H3C防火墙安全配置基线文档格式.docx

1、安全基线项说明 不同等级管理员分配不同帐号，避免帐号混用。检测操作步骤1.参考配置操作#local-user user1 password cipher WFSOR（5:LLK8RI6$HXA! authorization-attribute level 3 service-type telnet# local-user user2 authorization-attribute level 22.补充操作说明无。基线符合性判定依据1.判定条件用配置中没有的用户名去登录，结果是不能登录。2.检测操作display current-configuration3.补充说明备注有些防火墙系统本身就携

2、带三种不同权限的帐号，需要手工检查。2.1.2删除无关的帐号*无关的帐号安全基线要求项SBL- H3C-02-01-02 应删除或锁定与设备运行、维护等工作无关的帐号。H3C undo local-user user1无配置中用户信息被删除。 display current-configuration建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3帐户登录超时*帐户登录超时安全基线要求项SBL- H3C -02-01-03 配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。1、参考配置操作设置超时时间为5分钟2、补充说明在超出设定时间后，用户自动登

3、出设备。2.参考检测操作需要手工检查。2.1.4帐户密码错误自动锁定*帐户密码错误自动锁定安全基线要求项SBL-H3C-02-01-04 在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒设置尝试失败锁定次数为10次超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。2.2口令2.2.1口令复杂度要求口令复杂度要求安全基线要求项SBL- H3C -02-02-01 防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更

4、换。H3Clocal-user adminH3C-luser-huaweiservice-type telnet level 3H3C-luser-huaweipassword cipher Aq1!Sw2该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。此项无法通过配置实现，建议通过管理实现。2.3授权2.3.1远程维护的设备使用加密协议远程维护使用加密协议安全基线要求项SBL-H3C-02-03-01 对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理IP。登陆设备web配置页面，在“设备管理”-“服务管理”

5、下选择ssh、https方式登陆设备。配置针对SSH登陆用户IP地址的限定：acl number 3000 rule 0 permit ip source ip addresswildcard user-interface vty 0 4 acl 3000 inbound protocol inbound ssh查看防火墙是否启用了ssh、https服务；针对SSH登陆用户进行IP地址限定。通过ssh、https方式登陆设备进行检测。第3章日志及配置安全要求3.1日志安全3.1.1记录用户对设备的操作用户对设备记录安全基线要求项SBL-H3C-03-01-01配置记录防火墙管理员操作日志，如管

6、理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。1参考配置操作H3C info-center enable2补充操作说明设备默认开启日志功能，记录在设备的logbuffer中。检查配置中的logbuffer相关配置。 display logbuffer3.1.2开启记录NAT日志*开启记录NAT日志安全基线要求项SBL-H3C-03-01-02开启记录NAT日志，记录转换前后IP地址的对应关系。H3C userlog flow export version 3H3C userlog flow export host log

7、server ip address log server port防火墙自身不记录NAT日志信息，需要配置专门的日志服务器，防火墙将NAT日志信息发送到专门的日志服务器。检查配置中的NAT日志相关配置； display userlog export根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.3开启记录VPN日志*开启记录VPN日志安全基线要求项SBL-H3C-03-01-03开启记录VPN日志，记录VPN访问登陆、退出等信息。设备默认会记录VPN日志，不需要额外配置。检查配置中的日志相关配置 display trapbuffer3.1.4配置记录拒绝和丢弃报文规则的日志

8、配置记录拒绝和丢弃报文规则的日志安全基线要求项SBL-H3C-03-01-04配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。设备默认记录，不需要额外配置；使用display trapbuffer检查3.2告警配置要求3.2.1配置对防火墙本身的攻击或内部错误告警配置对防火墙本身的攻击或内部错误告警安全基线要求项SBL-H3C-03-02-01 配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。无需配置，设备默认开启；通过查看设备的trapbuffer信息；3.2.2配置TCP/IP协议网络层异常报文攻击告警配置TCP/IP协议网络层异常报文攻击告警安全基线要求项SBL-H3C-0

9、3-02-02 配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。登陆防火墙web配置页面，在“攻击防范”-“报文异常检测”选择所需的针对异常攻击报文的检测。检查防火墙攻击防范配置；登陆防火墙web页面，在“攻击防范”-“入侵检测统计”中查看攻击防范的效果；3.2.3配置DOS和DDOS攻击告警配置DOS和DDOS攻击防护功能安全基线要求项SBL-H3C-03-02-03 配置DOS和DDOS攻击防护功能。对DOS和DDOS攻击告警。维护人员应根据网络环境调整DDOS的攻击告警的参数。登陆防火墙web配置页面，在“攻击防范”-“流量异常检测”中，选择需要防范的攻击类型

10、。3.2.4配置关键字内容过滤功能告警*配置关键字内容过滤功能告警安全基线要求项SBL-H3C-03-02-04配置关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。针对关键字过滤是应用层过滤机制，对系统性能有一定影响。针对HTTP协议内容访问的网站关键字段，包含暴力、淫秽、违法等类型。可添加内容库实现。登陆防火墙web配置页面，在“应用控制”-“内容过滤”，根据需求选择关键字、URL主机名、文件名等方式进行过滤。检查防火墙“应用控制”配置；登陆防火墙web页面配置，在“应用控制”-“内容过滤”-“统计信息”中查看过滤功能实施效果。3.3安全策略配置

11、要求3.3.1访问规则列表最后一条必须是拒绝一切流量访问规则列表最后一条必须是拒绝一切流量安全基线要求项SBL-H3C-03-03-01防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。acl number 3001 rule 0 permit ip destination ip address mask rule 1 deny ip检查配置中的 ACL 设置 display acl number 30013.3.2配置访问规则应尽可能缩小范围配置访问规则应尽可能缩小范围安全基线要求项SBL-H3C-03-03-02在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为

12、前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。登陆防火墙web配置页面，在“防火墙”-“安全策略”-“域间策略”中增加访问规则，需要填写的内容是：源域、目的域、源IP地址、目的IP地址、服务（访问的协议和端口）、过滤动作（permit or deny）、时间段。检查防火墙“域间策略”配置，域间策略详细到协议、端口、具体的IP地址；无；3.3.3VPN用户按照访问权限进行分组*VPN用户按照访问权限进行分组安全基线要求项SBL-H3C-03-03-03对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格

13、限制。local-user vpnuser password cipher password service-type ppp authorization-attribute level 0-3 /设定用户的访问权限domain system /对VPN用户采用本地验证authentication ppp localip pool 1 ip pool address rangel2tp enable /启用L2TP服务interface virtual-template 1 /配置虚模板Virtual-Template的相关信息 ip address ipaddress mask ppp au

14、thentication-mode chap domain system remote address pool 1l2tp-group 1 /设置一个L2TP组，指定接收呼叫的虚拟接口模板allow l2tp virtual-template 1检查配置中用户设置： 使用display local-user检查3.3.4配置NAT地址转换*配置NAT地址转换安全基线要求项SBL-H3C-03-03-04配置NAT地址转换，对互联网隐藏内网主机的实际地址。rule 0 permit ip destination 10.4.125.65 0 rule 1 permit ip destinatio

15、n 10.4.125.66 0interface GigabitEthernet0/0 port link-mode route nat outbound 3001配置中有nat或者static的内容display nat3.3.5隐藏防火墙字符管理界面的bannner信息隐藏防火墙字符管理界面的bannner信息安全基线要求项SBL-H3C-03-03-05隐藏防火墙字符管理界面的bannner信息。H3C undo copyright-info enable登陆设备后，字符管理页面消失；telnet登陆到设备，字符管理页面消失；3.3.6避免从内网主机直接访问外网的规则*避免从内网主机直接

16、访问外网的规则安全基线要求项SBL-H3C-03-03-06应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。参考3.3.2配置，在防火墙上可以配置代理服务器与外网互访的规则；检查防火墙“域间策略”，配置了针对代理服务器到外网的访问规则；3.3.7关闭非必要服务关闭非必要服务安全基线要求项SBL-H3C-03-03-07防火墙设备必须关闭非必要服务。登陆防火墙web配置页面，在“设备管理”-“服务管理”中关闭非必要的服务，比如http、telnet、ftp等。检查配置中是否关闭对应服务 3.4

17、攻击防护配置要求3.4.1拒绝常见漏洞所对应端口或者服务的访问拒绝常见漏洞所对应端口或者服务的访问安全基线要求项SBL-H3C-03-04-01配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。 rule 0 deny tcp destination-port eq 135 rule 1 deny tcp destination-port eq 136 rule 2 deny tcp destination-port eq 138 rule 3 deny tcp destination-port eq 4444 rule 4 deny tcp destination-

18、port eq 389 rule 5 deny tcp destination-port eq 445 rule 6 deny tcp destination-port eq 4899 rule 7 deny tcp destination-port eq 6588 rule 8 deny tcp destination-port eq 1978 rule 9 deny tcp destination-port eq 593 rule 10 deny tcp destination-port eq 3389 rule 11 deny tcp destination-port eq 137 ru

19、le 12 deny tcp destination-port eq talk rule 13 deny tcp destination-port eq 139 rule 14 deny tcp destination-port eq 2745 rule 15 deny tcp destination-port eq 1080 rule 16 deny tcp destination-port eq 6129 rule 17 deny tcp destination-port eq 3127 rule 18 deny tcp destination-port eq 3128 rule 19 d

20、eny tcp destination-port eq 5800 rule 20 deny tcp destination-port eq 6667 rule 21 deny tcp destination-port eq 1025 rule 22 deny tcp destination-port eq 5554 rule 23 deny tcp destination-port eq 1068 rule 24 deny tcp destination-port eq 9995 rule 25 deny tcp destination-port eq 539 rule 26 deny udp destination-port eq 539 rule 27 deny udp destination-port eq 1434 rule 28 deny udp destination-port eq 593 rule 29 permit ip应根据实际情况调整。检查配置文件使用命令display acl number 3001 3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项SBL-H3C-03-04-02对于防火墙各逻辑接口配置开启防源地址欺骗功能。登陆防火墙web配置页面，在“攻击防范”-