安全产品配置优化操作规范.docx
《安全产品配置优化操作规范.docx》由会员分享,可在线阅读,更多相关《安全产品配置优化操作规范.docx(46页珍藏版)》请在冰豆网上搜索。
安全产品配置优化操作规范
安全产品配置优化操作规范
(FW、LB、IPS&ACG)
Version1.0
杭州华三通信技术有限公司
2014年8月
声明
Copyright©2020杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来,请务必在安全产品部署实施中重视本操作规范要求,保障设备在网运行效果及稳定性。
本文档为保密文档,仅限H3C原厂工程师使用,对私自扩散者H3C保留起诉的权利。
本文档将安全配置优化操作方式分为两大类:
●必选项:
设备部署时必须严按照必选项的规范要求执行。
●可选项:
在客户无明确要求且不影响客户使用情况下,视具体组网环境可选部署。
FW-1、(必选)通过配置域间策略对防火墙本地实施保护
应用说明:
ComwareV5平台防火墙为便于用户登录管理设备,当前实现机制为默认所有安全区域都可以访问代表防火墙自身的Local区域。
为避免无效报文、攻击流量冲击防火墙,要求必须配置到local区域的域间策略以对防火墙自身进行保护。
在配置具体的域间策略时,应首先允许必要的管理、协议报文与防火墙本地交互,然后禁止其它流量与防火墙本地交互。
自2014年7月起,新软件版本的ComwareV5平台防火墙进行了一次默认策略变更切换,将默认所有安全区域及Local区域之间的策略变更为全部禁止互访,以满足市场需求并加强安全性,详见请查询《H3C技术公告【2014】018号-关于H3CComwareV5平台防火墙变更默认域间策略转发规则的公告》。
参考配置思路:
1.配置允许网管计算机访问local区域的域间策略,允许包括HTTP、HTTPS、Telnet、SSH、SNMP、、PING等常见网管相关协议访问本地,域间策略源IP地址范围应做严格限制,避免非管理主机访问防火墙本地;
2.配置允许防火墙与其它网络设备进行协议交互的域间策略,例如VRRP,OSPF,BGP、PING、IKE、L2TP,ESP等常见协议;
3.确认其他网络设备是否有目的地址为防火墙本地的探测,例如NQA、BFD等,如有则必须补充允许其他设备探测报文到达防火墙本地的域间策略;
4.配置域间策略时应尽量使用明确的源目的IP地址范围,减少使用“any_address”等方式的粗放管理型配置,比如Trust区域的实际规划IP范围为192.168.1.1/24,Untrust区域为Internet,则配置域间策略时应将Trust区域源IP地址范围配置为192.168.1.0/0.0.0.255子网地址对象,使策略更加合理精确,阻断可能出现的源地址欺骗报文经防火墙转发。
5.最后配置各安全区域至Local区域的全部禁止策略,避免防火墙因接收到达本地的无效报文过多而影响CPU性能,最终实现对防火墙自身的安全保护。
综合以上原则,在防火墙Web管理界面中的配置示例如下图所示:
FW-2、(必选)防火墙ALG功能配置优化
应用说明:
防火墙ALG(ApplicationLevelGateway,应用层网关)特性主要完成对应用层报文的处理。
当应用层数据中包含IP地址时,ALG可以对该地址进行处理,以保证后续该地址对应的连接能够正确建立。
ALG的工作包括:
解析数据报文载荷中的IP地址信息,并根据需要对其进行NAT(NetworkAddressTranslation,网络地址转换)处理;提取数据通道信息,为后续的会话连接建立数据通道。
这里的数据通道通常指相对于用户认证的控制连接而言的数据连接;在防火墙上,安全策略通常只允许特定的端口通过,对于需要动态开放端口的协议,即使没有NAT也必须启用ALG才能合格证业务正常处理,例如FTP协议;另有些属于功能型ALG,专为实现某种功能而存在,例如DNSALG,需要视实际环境决定是否需要开启。
参考配置思路:
当防火墙做二层转发部署时,除FTP协议外,推荐关闭其他所有ALG功能。
当防火墙做三层转发部署时,以下为H3C防火墙应用的ALG推荐配置,建议只开启,关闭其他ALG功能。
DNS
关闭
要实现相关需求可打开,一般不使用
FTP
打开
GTP
关闭
有些特殊局点需要开启
H.323
关闭
使用H.323协议的应用需要开启,一般不使用。
ILS
关闭
MSN
关闭
不使用。
NBT
关闭
PPTP
关闭
有PPTP业务从防火墙透传,需要开启,一般不使用。
QQ
关闭
不使用。
RTSP
打开
SCCP
关闭
SIP
关闭
SQLNET
关闭
仅适配老版本Oracle,一般不使用。
TFTP
关闭
FW-3、(必选)防火墙双机组网环境NAT与VRRP联动
应用说明:
ComwareV5防火墙在双机组网场景中,当两台设备使用相同的NATOutbound地址池、NATServer、NATStatic的Global地址,且与接口主IP地址在同一网段时,需要在NAT命令后跟trackvrrpvrid配置,避免因主机和备机共享相同地址而出现ARP冲突。
参考配置思路:
以下为防火墙某外网端口配置示例:
interfaceGigabitEthernet0/2
portlink-moderoute
natoutboundstatictrackvrrp1
natoutbound3002address-group10trackvrrp1
natoutbound3001trackvrrp1
natserverprotocoltcpglobal10.0.0.100172.16.0.100vrrp1
ipaddress10.0.0.1255.255.255.0
vrrpvrid1virtual-ip10.0.0.254
vrrpvrid1priority110
FW-4、(必选)配置ACL时慎用Denyany规则
应用说明:
ComwareV5平台防火墙的ACL主要用于软件对业务或管理流量的识别与分类,并不直接用于报文的允许或阻断动作。
在配置防火墙各软件模块功能参数时,常常需要使用ACL,此时应注意配置ACL规则时仅需匹配需要识别的具体流量即可,无须在所有规则最后配置一条Denyany,这样可以在很大程度上减少防火墙的无谓性能消耗。
参考配置思路:
例如,在配置NAT转换策略时,需要通过ACL限制仅允许内网10.0.0.0/16网段的用户做出方向源地址转换,引用至NAT命令,如下列所示ACL3001是正确的配置方式,而ACL3002是错误的配置方式。
#
aclnumber3001//正确的ACL配置方式示例
rule10permitipsource10.0.0.00.0.255.255
#
aclnumber3002//错误的ACL配置方式示例
rule10permitipsource10.0.0.00.0.255.255
rule20denyip//该条规则将引起不必要的性能消耗
#
FW-5、(必选)防火墙使用独立物理端口做双机热备口
应用说明:
ComwareV5平台防火墙支持双机热备功能,为提高HA连接的可靠性,两台防火墙应使用独立物理端口直接互连形成双机热备,该端口不再承载普通业务流量。
若两台防火墙热备口无法直接互联,必须经交换机桥接,则必须为HA连接单独规划部署一个二层链路或VLAN,避免其他无关报文对防火墙双机热备口造成的冲击。
目前产品实现最多可以支持两条物理链路实现HA互联。
参考配置思路:
盒式防火墙设备建议选择第一个固定物理端口做HA口,为提高HA性能及稳定性可选择前两个固定物理端口做HA口。
插卡式防火墙设备可任选一个前面板物理端口做HA口,为提高HA性能及稳定性可任选两个前面板物理端口做HA口。
FW-6、(必选)配置NTP保持防火墙时钟正确同步
应用说明:
NTP(NetworkTimeProtocol,网络时间协议)是一种时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。
启用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。
如果防火墙系统时间不正确,将导致其产生的系统日志、操作日志、安全事件日志等失去时效性,给日常维护和故障定位带来诸多不便。
参考配置思路:
启用防火墙NTP功能,同步正确的当前系统时间。
对于防火墙插卡需注意在启用NTP后禁用ACSEI客户端功能,避免出现时钟同步冲突。
#
ntp-serviceunicast-server1.1.1.1
#
FW-7、(必选)采用二进制格式输出Userlog日志
应用说明:
ComwareV5平台防火墙支持Userlog日志输出功能。
设备根据业务报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对网络流量进行分类统计,并生成Userlog日志。
Userlog日志会记录报文的5元组、发送接收的流量大小等信息。
网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况,增强网络的安全性与可审计性。
防火墙Userlog日志支持以下两种输出方式,在实际部署时必须采用第2种方式:
1、以系统信息格式输出至信息中心,再由信息中心决定日志的最终输出方向。
2、以二进制格式封装成UDP报文直接输出至指定的Userlog日志主机。
参考配置思路:
在防火墙Web配置页面中,配置Userlog日志输出参数时,不勾选“日志输出到信息中心”。
具体配置界面示例如下:
在“日志管理”-“会话日志”-“全局设置”中,注意仅开启“发送会话删除日志”。
FW-8、(必选)SSLVPN采用IP接入方式配置资源
应用说明:
ComwareV5平台防火墙部分型号设备支持SSLVPN功能,可实现远程用户安全接入访问内网资源。
受SSLVPN实现原理限制,在实现部署时应尽量避免使用Web方式、TCP方式配置内网资源,尽量使用IP方式配置,以实现更好的业务兼容性及稳定性。
参考配置思路:
配置SSLVPN时,推荐采用IP方式进行内网资源配置。
FW-9、(必选)DNS协议应用层老化时间配置优化
应用说明:
ComwareV5平台防火墙支持根据包含DNS协议在内的应用层协议进行会话检测与管理功能。
为提高防火墙处理效率,避免DNS业务流相关会话表项在防火墙内存中驻留过长时间。
建议当启用ALGDNS功能时,设置较短的DNS协议应用层老化时间。
参考配置思路:
出厂默认配置未启用ALGDNS功能,若根据客户业务需要启用后,应注意配置DNS协议应用层老化时间为5秒。
防火墙Web页面具体配置示例如下图所示:
FW-10、(必选)防火墙不启用QoS功能
应用说明:
防火墙支持部分ComwareV5平台QoS功能,如QoSCAR限速。
但启用防火墙QoS功能会对其转发性能造成非常大的影响,因此当防火墙转发业务流量较大时不要配置启用任何QoS策略。
参考配置思路:
不在防火墙上配置QoS策略。
FW-11、(必选)防火墙地址对象范围地址配置优化
应用说明:
ComwareV5防火墙支持通过在域间策略中引用资源对象来简化配置工作,当管理员在进行地址对象的配置时,可通过主机地址、范围地址、子网地址三种方式进行配置。
当需要对较大范围的地址进行匹配时,建议尽量使用子网地址方式,否则会对设备性能产生较大影响。
参考配置思路:
防火墙上进行大量地址的对象资源配置时,尽量采用子网地址方式进行配置。
下图所示为反例,万不可效仿:
FW-12、(必选)部分型号防火墙业务端口选择建议
应用说明:
部分ComwareV5平台防火墙受硬件设计原因所限,其GigabitEthernet0/4、GigabitEthernet0/5端口转发性能较低,在设备部署实施过程中应避免将其应用为业务端口或双机热备口,建议可用作设备带外管理端口并划分至系统管理区域。
适用本优化建议的产品型号具体包括:
SecPath系列FW:
F1000S-EI、F1000C-SI、F100A-SI、F100M-SI、F100E-G、F100A-G、F100M-G
SecPath系列UTM:
U200-A、U200-M、U200-CA
参考配置思路:
不在上述型号FW或UTM设备上将GigabitEthernet0/4、GigabitEthernet0/5配置为业务端口或双机热备口,可将其用于带外网管口并划分至Management区域。
FW-13、(必选)禁用会话加速功能
应用说明:
会话加速功能可以在特定应用场景下提升防火墙设备的每秒新建连接性能。
需要注意的是,如果会话发起方报文的出接口与响应方报文的入接口不同,并且两个接口上的业务配置也不相同,则不能实现会话加速。
该功能可以在特殊应用场景中提高设备转发性能,但由于其应用场景毕竟有限,因此通常情况下应该保持默认配置,即关闭此功能。
参考配置思路:
“会话加速”功能的配置界面在Web管理页中的“防火墙”-“会话管理”-“高级设置”-“会话加速”,去掉“启用会话加速”复选框的勾并单击“确定”按钮即可关闭本功能。
FW-14、(必选)禁用ACL加速功能
应用说明:
ComwareV5平台防火墙部分型号产品支持ACL加速特性,通过启用该特性,可使软件在对单个ACL中存在大量规则时的查找匹配速度更快。
但另一方面,当启用某条ACL的加速特性后,不允许再对该ACL进行任何修改,否则会造成加速失效,规则查找匹配将出现混乱。
为避免日常维护过程中因操作失误,导致管理员在启用ACL加速的状态下修改规则导致配置失效,在实际生产环境中建议禁用ACL加速功能。
参考配置思路:
在防火墙Web配置页面中,禁用ACL加速功能。
停止加速后,正确的状态如下图所示:
FW-15、(必选)禁用域间策略加速功能
应用说明:
ComwareV5平台防火墙部分型号产品支持域间策略加速特性,通过启用该特性,可使软件在进行域间策略查找匹配时速度更快。
但另一方面,某两个安全区域之间启用域间策略加速特性后,不允许再对该域间的任何策略进行修改,否则会造成加速失效,策略查找匹配将出现混乱。
为避免日常维护过程中因操作失误,导致管理员在启用域间策略加速的状态下修改规则导致配置失效,在实际生产环境中建议禁用域间策略加速功能。
参考配置思路:
在防火墙Web配置页面中,禁用域间策略加速功能。
停止加速后,正确的状态如下图所示:
FW-16、(必选)禁止通过ACL方式实现远程管理访问控制
应用说明:
为提高防火墙在网运行健壮性,管理员应严格限制可以远程访问设备的源主机IP地址。
在配置此类策略时,注意不要通过软件ACL方式做简单限制。
例如,以下两种通过配置方式都是不推荐的。
1、在user-interface下配置ACL,对SSH做访问控制。
user-interfacevty04
acl2001inbound
2、在IPHTTPS后面配置ACL,对HTTPS做访问控制。
iphttpsacl2001
参考配置思路:
在防火墙上配置限制可以远程访问本设备的主机源IP地址,应通过配置防火墙域间策略实现。
FW-17、(必选)禁止使用弱口令
应用说明:
防火墙远程管理相关SNMP、SSH/Telent、等功能,一般通过用户名密码对管理员或管理服务器进行认证和鉴权。
在实际部署过程中,不得因贪图一时方便而使用弱口令,给系统安全留下隐患。
参考配置思路:
设备开局部署阶段及时做好密码管理工作,避免使用弱口令,推荐启用password-control相关功能。
FW-18、(必选)禁止使用动态链路聚合模式
应用说明:
ComwareV5平台防火墙支持二三层链路聚合功能,受性能因素影响,在实际开局部署过程中,应采用静态链路聚合模式进行配置。
参考配置思路:
设备开局部署阶段需要启用链路聚合功能时,使用静态链路聚合模式。
FW-19、(必选)IPSecVPN模板策略配置优化
应用说明:
ComwareV5平台防火墙支持“中心——分支”型IPSecVPN,为简化中心侧设备配置,可以采用模板方式进行策略配置。
管理员在进行模板策略配置时,须特别注意不要配置成如下形式,即每个分支节点对应一个不同的模板。
由于最终的IPSec策略中引用了多个模板,会导致软件匹配查找时效率大大降低。
错误的配置方式:
ipsecpolicy-templatetemp_11
ipsecpolicy-templatetemp_21
ipsecpolicy-templatetemp_31
ipsecpolicytest1isakmptemplatetemp_1
ipsecpolicytest2isakmptemplatetemp_2
ipsecpolicytest3isakmptemplatetemp_3
参考配置思路:
正确的配置方式为:
若各分支节点IKE协商参数相同,则推荐使用单个策略模板进行匹配;若各分支节点IKE协商参数不同,则应当利用策略模板中的序列号参数创建多个不同协商参数的策略组合,而整体上仍然保持只有一个策略模板,这样便可以极大地优化软件处理效率及速度。
正确的配置方式:
ipsecpolicy-templatetemp1
ipsecpolicy-templatetemp2
ipsecpolicy-templatetemp3
ipsecpolicytest1isakmptemplatetemp
FW-20、(必选)合理修改三层业务口TCPMSS参数
应用说明:
防火墙各三层业务口默认状态下TCPMSS参数值为1460字节,加上TCP包头及IP包头长度后正好为以太网最大负载长度1500字节,当报文从普通以太网端口发出时无需进行IP分片操作。
但在诸如L2TPVPN、GREVPN、IPSecVPN等防火墙常见应用场景中,由于防火墙在进行业务报文转发前需额外封装包头,导致报文最终长度会超过接口MTU,引起IP分片操作,大大降低流量处理效率。
因此,在防火墙开局部署阶段应该注意根据实际链路及配置情况,灵活调整TCPMSS参数值,避免防火墙转发报文过程中执行IP分片操作。
参考配置思路:
在配置VT端口或Tunnel端口后,需在端口上根据物理接口MTU计算并修改合理的TCPMSS参数,通常修改为1400字节。
命令行配置示例如下:
#
interfaceVirtual-Template1
tcpmss1400
#
interfaceTunnel1
tcpmss1400
tunnel-protocolipsecipv4
#
在配置IKE/IPSecVPN策略时,应根据业务流量走向规划,在业务流量对应防火墙的入出业务接口修改TCPMSS参数,保证经IPSec封装后的报文长度不会引起防火墙执行IP分片操作,通常修改为1350字节。
FW-21、(可选)利用域间策略对防火墙实施路由环路保护
应用说明:
可以利用域间策略来将防火墙接收到的三层环路报文丢弃处理,例如存在路由环路的接口已添加至Trust区域,则可以配置从Trust到Trust的域间策略,动作配置为Deny,从而将防火墙从Trust接收但仍将转发至Trust区域的报文直接丢弃。
注意实施该配置方法的前提,即配置防火墙安全区域时,提前按业务及组网需求规划好各个安全区域,不能简单地将全部接口加入同一个安全区域中。
若同一区域已包含多个接口,且各接口之间确有业务互访需求时,可以先配置相应的允许策略,再配置防环路策略;或者重新将各个接口划分至不同的安全区域中,再配置防环路策略。
参考配置思路:
综合以上原则,假设Trust区域仅包含一个物理端口,无内部无访需求,为实现防止内网口三层环路报文冲击防火墙,在Web管理界面中防环路策略配置如下图所示:
FW-22、(可选)虚拟分片重组功能配置优化
应用说明:
为了避免每个业务模块(如:
IPSec、NAT和防火墙)单独处理后片先到(报文分片后)而导致复杂度过高,设备需要将收到的IP报文执行虚拟分片重组功能,以实现对IP分片报文的检验、排序和缓存,保证其它后续业务模块处理的都是顺序正确的IP分片报文。
另外,IP虚拟分片重组功能还可以对分片攻击进行检测,如果检测到分片攻击行为,设备可以丢弃收到的异常分片报文,提高设备的安全性与性能。
参考配置思路:
当防火墙出现IP大包不通或丢包现象时,可以在虚拟分片重组功能配置页面,将“分片队列数”和“分片报文数”调整至最大值,老化时间保持默认值即可。
FW-23、(可选)会话表项老化时间参数配置优化
应用说明:
防火墙会话管理主要基于传输层协议对报文进行检测。
其实质是通过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理。
参考配置思路:
设备默认会话超时时间较长,在大并发的环境下,可以适当调整会话表项老化时间,以减小防火墙并发会话数,通常建议将TCPSYN/TCPEST/UDPOPEN会话超时时间改为缺省值的一半。
注意切勿将会话表项老化时间配置得过长或过短。
下图为Web配置界面举例:
FW-24、(可选)报文异常检测功能配置优化
应用说明:
单包攻击(亦称为畸形报文检测)是指攻击者通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃,给目标系统带来损失,或者通过发送大量无用报文占用网络带宽等行为来造成攻击。
防火墙报文异常检测功能支持对部分单包攻击进行检测和防御。
参考配置思路:
目前防火墙支持以下基于特征识别的防攻击,可以在所有安全区域开启攻击防范,但建议不启用“ICMP不可达报文攻击检测”,否则会引起大量的主机操作系统正常发送的ICMP协议报文被阻断。
另外,在需要通过防火墙执行Tracert操作时,不启用“Tracert报文攻击检测”。
FW-25、(可选)流量异常检测功能配置优化
应用说明:
防火墙流量异常检测功能,即泛洪攻击检测功能主要用于保护服务器。
防火墙通过监测客户端向服务器发起连接请求的速率来检测各类泛洪攻击,一般应用在设备连接内部网络的安全域上,且仅对应用了攻击检测策略的安全域的出方向报文有效。
配置了泛洪攻击检测后,设备将处于攻击检测状态,当它监测到向某台服务器IP地址发送报文的速率持续达到或超过判断阈值时,即认为该服务器受到了攻击并转入攻击防范状态,防火墙可以视具体配置情况启动相应的防范措施(输出告警日志、或将后续新建连接的报文进行丢弃处理)。
此后,当设备检测到向该服务器发送报文的速率低于恢复阈值时,即认为攻击行为已停止,防火墙将由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
参考配置思路:
如果需要在防火墙上开启本功能,必须首先了解客户当前的业务情况,尤其是每秒新建连接数、最大并发连接数等关键参数,否则无法合理配置检测阈值及恢复阈值。
目前支持的攻击检测类型主要有SYNFlood、UDPflood、ICMPflood等。
由于实现
升级会员 