安全产品配置优化操作规范.docx
《安全产品配置优化操作规范.docx》由会员分享,可在线阅读,更多相关《安全产品配置优化操作规范.docx(46页珍藏版)》请在冰豆网上搜索。
安全产品配置优化操作规范
安全产品配置优化操作规范
〔FW、LB、IPS&ACG〕
Version1.0
杭州华三通信技术
2021年8月
声明
Copyright©2021杭州华三通信技术版权所有,保留一切权益。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
该文档由H3C总部安全技术支持工程师通过长期技术积存总结而来,请务必在安全产品部署实施中重视本操作规范要求,保证设备在网运行成效及稳固性。
本文档为保密文档,仅限H3C原厂工程师使用,对私自扩散者H3C保留起诉的权益。
本文档将安全配置优化操作方式分为两大类:
●必选项:
设备部署时必须严按照必选项的规范要求执行。
●可选项:
在客户无明确要求且不阻碍客户使用情形下,视具体组网环境可选部署。
FW-1、〔必选〕通过配置域间策略对防火墙本地实施爱护
应用说明:
ComwareV5平台防火墙为便于用户登录治理设备,当前实现机制为默认所有安全区域都能够访问代表防火墙自身的Local区域。
为幸免无效报文、攻击流量冲击防火墙,要求必须配置到local区域的域间策略以对防火墙自身进行爱护。
在配置具体的域间策略时,应第一承诺必要的治理、协议报文与防火墙本地交互,然后禁止其它流量与防火墙本地交互。
自2021年7月起,新软件版本的ComwareV5平台防火墙进行了一次默认策略变更切换,将默认所有安全区域及Local区域之间的策略变更为全部禁止互访,以满足市场需求并加强安全性,详见请查询«H3C技术公告【2021】018号-关于H3CComwareV5平台防火墙变更默认域间策略转发规那么的公告»。
参考配置思路:
1.配置承诺网管运算机访问local区域的域间策略,承诺包括、S、Telnet、SSH、SNMP、、PING等常见网管相关协议访问本地,域间策略源IP地址范畴应做严格限制,幸免非治理主机访问防火墙本地;
2.配置承诺防火墙与其它网络设备进行协议交互的域间策略,例如VRRP,OSPF,BGP、PING、IKE、L2TP,ESP等常见协议;
3.确认其他网络设备是否有目的地址为防火墙本地的探测,例如NQA、BFD等,如有那么必须补充承诺其他设备探测报文到达防火墙本地的域间策略;
4.配置域间策略时应尽量使用明确的源目的IP地址范畴,减少使用〝any_address〞等方式的粗放治理型配置,比如Trust区域的实际规划IP范畴为192.168.1.1/24,Untrust区域为Internet,那么配置域间策略时应将Trust区域源IP地址范畴配置为192.168.1.0/0.0.0.255子网地址对象,使策略更加合理精确,阻断可能显现的源地址欺诈报文经防火墙转发。
5.最后配置各安全区域至Local区域的全部禁止策略,幸免防火墙因接收到达本地的无效报文过多而阻碍CPU性能,最终实现对防火墙自身的安全爱护。
综合以上原那么,在防火墙Web治理界面中的配置例如如以下图所示:
FW-2、〔必选〕防火墙ALG功能配置优化
应用说明:
防火墙ALG〔ApplicationLevelGateway,应用层网关〕特性要紧完成对应用层报文的处理。
当应用层数据中包含IP地址时,ALG能够对该地址进行处理,以保证后续该地址对应的连接能够正确建立。
ALG的工作包括:
解析数据报文载荷中的IP地址信息,并依照需要对其进行NAT〔NetworkAddressTranslation,网络地址转换〕处理;提取数据通道信息,为后续的会话连接建立数据通道。
那个地点的数据通道通常指相关于用户认证的操纵连接而言的数据连接;在防火墙上,安全策略通常只承诺特定的端口通过,关于需要动态开放端口的协议,即使没有NAT也必须启用ALG才能合格证业务正常处理,例如FTP协议;另有些属于功能型ALG,专为实现某种功能而存在,例如DNSALG,需要视实际环境决定是否需要开启。
参考配置思路:
当防火墙做二层转发部署时,除FTP协议外,举荐关闭其他所有ALG功能。
当防火墙做三层转发部署时,以下为H3C防火墙应用的ALG举荐配置,建议只开启,关闭其他ALG功能。
DNS
关闭
要实现相关需求可打开,一样不使用
FTP
打开
GTP
关闭
有些专门局点需要开启
H.323
关闭
使用H.323协议的应用需要开启,一样不使用。
ILS
关闭
MSN
关闭
不使用。
NBT
关闭
PPTP
关闭
有PPTP业务从防火墙透传,需要开启,一样不使用。
QQ
关闭
不使用。
RTSP
打开
SCCP
关闭
SIP
关闭
SQLNET
关闭
仅适配老版本Oracle,一样不使用。
TFTP
关闭
FW-3、〔必选〕防火墙双机组网环境NAT与VRRP联动
应用说明:
ComwareV5防火墙在双机组网场景中,当两台设备使用相同的NATOutbound地址池、NATServer、NATStatic的Global地址,且与接口主IP地址在同一网段时,需要在NAT命令后跟trackvrrpvrid配置,幸免因主机和备机共享相同地址而显现ARP冲突。
参考配置思路:
以下为防火墙某外网端口配置例如:
interfaceGigabitEthernet0/2
portlink-moderoute
natoutboundstatictrackvrrp1
natoutbound3002address-group10trackvrrp1
natoutbound3001trackvrrp1
natserverprotocoltcpglobal10.0.0.100172.16.0.100vrrp1
ipaddress10.0.0.1255.255.255.0
vrrpvrid1virtual-ip10.0.0.254
vrrpvrid1priority110
FW-4、〔必选〕配置ACL时慎用Denyany规那么
应用说明:
ComwareV5平台防火墙的ACL要紧用于软件对业务或治理流量的识别与分类,并不直截了当用于报文的承诺或阻断动作。
在配置防火墙各软件模块功能参数时,常常需要使用ACL,现在应注意配置ACL规那么时仅需匹配需要识别的具体流量即可,无须在所有规那么最后配置一条Denyany,如此能够在专门大程度上减少防火墙的无谓性能消耗。
参考配置思路:
例如,在配置NAT转换策略时,需要通过ACL限制仅承诺内网10.0.0.0/16网段的用户做出方向源地址转换,引用至NAT命令,如以下所示ACL3001是正确的配置方式,而ACL3002是错误的配置方式。
#
aclnumber3001//正确的ACL配置方式例如
rule10permitipsource10.0.0.00.0.255.255
#
aclnumber3002//错误的ACL配置方式例如
rule10permitipsource10.0.0.00.0.255.255
rule20denyip//该条规那么将引起不必要的性能消耗
#
FW-5、〔必选〕防火墙使用独立物理端口做双机热备口
应用说明:
ComwareV5平台防火墙支持双机热备功能,为提高HA连接的可靠性,两台防火墙应使用独立物理端口直截了当互连形成双机热备,该端口不再承载一般业务流量。
假设两台防火墙热备口无法直截了当互联,必须经交换机桥接,那么必须为HA连接单独规划部署一个二层链路或VLAN,幸免其他无关报文对防火墙双机热备口造成的冲击。
目前产品实现最多能够支持两条物理链路实现HA互联。
参考配置思路:
盒式防火墙设备建议选择第一个固定物理端口做HA口,为提高HA性能及稳固性可选择前两个固定物理端口做HA口。
插卡式防火墙设备可任选一个前面板物理端口做HA口,为提高HA性能及稳固性可任选两个前面板物理端口做HA口。
FW-6、〔必选〕配置NTP保持防火墙时钟正确同步
应用说明:
NTP〔NetworkTimeProtocol,网络时刻协议〕是一种时刻同步协议,用来在分布式时刻服务器和客户端之间进行时刻同步。
启用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时刻的多种应用。
假如防火墙系统时刻不正确,将导致其产生的系统日志、操作日志、安全事件日志等失去时效性,给日常爱护和故障定位带来诸多不便。
参考配置思路:
启用防火墙NTP功能,同步正确的当前系统时刻。
关于防火墙插卡需注意在启用NTP后禁用ACSEI客户端功能,幸免显现时钟同步冲突。
#
ntp-serviceunicast-server1.1.1.1
#
FW-7、〔必选〕采纳二进制格式输出Userlog日志
应用说明:
ComwareV5平台防火墙支持Userlog日志输出功能。
设备依照业务报文的5元组〔源IP地址、目的IP地址、源端口、目的端口、协议号〕对网络流量进行分类统计,并生成Userlog日志。
Userlog日志会记录报文的5元组、发送接收的流量大小等信息。
网络治理员利用这些信息能够实时跟踪、记录用户访问网络的情形,增强网络的安全性与可审计性。
防火墙Userlog日志支持以下两种输出方式,在实际部署时必须采纳第2种方式:
1、以系统信息格式输出至信息中心,再由信息中心决定日志的最终输出方向。
2、以二进制格式封装成UDP报文直截了当输出至指定的Userlog日志主机。
参考配置思路:
在防火墙Web配置页面中,配置Userlog日志输出参数时,不勾选〝日志输出到信息中心〞。
具体配置界面例如如下:
在〝日志治理〞-〝会话日志〞-〝全局设置〞中,注意仅开启〝发送会话删除日志〞。
FW-8、〔必选〕SSLVPN采纳IP接入方式配置资源
应用说明:
ComwareV5平台防火墙部分型号设备支持SSLVPN功能,可实现远程用户安全接入访问内网资源。
受SSLVPN实现原理限制,在实现部署时应尽量幸免使用Web方式、TCP方式配置内网资源,尽量使用IP方式配置,以实现更好的业务兼容性及稳固性。
参考配置思路:
配置SSLVPN时,举荐采纳IP方式进行内网资源配置。
FW-9、〔必选〕DNS协议应用层老化时刻配置优化
应用说明:
ComwareV5平台防火墙支持依照包含DNS协议在内的应用层协议进行会话检测与治理功能。
为提高防火墙处理效率,幸免DNS业务流相关会话表项在防火墙内存中驻留过长时刻。
建议当启用ALGDNS功能时,设置较短的DNS协议应用层老化时刻。
参考配置思路:
出厂默认配置未启用ALGDNS功能,假设依照客户业务需要启用后,应注意配置DNS协议应用层老化时刻为5秒。
防火墙Web页面具体配置例如如以下图所示:
FW-10、〔必选〕防火墙不启用QoS功能
应用说明:
防火墙支持部分ComwareV5平台QoS功能,如QoSCAR限速。
但启用防火墙QoS功能会对其转发性能造成专门大的阻碍,因此当防火墙转发业务流量较大时不要配置启用任何QoS策略。
参考配置思路:
不在防火墙上配置QoS策略。
FW-11、〔必选〕防火墙地址对象范畴地址配置优化
应用说明:
ComwareV5防火墙支持通过在域间策略中引用资源对象来简化配置工作,当治理员在进行地址对象的配置时,可通过主机地址、范畴地址、子网地址三种方式进行配置。
当需要对较大范畴的地址进行匹配时,建议尽量使用子网地址方式,否那么会对设备性能产生较大阻碍。
参考配置思路:
防火墙上进行大量地址的对象资源配置时,尽量采纳子网地址方式进行配置。
以下图所示为反例,万不可效仿:
FW-12、〔必选〕部分型号防火墙业务端口选择建议
应用说明:
部分ComwareV5平台防火墙受硬件设计缘故所限,其GigabitEthernet0/4、GigabitEthernet0/5端口转发性能较低,在设备部署实施过程中应幸免将其应用为业务端口或双机热备口,建议可用作设备带外治理端口并划分至系统治理区域。
适用本优化建议的产品型号具体包括:
SecPath系列FW:
F1000S-EI、F1000C-SI、F100A-SI、F100M-SI、F100E-G、F100A-G、F100M-G
SecPath系列UTM:
U200-A、U200-M、U200-CA
参考配置思路:
不在上述型号FW或UTM设备上将GigabitEthernet0/4、GigabitEthernet0/5配置为业务端口或双机热备口,可将其用于带外网管口并划分至Management区域。
FW-13、〔必选〕禁用会话加速功能
应用说明:
会话加速功能能够在特定应用场景下提升防火墙设备的每秒新建连接性能。
需要注意的是,假如会话发起方报文的出接口与响应方报文的入接口不同,同时两个接口上的业务配置也不相同,那么不能实现会话加速。
该功能能够在专门应用场景中提高设备转发性能,但由于其应用场景如何说有限,因此通常情形下应该保持默认配置,即关闭此功能。
参考配置思路:
〝会话加速〞功能的配置界面在Web治理页中的〝防火墙〞-〝会话治理〞-〝高级设置〞-〝会话加速〞,去掉〝启用会话加速〞复选框的勾并单击〝确定〞按钮即可关闭本功能。
FW-14、〔必选〕禁用ACL加速功能
应用说明:
ComwareV5平台防火墙部分型号产品支持ACL加速特性,通过启用该特性,可使软件在对单个ACL中存在大量规那么时的查找匹配速度更快。
但另一方面,当启用某条ACL的加速特性后,不承诺再对该ACL进行任何修改,否那么会造成加速失效,规那么查找匹配将显现纷乱。
为幸免日常爱护过程中因操作失误,导致治理员在启用ACL加速的状态下修改规那么导致配置失效,在实际生产环境中建议禁用ACL加速功能。
参考配置思路:
在防火墙Web配置页面中,禁用ACL加速功能。
停止加速后,正确的状态如以下图所示:
FW-15、〔必选〕禁用域间策略加速功能
应用说明:
ComwareV5平台防火墙部分型号产品支持域间策略加速特性,通过启用该特性,可使软件在进行域间策略查找匹配时速度更快。
但另一方面,某两个安全区域之间启用域间策略加速特性后,不承诺再对该域间的任何策略进行修改,否那么会造成加速失效,策略查找匹配将显现纷乱。
为幸免日常爱护过程中因操作失误,导致治理员在启用域间策略加速的状态下修改规那么导致配置失效,在实际生产环境中建议禁用域间策略加速功能。
参考配置思路:
在防火墙Web配置页面中,禁用域间策略加速功能。
停止加速后,正确的状态如以下图所示:
FW-16、〔必选〕禁止通过ACL方式实现远程治理访问操纵
应用说明:
为提高防火墙在网运行健壮性,治理员应严格限制能够远程访问设备的源主机IP地址。
在配置此类策略时,注意不要通过软件ACL方式做简单限制。
例如,以下两种通过配置方式差不多上不举荐的。
1、在user-interface下配置ACL,对SSH做访问操纵。
user-interfacevty04
acl2001inbound
2、在IPS后面配置ACL,对S做访问操纵。
ipsacl2001
参考配置思路:
在防火墙上配置限制能够远程访问本设备的主机源IP地址,应通过配置防火墙域间策略实现。
FW-17、〔必选〕禁止使用弱口令
应用说明:
防火墙远程治理相关SNMP、SSH/Telent、等功能,一样通过用户名密码对治理员或治理服务器进行认证和鉴权。
在实际部署过程中,不得因贪图一时方便而使用弱口令,给系统安全留下隐患。
参考配置思路:
设备开局部署时期及时做好密码治理工作,幸免使用弱口令,举荐启用password-control相关功能。
FW-18、〔必选〕禁止使用动态链路聚合模式
应用说明:
ComwareV5平台防火墙支持二三层链路聚合功能,受性能因素阻碍,在实际开局部署过程中,应采纳静态链路聚合模式进行配置。
参考配置思路:
设备开局部署时期需要启用链路聚合功能时,使用静态链路聚合模式。
FW-19、〔必选〕IPSecVPN模板策略配置优化
应用说明:
ComwareV5平台防火墙支持〝中心——分支〞型IPSecVPN,为简化中心侧设备配置,能够采纳模板方式进行策略配置。
治理员在进行模板策略配置时,须专门注意不要配置成如下形式,即每个分支节点对应一个不同的模板。
由于最终的IPSec策略中引用了多个模板,会导致软件匹配查找时效率大大降低。
错误的配置方式:
ipsecpolicy-templatetemp_11
ipsecpolicy-templatetemp_21
ipsecpolicy-templatetemp_31
ipsecpolicytest1isakmptemplatetemp_1
ipsecpolicytest2isakmptemplatetemp_2
ipsecpolicytest3isakmptemplatetemp_3
参考配置思路:
正确的配置方式为:
假设各分支节点IKE协商参数相同,那么举荐使用单个策略模板进行匹配;假设各分支节点IKE协商参数不同,那么应当利用策略模板中的序列号参数创建多个不同协商参数的策略组合,而整体上仍旧保持只有一个策略模板,如此便能够极大地优化软件处理效率及速度。
正确的配置方式:
ipsecpolicy-templatetemp1
ipsecpolicy-templatetemp2
ipsecpolicy-templatetemp3
ipsecpolicytest1isakmptemplatetemp
FW-20、〔必选〕合理修改三层业务口TCPMSS参数
应用说明:
防火墙各三层业务口默认状态下TCPMSS参数值为1460字节,加上TCP包头及IP包头长度后正好为以太网最大负载长度1500字节,当报文从一般以太网端口发出时无需进行IP分片操作。
但在诸如L2TPVPN、GREVPN、IPSecVPN等防火墙常见应用场景中,由于防火墙在进行业务报文转发前需额外封装包头,导致报文最终长度会超过接口MTU,引起IP分片操作,大大降低流量处理效率。
因此,在防火墙开局部署时期应该注意依照实际链路及配置情形,灵活调整TCPMSS参数值,幸免防火墙转发报文过程中执行IP分片操作。
参考配置思路:
在配置VT端口或Tunnel端口后,需在端口上依照物理接口MTU运算并修改合理的TCPMSS参数,通常修改为1400字节。
命令行配置例如如下:
#
interfaceVirtual-Template1
tcpmss1400
#
interfaceTunnel1
tcpmss1400
tunnel-protocolipsecipv4
#
在配置IKE/IPSecVPN策略时,应依照业务流量走向规划,在业务流量对应防火墙的入出业务接口修改TCPMSS参数,保证经IPSec封装后的报文长度可不能引起防火墙执行IP分片操作,通常修改为1350字节。
FW-21、〔可选〕利用域间策略对防火墙实施路由环路爱护
应用说明:
能够利用域间策略来将防火墙接收到的三层环路报文丢弃处理,例如存在路由环路的接口已添加至Trust区域,那么能够配置从Trust到Trust的域间策略,动作配置为Deny,从而将防火墙从Trust接收但仍将转发至Trust区域的报文直截了当丢弃。
注意实施该配置方法的前提,即配置防火墙安全区域时,提早按业务及组网需求规划好各个安全区域,不能简单地将全部接口加入同一个安全区域中。
假设同一区域已包含多个接口,且各接口之间确有业务互访需求时,能够先配置相应的承诺策略,再配置防环路策略;或者重新将各个接口划分至不同的安全区域中,再配置防环路策略。
参考配置思路:
综合以上原那么,假设Trust区域仅包含一个物理端口,无内部无访需求,为实现防止内网口三层环路报文冲击防火墙,在Web治理界面中防环路策略配置如以下图所示:
FW-22、〔可选〕虚拟分片重组功能配置优化
应用说明:
为了幸免每个业务模块〔如:
IPSec、NAT和防火墙〕单独处理后片先到〔报文分片后〕而导致复杂度过高,设备需要将收到的IP报文执行虚拟分片重组功能,以实现对IP分片报文的检验、排序和缓存,保证其它后续业务模块处理的差不多上顺序正确的IP分片报文。
另外,IP虚拟分片重组功能还能够对分片攻击进行检测,假如检测到分片攻击行为,设备能够丢弃收到的专门分片报文,提高设备的安全性与性能。
参考配置思路:
当防火墙显现IP大包不通或丢包现象时,能够在虚拟分片重组功能配置页面,将〝分片队列数〞和〝分片报文数〞调整至最大值,老化时刻保持默认值即可。
FW-23、〔可选〕会话表项老化时刻参数配置优化
应用说明:
防火墙会话治理要紧基于传输层协议对报文进行检测。
事实上质是通过检测传输层协议信息〔即通用TCP协议和UDP协议〕来对连接的状态进行跟踪,并对所有连接的状态信息进行统一爱护和治理。
参考配置思路:
设备默认会话超时时刻较长,在大并发的环境下,能够适当调整会话表项老化时刻,以减小防火墙并发会话数,通常建议将TCPSYN/TCPEST/UDPOPEN会话超时时刻改为缺省值的一半。
注意切勿将会话表项老化时刻配置得过长或过短。
以下图为Web配置界面举例:
FW-24、〔可选〕报文专门检测功能配置优化
应用说明:
单包攻击〔亦称为畸形报文检测〕是指攻击者通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理如此的IP报文时出错、崩溃,给目标系统带来缺失,或者通过发送大量无用报文占用网络带宽等行为来造成攻击。
防火墙报文专门检测功能支持对部分单包攻击进行检测和防备。
参考配置思路:
目前防火墙支持以下基于特点识别的防攻击,能够在所有安全区域开启攻击防范,但建议不启用〝ICMP不可达报文攻击检测〞,否那么会引起大量的主机操作系统正常发送的ICMP协议报文被阻断。
另外,在需要通过防火墙执行Tracert操作时,不启用〝Tracert报文攻击检测〞。
FW-25、〔可选〕流量专门检测功能配置优化
应用说明:
防火墙流量专门检测功能,即泛洪攻击检测功能要紧用于爱护服务器。
防火墙通过监测客户端向服务器发起连接要求的速率来检测各类泛洪攻击,一样应用在设备连接内部网络的安全域上,且仅对应用了攻击检测策略的安全域的出方向报文有效。
配置了泛洪攻击检测后,设备将处于攻击检测状态,当它监测到向某台服务器IP地址发送报文的速率连续达到或超过判定阈值时,即认为该服务器受到了攻击并转入攻击防范状态,防火墙能够视具体配置情形启动相应的防范措施〔输出告警日志、或将后续新建连接的报文进行丢弃处理〕。
此后,当设备检测到向该服务器发送报文的速率低于复原阈值时,即认为攻击行为已停止,防火墙将由攻击防范状态复原为攻击检测状态,并停止执行防范措施。
参考配置思路:
假如需要在防火墙上开启本功能,必须第一了解客户当前的业务情形,专门是每秒新建连接数、最大并发连接数等关键参数,否那么无法合理配置检测阈值及复原阈值。
目前支持的攻击检测类型要紧有SYNFlood、UD
升级会员 