安氏防火墙安全配置基线.docx
《安氏防火墙安全配置基线.docx》由会员分享,可在线阅读,更多相关《安氏防火墙安全配置基线.docx(28页珍藏版)》请在冰豆网上搜索。
安氏防火墙安全配置基线
安氏防火墙安全配置基线
版本
版本控制信息
更新日期
更新人
审批人
V2.0
创建
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
1.4实施1
1.5例外条款1
第2章账号管理、认证授权安全要求2
2.1账号管理2
2.1.1用户账号分配*2
2.1.2删除无关的账号*2
2.1.3帐户登录超时*3
2.1.4帐户密码错误自动锁定*4
2.2口令4
2.2.1口令复杂度要求4
2.3授权5
2.3.1远程维护的设备使用加密协议5
第3章日志及配置安全要求6
3.1日志安全6
3.1.1对用户登录进行记录6
3.1.2记录与设备相关的安全事件7
3.1.3配置设备远程日志功能8
3.2告警配置要求9
3.2.1配置对防火墙本身的攻击或内部错误告警9
3.2.2配置DOS和DDOS攻击告警10
3.2.3配置扫描攻击检测告警*11
3.3安全策略配置要求11
3.3.1访问规则列表最后一条必须是拒绝一切流量11
3.3.2配置访问规则应尽可能缩小范围12
3.3.3VPN用户按照访问权限进行分组*13
3.3.4配置NAT地址转换*13
3.3.5关闭仅开启必要服务14
3.3.6禁止使用any toanyall允许规则15
3.4攻击防护配置要求15
3.4.1配置应用层攻击防护*15
3.4.2配置网络扫描攻击防护*16
3.4.3限制ping包大小*17
3.4.4启用对带选项的IP包及畸形IP包的检测18
3.4.5防火墙各逻辑接口配置开启防源地址欺骗功能18
第4章IP协议安全要求19
4.1IP协议19
4.1.1使用SNMPV2或者V3以上的版本对防火墙远程管理19
第5章其他安全要求21
5.1其他安全配置21
5.1.1配置定时账户自动登出21
5.1.2配置consol口密码保护功能21
第6章评审与修订23
第1章概述
1.1目的
本文档旨在指导系统管理人员进行安氏防火墙的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
安氏防火墙。
1.4实施
1.5例外条款
第2章账号管理、认证授权安全要求
2.1账号管理
2.1.1用户账号分配*
安全基线项目名称
用户账号分配安全基线要求项
安全基线编号
SBL-LinkTrustFW-02-01-01
安全基线项说明
不同等级管理员分配不同账号,避免账号混用。
检测操作步骤
1.参考配置操作
usrobjpasswdpadminNNtEDJuo3qa28
usrobjpasswdpguestfyRW3nLH7ywPl
usrobjaddadminppasswd""
2.补充操作说明
前两个用户为系统默认建立的帐号。
基线符合性判定依据
1.判定条件
用配置中没有的用户名去登录,结果是不能登录。
2.检测操作
在图形界面登陆
3.补充说明
无。
备注
有些防火墙系统本身就携带三种不同权限的账号,需要手工检查。
2.1.2删除无关的账号*
安全基线项目名称
无关的账号安全基线要求项
安全基线编号
SBL-LinkTrustFW-02-01-02
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的账号。
检测操作步骤
1.参考配置操作
usrobjdel
2.补充操作说明
使用usrobjlistadmin显示帐户信息。
基线符合性判定依据
1.判定条件
配置中用户信息被删除。
2.检测操作
查看配置。
3.补充说明
无。
备注
建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。
2.1.3帐户登录超时*
安全基线项目名称
帐户登录超时安全基线要求项
安全基线编号
SBL-LinkTrustFW-02-01-03
安全基线项说明
配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需再次登录才能进入系统。
检测操作步骤
1、参考配置操作
设置超时时间为5分钟
2、补充说明
无。
基线符合性判定依据
1.判定条件
在超出设定时间后,用户自动登出设备。
2.参考检测操作
3.补充说明
无。
备注
需要手工检查。
2.1.4帐户密码错误自动锁定*
安全基线项目名称
帐户密码错误自动锁定安全基线要求项
安全基线编号
SBL-LinkTrustFW-02-01-04
安全基线项说明
在10次尝试登录失败后锁定帐户,不允许登录。
解锁时间设置为300秒
检测操作步骤
1、参考配置操作
设置尝试失败锁定次数为10次
2、补充说明
无。
基线符合性判定依据
1.判定条件
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。
2.参考检测操作
3.补充说明
无。
备注
注意!
此项设置会影响性能,建议设置后对访问此设备做源地址做限制。
需要手工检查。
2.2口令
2.2.1口令复杂度要求
安全基线项目名称
口令复杂度要求安全基线要求项
安全基线编号
SBL-LinkTrustFW-02-02-01
安全基线项说明
防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1.参考配置操作
usrobjaddadminp回车,输入密码。
2.补充操作说明
口令字符不完全符合要求。
基线符合性判定依据
1.判定条件
该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。
2.检测操作
实验性建立帐户信息。
3.补充说明
无。
备注
2.3授权
2.3.1远程维护的设备使用加密协议
安全基线项目名称
远程维护使用加密协议安全基线要求项
安全基线编号
SBL-LinkTrustFW-02-03-01
安全基线项说明
对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH或者WEB SSL,如果只允许从防火墙内部进行管理,应该限定管理IP。
检测操作步骤
1.参考配置操作
系统默认支持ssh及WEBSSL两种加密管理方式,查看及增加管理IP操作如下:
查看管理IP
adminhostlist
增加管理IP
adminhostadd
2.补充操作说明
基线符合性判定依据
1.判定条件
只支持ssh及WebSSL管理,对于非允许的ip地址不能登陆。
2.检测操作
使用非允许的ip地址登陆。
3.补充说明
无。
备注
第3章日志及配置安全要求
3.1日志安全
3.1.1对用户登录进行记录
安全基线项目名称
用户登录进行记录安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-01-01
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
1.参考配置操作
logpolicyaddanfcHTSORhPIi>0..7>mbyse>
2.补充操作说明
anfcHTSORhPIi>:
系统(以字母a表示)
NAT(以字母n表示)
包过滤(以字母f表示)
连接状态(以字母c表示)
HTTP代理(以字母H表示)
TELNET代理(以字母T表示)
SMTP代理(以字母S表示)
POP3代理(以字母O表示)
事前认证(以字母R表示)
双机热备(以字母h表示)
VPNPPP协议(以字母P表示)
VPNIPSec协议(以字母I表示)
流探测(以字母i表示)
mbyse>:
指日志处理方式,mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等,用户可根据需要选择。
基线符合性判定依据
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
备注
3.1.2记录与设备相关的安全事件
安全基线项目名称
记录与设备相关安全事件安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-01-02
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
1.参考配置操作
logpolicyaddanfcHTSORhPIi>0..7>mbyse>
2.补充操作说明
anfcHTSORhPIi>:
系统(以字母a表示)
NAT(以字母n表示)
包过滤(以字母f表示)
连接状态(以字母c表示)
HTTP代理(以字母H表示)
TELNET代理(以字母T表示)
SMTP代理(以字母S表示)
POP3代理(以字母O表示)
事前认证(以字母R表示)
双机热备(以字母h表示)
VPNPPP协议(以字母P表示)
VPNIPSec协议(以字母I表示)
流探测(以字母i表示)
mbyse>:
指日志处理方式,mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等,用户可根据需要选择。
基线符合性判定依据
1.判定条件
在设备上正确纪录了日志信息。
2.检测操作
查看日志模块。
3.补充说明
无。
备注
3.1.3配置设备远程日志功能
安全基线项目名称
配置设备远程日志功能安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-01-03
安全基线项说明
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
建议将Warning级别(4级)以上日志传送到志服务器和统一的安全管理平台处理。
检测操作步骤
1.参考配置操作
loghostadd设备
logpolicyaddanfcHTSORhPIi>0..7>mbyse>
其中0:
EMERGENCY
1:
ALERT
2:
CRITICAL
3:
ERROR
4:
WARNING
5:
NOTICE
6:
INFO
7:
DEBUG
2.补充操作说明
可以设置发送的日志服务器IP地址。
基线符合性判定依据
1.判定条件
日志服务器上是否接收到了正确的日志信息。
2.检测操作
在日志服务器上查看信息。
3.补充说明
无。
备注
3.2告警配置要求
3.2.1配置对防火墙本身的攻击或内部错误告警
安全基线项目名称
配置对防火墙本身的攻击或内部错误告警安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-02-01
安全基线项说明
设备应具备向管理员告警的功能,配置告警功能,报告对防火墙本身的攻击或者防火墙的系统严重错误。
检测操作步骤
1.参考配置操作
参考日志配置模块,如下:
logpolicyaddanfcHTSORhPIi>0..7>mbyse>
2.补充操作说明
设备只支持纪录部分关键操作。
anfcHTSORhPIi>:
系统(以字母a表示)
NAT(以字母n表示)
包过滤(以字母f表示)
连接状态(以字母c表示)
HTTP代理(以字母H表示)
TELNET代理(以字母T表示)
SMTP代理(以字母S表示)
POP3代理(以字母O表示)
事前认证(以字母R表示)
双机热备(以字母h表示)
VPNPPP协议(以字母P表示)
VPNIPSec协议(以字母I表示)
流探测(以字母i表示)
mbyse>:
指日志处理方式,mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等,用户可根据需要选择。
基线符合性判定依据
1.判定条件
查看防火墙是否生成相应告警
2.检测操作
查看防火墙是否生成相应告警
3.补充说明
无。
备注
3.2.2配置DOS和DDOS攻击告警
安全基线项目名称
配置DOS和DDOS攻击防护功能安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-02-02
安全基线项说明
可打开DOS和DDOS攻击防护功能。
对攻击告警。
DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。
维护人员可通过设置白名单方式屏蔽部分告警。
检测操作步骤
1.参考配置操作
antidossetsynflood
antidossetlandon
antidossetsmurfon
antisetfragon
antidosseticmpmax<2-10000|on>
antidossetudpmax<50-100000|on>
blockshortipon
blockipoptionson
2.补充操作说明
无。
基线符合性判定依据
3.判定条件
查看是否已经将此功能打开。
4.检测操作
查看配置。
5.补充说明
无。
备注
3.2.3配置扫描攻击检测告警*
安全基线项目名称
配置扫描攻击检测告警安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-02-03
安全基线项说明
可打开扫描攻击检测功能。
对扫描探测告警。
扫描攻击告警的参数可由维护人员根据网络环境进行调整。
维护人员可通过设置白名单方式屏蔽部分网络扫描告警。
检测操作步骤
1.参考配置操作
可参考“安全要求-设备-防火墙-配置-43”
2.补充操作说明
无
基线符合性判定依据
1.判定条件
无
2.检测操作
无
3.补充说明
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.3安全策略配置要求
3.3.1访问规则列表最后一条必须是拒绝一切流量
安全基线项目名称
访问规则列表最后一条必须是拒绝一切流量安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-03-01
安全基线项说明
所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。
检测操作步骤
1.参考配置操作
设备默认最后一条为拒绝所有其他。
2.补充操作说明
设备也支持主动建立禁止一切的策略。
基线符合性判定依据
1.判定条件
无。
2.检测操作
查看策略配置及测试访问。
3.补充说明
无。
备注
3.3.2配置访问规则应尽可能缩小范围
安全基线项目名称
配置访问规则应尽可能缩小范围安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-03-02
安全基线项说明
在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围。
检测操作步骤
1.参考配置操作
根据实际访问需求,缩小地址范围。
需要禁止anytoanyall和anyall和服务为all的规则。
2.补充操作说明
我们在防火墙上可以定义不同范围的地址对象,在策略中进行引用即可。
如下命令用来建立不同范围的地址对象,供策略引用。
netobjhostadd
netobjadd
netobjaddstd
netobjaddipr
netobjaddifr
netobjaddznr
基线符合性判定依据
1.判定条件
无。
2.检测操作
根据实际访问需求,测试是否达到要求;查看配置。
3.补充说明
无。
备注
3.3.3VPN用户按照访问权限进行分组*
安全基线项目名称
VPN用户按照访问权限进行分组安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-03-03
安全基线项说明
对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
检测操作步骤
1.参考配置操作
vpndialupuseradd[ip/mask]
policyadd[options][toname]
2.补充操作说明
设备部分支持此项功能。
基线符合性判定依据
1.判定条件
无。
2.检测操作
按照需求访问进行检测。
3.补充说明
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.3.4配置NAT地址转换*
安全基线项目名称
配置NAT地址转换安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-03-04
安全基线项说明
配置NAT,对公网隐藏局域网主机的实际地址。
检测操作步骤
1.参考配置操作
nat11add[interface]
2.补充操作说明
无
基线符合性判定依据
1.判定条件
无。
2.检测操作
从外网用NAT地址访问内网的IP
3.补充说明
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.3.5关闭仅开启必要服务
安全基线项目名称
仅开启必要服务安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-03-05
安全基线项说明
防火墙设备必须仅开启必要服务。
与生产无关的服务端口不能开放规则。
检测操作步骤
1.参考配置操作
policyadd[options][toname]
2.补充操作说明
无
基线符合性判定依据
1.判定条件
无。
2.检测操作
查看策略,检查是否有不必要的服务
Policylist
3.补充说明
无。
备注
3.3.6禁止使用any toanyall允许规则
安全基线项目名称
尽量不允许使用any toany安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-03-06
安全基线项说明
防火墙策略配置时不允许使用any toanyall允许规则,对于从防火墙内部到外部的访问也应指定策略;应定期的对防火墙策略进行检查和梳理
检测操作步骤
1.参考配置操作
查看访问控制策略
policylist
配置防火墙策略
policyadd[options][toname]
2.补充操作说明
无
基线符合性判定依据
1.判定条件
无
2.检测操作
policylist
3.补充说明
无。
备注
3.4攻击防护配置要求
3.4.1配置应用层攻击防护*
安全基线项目名称
配置应用层攻击防护安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-04-01
安全基线项说明
建议采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进行防护
检测操作步骤
1.参考配置操作
smartproenable[level]
其中级别如下,建议采用默认级别1
0-disable
1-duplicatepass-policymatchedpackets,
2-duplicatemorepass-policymatchedpackets
3-duplicateallpackets
2.补充操作说明
无。
基线符合性判定依据
1.判定条件
查看是否已经将此功能打开。
2.检测操作
查看配置。
3.补充说明
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.4.2配置网络扫描攻击防护*
安全基线项目名称
配置网络扫描攻击防护安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-04-02
安全基线项说明
建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描攻击行为进行检测
检测操作步骤
1.参考配置操作
启用流探测功能模块:
smartproenable[level]
其中级别如下,建议采用默认级别1
0-disable
1-duplicatepass-policymatchedpackets,
2-duplicatemorepass-policymatchedpackets
3-duplicateallpackets
通过WEB管理界面选择需要检测的扫描攻击行为的list,如下图:
选择启用即可
2.补充操作说明
无。
基线符合性判定依据
1.判定条件
查看是否已经将此功能打开。
2.检测操作
查看配置。
3.补充说明
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.4.3限制ping包大小*
安全基线项目名称
限制ping包大小安全基线要求项
安全基线编号
SBL-LinkTrustFW-03-04-03
安全基线项说明
限制ping包的大小,以及一段时间内同一主机发送的次数