安氏防火墙安全配置基线

1、安氏防火墙平安配置基线中国移动通信管理信息系统部2012年04月版本版本控制信息|更新日期更新人审批人V2.0创立2012年4月备注：.假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。目录第1章概述1目的1适用围1适用版本1实施1例外条款1第2章账号管理、认证授权平安要求2账号管理2用户账号分配*2删除无关的账号*2登录超时*3密码错误自动锁定*4口令 4口令复杂度要求4授权5远程维护的设备使用加密协议5第3章日志及配置平安要求6日志平安6对用户登录进展记录6记录与设备相关的平安事件7配置设备远程日志功能8告警配置要求9 TOC o 1-5 h z HYPERLINK

2、 l bookmark46 o Current Document 配置对防火墙本身的攻击或部错误告警9配置DO丽DDOSC击告警10配置扫描攻击检测告警*11平安策略配置要求11 HYPERLINK l bookmark53 o Current Document 访问规那么列表最后一条必须是拒绝一切流量11配置访问规那么应尽可能缩小围12VPN用户按照访问权限进展分组*13配置NATM址转换*13关闭仅开启必要效劳14制止使用any to anyall 允许规那么15攻击防护配置要求15配置应用层攻击防护*15配置网络扫描攻击防护*16限制ping包大小*17启用对带选项的IP包及他形IP包的

3、4测18防火墙各逻辑接口配置开启防源地址欺骗功能18第4章IP协议平安要求194.1IP 协议 19194.1.1使用SNMP V减者V3以上的版本对防火墙远程管理第5章其他平安要求 20其他平安配置20配置定时账户自动登出20配置consol 口密码保护功能21第6章评审与修订21第1章概述目的本文档规定了中国移动管理信息系统部所维护管理的安氏防火墙应当遵循的设备平安 性设置标准，本文档旨在指导系统管理人员进展安氏防火墙的平安配置。适用围本配置标准的使用者包括：网络管理员、网络平安管理员、网络监控人员。本配置标准适用的围包括：中国移动总部和各省公司信息化部门维护管理的安氏防火墙。适用版本安氏

4、防火墙。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应及时反应。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因， 送交中国移动通信管理信息系统部进展审批备案。第2章账号管理、认证授权平安要求2.1账号管理用户账号分配*平安基线工 程名称用户账号分配平安基线要求项平安基线编 号SBL-LinkTrustFW-02-01-01平安基线项 说明不同等级管理员分配不同账号，防止账号混用。检测操作步 骤.参考配置操作usrobj passwdp admin NNtEDJuo3qa28usrobj

5、 passwdp guest fyRW3nLH7ywPlusrobj addadminp passwdpassword.补充操作说明前两个用户为系统默认建立的。基线符合性 判定依据. 判定条件用配置中没有的用户名去登录，结果是不能登录。.检测操作在图形界面登陆.补充说明无。备注有些防火墙系统本身就携带三种不向权限的账号，需要手工检查。删除无关的账号*平安基线工 程名称无关的账号平安基线要求项平安基线编 号SBL- LinkTrustFW-02-01-02平安基线项 说明应删除或锁定与设备运行、维护等工作无关的账号。检测操作步 骤.参考配置操作usrobj del .补充操作说明使用 usrob

6、j list admin显示信息。基线符合性 判定依据. 判定条件配置中用户信息被删除。.检测操作查看配置。.补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。登录超时*平安基线工 程名称登录超时平安基线要求项平安基线编 号SBL- LinkTrustFW -02-01-03平安基线项 说明配置定时自动登出，空闲 5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步 骤1、参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性 判定依据. 判定条件在超出设定时间后，用户自动登出设备。.参考检测操作.补充说明无。备注需要手工检查。密码错误自动锁定*平安基线工

7、程名称密码错误自动锁定平安基线要求项平安基线编 号SBL- LinkTrustFW -02-01-04平安基线项 说明在10次尝试登录失败后锁定，不允许登录。解锁时间设置为300秒检测操作步 骤1、参考配置操作设置尝试失败锁定次数为 10次2、补充说明无。基线符合性 判定依据. 判定条件超出重试次数后锁定，不允许登录，解锁时间到达后可以登录。.参考检测操作.补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度要求平安基线工 程名称口令复杂度要求平安:基线要求项平安基线编 号SBL- LinkTrustFW -02-02

8、-01平安基线项 说明防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以不得设置一样的口令。密码应至少每90天进展更换。检测操作步 骤.参考配置操作usrobj addadminp 回车，输入密码。.补充操作说明口令字符不完全符合要求。基线符合性 判定依据. 判定条件该级别的密码设置由管理员进展密码的生成，设备本身无此强制功能。.检测操作实验性建立信息。.补充说明无。备注2.3授权2.3.1远程维护的设备使用加密协议平安基线工 程名称远程维护使用加密协议平安基线要求项平安基线编 号SBL-LinkTrustFW-02-03-01平安基线项 说明对

9、于防火墙远程管理的配置，必须是基于加密的协议。 如SSH者 WEB SSL,如果只允许从防火墙部进展管理，应该限定管理IP。检测操作步 骤1.参考配置操作系统默认支持ssh及WEBSSL两种加密管理方式， 查看及增加管理IP操作如下：查看管理IPadminhost list增加管理IPadminhost add 2.补充操作说明基线符合性 判定依据. 判定条件只支持ssh及Web SSL管理，对于非允许的.检测操作使用非允许的ip地址登陆。.补充说明无。ip地址不能登陆。备注第3章日志及配置平安要求3.1日志平安对用户登录进展记录平安基线工 程名称用户登录进展记录平安基线要求项平安基线编 号S

10、BL-LinkTrustFW-03-01-01平安基线项 说明设备应配置日志功能，对用户登录进展记录，记录容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步 骤.参考配置操作log policy add .补充操作说明系统以字母a表示NAT以字母n表示包过滤以字母f表示连接状态以字母c表示HTTP代理以字母H表示TELNET代理以字母T表示SMTP代理以字母 S表示POP3代理以字母 O表示事前认证以字母 R表示双机热备以字母 h表示VPN PPP协议以字母 P近VPN IPSec协议以字母I表示流探测以字母i表示 :指日志处理方式，mbyse分别

11、指发送本地一、发送本地一日志、外发syslog 主机、外发snmp trap主机、email告警等,用户可根据 需要选择。基线符合性 判定依据设备应配置日志功能，对用户登录进展记录，记录容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。备注记录与设备相关的平安事件平安基线工 程名称记录与设备相关平安事件平安基线要求项平安基线编 号SBL-LinkTrustFW-03-01-02平安基线项 说明设备应配置日志功能，对用户登录进展记录，记录容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步 骤.参考配置操作log p

12、olicy add .补充操作说明系统以字母a表示NAT以字母n表示包过滤以字母f表示连接状态以字母c表示HTTP代理以字母H表示TELNET代理以字母T表示SMTP代理以字母 S表示POP3代理以字母 O表示事前认证以字母 R表示双机热备以字母 h表示VPN PPP协议以字母 P近VPN IPSec协议以字母I表示流探测以字母i表示 :指日志处理方式，mbyse分别指发送本地一、发送本地一日志、外发syslog 主机、外发snmp trap主机、email告警等,用户可根据 需要选择。基线符合性 判定依据1. 判定条件在设备上正确纪录了日志信息。.检测操作查看日志模块。.补充说明无。备注配置

13、设备远程日志功能平安基线工 程名称配置设备远程日志功能平安基线要求项平安基线编 号SBL-LinkTrustFW-03-01-03平安基线项 说明设备配置远程日志功能，将需要重点关注的日志容传输到日志效劳器。建议 将Warning级别4级以上日志传送到志效劳器和统一的平安管理平台处 理。检测操作步 骤.参考配置操作loghost add 设备log policy add 其中 0:EMERGENCY1:ALERT2:CRITICAL3:ERROR4:WARNING5:NOTICE6:INFO7:DEBUG.补充操作说明可以设置发送的日志效劳器IP地址。基线符合性 判定依据. 判定条件日志效劳器

14、上是否接收到了正确的日志信息。.检测操作在日志效劳器上查看信息。.补充说明无。备注3.2告警配置要求配置对防火墙本身的攻击或部错误告警平安基线工 程名称配置对防火墙本身的攻击或部错误告警平安基线要求项平安基线编 号SBL-LinkTrustFW-03-02-01平安基线项 说明设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击 或者防火墙的系统严重错误。检测操作步 骤.参考配置操作参考日志配置模块，如下：log policy add .补充操作说明设备只支持纪录局部关键操作。系统以字母a表示NAT以字母n表示包过滤以字母f表示连接状态以字母c表示HTTP代理以字母H表示TELN

15、ET代理以字母T表示SMTP代理以字母 S表示POP3代理以字母 O表示事前认证以字母 R表示双机热备以字母 h表示VPN PPP协议以字母 P近VPN IPSec协议以字母I表示流探测以字母i表示 :指日志处理方式， mbyse分别指发送本地一、发送本地一日志、外发syslog 主机、外发snmp trap主机、email告警等,用户可根据 需要选择。基线符合性 判定依据. 判定条件查看防火墙是否生成相应告警.检测操作查看防火墙是否生成相应告警.补充说明无。备注配置DO的DDO敢击告警平安基线工 程名称配置DO序口 DDO敢击防护功能平安基线要求项平安基线编 号SBL-LinkTrustFW

16、-03-02-02平安基线项 说明可翻开DOS和DDOSC击防护功能。又攻击告警。DDOS勺攻击告警的参数可由维护人员根据网络环境进展调整。维护人员可通过设置白方式屏蔽局部告 警。检测操作步 骤.参考配置操作antidos set synfloodantidos set land onantidos set smurf onanti set frag onantidos set icmpmax antidos set udpmax blockshortip onblockipoptions on.补充操作说明无。基线符合性 判定依据. 判定条件查看是否已经将此功能翻开。.检测操作查看配置。5.

17、补充说明无。备注配置扫描攻击检测告警*平安基线工 程名称配置扫描攻击检测告警平安基线要求项平安基线编 号SBL-LinkTrustFW-03-02-03平安基线项 说明可翻开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护 人员根据网络环境进展调整。维护人员可通过设置白方式屏蔽局部网络扫描 a曜口 。检测操作步 骤.参考配置操作可参考“平安要求-设备-防火墙-配置-43 .补充操作说明无基线符合性 判定依据. 判定条件 无.检测操作 无.补充说明 无。备注根据应用场景的不向，如部署场景需开启此功能，那么强制要求此项。平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量平安基线工

18、 程名称访问规那么列表最舟-条必须是拒切流量平安基线要求项平安基线编 号SBL-LinkTrustFW-03-03-01平安基线项 说明所有防火墙在配置访问规那么时，最舟-条必须是拒切流量。检测操作步 骤.参考配置操作设备默认最舟-条为拒绝所有其他。.补充操作说明设备也支持主动建立制止一切的策略。基线符合性 判定依据. 判定条件无。.检测操作查看策略配置及测试访问。.补充说明无。备注配置访问规那么应尽可能缩小围平安基线工 程名称配置访问规那么应尽可能缩小围平安基线要求项平安基线编 号SBL-LinkTrustFW-03-03-02平安基线项 说明在配置访问规那么时，源地址和目的地址的围必须以实

19、际访问需求为前提， 尽可能的缩小围。检测操作步 骤.参考配置操作根据实际访问需求，缩小地址围。需要制止any to any all和any all和效劳为all的规那么。.补充操作说明我们在防火墙上可以定义/、同围的地址对象，在策略中进展引用即可。如下命令用来建立不同围的地址对象，供策略引用。netobj hostadd interface netobj add interface netobj addstd interface netobj addipr interface netobj addifr interfacenetobj addznr 基线符合性1. 判定条件判定依据无。2.检测

20、操作根据实际访问需求，测试是否到达要求；查看配置。3.补充说明无。备注VPN用户按照访问权限进展分组*平安基线工 程名称VPN用户按照访问权限进展分组平安基线要求项平安基线编 号SBL-LinkTrustFW-03-03-03平安基线项 说明对于VPN用户，必须按照其访问权限/、同而进展分组，并在访问控制规那么 中对该组的访问权限进展严格限制。检测操作步 骤.参考配置操作vpn dialupuser add ip/maskpolicy add options toname.补充操作说明设备局部支持此项功能。基线符合性 判定依据. 判定条件无。.检测操作按照需求访问进展检测。.补充说明无。备注根

21、据应用场景的不向，如部署场景需开启此功能，那么强制要求此项。配置NAT地址车换*平安基线工 程名称配置NAT地址转换平安基线要求项平安基线编 号SBL-LinkTrustFW-03-03-04平安基线项 说明配置NAT对公网隐藏局域网主机的实际地址。检测操作步 骤.参考配置操作natll add interface.补充操作说明无基线符合性 判定依据. 判定条件无。.检测操作从外网用NAT地址访问网的IP.补充说明无。备注根据应用场景的不向，如部署场景需开启此功能，那么强制要求此项。关闭仅开启必要效劳平安基线工 程名称仅开启必要效劳平安基线要求项平安基线编 号SBL- LinkTrustFW

22、-03-03-05平安基线项 说明防火墙设备必须仅开启必要效劳。与生产无关的效劳端口不能开放规那么。检测操作步 骤.参考配置操作policy add options toname.补充操作说明无基线符合性 判定依据. 判定条件无。.检测操作查看策略，检查是否有不必要的效劳Policy list3.补充说明无。备注制止使用any to anyall允许规那么平安基线工 程名称尽重不允许使用 any to any平安基线要求项平安基线编 号SBL- LinkTrustFW -03-03-06平安基线项 说明防火墙策略配置时不允许使用any to any all 允许规那么，对于从防火墙部到外部的访

23、问也应指定策略；应定期的对防火墙策略进展检查和梳理检测操作步 骤.参考配置操作查有访问控制策略policy list配置防火墙策略policy add options toname.补充操作说明无基线符合性 判定依据.判定条件无.检测操作 policy list.补充说明 无。备注攻击防护配置要求配置应用层攻击防护*平安基线工 程名称配置应用层攻击防护平安基线要求项平安基线编 号SBL-LinkTrustFW-03-04-01平安基线项 说明建议采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进展防护检测操作步 骤.参考配置操作smartproenable level其中级别如下，

24、建议采用默认级别10 - disable- duplicate pass-policy matched packets,- duplicate more pass-policy matched packets- duplicate all packets2.补充操作说明无。基线符合性 判定依据. 判定条件查看是否已经将此功能翻开。.检测操作查看配置。.补充说明无。备注根据应用场景的不向，如部署场景需开启此功能，那么强制要求此项。配置网络扫描攻击防护*平安基线工 程名称配置网络扫描攻击防护平安基线要求项平安基线编 号SBL-LinkTrustFW-03-04-02平安基线项 说明建议采用安氏防火

25、墙自带的smartpro入侵检测模块对网络扫描攻击行为进展检测检测操作步 骤1.参考配置操作启用流探测功能模块：smartproenable level其中级别如下，建议采用默认级别10 - disable1 - duplicate pass-policy matched packets,2 - duplicate more pass-policy matched packets3 - duplicate all packets通过WE塔理界面选择需要检测白扫描攻击行为的list ,如下列图:.上阳陆依廿MUMHitt1di唧.，3rrfl,t匕CM 立M.出 w，fi脚9J s5U CslM

26、rdifl 话口 UfiUDVVt -rn都.*川. 小FfjFUp.q*京丁IQQil 用党H hKeii M工.睛，居制FflMY Cfllt武威皿叫注ftp,MBq7fiortSCJfJ F3MtqpqBan月U 一归弓州MaitriiqgJL至 5MU旧Ke .，B5IDkj-i 5m FJHgzJifnrkuLOIJ地se3T !i3U XMASz0rHiq12%5=rYMmapXH 任ttp匕qMUMihSi曰i曜呗E邛IJ14Jt C2 ?j ,-一 n 1 忙:Q=1ilA网4.i . fi.115.，.353U 0A 心一打口 M皿dluIV*帚 aru ds：睢图 x. i

27、osjmk.禽.qUAqqIBrj-jSCJSfJ ls ijr . . p ip tur4j心卜小吗?选择启用即可2.补充操作说明无。基线符合性 判定依据. 判定条件查看是否已经将此功能翻开。.检测操作查看配置。.补充说明无。备注根据应用场景的不向，如部署场景需开启此功能，那么强制要求此项。限制ping包大小*平安基线工 程名称限制ping包大小平安基线要求项平安基线编 号SBL-LinkTrustFW-03-04-03平安基线项 说明限制ping包的大小，以及一段时间同一主机发送的次数。检测操作步 骤1.参考配置操作antidos set icmpmax 2.补充操作说明局部功能实现。基线

28、符合性 判定依据. 判定条件无。.检测操作查看配置；需求测试。.补充说明无。备注根据应用场景的不向，如部署场景需开启此功能，那么强制要求此项。启用对带选项的IP包及畸形IP包的检测平安基线工 程名称启用对带选项的IP包及他形IP包的检测平安基线要求项平安基线编 号SBL-LinkTrustFW-03-04-04平安基线项 说明启用对带选项的IP包及他形IP包的检测检测操作步 骤1.参考配置操作anti set frag on2.补充操作说明 无。基线符合性 判定依据. 判定条件查看是否已经将此功能翻开。.检测操作查看配置。.补充说明无。备注防火墙各逻辑接口配置开启防源地址欺骗功能平安基线工 程名称防火墙各逻辑接口配置开启防源地址欺骗功能平安基线要求项平安基线编 号SBL-LinkTrustFW-03-04-05平安基线项 说明防火墙须支持透明模式及路由模式配置