NetScreen防火墙安全配置基线.docx
《NetScreen防火墙安全配置基线.docx》由会员分享,可在线阅读,更多相关《NetScreen防火墙安全配置基线.docx(34页珍藏版)》请在冰豆网上搜索。
![NetScreen防火墙安全配置基线.docx](https://file1.bdocx.com/fileroot1/2023-2/5/d475ccb9-5d7c-4521-b958-4a1d4eb19456/d475ccb9-5d7c-4521-b958-4a1d4eb194561.gif)
NetScreen防火墙安全配置基线
NetScreen防火墙安全配置基线
版本
版本控制信息
更新日期
更新人
审批人
V2.0
创建
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
1.4实施1
1.5例外条款1
第2章账号管理、认证授权安全要求2
2.1账号管理2
2.1.1用户账号分配*2
2.1.2删除无关的账号*2
2.1.3帐户登录超时*3
2.1.4帐户密码错误自动锁定*4
2.2口令4
2.2.1静态口令以密文形式存放4
2.3授权5
2.3.1用IP协议进行远程维护的设备使用SSH等加密协议5
第3章日志及配置安全要求6
3.1日志安全6
3.1.1对用户登录进行记录6
3.1.2记录用户对设备的操作7
3.1.3记录与设备相关的安全事件7
3.1.4开启记录NAT日志8
3.1.5开启记录VPN日志*9
3.1.6配置记录流量日志9
3.1.7配置记录拒绝和丢弃报文规则的日志10
3.1.8配置记录防火墙管理员操作日志10
3.2告警配置要求11
3.2.1配置对防火墙本身的攻击或内部错误告警11
3.2.2配置TCP/IP协议网络层异常报文攻击告警12
3.2.3配置DOS和DDOS攻击告警13
3.2.4配置关键字内容过滤功能告警13
3.3安全策略配置要求14
3.3.1访问规则列表最后一条必须是拒绝一切流量14
3.3.2配置访问规则应尽可能缩小范围15
3.3.3VPN用户按照访问权限进行分组*16
3.3.4访问规则进行分组*17
3.3.5配置NAT地址转换18
3.3.6隐藏防火墙字符管理界面的bannner信息18
3.3.7关闭非必要服务*19
3.3.8防火墙各逻辑接口配置开启防源地址欺骗功能19
第4章IP协议安全要求21
4.1IP协议21
4.1.1过滤所有和业务不相关的流量。
21
4.2功能配置22
4.2.1使用SNMPV2或V3的版本对防火墙远程管理22
第5章其他安全要求23
5.1其他安全配置23
5.1.1配置consol口密码保护功能23
5.1.2图形界面应配置自动锁屏23
5.1.3外网口地址关闭对ping包的回应24
5.1.4对防火墙的管理地址做源地址限制24
第6章评审与修订26
概述
目的
本文档旨在指导系统管理人员进行NetScreen防火墙的安全配置。
适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
适用版本
NetScreen防火墙。
实施
例外条款
账号管理、认证授权安全要求
账号管理
1.1.1用户账号分配*
安全基线项目名称
用户账号分配安全基线要求项
安全基线编号
SBL-NetScreen-02-01-01
安全基线项说明
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
检测操作步骤
1.参考配置操作
新建用户:
NetScreen->setadminuseruser1passworduser123
NetScreen->setadminuseruser2passworduser123
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
I.配置文件存在多帐号
2.检测操作
查看配置:
NetScreen->getconfig
setadminuser"user1"password"nEJ/NqrIDN/EcWxGmsdBB2AtkNKBvn"
setadminuser"user2"password"nDbuCtrzCciDck8NosFBHaOt02BnYn"
……
备注
需要手工检测。
1.1.2删除无关的账号*
安全基线项目名称
无关的账号安全基线要求项
安全基线编号
SBL-NetScreen-02-01-02
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的账号。
检测操作步骤
1.参考配置操作
删除用户:
NetScreen->unsetadminuseruser1
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
I.网络管理员确认所有帐号与设备运行、维护等工作有关
2.检测操作
查看配置:
NetScreen->getconfig
setadminuser"user2"password"nDbuCtrzCciDck8NosFBHaOt02BnYn"
……
备注
需要手工检测。
1.1.3帐户登录超时*
安全基线项目名称
帐户登录超时安全基线要求项
安全基线编号
SBL-NetScreen-02-01-03
安全基线项说明
配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需再次登录才能进入系统。
检测操作步骤
1、参考配置操作
设置超时时间为5分钟
2、补充说明
无。
基线符合性判定依据
1.判定条件
在超出设定时间后,用户自动登出设备。
2.参考检测操作
3.补充说明
无。
备注
需要手工检查。
1.1.4帐户密码错误自动锁定*
安全基线项目名称
帐户密码错误自动锁定安全基线要求项
安全基线编号
SBL-NetScreen-02-01-04
安全基线项说明
在10次尝试登录失败后锁定帐户,不允许登录。
解锁时间设置为300秒
检测操作步骤
1、参考配置操作
设置尝试失败锁定次数为10次
2、补充说明
无。
基线符合性判定依据
1.判定条件
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。
2.参考检测操作
3.补充说明
无。
备注
注意!
此项设置会影响性能,建议设置后对访问此设备做源地址做限制。
需要手工检查。
口令
1.1.5静态口令以密文形式存放
安全基线项目名称
静态口令安全基线要求项
安全基线编号
SBL-NetScreen-02-02-01
安全基线项说明
防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1.参考配置操作
通过外部radius认证服务器来满足口令的要求
NetScreen->setauth-serverradius1typeradius
NetScreen->setauth-serverradius1account-typeauthl2tpxauth
NetScreen->setauth-serverradius1server-name10.20.1.100
NetScreen->setauth-serverradius1forced-timeout60
NetScreen->setauth-serverradius1timeout90
NetScreen->setauth-serverradius1radiusport4500
NetScreen->setauth-serverradius1radiustimeout5
NetScreen->setauth-serverradius1radiussecretA56htYY97kl
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
2.检测操作
查看配置:
NetScreen->getauth-server
备注
授权
1.1.6用IP协议进行远程维护的设备使用SSH等加密协议
安全基线项目名称
IP协议进行远程维护的设备安全基线要求项
安全基线编号
SBL-NetScreen-02-03-01
安全基线项说明
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
检测操作步骤
1.参考配置操作
NetScreen->setsshenable
NetScreen->setsshversionv2
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
I.远程访问使用ssh方式
2.检测操作
查看配置:
NetScreen->getssh
SSHV2isactive
SSHisenabled
……
备注
日志及配置安全要求
日志安全
1.1.7对用户登录进行记录
安全基线项目名称
用户登录进行记录安全基线要求项
安全基线编号
SBL-NetScreen-03-01-01
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
1.参考配置操作
记录常规(包括由admin发起的配置更改)及更高级别的日志
NetScreen->setlogmodulesystemlevelnotification
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
记录了相关日志信息
2.检测操作
查看日志:
NetScreen->geteventlevelnotification
Totalevententries=1629
DateTimeModuleLevelTypeDescription
2009-12-2319:
48:
17systemnotif00002Adminuser"operator"loggedoutfor
Web(http)management(port80)from
116.237.66.132:
1541
备注
1.1.8记录用户对设备的操作
安全基线项目名称
用户对设备记录安全基线要求项
安全基线编号
SBL-NetScreen-03-01-02
安全基线项说明
设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:
账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
检测操作步骤
1.参考配置操作
记录常规(包括由admin发起的配置更改)及更高级别的日志
NetScreen->setlogmodulesystemlevelnotification
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
记录了相关日志信息
2.检测操作
查看日志:
NetScreen->geteventlevelnotification
备注
1.1.9记录与设备相关的安全事件
安全基线项目名称
记录与设备相关安全事件安全基线要求项
安全基线编号
SBL-NetScreen-03-01-03
安全基线项说明
设备应配置日志功能,记录对与设备相关的安全事件。
检测操作步骤
1.参考配置操作
记录常规(包括由admin发起的配置更改)及更高级别的日志
NetScreen->setlogmodulesystemlevelnotification
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
记录了相关日志信息
2.检测操作
查看日志:
NetScreen->geteventlevelnotification
Totalevententries=1629
DateTimeModuleLevelTypeDescription
2009-12-1114:
11:
44systemnotif00513Thephysicalstateofinterface
v1-trusthaschangedtoUp
备注
1.1.10开启记录NAT日志
安全基线项目名称
开启记录NAT日志安全基线要求项
安全基线编号
SBL-NetScreen-03-01-04
安全基线项说明
开启记录NAT日志,记录转换前后IP地址的对应关系。
检测操作步骤
1.参考配置操作
记录常规(包括由admin发起的配置更改)及更高级别的日志
NetScreen->setlogmodulesystemlevelnotification
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
记录了相关日志信息
2.检测操作
查看配置:
NetScreen->getconfig
备注
1.1.11开启记录VPN日志*
安全基线项目名称
开启记录VPN日志安全基线要求项
安全基线编号
SBL-NetScreen-03-01-05
安全基线项说明
开启记录VPN日志,记录VPN访问登陆、退出等信息。
检测操作步骤
1.参考配置操作
记录常规(包括由admin发起的配置更改)及更高级别的日志
NetScreen->setlogmodulesystemlevelnotification
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
记录了相关日志信息
2.检测操作
查看配置:
NetScreen->getconfig
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
1.1.12配置记录流量日志
安全基线项目名称
配置记录流量日志安全基线要求项
安全基线编号
SBL-NetScreen-03-01-06
安全基线项说明
配置记录流量日志,记录通过防火墙的网络连接的信息。
检测操作步骤
1.参考配置操作
对允许通过防火墙的策略启用记录选项
允许由Untrust区段内任何地址发往DMZ区段内名为web1的Web服务器的Telnet流量,并记录日志
NetScreen->setpolicyfromuntrusttodmzanyweb1telnetpermitlog
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
记录了相关日志信息
2.检测操作
查看配置:
NetScreen->getconfig
备注
1.1.13配置记录拒绝和丢弃报文规则的日志
安全基线项目名称
配置记录拒绝和丢弃报文规则的日志安全基线要求项
安全基线编号
SBL-NetScreen-03-01-07
安全基线项说明
配置防火墙规则,记录防火墙拒绝和丢弃报文的日志。
检测操作步骤
1.参考配置操作
对拒绝的策略启用记录选项:
拒绝由Untrust区段内任何地址发往DMZ区段内名为web1的Web服务器的Telnet流量,并记录日志
NetScreen->setpolicyfromuntrusttodmzanyweb1telnetdenylog
NetScreen->save
启用self日志
NetScreen->setfirewalllog-self
2.补充操作说明
基线符合性判定依据
1.判定条件
记录了相关日志信息
2.检测操作
查看配置:
NetScreen->getconfig
备注
1.1.14配置记录防火墙管理员操作日志
安全基线项目名称
配置记录防火墙管理员操作日志安全基线要求项
安全基线编号
SBL-NetScreen-03-01-08
安全基线项说明
配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号解锁等信息。
配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。
检测操作步骤
1.参考配置操作
记录常规(包括由admin发起的配置更改)及更高级别的日志
NetScreen->setlogmodulesystemlevelnotification
NetScreen->save
通过TCP将事件和流量日志发送到系统日志服务器:
1.1.1.1,端口号1514。
将安全级别和设备级别都设置为Local0。
NetScreen->setsyslogconfig1.1.1.1port1514
NetScreen->setsyslogconfig1.1.1.1logall
NetScreen->setsyslogconfig1.1.1.1facilitieslocal0local0
NetScreen->setsyslogconfig1.1.1.1transporttcp
NetScreen->setsyslogenable
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
记录了相关日志信息
2.检测操作
查看配置:
NetScreen->getconfig
备注
告警配置要求
1.1.15配置对防火墙本身的攻击或内部错误告警
安全基线项目名称
配置对防火墙本身的攻击或内部错误告警安全基线要求项
安全基线编号
SBL-NetScreen-03-02-01
安全基线项说明
配置告警功能,报告对防火墙本身的攻击或者防火墙的系统内部错误。
检测操作步骤
1.参考配置操作
NetScreen->setzoneuntrustscreenalarm-without-drop
NetScreen->setzonetrustscreenalarm-without-drop
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
I.查看告警记录
2.检测操作
查看配置信息
NetScreen->getconfig
备注
1.1.16配置TCP/IP协议网络层异常报文攻击告警
安全基线项目名称
配置TCP/IP协议网络层异常报文攻击告警安全基线要求项
安全基线编号
SBL-NetScreen-03-02-02
安全基线项说明
配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。
检测操作步骤
1.参考配置操作
NetScreen->setzoneuntrustscreenalarm-without-drop
NetScreen->setzoneuntrustscreenip-record-route
NetScreen->setzoneuntrustscreenip-security-opt
NetScreen->setzoneuntrustscreenip-timestamp-opt
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
I.查看告警记录
2.检测操作
查看配置信息
NetScreen->getconfig
……
setzoneuntrustscreenalarm-without-drop
setzoneuntrustscreenip-record-route
setzoneuntrustscreenip-security-opt
setzoneuntrustscreenip-timestamp-opt
备注
1.1.17配置DOS和DDOS攻击告警
安全基线项目名称
配置DOS和DDOS攻击防护功能安全基线要求项
安全基线编号
SBL-NetScreen-03-02-03
安全基线项说明
配置DOS和DDOS攻击防护功能。
对DOS和DDOS攻击告警。
维护人员应根据网络环境调整DDOS的攻击告警的参数。
检测操作步骤
1.参考配置操作
基于源的会话限制,将基于源的会话限值设置为可能的最低值:
1个会话。
对于Trust区段,将源会话数最大限值设置为80个并发会话。
NetScreen->setzonedmzscreenlimit-sessionsource-ip-based1
NetScreen->setzonedmzscreenlimit-sessionsource-ip-based
NetScreen->setzonetrustscreenlimit-sessionsource-ip-based80
NetScreen->setzonetrustscreenlimit-sessionsource-ip-based
NetScreen->save
基于目标的会话限制,将新会话限值设置为4000个并发会话。
NetScreen->setzoneuntrustscreenlimit-sessiondestination-ip-based4000
NetScreen->setzoneuntrustscreenlimit-sessiondestination-ip-based
NetScreen->save
主动加速超时会话,设置主动加速超时过程当会话表充满80%以上的容量(高位临界值)时,安全设备将所有会话的超时时间减少40秒,并开始对最早的会话进行主动加速超时,直到会话表中的会话数目小于70%的容量(低位临界值)。
NetScreen->setflowaginglow-watermark70
NetScreen->setflowaginghigh-watermark80
NetScreen->setflowagingearly-ageout4
NetScreen->save
2.补充操作说明
基线符合性判定依据
1.判定条件
I.查看告警记录
2.检测操作
查看配置信息
NetScreen->getconfig
备注
1.1.18配置关键字内容过滤功能告警
安全基线项目名称
配置关键字内容过滤功能告警安全基线要求项
安全基线编号
SBL-NetScreen-03-02-04
安全基线项说明
配置关键字内容过滤功能,在HTTP,SMTP,POP3等应用协议流量过滤