检测操作查看日志模块。3. 补充说明无。备注3.1.3配置设备

14、远程日志功能安全基线项目名称配置设备远程日志功能安全基线要求项安全基线编号SBL-Li nkTrustFW-03-01-03安全基线项说明设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。建 议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台 处理。检测操作步骤1.参考配置操作loghost add 设备log policy add 其中O:EMERGENCY1:ALERT2:CRITICAL3:ERR0R4:WARNING5:N0TICE6:INF07:DEBUG2.补充操作说明可以设置发送的日志服务器IP地址。基线符合性判定依据1. 判定条件日志服务器上

15、是否接收到了正确的日志信息。2. 检测操作在日志服务器上查看信息。3. 补充说明无。备注3.2告警配置要求3.2.1配置对防火墙本身的攻击或内部错误告警安全基线项配置对防火墙本身的攻击或内部错误告警安全基线要求项目名称安全基线编SBL-Li nkTrustFW-03-02-01号安全基线项说明设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击 或者防火墙的系统严重错误。检测操作步骤1. 参考配置操作参考日志配置模块，如下：log policy add 2. 补充操作说明设备只支持纪录部分关键操作。系统（以子母a表示）NAT （以字母n表示）包过滤（以字母f表示）连接状态（以字母

16、c表示）HTTP代理（以字母 H表示）TELNET 代理（以字母 T表示）SMTP代理（以字母 S表示）POP3代理（以字母O表示）事前认证（以字母 R表示）双机热备（以字母 h表示）VPN PPP协议（以字母P表示）VPN IPSec协议（以字母1表示）流探测（以字母i表示） :指日志处理方式，mbyse 分别指发送本地一、 发送本地一 日志、外发syslog 主机、外发snmp trap 主机、email告警等，用户可根 据需要选择。基线符合性1. 判定条件判定依据查看防火墙是否生成相应告警4.1 检测操作查看防火墙是否生成相应告警4.2 补充说明无。备注322配置DOS和DDOS 攻击告

17、警安全基线项目名称配置DOS和DDOS攻击防护功能安全基线要求项安全基线编号SBL-Li nkTrustFW-03-02-02安全基线项说明可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。检测操作步骤1.参考配置操作an tidos set syn floodan tidos set land onan tidos set smurf onanti set frag onan tidos set icmpmax an tidos set udpmax blockshortip onblockip

18、optio ns on2.补充操作说明无。基线符合性3.判定条件判定依据查看是否已经将此功能打开。4.检测操作查看配置。5.补充说明无。备注323配置扫描攻击检测告警安全基线项目名称配置扫描攻击检测告警安全基线要求项安全基线编SBL-Li nkTrustFW-03-02-03号安全基线项可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护说明人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络 扫描告警。检测操作步1.参考配置操作骤可参考“安全要求-设备-防火墙-配置-43 ”2.补充操作说明无基线符合性1. 判定条件判定依据无2.检测操作无3.补充说明无。备注根据

19、应用场景的不同，如部署场景需开启此功冃匕，则强制要求此项。3.3安全策略配置要求3.3.1访问规则列表最后一条必须是拒绝一切流量安全基线项4T【r=n十171ITII【石【1+戸，L 七 ,rV曰 七二盛丄厂注 曰 化人甘厶4W缶丁百访问规则列表最后 条必须是拒绝 切流量安全基线要求项目名称安全基线编SBL-Li nkTrustFW-03-03-01号安全基线项所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。说明检测操作步1.参考配置操作骤设备默认最后一条为拒绝所有其他。2.补充操作说明设备也支持主动建立禁止一切的策略。基线符合性1. 判定条件判定依据无。检测操作查看策略配置及测试访问

20、。补充说明无。备注332配置访问规则应尽可能缩小范围安全基线项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-Li nkTrustFW-03-03-02安全基线项在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，说明尽可能的缩小范围。检测操作步1.参考配置操作骤根据实际访冋需求，缩小地址范围。需要禁止any to any all和any all和服务为all的规则。2.补充操作说明我们在防火墙上可以定义不同范围的地址对象，在策略中进行引用即可。 如下命令用来建立不冋范围的地址对象，供策略引用。n etobj hostadd n etobj add n eto

21、bj addstd n etobj addipr n etobj addifr n etobj addz nr 基线符合性判定依据1. 判定条件无。2. 检测操作根据实际访问需求，测试是否达到要求；查看配置。3. 补充说明无。备注333 VPN用户按照访问权限进行分组安全基线项VPN用户按照访问权限进行分组安全基线要求项目名称安全基线编SBL-Li nkTrustFW-03-03-03号安全基线项对于VPN用户，必须按照其访问权限不冋而进行分组，并在访问控制规则说明中对该组的访问权限进行严格限制。检测操作步1.参考配置操作骤vpn dialupuser add ip/maskpolicy ad

22、d opti on s t on ame2.补充操作说明设备部分支持此项功能。基线符合性1. 判定条件判定依据无。2.检测操作按照需求访问进行检测。3.补充说明无。备注根据应用场景的不冋，如部署场景需开启此功能，则强制要求此项。334配置NAT地址转换安全基线项目名称配置NAT地址转换安全基线要求项安全基线编号SBL-Li nkTrustFW-03-03-04安全基线项配置NAT，对公网隐藏局域网主机的实际地址。说明检测操作步1.参考配置操作骤n at11 add in terface2.补充操作说明无基线符合性1.判定条件判定依据无。2.检测操作从外网用NAT地址访问内网的IP3.补充说明无

23、。备注根据应用场景的不冋，如部署场景需开启此功能，则强制要求此项。335关闭仅开启必要服务安全基线项目名称仅开启必要服务安全基线要求项安全基线编SBL- Lin kTrustFW -03-03-05号安全基线项防火墙设备必须仅开启必要服务。与生产无关的服务端口不能开放规则。说明检测操作步1.参考配置操作骤policy add opti on s t on ame2.无补充操作说明基线符合性1.判定条件判定依据无。2.检测操作查看策略，检查是否有不必要旳服务Policy list3.补充说明无。备注336禁止使用any to anyall 允许规则安全基线项目名称尽量不允许使用 any to a

24、ny 安全基线要求项安全基线编号SBL- Lin kTrustFW -03-03-06安全基线项说明防火墙策略配置时不允许使用any to any all允许规则，对于从防火墙内部到外部的访问也应指定策略；应定期的对防火墙策略进行检查和梳理检测操作步骤1.参考配置操作 查看访冋控制策略policy list配置防火墙策略policy add opti on s t on ame2.补充操作说明无基线符合性1. 判定条件判定依据无1. 检测操作policy list2. 补充说明 无。备注3.4攻击防护配置要求3.4.1配置应用层攻击防护安全基线项目名称配置应用层攻击防护安全基线要求项安全基线编

25、SBL-Li nkTrustFW-03-04-01号安全基线项建议采用安氏防火墙自带的 smartpro入侵检测模块对应用层攻击进行防护说明检测操作步1.参考配置操作骤smartpro en able level其中级别如下，建议采用默认级别10- disable1- duplicate pass-policy matched packets,2- duplicate more pass-policy matched packets3- duplicate all packets2.补充操作说明无。基线符合性1. 判定条件判定依据查看是否已经将此功能打开。2.检测操作查看配置。3.补充说明无。

26、备注根据应用场景的不冋，如部署场景需开启此功能，则强制要求此项。342配置网络扫描攻击防护安全基线项目名称配置网络扫描攻击防护安全基线要求项安全基线编号SBL-Li nkTrustFW-03-04-02安全基线项说明建议采用安氏防火墙自带的smartpro 入侵检测模块对网络扫描攻击行为进行检测检测操作步骤1. 参考配置操作启用流探测功能模块：smartpro en able level其中级别如下，建议采用默认级别10- disable- duplicate pass-policy matched packets,- duplicate more pass-policy matched pa

27、ckets- duplicate all packets通过WEB管理界面选择需要检测的扫描攻击行为的list，如下图:选择启用即可2. 补充操作说明无。基线符合性判定依据判定条件查看是否已经将此功能打开。检测操作查看配置。3.补充说明 无。备注卡日埠甫 田捞昌白心木同力口立区罗摞宮爭井戸甘初台口171【胴生【1亜嵌PRTfff根据应用场景的不同，如部署场景需开启此功冃匕，则强制要求此项。343限制ping包大小安全基线项目名称限制ping包大小安全基线要求项安全基线编SBL-Li nkTrustFW-03-04-03号安全基线项限制ping包的大小，以及一段时间内同一主机发送的次数。说明检测

28、操作步1.参考配置操作骤antidos set icmpmax 2.补充操作说明部分功能实现。基线符合性1. 判定条件判定依据无。2.检测操作查看配置；需求测试。3.补充说明无。备注根据应用场景的不同，如部署场景需开启此功匕匕，则强制要求此项。344启用对带选项的IP包及畸形IP包的检测安全基线项启用对带选项的IP包及畸形IP包的检测安全基线要求项目名称安全基线编SBL-Li nkTrustFW-03-04-04号安全基线项启用对带选项的IP包及畸形IP包的检测说明检测操作步1.参考配置操作骤anti set frag on2.补充操作说明无。基线符合性1. 判定条件判定依据查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。备注3.4.5防火墙各逻辑接口配置开启防源地址欺骗功能安全基线项防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项目名称女全基线编号SBL-Li nkTrustFW-03-04-05安全基线项防火墙须支持透明模式及路由模式配置要求说明检测操作步1.参考配置操作骤启用或禁用