收藏
下载资源下载资源 加入VIP,免费下载

Huawei防火墙安全配置基线.docx

上传人:b****2 文档编号:1843082 上传时间:2022-10-24 格式:DOCX 页数:29 大小:25.44KB
下载 相关 举报
Huawei防火墙安全配置基线.docx_第1页
第1页 / 共29页
Huawei防火墙安全配置基线.docx_第2页
第2页 / 共29页
Huawei防火墙安全配置基线.docx_第3页
第3页 / 共29页
Huawei防火墙安全配置基线.docx_第4页
第4页 / 共29页
Huawei防火墙安全配置基线.docx_第5页
第5页 / 共29页
点击查看更多>>
下载资源
资源描述

Huawei防火墙安全配置基线.docx

《Huawei防火墙安全配置基线.docx》由会员分享,可在线阅读,更多相关《Huawei防火墙安全配置基线.docx(29页珍藏版)》请在冰豆网上搜索。

Huawei防火墙安全配置基线.docx

Huawei防火墙安全配置基线

 

Huawei防火墙安全配置基线

 

XXXXXX

版本

版本控制信息

更新日期

更新人

审批人

V2.0

创建

备注:

1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

2.

 

第1章概述1

1.1目的1

1.2适用范围1

1.3适用版本1

1.4实施1

1.5例外条款1

第2章帐号管理、认证授权安全要求2

2.1帐号管理2

2.1.1用户帐号分配*2

2.1.2删除无关的帐号*2

2.1.3帐户登录超时*3

2.1.4帐户密码错误自动锁定*4

2.2口令5

2.2.1口令复杂度要求5

2.3授权5

2.3.1远程维护的设备使用加密协议5

第3章日志及配置安全要求7

3.1日志安全7

3.1.1记录用户对设备的操作7

3.1.2记录与设备相关的安全事件7

3.1.3开启记录NAT日志8

3.1.4配置记录流量日志9

3.1.5配置日志容量告警阈值9

3.2告警配置要求10

3.2.1配置对防火墙本身的攻击或内部错误告警10

3.2.2配置TCP/IP协议网络层异常报文攻击告警10

3.2.3配置DOS和DDOS攻击告警11

3.2.4配置关键字内容过滤功能告警*12

3.3安全策略配置要求12

3.3.1访问规则列表最后一条必须是拒绝一切流量12

3.3.2配置访问规则应尽可能缩小范围13

3.3.3访问规则进行分组*13

3.3.4配置NAT地址转换14

3.3.5隐藏防火墙字符管理界面的bannner信息15

3.3.6关闭非必要服务15

3.4攻击防护配置要求16

3.4.1拒绝常见漏洞所对应端口或者服务的访问16

3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能*17

3.4.3限制ICMP包大小*17

第4章IP协议安全要求19

4.1功能配置19

4.1.1使用SNMPV2或V3版本对防火墙远程管理19

第5章其他安全要求21

5.1其他安全配置21

5.1.1外网口地址关闭对ping包的回应21

5.1.2对防火墙的管理地址做源地址限制21

5.1.3配置consol口密码保护功能22

第6章评审与修订24

第1章概述

第2章

2.1目的

2.2

本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。

2.3适用范围

2.4

本配置标准的使用者包括:

网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括:

XXXXXX总部和各省公司信息化部门维护管理的Huawei防火墙。

2.5适用版本

2.6

Huawei防火墙。

2.7实施

2.8

本标准的解释权和修改权属于XXXXXX集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。

本标准发布之日起生效。

2.9例外条款

2.10

欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交XXXXXX通信有限公司管理信息系统部进行审批备案。

第3章帐号管理、认证授权安全要求

第4章

4.1帐号管理

4.2

4.2.1用户帐号分配*

安全基线项目名称

用户帐号分配安全基线要求项

安全基线编号

SBL-HuaweiFW-02-01-01

安全基线项说明

不同等级管理员分配不同帐号,避免帐号混用。

检测操作步骤

1.参考配置操作

2.

查看帐号配置,确认帐号是否区分管理员及权限。

3.补充操作说明

4.

前两个用户为系统默认建立的帐号。

基线符合性判定依据

1.判定条件

2.

用配置中没有的用户名去登录,结果是不能登录。

3.检测操作

4.

在图形界面登陆

5.补充说明

6.

无。

备注

有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。

4.2.2删除无关的帐号*

安全基线项目名称

无关的帐号安全基线要求项

安全基线编号

SBL-HuaweiFW-02-01-02

安全基线项说明

应删除或锁定与设备运行、维护等工作无关的帐号。

检测操作步骤

1.参考配置操作

2.

usrdel

3.补充操作说明

4.

基线符合性判定依据

1.判定条件

2.

配置中用户信息被删除。

3.检测操作

4.

查看配置。

5.补充说明

6.

无。

备注

建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。

4.2.3帐户登录超时*

安全基线项目名称

帐户登录超时安全基线要求项

安全基线编号

SBL-HuaweiFW-02-01-03

安全基线项说明

配置定时帐户自动登出,空闲5分钟自动登出。

登出后用户需再次登录才能进入系统。

检测操作步骤

1、参考配置操作

2、

设置超时时间为5分钟

 

2、补充说明

无。

基线符合性判定依据

1.判定条件

2.

在超出设定时间后,用户自动登出设备。

3.参考检测操作

4.

 

5.补充说明

6.

无。

备注

需要手工检查。

4.2.4帐户密码错误自动锁定*

安全基线项目名称

帐户密码错误自动锁定安全基线要求项

安全基线编号

SBL-HuaweiFW-02-01-04

安全基线项说明

在10次尝试登录失败后锁定帐户,不允许登录。

解锁时间设置为300秒

检测操作步骤

1、参考配置操作

2、

设置尝试失败锁定次数为10次

 

2、补充说明

无。

基线符合性判定依据

1.判定条件

2.

超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。

3.参考检测操作

4.

 

5.补充说明

6.

无。

备注

需要手工检查

4.3

口令

4.4

4.4.1口令复杂度要求

安全基线项目名称

口令复杂度要求安全基线要求项

安全基线编号

SBL-HuaweiFW-02-02-01

安全基线项说明

防火墙管理员帐号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

检测操作步骤

1.参考配置操作

2.

Disusr回车,输入密码。

3.补充操作说明

4.

口令字符不完全符合要求。

基线符合性判定依据

1.判定条件

2.

该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。

3.检测操作

4.

实验性建立帐户信息。

5.补充说明

6.

无。

备注

4.5授权

4.6

4.6.1远程维护的设备使用加密协议

安全基线项目名称

远程维护使用加密协议安全基线要求项

安全基线编号

SBL-HuaweiFW-02-03-01

安全基线项说明

对于防火墙远程管理的配置,必须是基于加密的协议。

如SSH,如果只允许从防火墙内部进行管理,应该限定管理IP。

检测操作步骤

1.参考配置操作

2.

系统默认支持ssh加密管理方式,查看及增加管理IP操作如下:

查看管理IP

3.补充操作说明

基线符合性判定依据

1.判定条件

2.

只支持ssh管理,对于非允许的ip地址不能登陆。

3.检测操作

4.

使用非允许的ip地址登陆。

5.补充说明

6.

无。

备注

第5章日志及配置安全要求

第6章

6.1日志安全

6.2

6.2.1记录用户对设备的操作

安全基线项目名称

用户对设备记录安全基线要求项

安全基线编号

SBL-HuaweiFW-03-01-01

安全基线项说明

防火墙管理员的操作必须被记录日志,如登录信息,修改为管理员组操作。

帐号解锁等信息

检测操作步骤

1、参考配置操作

info-centerenable

2、补充操作说明

在系统模式下进行操作。

基线符合性判定依据

1.判定条件

2.

在日志缓存上正确记录了日志信息。

3.检测操作

4.

displaylogbuffer

5.补充说明

6.

无。

备注

6.2.2记录与设备相关的安全事件

安全基线项目名称

记录与设备相关安全事件安全基线要求项

安全基线编号

SBL-HuaweiFW-03-01-02

安全基线项说明

设备应配置日志功能,记录对与防火墙设备自身相关的安全事件。

检测操作步骤

1、参考配置操作

info-centerenable

2、补充操作说明

在系统模式下进行操作。

基线符合性判定依据

1.判定条件

2.

在日志缓存上正确记录了日志信息。

3.检测操作

4.

displaylogbuffer

5.补充说明

6.

无。

备注

6.2.3开启记录NAT日志

安全基线项目名称

开启记录NAT日志安全基线要求项

安全基线编号

SBL-HuaweiFW-03-01-03

安全基线项说明

设备应配置NAT日志纪录功能,记录转换前后IP地址的对应关系。

防火墙如果开启vpn功能,应配置记录vpn日志记录功能,记录vpn访问登陆、退出等信息。

检测操作步骤

1、参考配置操作

Sessionlogenableacl-number2000outbound

Firewalllsessionlog-typebinaryhost1192.168.0.19002

2、补充操作说明

Sessionlogenableacl-numeber在域间配置

Firewallsessionlog-typebinary在全局模式下配置,需要指明是第几个host,同时还要指定端口号

基线符合性判定依据

1.判定条件

2.

在日志服务器上正确记录了日志信息。

3.补充说明

4.

无。

备注

6.2.4配置记录流量日志

安全基线项目名称

配置记录流量日志安全基线要求项

安全基线编号

SBL-HuaweiFW-03-01-04

安全基线项说明

设备应配置流量日志纪录功能

检测操作步骤

1、参考配置操作

Sessionlogenableacl-number2000outbound

Firewalllsessionlog-typebinaryhost1192.168.0.19002

2、补充操作说明

Sessionlogenableacl-numeber在域间配置

Firewallsessionlog-typebinary在全局模式下配置

基线符合性判定依据

1.判定条件

2.

在日志服务器上正确记录了日志信息。

3.补充说明

4.

无。

备注

6.2.5配置日志容量告警阈值

安全基线项目名称

配置日志容量告警阈值安全基线要求项

安全基线编号

SBL-HuaweiFW-03-01-05

安全基线项说明

在防火墙设备的日志容量达到75%时,防火墙可产生告警。

并且有专门的程序将日志导出到专门的日志服务器。

检测操作步骤

1、参考配置操作

Sessionlogenableacl-number2000outbound

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 初中教育 > 科学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1