防火墙安全配置基线.docx
《防火墙安全配置基线.docx》由会员分享,可在线阅读,更多相关《防火墙安全配置基线.docx(27页珍藏版)》请在冰豆网上搜索。
防火墙安全配置基线
H3C防火墙安全配置基线
版本
版本控制信息
更新日期
更新人
审批人
创建
2012年4
月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表
第1章概述
1.1目的
本文档旨在指导系统管理人员进行H3C防火墙的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
H3C防火墙。
1.4实施
1.5例外条款
第2章帐号管理、认证授权安全要求
2.1帐号管理
2.1.1用户帐号分配
安全基线
用户帐号分配安全基线要求项
项目名称
安全基线
SBL-H3C-02-01-01
编号
安全基线
项说明
不同等级管理员分配不同帐号,避免帐号混用。
检测操作
步骤
1.参考配置操作
#
local-useruserl
passwordcipherW@FSOR(5丄'LK8RI6$H@XA!
!
authorization-attributelevel3
service-typetelnet
#
local-useruser2
passwordcipherW@FSOR(5丄'LK8RI6$H@XA!
!
authorization-attributelevel2service-typetelnet
#
2.补充操作说明
无。
基线符合
性判定依
据
1.判定条件
用配置中没有的用户名去登录,结果是不能登录。
2.检测操作
displaycurrent-configuration
#
local-useruserl
passwordcipherW@FSOR(5丄'LK8RI6$H@XA!
!
authorization-attributelevel3
service-typetelnet
#
local-useruser2
passwordcipherW@FSOR(5丄'LK8RI6$H@XA!
!
authorization-attributelevel2service-typetelnet
#
3.补充说明
无。
备注
有些防火墙系统本身就携带二种不冋权限的帐号,需要手工检
查。
2.1.2删除无关的帐号
安全基线
项目名称
无关的帐号安全基线要求项
安全基线
编号
SBL-H3C-02-01-02
安全基线
应删除或锁疋与设备运行、维护等工作无关的帐号。
项说明
检测操作
步骤
1.参考配置操作
[H3C]undolocal-useruserl
2.补充操作说明
无
基线符合
1.判定条件
性判定依
配置中用户信息被删除。
据
2.检测操作
displaycurrent-configuration
3.补充说明
无。
备注
建议手工抽杳系统,无关账户更多属于管理层面,需要人为确认。
2.1.3帐户登录超时
安全基线
项目名称
帐户登录超时安全基线要求项
安全基线
编号
SBL-H3C-02-01-03
安全基线
配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需
项说明
再次登录才能进入系统。
检测操作
1、参考配置操作
步骤
设置超时时间为5分钟
2、补充说明无。
基线符合
性判定依
据
1.判定条件
在超出设定时间后,用户自动登出设备。
2.参考检测操作
3.补充说明
无。
备注
需要手工检查。
2.1.4帐户密码错误自动锁定
安全基线
项目名称
帐户密码错误自动锁定安全基线要求项
安全基线
编号
SBL-H3C-02-01-04
安全基线
在10次尝试登录失败后锁定帐户,不允许登录。
项说明
解锁时间设置为300秒
检测操作
1、参考配置操作
步骤
设置尝试失败锁定次数为10次
2、补充说明
无。
基线符合
1.判定条件
性判定依
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以
据
登录。
2.参考检测操作
3.补充说明
无。
备注
注意!
此项设置会影响性能,建议设置后对访问此设备做源地
址做限制。
需要手工检查。
2.2口令
2.2.1口令复杂度要求
安全基线
项目名称
口令复杂度要求安全基线要求项
安全基线
编号
SBL-H3C-02-02-01
安全基线
防火墙管理员帐号口令长度至少8位,并包括数字、小写字母、
项说明
大写字母和特殊符号四类中至少两类。
且5次以内不得设置相
同的口令。
密码应至少每90天进行更换。
检测操作
1.参考配置操作
步骤
[H3C]local-useradmin
[H3C-luser-huawei]service-typetelnetlevel3
[H3C-luser-huawei]passwordcipherAq1!
Sw2@
2.补充操作说明
无
基线符合
性判定依
据
1.判定条件
该级别的密码设置由管理员进行密码的生成,设备本身无此强
制功能。
2.检测操作
此项无法通过配置实现,建议通过管理实现。
3.补充说明
无。
备注
2.3授权
231远程维护的设备使用加密协议
安全基线
项目名称
远程维护使用加密协议安全基线要求项
安全基线
编号
SBL-H3C-02-03-01
安全基线
对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH
项说明
或者WEBSSL,如果只允许从防火墙内部进行管理,应该限
定管理IP0
检测操作
1.参考配置操作
步骤
登陆设备web配置页面,在“设备管理”一“服务管理”下
选择ssh、https方式登陆设备。
配置针对SSH登陆用户IP地址的限定:
#
aclnumber3000
rule0permitipsource[ipaddress][wildcard]
#
user-interfacevty04
acl3000inbound
protocolinboundssh
#
2.补充操作说明
无
基线符合
性判定依
据
1.判定条件
查看防火墙是否启用了ssh、https服务;针对SSH登陆用户进行IP地址限定。
2.检测操作
通过ssh、https方式登陆设备进行检测。
3.补充说明
无。
备注
第3章日志及配置安全要求
3.1日志安全
3.1.1记录用户对设备的操作
安全基线
用户对设备记录安全基线要求项
项目名称
安全基线
编号
SBL-H3C-03-01-01
安全基线
配置记录防火墙管理员操作日志,如管理员登录,修改管理员
项说明
组操作,帐号解锁等信息。
配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。
检测操作
1.参考配置操作
步骤
[H3C]info-centerenable
2.补充操作说明
设备默认幵启日志功能,记录在设备的logbuffer中。
基线符合
1.判定条件
性判定依
检杳配置中的logbuffer相关配置。
据
2.检测操作
displaylogbuffer
备注
3.1.2开启记录NAT日志
安全基线
项目名称
开启记录NAT日志安全基线要求项
安全基线
编号
SBL-H3C-03-01-02
安全基线
开启记录NAT日志,记录转换前后IP地址的对应关系。
项说明
检测操作
1.参考配置操作
步骤
[H3C]userlogflowexportversion3
[H3C]userlogflowexporthost[logserveripaddress]
[logserverport]
2.补充操作说明
防火墙自身不记录NAT日志信息,需要配置专门的日志服务
器,防火墙将NAT日志信息发送到专门的日志服务器。
基线符合
1.判定条件
性判定依
检查配置中的NAT日志相关配置;
据
2.检测操作
displayuserlogexport
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求
此项。
3.1.3开启记录VPN日志
安全基线
项目名称
开启记录VPN日志安全基线要求项
安全基线
编号
SBL-H3C-03-01-03
安全基线
项说明
开启记录VPN日志,记录VPN访问登陆、退出等信息。
检测操作
步骤
1.参考配置操作
[H3C]info-centerenable
2.补充操作说明
设备默认会记录VPN日志,不需要额外配置。
基线符合
性判定依
据
1.判定条件
检查配置中的日志相关配置
2.检测操作
displaylogbuffer
displaytrapbuffer
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.1.4配置记录拒绝和丢弃报文规则的日志
安全基线
项目名称
配置记录拒绝和丢弃报文规则的日志安全基线要求项
安全基线
编号
SBL-H3C-03-01-04
安全基线
项说明
配置防火墙规则,记录防火墙拒绝和丢弃报文的日志。
检测操作
步骤
1.参考配置操作
设备默认记录,不需要额外配置;
2.补充操作说明
无
基线符合
性判定依
据
使用displaytrapbuffer检杳
备注
3.2告警配置要求
3.2.1配置对防火墙本身的攻击或内部错误告警
安全基线
项目名称
配置对防火墙本身的攻击或内部错误告警安全基线要求项
安全基线
编号
SBL-H3C-03-02-01
安全基线
配置告警功能,报告对防火墙本身的攻击或者防火墙的系统内
项说明
部错误。
检测操作
步骤
1参考配置操作
无需配置,设备默认幵启;
2.补充操作说明
基线符合
性判定依
据
1.判定条件
通过杳看设备的trapbuffer信息;
2.检测操作
displaytrapbuffer
备注
322配置TCP/IP协议网络层异常报文攻击告警
安全基线
项目名称
配置TCP/IP协议网络层异常报文攻击告警安全基线要求项
安全基线
编号
SBL-H3C-03-02-02
安全基线
配置告警功能,报告网络流量中对TCP/IP协议网络层异常报
项说明
文攻击的相关告警。
检测操作
1.参考配置操作
步骤
登陆防火墙web配置页面,在“攻击防范”----“报文异常检
测”选择所需的针对异常攻击报文的检测。
备注
2.补充操作说明
中查看攻击防范的效果;
323配置DOS和DDOS攻击告警
安全基线
项目名称
配置DOS和DDO啟击防护功能安全基线要求项
安全基线
编号
SBL-H3C-03-02-03
安全基线
配置DOS和DDO啟击防护功能。
对DOS和DDO啟击告警。
维
项说明
护人员应根据网络环境调整DDOS勺攻击告警的参数。
检测操作
步骤
1.参考配置操作
登陆防火墙web配置页面,在“攻击防范”
测”中,选择需要防范的攻击类型。
2.补充操作说明
----“流量异常检
基线符合
性判定依
据
1.判定条件
检查防火墙攻击防范配置;
2.检测操作
登陆防火墙web页面,在“攻击防范”----
中查看攻击防范的效果;
“入侵检测统计”
备注
324配置关键字内容过滤功能告警
安全基线
项目名称
配置关键字内容过滤功能告警安全基线要求项
安全基线
编号
SBL-H3C-03-02-04
安全基线
项说明
配置关键字内容过滤功能,在HTTPSMTPPOP3等应用协议流量过滤包含有设定的关键字的报文。
针对关键字过滤是应用层过滤机制,对系统性能有定影响。
针对HTTP协议内容访
问的网站关键字段,包含暴力、淫秽、违法等类型。
可添加内容库实现。
检测操作
1.参考配置操作
步骤
登陆防火墙web配置页面,在“应用控制”----“内容过滤”,根据需求选择关键字、URL主机名、文件名等方式进行过滤。
2.补充操作说明
基线符合
性判定依
据
备注
1.判定条件
检查防火墙“应用控制”配置;
2.检测操作
登陆防火墙web页面配置,在“应用控制”----“内容过滤”----“统计信息”中查看过滤功能实施效果。
根据应用场景的不同,如部署场景需幵启此功能,则强制要求此项。
3.3安全策略配置要求
3.3.1访问规则列表最后一条必须是拒绝一切流量
安全基线
项目名称
访问规则列表最后条必须是拒绝切流量安全基线要求项
安全基线
SBL-H3C-03-03-01
编号
安全基线
项说明
防火墙在配置访问规则列表时,最后条必须是拒绝切流量。
检测操作
步骤
1参考配置操作
#
aclnumber3001
rule0permitipdestination[ipaddress][mask]
rule1denyip
#
2.补充操作说明
无
基线符合
性判定依
据
1.判定条件
检杳配置中的ACL设置
2.检测操作
displayaclnumber3001
备注
332配置访问规则应尽可能缩小范围
安全基线
项目名称
配置访问规则应尽可能缩小范围安全基线要求项
安全基线
编号
SBL-H3C-03-03-02
安全基线
项说明
在配置访问规则时,源地址,目的地址,服务或端口的范围必须以实际访问需求为前提,尽可能的缩小范围。
禁止源到目的全部允许规则。
禁止目的地址及服务全允许规则,禁止全服务
访问规则。
检测操作
步骤
1.参考配置操作
登陆防火墙web配置页面,在“防火墙”----“安全策略”----“域间策略”中增加访问规则,需要填写的内容是:
源域、目的域、源IP地址、目的IP地址、服务(访问的协议和端口)、过滤动作(permitordeny)、时间段。
2.补充操作说明
基线符合
性判定依
据
1.判定条件
检查防火墙“域间策略”配置,域间策略详细到协议、端口、具体的IP地址;
2.检测操作
无;
备注
333VPN用户按照访问权限进行分组
安全基线
项目名称
VPN用户按照访问权限进行分组安全基线要求项
安全基线
编号
SBL-H3C-03-03-03
安全基线
项说明
对于VPN用户,必须按照其访冋权限不冋而进行分组,并在访冋控制规则中对该组的访冋权限进行严格限制。
检测操作
步骤
1参考配置操作
#
local-user[vpnuser]
passwordcipher[password]
service-typeppp
authorization-attributelevel[0-3]
定条件
检查配置中用户设置:
2.检测操作
使用displaylocal-user检杳
备注
根据应用场景的不同,如部署场景需幵启此功能,则强制要求此项。
334配置NAT地址转换
安全基线
项目名称
配置NAT地址转换安全基线要求项
安全基线
编号
SBL-H3C-03-03-04
安全基线
项说明
配置NAT地址转换,对互联网隐藏内网主机的实际地址。
检测操作
1参考配置操作
步骤
#
aclnumber3001
#
interfaceGigabitEthernetO/Oportlink-moderoutenatoutbound3001
#
2.补充操作说明
基线符合
1.判定条件
性判定依
配置中有nat或者static的内容
据
2.检测操作
displaynat
备注
根据应用场景的不同,如部署场景需幵启此功能,则强制要求
此项。
335隐藏防火墙字符管理界面的bannner信息
安全基线
项目名称
隐藏防火墙字符管理界面的
bannner信息安全基线要求项
安全基线
编号
SBL-H3C-03-03-05
安全基线
项说明
隐藏防火墙字符管理界面的
bannner信息。
检测操作
1.参考配置操作
步骤
[H3C]undocopyright-infoenable
2.补充操作说明
基线符合
1.判定条件
性判定依
登陆设备后,字符管理页面消失;
据
2.检测操作
telnet登陆到设备,字符管理页面消失;
备注
336避免从内网主机直接访问外网的规则
安全基线
项目名称
避免从内网主机直接访问外网的规则安全基线要求项
安全基线
编号
SBL-H3C-03-03-06
安全基线
应用代理服务器,将从内网到外网的访问流量通过代理服务
项说明
器。
防火墙只幵启代理服务器到外部网络的访问规则,避免在
防火墙上配置从内网的主机直接到外网的访问规则。
检测操作
1.参考配置操作
步骤
2.补充操作说明
基线符合
1.判定条件
性判定依
检查防火墙“域间策略”,配置了针对代理服务器到外网的访
据
问规则;
2.检测操作
备注
根据应用场景的不冋,如部署场景需幵启此功能,则强制要求此项。
337关闭非必要服务
安全基线关闭非必要服务安全基线要求项
项目名称
安全基线
编号
SBL-H3C-03-03-07
安全基线
防火墙设备必须关闭非必要服务。
项说明
检测操作
1.参考配置操作
-“服务管理”
步骤
登陆防火墙web配置页面,在“设备管理”-
中关闭非必要的服务,比如http、telnet、ftp等。
2.补充操作说明
基线符合1.判定条件
性判定依
检查配置中是否关闭对应服务
据
2.检测操作
备注
3.4攻击防护配置要求
3.4.1拒绝常见漏洞所对应端口或者服务的访问
安全基线
项目名称
拒绝常见漏洞所对应端口或者服务的访问安全基线要求项
安全基线
编号
SBL-H3C-03-04-01
安全基线
项说明
配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。
检测操作
步骤
1.参考配置操作
#
aclnumber3001
rule0denytcpdestination-porteq135
rule1denytcpdestination-porteq136
rule2denytcpdestination-porteq138
rule3denytcpdestination-porteq4444
rule4denytcpdestination-porteq389
rule5denytcpdestination-porteq445
rule6denytcpdestination-porteq4899rule7denytcpdestination-porteq6588rule8denytcpdestination-porteq1978rule9denytcpdestination-porteq593rule10denytcpdestination-porteq3389rule11denytcpdestination-porteq137rule12denytcpdestination-porteqtalkrule13denytcpdestination-porteq139rule14denytcpdestination-porteq2745rule15denytcpdestination-porteq1080rule16denytcpdestination-porteq6129rule17denytcpdestination-porteq3127rule18denytcpdestination-porteq3128rule19denytcpdestination-porteq5800rule20denytcpdestination-porteq6667rule21denytcpdestination-porteq1025rule22denytcpdestination-porteq5554rule23denytcpdestination-porteq1068rule24denytcpdestination-porteq9995rule25denytcpdestination-porteq539rule26denyudpdestination-porteq539rule27denyudpdestination-porteq1434
rule28denyudpdestination-porteq593
rule29permitip
#
2.补充操作说明
应根据实际情况调整。
基线符合
性判定依
据
1.判定条件
检查配置文件
2.检测操作
使用命令displayaclnumber3001
备注
3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能
安全基线
项目名称
防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项
安全基线
编号
SBL-H3C-03-04-02
安全基线
项说明
对于防火墙各逻辑接口配置开启防源地址欺骗功能。
检测操作
步骤
1.参考配置操作
登陆防火墙web配置页面,在“攻击防范”----“URPF佥查”中使能防源地址欺骗功能。
2.补充操作说明
基线符合
1.判定条件
性判定依
检查配置中是否有URPF功能;
据
2.检
升级会员 