Fortigate防火墙安全配置基线

-.z.Fortigate防火墙平安配置基线版本版本控制信息更新日期更新人审批人V2.0创立2012年4月备注：假设此文档需要日后更新，请创立人填写版本控制表格，否则删除版本控制表格。目录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章**、口令管理与认证授权22.1**管理*2用户**管理*2删除无关的***2**登录超时*3**密码错误自动锁定*42.2口令5口令复杂度52.3授权6远程维护的设备使用加密协议6第3章日志平安要求73.1日志效劳器7启用日志效劳器7配置远程日志效劳器73.2告警配置要求8配置对防火墙本身的攻击或内部错误告警8配置DOS和DDOS攻击告警9配置扫描攻击检测告警*93.3平安策略配置要求10访问规则列表最后一条必须是拒绝一切流量10配置访问规则应尽可能缩小范围11用户按照访问权限进展分组*11配置NAT地址转换*12关闭仅开启必要效劳13制止使用any

toanyall允许规则133.4攻击防护配置要求14配置应用层攻击防护*14配置网络扫描攻击防护*15限制ping包大小*15启用对带选项的IP包及畸形IP包的检测16第4章IP协议平安要求174.1管理IP限制17管理IP限制17第5章SNMP平安185.1SNMP管理18使用SNMPV2或以上版本185.2SNMP访问控制19访问控制19第6章评审与修订20-.z.概述目的本文档旨在指导系统管理人员进展Fortigate防火墙的平安配置。适用范围本配置标准的使用者包括：网络管理员、网络平安管理员、网络监控人员。适用版本Fortigate防火墙。实施例外条款**、口令管理与认证授权**管理*用户**管理*平安基线工程名称用户**管理平安基线要求项平安基线编号SBL-FortiFW-02-01-01平安基线项说明应按照用户分配**。防止不同用户间共享**。防止用户**和设备间通信使用的**共享。检测操作步骤参考配置操作使用命令showsystemadmin查看是否有多余**2、补充说明无。基线符合性判定依据判定条件用配置中没有的用户名去登录，结果是不能登录参考检测操作showsystemadmin删除**:Configsystemadmindelete<name_str>补充说明无。备注需要手工判定检测。删除无关的***平安基线工程名称无关的**平安基线要求项平安基线编号SBL-FortiFW-02-01-02平安基线项说明应删除或锁定与设备运行、维护等工作无关的**。检测操作步骤参考配置操作usrobjdel<name>补充操作说明使用usrobjlistadmin显示**信息。基线符合性判定依据判定条件配置中用户信息被删除。检测操作查看配置。补充说明无。备注需要手工判定检测，无关**更多属于管理层面，需要人为确认。**登录超时*平安基线工程名称**登录超时平安基线要求项平安基线编号SBL-FortiFW-02-01-03平安基线项说明配置定时**自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤参考配置操作设置超时时间为5分钟configsystemglobalsetadmintimeout52、补充说明无。基线符合性判定依据判定条件在超出设定时间后，用户自动登出设备。参考检测操作showsystemglobal补充说明无。备注需要手工检查**密码错误自动锁定*平安基线工程名称**密码错误自动锁定平安基线要求项平安基线编号SBL-FortiFW-02-01-04平安基线项说明在10次尝试登录失败后锁定**，不允许登录。解锁时间设置为300秒检测操作步骤参考配置操作设置尝试失败锁定次数为10次setadmin-lockout-threshold10setadmintimeout1setadmin-lockout-duration3002、补充说明无。基线符合性判定依据判定条件超出重试次数后**锁定，不允许登录，解锁时间到达后可以登录。参考检测操作showsystemglobal补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。口令口令复杂度平安基线工程名称口令复杂度平安基线要求项平安基线编号SBL-FortiFW-02-02-01平安基线项说明防火墙的**密码必须符合密码复杂度要求，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置一样的口令。密码应至少每90天进展更换。检测操作步骤参考配置操作configsystempassword-policysetstatusenablesetapply-to[admin-passwordipsec-preshared-key]setchange-4-charactersenablesete*pire90setminimum-length8setmust-contain[lower-case-letterUpper-case-letternon-alphanumeriumber]end2、补充说明密码长度要求8位，大小写字母和特殊字符混合，密码超时时间90天。基线符合性判定依据判定条件Showsystempassword-policy参考检测操作补充说明无。备注授权远程维护的设备使用加密协议平安基线工程名称远程维护使用加密协议平安基线要求项平安基线编号SBL-FortiFW-02-03-01平安基线项说明对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEB

SSL，如果只允许从防火墙内部进展管理，应该限定管理IP。检测操作步骤参考配置操作系统默认支持ssh及WEBSSL两种加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhostlist增加管理IPadminhostadd<ip>补充操作说明基线符合性判定依据判定条件只支持ssh及WebSSL管理，对于非允许的ip地址不能登陆。检测操作使用非允许的ip地址登陆。补充说明无。备注日志平安要求日志效劳器启用日志效劳器平安基线工程名称启用日志效劳器平安基线要求项平安基线编号SBL-FortiFW-03-01-01平安基线项说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志效劳器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤参考配置操作configlogsyslogdsettingsetstatusenableend补充操作说明基线符合性判定依据判定条件是否正确配置了相应的日志效劳器地址，日志效劳器正确记录了日志信息。参考检测操作Showlogsyslogdsetting补充说明无。备注配置远程日志效劳器平安基线工程名称配置远程日志效劳器平安基线要求项平安基线编号SBL-FortiFW-03-01-02平安基线项说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志效劳器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤1．参考配置操作configlogsyslogdsettingsetstatusenablesetserver***.***.***.***setport***end2．补充操作说明无。基线符合性判定依据判定条件是否正确配置了相应的日志效劳器地址，日志效劳器正确记录了日志信息。参考检测操作Showlogsyslogdsetting补充说明无。备注告警配置要求配置对防火墙本身的攻击或内部错误告警平安基线工程名称配置对防火墙本身的攻击或内部错误告警平安基线要求项平安基线编号SBL-FortiFW-03-02-01平安基线项说明设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。检测操作步骤参考配置操作参考日志配置模块基线符合性判定依据判定条件查看防火墙是否生成相应告警检测操作查看防火墙是否生成相应告警补充说明无。备注配置DOS和DDOS攻击告警平安基线工程名称配置DOS和DDOS攻击防护功能平安基线要求项平安基线编号SBL-FortiFW-03-02-02平安基线项说明可翻开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进展调整。维护人员可通过设置白方式屏蔽局部告警。检测操作步骤参考配置操作补充操作说明无。基线符合性判定依据判定条件查看是否已经将此功能翻开。检测操作查看配置。补充说明无。备注配置扫描攻击检测告警*平安基线工程名称配置扫描攻击检测告警平安基线要求项平安基线编号SBL-FortiFW-03-02-03平安基线项说明可翻开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进展调整。维护人员可通过设置白方式屏蔽局部网络扫描告警。检测操作步骤参考配置操作检测是否开启此功能补充操作说明无基线符合性判定依据判定条件无检测操作无补充说明无。备注需手工判定。平安策略配置要求访问规则列表最后一条必须是拒绝一切流量平安基线工程名称访问规则列表最后一条必须是拒绝一切流量平安基线要求项平安基线编号SBL-FortiFW-03-03-01平安基线项说明所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。检测操作步骤参考配置操作设备默认最后一条为拒绝所有其他。补充操作说明设备也支持主动建立制止一切的策略。基线符合性判定依据判定条件无。检测操作查看策略配置及测试访问。补充说明无。备注配置访问规则应尽可能缩小范围平安基线工程名称配置访问规则应尽可能缩小范围平安基线要求项平安基线编号SBL-FortiFW-03-03-02平安基线项说明在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。检测操作步骤参考配置操作根据实际访问需求，缩小地址范围。需要制止anytoanyall和anyall和效劳为all的规则。补充操作说明我们在防火墙上可以定义不同范围的地址对象，在策略中进展引用即可。如下命令用来建立不同范围的地址对象，供策略引用。基线符合性判定依据判定条件无。检测操作根据实际访问需求，测试是否到达要求；查看配置。补充说明无。备注VPN用户按照访问权限进展分组*平安基线工程名称VPN用户按照访问权限进展分组平安基线要求项平安基线编号SBL-FortiFW-03-03-03平安基线项说明对于VPN用户，必须按照其访问权限不同而进展分组，并在访问控制规则中对该组的访问权限进展严格限制。检测操作步骤参考配置操作policyadd<service><netfrom><netto><act>[options][toname]补充操作说明设备局部支持此项功能。基线符合性判定依据判定条件无。检测操作按照需求访问进展检测。补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。配置NAT地址转换*平安基线工程名称配置NAT地址转换平安基线要求项平安基线编号SBL-FortiFW-03-03-04平安基线项说明配置NAT，对公网隐藏局域网主机的实际地址。检测操作步骤参考配置操作检测是否启用NAT功能。补充操作说明无基线符合性判定依据判定条件无。检测操作从外网用NAT地址访问内网的IP补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。关闭仅开启必要效劳平安基线工程名称仅开启必要效劳平安基线要求项平安基线编号SBL-FortiFW-03-03-05平安基线项说明防火墙设备必须仅开启必要效劳。与生产无关的效劳端口不能开放规则。检测操作步骤参考配置操作policyadd<service><netfrom><netto><act>[options][toname]补充操作说明无基线符合性判定依据判定条件无。检测操作查看策略，检查是否有不必要的效劳Policylist补充说明无。备注制止使用any

toanyall允许规则平安基线工程名称尽量不允许使用any

toany平安基线要求项平安基线编号SBL-FortiFW-03-03-06平安基线项说明防火墙策略配置时不允许使用any

toanyall允许规则，对于从防火墙内部到外部的访问也应指定策略;应定期的对防火墙策略进展检查和梳理检测操作步骤参考配置操作查看访问控制策略policylist配置防火墙策略policyadd<service><netfrom><netto><act>[options][toname]补充操作说明无基线符合性判定依据判定条件无检测操作policylist补充说明无。备注攻击防护配置要求配置应用层攻击防护*平安基线工程名称配置应用层攻击防护平安基线要求项平安基线编号SBL-FortiFW-03-04-01平安基线项说明建议采用防火墙自带的入侵检测模块对应用层攻击进展防护检测操作步骤参考配置操作enable[level]其中级别如下，建议采用默认级别10-disable1-duplicatepass-policymatchedpackets,2-duplicatemorepass-policymatchedpackets3-duplicateallpackets补充操作说明无。基线符合性判定依据判定条件查看是否已经将此功能翻开。检测操作查看配置。补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。配置网络扫描攻击防护*平安基线工程名称配置网络扫描攻击防护平安基线要求项平安基线编号SBL-FortiFW-03-04-02平安基线项说明建议采用防火墙自带的入侵检测模块对网络扫描攻击行为进展检测检测操作步骤参考配置操作启用流探测功能模块：选择启用即可补充操作说明无。基线符合性判定依据判定条件查看是否已经将此功能翻开。检测操作查看配置。补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。限制ping包大小*平安基线工程名称限制ping包大小平安基线要求项平安基线编号SBL-FortiFW-03-04-03平安基线项说明限制ping包的大小，以及一段时间内同一主机发送的次数。检测操作步骤参考配置操作补充操作说明局部功能实现。基线符合性判定依据判定条件无。检测操作查看配置；需求测试。补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。启用对带选项的IP包及畸形IP包的检测平安基线工程名称启用对带选项的IP包及畸形IP包的检测平安基线要求项平安基线编号SBL-FortiFW-03-04-04平安基线项说明启用对带选项的IP包及畸形IP包的检测检测操作步骤参考配置操作antisetfragon补充操作说明无。基线符合性判定依据判定条件查看是否已经将此功能翻开。检测操作查看配置。补充说明无。备注IP协议平安要求管理IP限制管理IP限制平安基线工程名称管理IP限制平安基线要求项平安基线编号SBL-FortiFW-04-01-01平安基线项说明系统远程管理效劳TELNET、SSH默认可以承受任何地址的连接，出于平安考虑，应该只允许特定地址访问。检测操作步骤1、参考配置操作ConfigsystemadminEdit<name_str>Settrusthost1***.***.***.******.***.***.***Settrusthost2***.***.***.******.***.***