防火墙方案实用文档

防火墙方案实用文档(实用文档，可以直接使用，可编辑优秀版资料，欢迎下载）

防火墙方案实用文档(实用文档，可以直接使用，可编辑优秀版资料，欢迎下载）防火墙方案区域逻辑隔离建设(防火墙）国家等级保护政策要求不同安全级别的系统要进行逻辑隔离，各区域之间能够按照用户和系统之间的允许访问规则控制单个用户，决定允许或者禁止用户对受控系统的资源访问。国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离，各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户，决定允许或者拒绝用户对受控系统的资源访问。在网络边界部署防火墙系统，并与原有防火墙形成双机热备，部署防火墙可以实现：网络安全的基础屏障:防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的.首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响.再者，隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。精确流量管理通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。防止病毒木马攻击通过防火墙设备带的防病毒模块,可以在网络边界处对恶意代码、蠕虫、木马等病毒检查和清除,防止全网遭受病毒感染的。通过防火墙的部署，实现网络边界的访问控制和恶意代码检测清除，保障系统的安全。防火墙优势基于用户防护传统防火墙中，策略都是依赖IP或MAC地址来区分数据流，这种描述方式非常不利于管理，很多场景也很难完成对网络状况的清晰掌握和精确控制.因此，实现基于用户的防护是下一代防火墙的重要特征。NGFW®下一代防火墙融入天融信多年以来的安全产品研发经验,总结并实现了一套灵活且强大的用户身份管理系统，支持RADIUS、TACACS、LDAP、AD、邮件、证书、Ukey、短信等多种认证协议和认证方式.在用户管理方面，实现了分级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求。基于上述特性,网络终端在访问网络前,被强制要求到NGFW®下一代防火墙进行身份认证来完成对其的“合法性”检查。除此之外，NGFW®下一代防火墙还集成了强大的安全准入控制功能,针对身份认证通过后的网络终端操作系统环境进行系统服务、软件、文件、进程、注册表等细粒度的检测与控制来实现对其的“合规性”检查。通过对网络终端“合法性”与“合规性”的双重审核后，NGFW®下一代防火墙将根据其身份认证信息（用户ID）通过智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控。面向应用与内容安全精细的应用识别与控制天融信NGFW®下一代防火墙能够实现对即时通讯、P2P下载、游戏、股票、视频等多种应用类型进行深层次识别与细粒度控制。例如，可以在识别出用户使用的即时通讯软件是MSN、QQ、Yahoo！Messenger还是网易泡泡等客户端的基础上，准确捕捉到用户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为，从而有目的、有针对性地加以拦截和限制。而对于占用大量网络带宽资源的P2P下载类应用程序，在能够进行准确识别与封堵的基础上，还可以通过QoS管理框架对其使用带宽实现精确控制,从而确保正常业务的通讯质量.全面保障WEB应用安全随着微博、网络社区、视频分享等等这些WEB2。0时代下典型应用技术的广泛使用，对于WEB应用进行深入检测与细粒度控制，也是天融信NGFW®下一代防火墙关注的重点.例如，可以对微博应用的登录、发布、转发、评论、私信等行为进行精细的识别与控制.同时，NGFW®下一代防火墙内置庞大的URL分类库，包括恶意网站,违反国家法规与政策，潜在不安全网站，浪费带宽,大众兴趣，文化、时评、聊天与论坛，行业分类，计算机技术相关等8个大类，下含80多个子类，超过600万个URL地址分类库。用户可根据上述网站类别，对自身网络的WEB应用实施全面化管控,杜绝非法、违规网站的访问行为，从而净化网络应用环境。强大的攻击检测能力天融信NGFW®下一代防火墙攻击检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击，包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3800种网络攻击行为.专业的攻击规则库建立在天融信公司TopLAB攻防实验室与厂商、国家权威机构长期合作的基础上，通过不断跟踪、挖掘和分析各种新的威胁信息而积累形成，并且将其直接应用于产品,保障了天融信NGFW®下一代防火墙对各种攻击行为检测的全面、准确和及时有效。除此之外，NGFW®下一代防火墙采用独创的SecDFA规则匹配算法，确保其在高吞吐的网络应用环境中展现出强大的应用层攻击检测性能。一体化智能过滤引擎天融信NGFW®下一代防火墙系列产品，采用高度集成的一体化智能过滤引擎技术。其能够在一次数据拆包过程中，对数据进行并行深度检测，从而保证了协议深度识别的高效性.另外，天融信NGFW®下一代防火墙产品基于八元组高级访问控制设计，除传统的五元组控制以外，实现了用户身份信息、应用程序指纹及内容特征的识别与控制，充分体现了下一代防火墙关注“用户”与“应用”的设计理念。高效转发平台TOS安全系统平台天融信NGFW®系列产品基于天融信公司十余年高品质安全产品开发经验结晶的TOS（TopsecOperatingSystem）安全系统平台.随着多核技术的广泛应用,TOS以多核硬件架构为基础，分为系统内核层、硬件抽象层及安全引擎层。在安全引擎层内，根据安全功能模块协议特性的不同，分为网络引擎组（NETWORKEngines)与应用引擎组(APPEngines）.通过将引擎组与多核硬件架构的完美整合，使TOS在系统层面实现了全功能多核并行流处理。而在硬件抽象层则采用多种加速技术，根据各个核心的实时负载情况，将流量按会话的方式动态均衡到CPU的各个核心，从而确保整个CPU效率执行的最大化。TopTURBO数据层高速处理TopTURBO是天融信自主原创实现数据层多核快速转发的高性能业务处理技术。通过天融信NGFW®产品研发团队在TOS系统平台上所进行的大量性能优化工作，利用TopTURBO技术将数据层高速处理解决方案平滑迁移到多核硬件平台上，与当今最先进的高性能多核架构合而为一，从而获得更高的网络处理性能。在目前主流的基于多核架构的安全设备中，大多采用“中断+轮询”的数据包处理方式.此种处理方式存在系统资源消耗大、极易引起资源竞争、系统响应慢等缺点。具体表现在设备的网络吞吐和新建连接达到瓶颈后，即使再增加CPU核数，性能也很难继续提升。针对上述问题，天融信NGFW®产品研发团队在TOS基础上开发出TopTURBO多核数据层高速处理技术。该技术特点在于：不再采用传统的SMP多核系统架构，通过对CPU资源合理优化配置，使每个CPU核心独立完成相关工作，减少核心分配的资源竞争。不再采用传统的内存及消息管理模式，采用预分配内存及天融信独创的无锁消息管理方式，消除消息分配的资源竞争。不再采用传统的中断方式网卡收发包机制，采用CPU独立收包方式，减小系统消耗。优化TOS系统处理流程实现高速建立新连接，提高了新建连接效率,从而使设备具有较高的新建连接性能。天融信TOS安全系统平台通过在硬件抽象层引入TopTURBO数据层高速处理技术,使NGFW®下一代防火墙系列产品拥有高达24Gbps的网络吞吐能力.多层级冗余化作为下一代防火墙技术，一个十分重要的特性是设备自身要具有灵活、丰富的高可用机制去适应整网业务连续性保障方案.天融信公司拥有广泛的用户群体，对各类用户的网络架构有着深刻的理解并在各种复杂网络环境中有着丰富的产品部署经验.利用这一无与伦比的优势，将NGFW®下一代防火墙高可用特性设计为以物理级冗余、系统级冗余及方案级冗余的多层级冗余化架构体系，使其能够平滑、完整的与整网业务连续性保障方案实现融合。物理级冗余天融信公司拥有强大的硬件研发团队及设施完善的硬件实验室，凭借一直以来自主设计与研发硬件平台积累的丰富经验，使NGFW®下一代防火墙具有板卡冗余、模块冗余及链路冗余多种物理层面的可靠性保障机制.系统级冗余天融信NGFW®下一代防火墙采用双操作系统设计来应对因升级失败、文件系统错误等系统故障而导致的设备工作异常。主用与备用系统之间采用分布式设计,设备在正常状态下产生的任何系统读写、维护等操作均在主用系统上完成，而备用系统为确保自身完整性则始终处于写保护状态.一旦主用系统发生故障，备用系统将快速、全面的接管设备工作并可实现对主用系统的系统还原。方案级冗余天融信NGFW®下一代防火墙针对不同的网络环境能够提供多种双机（或多机）部署解决方案,包括热备、负载均衡及连接保护模式。多样化的双机（或多机）部署模式以及良好的网络兼容性使NGFW®下一代防火墙能够快速、平滑的接入到VRRP、HSRP、RIP、OSPF及BGP等多种路由协议应用场景,在保障用户业务连续性的基础上进而满足各种安全防护需求.除此之外，NGFW®下一代防火墙双机（或多机）使用自主专利技术的智能状态传送协议（ISTP)，ISTP能够高效进行系统之间的状态同步,实现了TCP协议握手级别的状态同步和热备。借助ISTP，使NGFW®下一代防火墙自身实现“毫秒级”的设备切换,从而最大程度上确保用户的业务连续性。安全配置作业指导书防火墙设备XXXX集团公司2021年7月前言为规范XXXX集团公司网络设备的安全管理，建立统一的防火墙设备安全配置标准，特制定本安全配置作业指导书。本技术基线由XXXX集团公司提出并归口本技术基线起草单位：XXXX集团公司本技术基线主要起草人:本技术基线主要审核人：目录TOC\o"1—4”\u1.适用范围12。规范性引用文件13。术语和定义14.防火墙安全配置规范24.1。防火墙自身安全性检查24。1.1.检查系统时间是否准确24.1。2。检查是否存在分级用户管理24。1。3。密码认证登录34.1.4。登陆认证机制44.1.5.登陆失败处理机制44。1.6。检查是否做配置的定期备份54。1.7。检查双防火墙冗余情况下,主备切换情况64。1.8。防止信息在网络传输过程中被窃听74.1。9。设备登录地址进行限制84。1.10。SNMP访问控制94。1。11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级104.2. 防火墙业务防御检查114。2。1.启用安全域控制功能114。2.2。检查防火墙访问控制策略124.2.3。防火墙访问控制粒度检查124.2.4。检查防火墙的地址转换转换情况134.3. 日志与审计检查134。3.1.设备日志的参数配置144.3.2。防火墙流量日志检查144.3.3。防火墙设备的审计记录14适用范围本基作业指导书范适用于XXXX集团公司各级机构。规范性引用文件ISO27001标准/ISO27002指南GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T20271-2006《信息安全技术信息系统通用安全技术要求》GB/T20272—2006《信息安全技术操作系统安全技术要求》GB/T20273—2006《信息安全技术数据库管理系统安全技术要求》GB/T22239-2021《信息安全技术信息系统安全等级保护基本要求》术语和定义安全设备安全基线：指针对各类安全设备的安全特性，选择合适的安全控制措施，定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。严重漏洞（Critical）:攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统重要漏洞（Important）:攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。中等漏洞（Moderate）：攻击者利用此漏洞有可能未经授权访问信息。注意,虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息，这些信息可用于进一步危及受影响系统的安全。轻微漏洞(Low）：攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失.防火墙安全配置规范防火墙自身安全性检查检查系统时间是否准确编号要求内容检查系统时间是否准确加固方法重新和北京时间做校队检测方法1现场检查：如下截图路径，检查系统时间是否和北京时间一致，如果相差在一分钟之内，则认为符合要求,否则需要重新修正.天融信该功能截图：路径：系统管理=》配置备注检查是否存在分级用户管理编号要求内容管理员分:超级管理员、管理用户、审计用户、虚拟系统用户加固方法在防火墙设备上配置管理账户和审计账户检测方法1现场检查：如下截图路径,如果系统中仅存在四个账户，分别为:超级管理员、管理用户、审计用户、虚拟系统用户，且四个账号分别对应于各自不同级别的权限,则符合要求；如果无三个，则不符合要求天融信该功能截图：路径：系统管理=》管理员备注密码认证登录编号要求内容检查防火墙内置账户不得存在缺省密码或弱口令帐户加固方法修改防火墙设备的登录设备的口令，满足安全性及复杂性要求检测方法口令复杂度查看防火墙设备的管理员登录设备的口令安全性及复杂性,登录设备验证口令的复杂性,。如果需要输入口令并且口令为8位以上，并且是包含字母、数字、特殊字符的混合体,判定结果为符合；如果不需要任何认证过程，判定结果为不符合2、检查账户不得使用缺省密码.天融信防火墙该功能截图：路径：系统管理=》管理员备注登陆认证机制编号要求内容检查登陆时是否采用多重身份认证的鉴别技术加固方法采用强度高于用户名+静态口令的认证机制实现用户身份鉴别检测方法1、检查：现场验证登陆防火墙，查看是否支持用户名+静态口令；天融信防火墙登陆窗口：备注登陆失败处理机制编号要求内容检查登陆失败时处理机制加固方法具有登录失败处理功能,可采取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施检测方法1、检查:防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置；查看是否有限制非法登录次数的功能；管理员登录地址进行限制;查看登陆失败时阻断时间;查看是否设置登录连接超时，并自动退出；2、测试：验证鉴别失败处理措施（如模拟失败登录,观察设备的动作等）,限制非法登录次数（如模拟非法登录，观察网络设备的动作等），对设备的管理员登录地址进行限制(如使用任意地址登录,观察设备的动作等）等功能是否有效;验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作等）；3、产品举例：天融信防火墙用户登录超时设置：路径：系统管配置理=〉维护=>系统配置备注检查是否做配置的定期备份编号要求内容检查是否对防火墙的配置定期做备份加固方法督促管理员定期对防火墙做配置备份检测方法1访谈方式：和管理员了解防火墙配置的备份情况2验证:在网管服务器上，查看防火墙配置文件夹，确认是否定期做配置备份。3加固:第一步：天融信防火墙配置导出位置截图：路径：系统管理=〉维护第二步：网管机上建立防火墙配置文件备份文件夹备注检查双防火墙冗余情况下,主备切换情况编号要求内容检查双防火墙冗余情况下，主备切换情况加固方法如该功能未达到要求,需厂商人员检查、加固检测方法1访谈方式咨询管理员近期是否有过设备切换现象，切换是否成功等2现场验证拔掉主墙线缆后，备墙可以实现正常切换，网络快速切换，应用正常。3加固措施第一步：如该功能未达到，检查防火墙双机热备配置是否正确、监控状态是否正常第二步：如果配置有误，需要尽快协商厂商人员解决天融信防火墙该功能截图:路径：高可用性=》双机热备备注防止信息在网络传输过程中被窃听编号要求内容当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。可采用S、SSH等安全远程管理手段.加固方法通过s和ssh登陆管理设备。检测方法1现场验证：能够通过s和ssh登陆管理设备,判定结果为符合；通过和telnet登陆管理设备，判定结果为不符合。2加固措施：按照下述截图位置,只开放S，SSH登陆方式,去除其他登陆方式。天融信防火墙该功能截图：检查如下的SSH方式及S权限配置：路径：系统管理=》配置=》开放服务备注设备登录地址进行限制编号要求内容对防火墙设备的管理员登录地址进行限制加固方法创建允许管理员登陆的IP限制列表检测方法1现场检查:咨询管理员后,使用允许访问控制列表里面的ip地址能够登录管理设备，不在控制列表里的ip不能登录设备，判定结果为符合2设备检查：登陆下述截图路径，确认已经配置了限制管理员登陆IP列表天融信防火墙该功能截图：路径：配置-开放服务备注SNMP访问控制编号要求内容设置SNMP访问安全限制，读写密码均已经修改，只允许特定主机通过SNMP访问网络设备。加固方法修改缺省密码和限制IP对防火墙的无授权访问检测方法1设备检查登陆至设备的下述路径,检查即可。天融信防火墙该功能截图:路径：网络管理—SNMP备注防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级编号要求内容定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。加固方法配置为防火墙的特征库、、病毒库、入侵防御库、应用识别、web过滤模块升级的策略.检测方法1现场检查：检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。查看防火墙系统内特征库的时间和版本信息。天融信该功能的截图：路径：系统管理—维护—服务更新备注防火墙业务防御检查启用安全域控制功能编号要求内容根据业务需要创建不同优先级的安全区域加固方法1现场检查:首先，根据业务情况,检查接口名称，名称的级别、功能应该清晰,如“内网”或者“外网”，否则需要重新确认;天融信防火墙各接口区域有两个权限一个为允许、一个是禁止。所以，检查时，需要确认，各个接口区域权限的设置.2加固方法：将防火墙各个区域权限设置为禁止,这样默认策略全部为禁止。天融信该功能截图:路径：资源管理=》区域备注检查防火墙访问控制策略编号要求内容检查防火墙策略是否严格限制通信的IP地址、协议和端口,根据需求控制源主机能够访问目的主机,和控制源主机不能访问目的主机。加固方法管理员综合分析防火墙访问控制策略,对源地址、目标地址、开放端口进行细化，删除无用、重复的策略。检测方法访谈:询问管理员防火墙配置策略配置原则，并针对可以策略进行询问。执行：查看防火墙策略配置规则,是否存在过多的IP地址段开放协议、端口的规则,是否存在无效的策略,防火墙的策略是否严密。分析：综合分析全部防火墙策略，分析是否开放过多IP地址段、协议和端口，为攻击者提供了远程攻击和入侵控制的可能。天融信该功能截图:路径：防火墙=》访问控制备注防火墙访问控制粒度检查编号要求内容检查防火墙上相应安全策略设置的严谨程度。加固方法1、添加访问控制策略阻断常见的危险端口。2、细化访问控制策略，所有策略的源、目的、服务三项中,至少有一项不能出现any的情况检测方法1、查看阻断策略中是否存在对tcp135-139、udp135-139、tcp445、udp445、tcp4444、tcp9995-9996、tcp1068、udp69、udp4899、udp1434这些高危端口的限制策略，如果在阻断策略里没有，则不符合要求；2、如果阻断策略里没有，针对这些端口限制的访问出现在访问控制策略的第一条,则可以认为符合要求；3、访问控制里，除上述提到的高危端口限制外,其所有策略的源、目的、服务三项中，至少有一项不能出现any的情况，如果出现则视为不符合要求，尤其是针对某一特定服务器的访问限制，如果出现源是any,服务是任何的情况，则该策略设置是不合格的。天融信该功能截图：路径：防火墙=》阻断策略备注检查防火墙的地址转换情况编号要求内容检查防火墙地址转换策略是否符合网络的实际需求加固方法检查防火墙地址转换策略是否符合网络的实际需求，删除冗余的地址转换策略检测方法1现场访谈:询问管理员防火墙地址转换配置策略配置原则，并针对策略必要性进行分析。执行：查看防火墙策略地址转换配置规则，是否存在过多的IP地址段开放协议、端口的规则，是否存在无效的地址转换策略，地址转换策略是否严密.天融信防火墙功能截图路径:防火墙=》地址转换备注s日志与审计检查设备日志的参数配置编号要求内容设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG.并且日志必须保存6个月加固方法现场检查：在防火墙上检查Syslog项，是否已配置将日志传输到日志服务器，否则为不符合天融信防火墙日志配置:路径:日志与报警=》日志配置备注防火墙流量日志检查编号要求内容查看日志服务器是否正常接收日志，并且日志必须保存6个月加固方法1现场检查：登陆至天融信集中控制中心或第三方日志服务软件，查看是否正常接收日志，且是否有近6个月内的日志；确认服务器的存储空间是否足够备注防火墙设备的审计记录编号要求内容能够查看设备的登录审计记录加固方法查看设备的登录审计记录。检测方法查看设备的相关登录审计记录，包含登录成功、登录失败、接口的up记录等.天融信该功能截图：路径：日志与报警=》日志查看备注防火墙运行安全管理制度总则为保障信息网络的安全、稳定运行,特制订本制度。本制度适用于信息网络的所有防火墙及相关设备管理和运行.防火墙管理员职责防火墙系统管理员的任命应遵循“任期有限、权限分散"的原则。系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任。必须签订保密协议书。防火墙系统管理员的职责：恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关信息安全管理的相关规程;负责网络安全策略的编制，更新和维护等工作；对信息网络实行分级授权管理,按照岗位职责授予不同的管理级别和权限；不断的学习和掌握最新的网络安全知识,防病毒知识和专业