Huawei防火墙安全配置基线.docx
《Huawei防火墙安全配置基线.docx》由会员分享,可在线阅读,更多相关《Huawei防火墙安全配置基线.docx(29页珍藏版)》请在冰豆网上搜索。
Huawei防火墙安全配置基线
Huawei防火墙安全配置基线
XXXXXX
版本
版本控制信息
更新日期
更新人
审批人
V2.0
创建
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
2.
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
1.4实施1
1.5例外条款1
第2章帐号管理、认证授权安全要求2
2.1帐号管理2
2.1.1用户帐号分配*2
2.1.2删除无关的帐号*2
2.1.3帐户登录超时*3
2.1.4帐户密码错误自动锁定*4
2.2口令5
2.2.1口令复杂度要求5
2.3授权5
2.3.1远程维护的设备使用加密协议5
第3章日志及配置安全要求7
3.1日志安全7
3.1.1记录用户对设备的操作7
3.1.2记录与设备相关的安全事件7
3.1.3开启记录NAT日志8
3.1.4配置记录流量日志9
3.1.5配置日志容量告警阈值9
3.2告警配置要求10
3.2.1配置对防火墙本身的攻击或内部错误告警10
3.2.2配置TCP/IP协议网络层异常报文攻击告警10
3.2.3配置DOS和DDOS攻击告警11
3.2.4配置关键字内容过滤功能告警*12
3.3安全策略配置要求12
3.3.1访问规则列表最后一条必须是拒绝一切流量12
3.3.2配置访问规则应尽可能缩小范围13
3.3.3访问规则进行分组*13
3.3.4配置NAT地址转换14
3.3.5隐藏防火墙字符管理界面的bannner信息15
3.3.6关闭非必要服务15
3.4攻击防护配置要求16
3.4.1拒绝常见漏洞所对应端口或者服务的访问16
3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能*17
3.4.3限制ICMP包大小*17
第4章IP协议安全要求19
4.1功能配置19
4.1.1使用SNMPV2或V3版本对防火墙远程管理19
第5章其他安全要求21
5.1其他安全配置21
5.1.1外网口地址关闭对ping包的回应21
5.1.2对防火墙的管理地址做源地址限制21
5.1.3配置consol口密码保护功能22
第6章评审与修订24
第1章概述
第2章
2.1目的
2.2
本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。
2.3适用范围
2.4
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:
XXXXXX总部和各省公司信息化部门维护管理的Huawei防火墙。
2.5适用版本
2.6
Huawei防火墙。
2.7实施
2.8
本标准的解释权和修改权属于XXXXXX集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
2.9例外条款
2.10
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交XXXXXX通信有限公司管理信息系统部进行审批备案。
第3章帐号管理、认证授权安全要求
第4章
4.1帐号管理
4.2
4.2.1用户帐号分配*
安全基线项目名称
用户帐号分配安全基线要求项
安全基线编号
SBL-HuaweiFW-02-01-01
安全基线项说明
不同等级管理员分配不同帐号,避免帐号混用。
检测操作步骤
1.参考配置操作
2.
查看帐号配置,确认帐号是否区分管理员及权限。
3.补充操作说明
4.
前两个用户为系统默认建立的帐号。
基线符合性判定依据
1.判定条件
2.
用配置中没有的用户名去登录,结果是不能登录。
3.检测操作
4.
在图形界面登陆
5.补充说明
6.
无。
备注
有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。
4.2.2删除无关的帐号*
安全基线项目名称
无关的帐号安全基线要求项
安全基线编号
SBL-HuaweiFW-02-01-02
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的帐号。
检测操作步骤
1.参考配置操作
2.
usrdel
3.补充操作说明
4.
基线符合性判定依据
1.判定条件
2.
配置中用户信息被删除。
3.检测操作
4.
查看配置。
5.补充说明
6.
无。
备注
建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。
4.2.3帐户登录超时*
安全基线项目名称
帐户登录超时安全基线要求项
安全基线编号
SBL-HuaweiFW-02-01-03
安全基线项说明
配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需再次登录才能进入系统。
检测操作步骤
1、参考配置操作
2、
设置超时时间为5分钟
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
在超出设定时间后,用户自动登出设备。
3.参考检测操作
4.
5.补充说明
6.
无。
备注
需要手工检查。
4.2.4帐户密码错误自动锁定*
安全基线项目名称
帐户密码错误自动锁定安全基线要求项
安全基线编号
SBL-HuaweiFW-02-01-04
安全基线项说明
在10次尝试登录失败后锁定帐户,不允许登录。
解锁时间设置为300秒
检测操作步骤
1、参考配置操作
2、
设置尝试失败锁定次数为10次
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。
3.参考检测操作
4.
5.补充说明
6.
无。
备注
需要手工检查
4.3
口令
4.4
4.4.1口令复杂度要求
安全基线项目名称
口令复杂度要求安全基线要求项
安全基线编号
SBL-HuaweiFW-02-02-01
安全基线项说明
防火墙管理员帐号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1.参考配置操作
2.
Disusr回车,输入密码。
3.补充操作说明
4.
口令字符不完全符合要求。
基线符合性判定依据
1.判定条件
2.
该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。
3.检测操作
4.
实验性建立帐户信息。
5.补充说明
6.
无。
备注
4.5授权
4.6
4.6.1远程维护的设备使用加密协议
安全基线项目名称
远程维护使用加密协议安全基线要求项
安全基线编号
SBL-HuaweiFW-02-03-01
安全基线项说明
对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH,如果只允许从防火墙内部进行管理,应该限定管理IP。
检测操作步骤
1.参考配置操作
2.
系统默认支持ssh加密管理方式,查看及增加管理IP操作如下:
查看管理IP
3.补充操作说明
基线符合性判定依据
1.判定条件
2.
只支持ssh管理,对于非允许的ip地址不能登陆。
3.检测操作
4.
使用非允许的ip地址登陆。
5.补充说明
6.
无。
备注
第5章日志及配置安全要求
第6章
6.1日志安全
6.2
6.2.1记录用户对设备的操作
安全基线项目名称
用户对设备记录安全基线要求项
安全基线编号
SBL-HuaweiFW-03-01-01
安全基线项说明
防火墙管理员的操作必须被记录日志,如登录信息,修改为管理员组操作。
帐号解锁等信息
检测操作步骤
1、参考配置操作
info-centerenable
2、补充操作说明
在系统模式下进行操作。
基线符合性判定依据
1.判定条件
2.
在日志缓存上正确记录了日志信息。
3.检测操作
4.
displaylogbuffer
5.补充说明
6.
无。
备注
6.2.2记录与设备相关的安全事件
安全基线项目名称
记录与设备相关安全事件安全基线要求项
安全基线编号
SBL-HuaweiFW-03-01-02
安全基线项说明
设备应配置日志功能,记录对与防火墙设备自身相关的安全事件。
检测操作步骤
1、参考配置操作
info-centerenable
2、补充操作说明
在系统模式下进行操作。
基线符合性判定依据
1.判定条件
2.
在日志缓存上正确记录了日志信息。
3.检测操作
4.
displaylogbuffer
5.补充说明
6.
无。
备注
6.2.3开启记录NAT日志
安全基线项目名称
开启记录NAT日志安全基线要求项
安全基线编号
SBL-HuaweiFW-03-01-03
安全基线项说明
设备应配置NAT日志纪录功能,记录转换前后IP地址的对应关系。
防火墙如果开启vpn功能,应配置记录vpn日志记录功能,记录vpn访问登陆、退出等信息。
检测操作步骤
1、参考配置操作
Sessionlogenableacl-number2000outbound
Firewalllsessionlog-typebinaryhost1192.168.0.19002
2、补充操作说明
Sessionlogenableacl-numeber在域间配置
Firewallsessionlog-typebinary在全局模式下配置,需要指明是第几个host,同时还要指定端口号
基线符合性判定依据
1.判定条件
2.
在日志服务器上正确记录了日志信息。
3.补充说明
4.
无。
备注
6.2.4配置记录流量日志
安全基线项目名称
配置记录流量日志安全基线要求项
安全基线编号
SBL-HuaweiFW-03-01-04
安全基线项说明
设备应配置流量日志纪录功能
检测操作步骤
1、参考配置操作
Sessionlogenableacl-number2000outbound
Firewalllsessionlog-typebinaryhost1192.168.0.19002
2、补充操作说明
Sessionlogenableacl-numeber在域间配置
Firewallsessionlog-typebinary在全局模式下配置
基线符合性判定依据
1.判定条件
2.
在日志服务器上正确记录了日志信息。
3.补充说明
4.
无。
备注
6.2.5配置日志容量告警阈值
安全基线项目名称
配置日志容量告警阈值安全基线要求项
安全基线编号
SBL-HuaweiFW-03-01-05
安全基线项说明
在防火墙设备的日志容量达到75%时,防火墙可产生告警。
并且有专门的程序将日志导出到专门的日志服务器。
检测操作步骤
1、参考配置操作
Sessionlogenableacl-number2000outbound