Huawei防火墙安全配置基线

Huawei防火墙安全配置基线中国移动通信有限公司管理信息系统部2012年04月

版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"适用范围 1\o"CurrentDocument"适用版本 1\o"CurrentDocument"实施 1\o"CurrentDocument"例外条款 1\o"CurrentDocument"第2章 帐号管理、认证授权安全要求 2帐号管理 2用户帐号分配* 2\o"CurrentDocument"删除无关的帐号* 2\o"CurrentDocument"帐户登录超时* 3\o"CurrentDocument"帐户密码错误自动锁定* 4\o"CurrentDocument"口令 5\o"CurrentDocument"口令复杂度要求 5\o"CurrentDocument"授权 5\o"CurrentDocument"远程维护的设备使用加密协议 5\o"CurrentDocument"第3章 日志及配置安全要求 7\o"CurrentDocument"日志安全 7\o"CurrentDocument"记录用户对设备的操作 7\o"CurrentDocument"记录与设备相关的安全事件 7\o"CurrentDocument"开启记录NAT日志 8\o"CurrentDocument"配置记录流量日志 9\o"CurrentDocument"配置日志容量告警阈值 9\o"CurrentDocument"告警配置要求 10\o"CurrentDocument"配置对防火墙本身的攻击或内部错误告警 10\o"CurrentDocument"配置TCP/IP协议网络层异常报文攻击告警 10\o"CurrentDocument"配置DOS和DDOS攻击告警 11\o"CurrentDocument"配置关键字内容过滤功能告警* 12\o"CurrentDocument"安全策略配置要求 12\o"CurrentDocument"访问规则列表最后一条必须是拒绝一切流量 12\o"CurrentDocument"配置访问规则应尽可能缩小范围 13\o"CurrentDocument"访问规则进行分组* 13\o"CurrentDocument"配置NAT地址转换 14隐藏防火墙字符管理界面字即即〃信息 15\o"CurrentDocument"关闭非必要服务 15\o"CurrentDocument"攻击防护配置要求 16\o"CurrentDocument"拒绝常见漏洞所对应端口或者服务的访问 16\o"CurrentDocument"防火墙各逻辑接口配置开启防源地址欺骗功能* 17\o"CurrentDocument"限制ICMP包大小* 17\o"CurrentDocument"第4章IP协议安全要求 19\o"CurrentDocument"功能配置 19\o"CurrentDocument"使用SNMPV2或V3版本对防火墙远程管理 19\o"CurrentDocument"第5章 其他安全要求 21\o"CurrentDocument"其他安全配置 21\o"CurrentDocument"外网口地址关闭对2力g包的回应 21\o"CurrentDocument"对防火墙的管理地址做源地址限制 21\o"CurrentDocument"配置consol口密码保护功能 22\o"CurrentDocument"第6章 评审与修订 24第1章概述1.1目的本文档规定了中国移动管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。1.2适用范本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Huawei防火墙。1.3适用版本Huawei防火墙。1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-HuaweiFW-02-01-01安全基线项说明不同等级管理员分配不同帐号，避免帐号混用。检测操作步骤.参考配置操作查看帐号配置，确认帐号是否区分管理员及权限。.补充操作说明前两个用户为系统默认建立的帐号。基线符合性判定依据.判定条件用配置中没有的用户名去登录，结果是不能登录。.检测操作在图形界面登陆.补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。2.1.2删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-HuaweiFW-02-01-02安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1.参考配置操作usrdel<name>

2.补充操作说明基线符合性判定依据.判定条件配置中用户信息被删除。.检测操作查看配置。.补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL-HuaweiFW-02-01-03安全基线项说明配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据.判定条件在超出设定时间后，用户自动登出设备。.参考检测操作.补充说明无。备注需要手工检查。

2.1.4帐户密码错误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-HuaweiFW-02-01-04安全基线项说明在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒检测操作步骤1、参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据.判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。.参考检测操作.补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。

2.2口令2.2.1口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL-HuaweiFW-02-02-01安全基线项说明防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤.参考配置操作Disusr回车，输入密码。.补充操作说明口令字符不完全符合要求。基线符合性判定依据.判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。.检测操作实验性建立帐户信息。.补充说明无。备注2.3授权2.3.1远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编号SBL-HuaweiFW-02-03-01

安全基线项说明对于防火墙远程管理的配置，必须是基于加密的协议。如SSH，如果只允许从防火墙内部进行管理，应该限定管理IP。检测操作步骤.参考配置操作系统默认支持ssh加密管理方式，查看及增加管理IP操作如下：查看管理IP.补充操作说明基线符合性判定依据.判定条件只支持ssh管理，对于非允许的ip地址不能登陆。.检测操作使用非允许的ip地址登陆。.补充说明无。备注第3章日志及配置安全要求3.1日志安全3.1.1记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-HuaweiFW-03-01-01安全基线项说明防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。帐号解锁等信息检测操作步骤1、参考配置操作info-centerenable2、补充操作说明在系统模式下进行操作。基线符合性判定依据.判定条件在日志缓存上正确记录了日志信息。.检测操作displaylogbuffer.补充说明无。备注3.1.2记录与设备相关的安全事件安全基线项目名称记录与设备相关安全事件安全基线要求项安全基线编号SBL-HuaweiFW-03-01-02安全基线项说明设备应配置日志功能，记录对与防火墙设备自身相关的安全事件。检测操作步1、参考配置操作

骤info-centerenable2、补充操作说明在系统模式下进行操作。基线符合性判定依据.判定条件在日志缓存上正确记录了日志信息。.检测操作displaylogbuffer.补充说明无。备注3.1.3开启记录NAT日志安全基线项目名称开启记录NAT日志安全基线要求项安全基线编号SBL-HuaweiFW-03-01-03安全基线项说明设备应配置NAT日志纪录功能，记录转换前后IP地址的对应关系。防火墙如果开启vpn功能，应配置记录vpn日志记录功能，记录vpn访问登陆、退出等信息。检测操作步骤1、参考配置操作Sessionlogenableacl-number2000outboundFirewalllsessionlog-typebinaryhost190022、补充操作说明Sessionlogenableacl-numeber在域间配置Firewallsessionlog-typebinary在全局模式下配置，需要指明是第几个host，同时还要指定端口号基线符合性判定依据.判定条件在日志服务器上正确记录了日志信息。.补充说明无。备注

3.1.4配置记录流量日志安全基线项目名称配置记录流量日志安全基线要求项安全基线编号SBL-HuaweiFW-03-01-04安全基线项说明设备应配置流量日志纪录功能检测操作步骤1、参考配置操作Sessionlogenableacl-number2000outboundFirewalllsessionlog-typebinaryhost190022、补充操作说明Sessionlogenableacl-numeber在域间配置Firewallsessionlog-typebinary在全局模式下配置基线符合性判定依据.判定条件在日志服务器上正确记录了日志信息。.补充说明无。备注3.1.5配置日志容量告警阈值安全基线项目名称配置日志容量告警阈值安全基线要求项安全基线编号SBL-HuaweiFW-03-01-05安全基线项说明在防火墙设备的日志容量达到75%时，防火墙可产生告警。并且有专门的程序将日志导出到专门的日志服务器。检测操作步骤1、参考配置操作Sessionlogenableacl-number2000outboundFirewalllsessionlog-typebinaryhost190022、补充操作说明Sessionlogenableacl-numeber在域间配置Firewallsessionlog-typebinary在全局模式下配置基线符合性1.判定条件

判定依据在日志服务器上正确记录了日志信息。2.补充说明无日志容量告警，但可以将日志记录到」日志服务器。备注备注3.2告警配置要求3.2.1配置对防火墙本身的攻击或内部错误告警安全基线项目名称配置对防火墙本身的攻击或内部错误告警安全基线要求项安全基线编号SBL-HuaweiFW-03-02-01安全基线项说明设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。检测操作步骤查看告警日志基线符合性判定依据检查告警日志备注配置TCP/IP协议网络层异常报文攻击告警安全基线项目名称配置TCP/IP协议网络层异常报文攻击告警安全基线要求项安全基线编号SBL-HuaweiFW-03-02-02安全基线项说明设备应配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。对每一个告警项是否告警可由用户配置。检测操作步骤检查TCP协议告警日志基线符合性判定依据检查日志备注

配置DOS和DDOS攻击告警安全基线项目名称配置DOS和DDOS攻击防护功能安全基线要求项安全基线编号SBL-HuaweiFW-03-02-03安全基线项说明可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。检测操作步骤1、参考配置操作[Eudemon]firewallzonedmz[Eudemon-zone-dmz]addinterfaceGigabitEthernet1/0/0使能DMZ域入方向的IP统计功能。[Eudemon]firewallzonedmz[Eudemon-zone-dmz]statisticenableipinzone打开SYNFlood攻击防范功能全局开关。[Eudemon-zone-trust]quit[Eudemon]firewalldefendsyn-f100denable配置对服务器进行SYNFlood攻击防范，配置SYN包的最大连接速率为500包/秒，手工启动TCP代理。[Eudemon]firewalldefendsyn-floodipmax-rate500tcp-proxyon2、补充操作说明statisticenableipinzoneE8000E无单方向域统计功能，E1000和E1000E有此功能基线符合性判定依据.判定条件SYNFlood被阻止.补充说明该项功能需要基于强大的系统性能。防火墙在状态检测时，由于需要对数据包的内容进行检查，甚至上升到应用层的检查（判断访问的内容），因此，不管是否打开DDOS功能，DDOS攻击时都会使系统利用率大幅上升，甚至系统不可用。该项标准是为了实现对DDOS攻击的阻挡和记录，建议，基于目前防火墙的性能和工作

模式，可以采用专业的抗DDOS攻击系统来完成这个工作，或者在核心网络启用netflow,由统一的采集系统记录并告警。备注3.2.4配置关键字内容过滤功能告警*安全基线项目名称配置关键字内容过滤功能告警安全基线要求项安全基线编号SBL-HuaweiFW-03-02-04安全基线项说明如防火墙具备关键字内容过滤功能，可打开该功能，在HTTP，SMTP，POP3等协议中对用户设定的关键字进行过滤。检测操作步骤检查内容过滤配置基线符合性判定依据检查内容过滤日志备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3安全策略配置要求3.3.1访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后一条必须是拒绝一切流量安全基线要求项安全基线编号SBL-HuaweiFW-03-03-01安全基线项说明所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。检测操作步骤1、参考配置操作aclnumber3500descriptionusedtrustuntrustinboundrule3permittcpdestination-porteqftp-datarule4permittcpdestination-porteqftprule5denyip2、补充操作说明无

基线符合性

判定依据1.判定条件基线符合性

判定依据1.判定条件除被允许的业务外，其它流量被阻止2.补充说明无备注3.3.2配置访问规则应尽可能缩小范围安全基线项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-HuaweiFW-03-03-02安全基线项说明在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。需要禁止anytoanyall和anyall和服务为all的规则。检测操作步骤1、参考配置操作aclnumber3500descriptionusedtrustuntrustinboundrule3permittcpdestination-porteqftp-datarule4permittcpdestination-porteqftprule5denyip2、补充操作说明无基线符合性判定依据.判定条件除被允许的业务外，其它流量被阻止.补充说明无备注3.3.3访问规则进行分组*安全基线项目名称访问规则进行分组安全基线要求项安全基线编号SBL-HuaweiFW-03-03-03

安全基线项说明访问规则必须按照一定的规则进行分组。检测操作步骤检查规则项基线符合性判定依据所需访问规则进行分组备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.4配置NAT地址转换安全基线项目名称配置NAT地址转换安全基线要求项安全基线编号SBL-HuaweiFW-03-03-04安全基线项说明配置NAT，对公网隐藏局域网主机的实际地址。检测操作步骤1、参考配置操作#配置地址池和访问控制列表。[Eudemon]nataddress-group1[Eudemon]aclnumber2001[Eudemon-acl-basic-2001]rule0permitsource55[Eudemon-acl-basic-2001]rule1denysource55[Eudemon]quit#将访问控制列表和地址池关联，允许/24网段报文进行地址转换（注意：为能够地址复用，不使用no-pat参数）。[Eudemon]firewallinterzonetrustuntrust[Eudemon-interzone-trust-untrust]natoutbound2001address-group12、补充操作说明NAT模式并不是绝对的，NAT对网络资源的消耗大于透明模式，并且，1对1的NAT，维护人员需要管理两个地址段的信息（私网和公网），增加了管理难度，如果是动态映射，更需要记录地址映射的对应关系，也增加了难度。其实透明模式和NAT模式一样，都是打开公网地址的某端口让外网访问，不管是NAT还是透明模式，只要主机的这个端口存在漏洞，被入侵的概率是一样的，NAT模式反而加大了防火墙的负荷（当然，除了老版本的PIX防火墙以外，它只支持NAT模式）。建议，在不需要内部通信的情况下，不用NAT，而用透明模式。比如放在公网上的web服务器（不需要与内部系统进行信息交互的情况），甚至是用户的自服务器（用户通过公网登录修改个人信息，密码等。而此服务器也通过公网地址和数据库交互信息，数据库防

火墙只开放该以服务器为源地址的某个数据业务访问权限。否则该服务器一旦被入侵，黑客就可以直接访问内部设备）基线符合性判定依据.判定条件可以正常通过NAT访问外部网络.补充说明无备注3.3.5隐藏防火墙字符管理界面的bannner信息安全基线项目名称隐藏防火墙字符管理界面的bannner信息安全基线要求项安全基线编号SBL-HuaweiFW-03-03-05安全基线项说明隐藏防火墙字符管理界面的bannner信息检测操作步骤1、参考配置操作headershellinformationfChina-mobilef2、补充操作说明把管理界面的banner改为China-mobile基线符合性判定依据.判定条件登录是可以看到China-mobile的banner.补充说明无备注3.3.6关闭非必要服务安全基线项目名称关闭非必要服务安全基线要求项安全基线编号SBL-HuaweiFW-03-03-06安全基线项说明防火墙设备必须关闭非必要服务。检测操作步骤1、参考配置操作Undoftpserver

2、补充操作说明其它服务可采用undo方式关闭基线符合性判定依据1.判定条件无法访问防火墙的FTP2.补充说明无备注3.4攻击防护配置要求3.4.1拒绝常见漏洞所对应端口或者服务的访问安全基线项目名称拒绝常见漏洞所对应端口或者服务的访问安全基线要求项安全基线编号SBL-HuaweiFW-03-04-01安全基线项说明对于常见系统漏洞对应端口，应当进行端口的关闭配置。屏蔽常见的漏洞端口1433、4444,tftpUDP69,135,137,138,139,445,593,1434，5000，5554，5800,5900,6667,9996等检测操作步骤参考配置操作aclnumber3001rule5denytcpdestination-porteq4444rule10denyudpdestination-porteqtftprule15denytcpdestination-porteq135rule20denyudpdestination-porteq135rule25denyudpdestination-porteqnetbios-nsrule30denyudpdestination-porteqnetbios-dgmrule35denytcpdestination-porteq139rule40denyudpdestination-porteqnetbios-ssnrule45denytcpdestination-porteq445rule50denyudpdestination-porteq445rule55denyudpdestination-porteq593

rule60denytcpdestination-porteq593rule65denytcpdestination-porteq55542、补充操作说明无基线符合性判定依据1.判定条件相关病毒端口无法访问2.补充说明无备注3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能安全基线项目名称防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项安全基线编号SBL-HuaweiFW-03-04-02安全基线项说明对于防火墙各逻辑接口配置开启防源地址欺骗功能。检测操作步骤检查防火墙配置基线符合性判定依据检查配置具备相应功能备注需要手工检查。3.4.3限制ICMP包大小*安全基线项目名称限制ICMP包大小安全基线要求项安全基线编号SBL-Huawei-03-04-03安全基线项说明限制ICMP包的大小，以及一段时间内同一IP地址主机发送ICMPECHORequest报文的次数。检测操作步骤检查配置文件基线符合性判定依据配置文件具备相应配置

备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。第4章IP协议安全要求功能配置使用SNMPV2或V3版本对防火墙远程管理安全基线项目名称使用SNMPV2或V3版本对防火墙远程管理安全基线要求项安全基线编号SBL-HuaweiFW-04-01-01安全基线项说明使用SNMPV2以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(CommunityName)和用户名。并且不同的用户名和共同体明对应不同的权限(只读或者读写)。检测操作步骤1、参考配置操作snmp-agentsys-infoversionV2配置团体名和访问权限。[Eudemon]snmp-agentcommunityreadpublic[Eudemon]snmp-agentcommunitywriteprivate配置管理员标识、联系方法以及防火墙物理位置。[Eudemon]snmp-agentsys-infocontactMr.Wang-Tel:3306[Eudemon]snmp-agentsys-infolocationtelephone-closet,3rd-floor允许向网管工作站（NMS）3发送Trap报文，使用的团体名为publico[Eudemon]snmp-agenttrapenable[Eudemon]snmp-agenttarget-hosttrapaddressudp-domain3udp-port5000paramssecuritynamepublic2、补充操作说明无基线符合性判定依据1.判定条件

网管可以正常管理2.补充说明无备注第5章其他安全要求5.1其他安全配置5.1.1外网口地址关闭对ping包的回应安全基线项目名称外网口地址关闭对ping包的回应安全基线要求项安全基线