Fortigate防火墙安全配置基线Word下载.docx

1、4.1管理*4.24.2.1用户管理*安全基线项目名称用户管理安全基线要求项安全基线编号SBL-FortiFW-02-01-01 安全基线项说明 应按照用户分配。避免不同用户间共享。避免用户和设备间通信使用的共享。检测操作步骤1、参考配置操作2、使用命令 show system admin 查看是否有多余2、补充说明无。基线符合性判定依据1、判定条件用配置中没有的用户名去登录，结果是不能登录3、参考检测操作4、show system admin删除:Config system admindelete 5、补充说明6、备注需要手工判定检测。4.2.2删除无关的*无关的安全基线要求项SBL-For

2、tiFW-02-01-02应删除或锁定与设备运行、维护等工作无关的。1.参考配置操作usrobj del 3.补充操作说明4.使用usrobj list admin显示信息。5.判定条件6.配置中用户信息被删除。7.检测操作8.查看配置。9.补充说明10.需要手工判定检测，无关更多属于管理层面，需要人为确认。4.2.3登录超时*登录超时安全基线要求项SBL-FortiFW-02-01-03 配置定时自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。设置超时时间为5分钟config system globalset admintimeout 51.判定条件在超出设定时间后，用户自动

3、登出设备。3.参考检测操作show system global5.补充说明需要手工检查4.2.4密码错误自动锁定*密码错误自动锁定安全基线要求项SBL-FortiFW-02-01-04在10次尝试登录失败后锁定，不允许登录。解锁时间设置为300秒设置尝试失败锁定次数为10次set admin-lockout-threshold 10set admintimeout 1set admin-lockout-duration 300超出重试次数后锁定，不允许登录，解锁时间到达后可以登录。注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。4.3口令4.44.4.1口令复杂度

4、口令复杂度安全基线要求项SBL-FortiFW-02-02-01 防火墙的密码必须符合密码复杂度要求，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以不得设置相同的口令。密码应至少每90天进行更换。config system password-policyset status enableset apply-to admin-password ipsec-preshared-keyset change-4-characters enableset expire 90set minimum-length8set must-contain lower-case-l

5、etter Upper-case-letter non-alphanumeriumberend密码长度要求8位，大小写字母和特殊字符混合，密码超时时间90天。Show system password-policy4.5授权4.64.6.1远程维护的设备使用加密协议远程维护使用加密协议安全基线要求项SBL-FortiFW-02-03-01 对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙部进行管理，应该限定管理IP。系统默认支持ssh及WEB SSL两种加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhost list增加管理IPadm

6、inhost add 只支持ssh及Web SSL管理，对于非允许的ip地址不能登陆。3.检测操作使用非允许的ip地址登陆。 第5章日志安全要求第6章6.1日志服务器6.26.2.1启用日志服务器启用日志服务器安全基线要求项SBL-FortiFW-03-01-01 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。config log syslogd setting是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。Show log syslogd setting6.2.2配置远程日志服务

7、器配置远程日志服务器安全基线要求项SBL-FortiFW-03-01-021参考配置操作set server XXX.XXX.XXX.XXXset portXXX2补充操作说明6.3告警配置要求6.46.4.1配置对防火墙本身的攻击或部错误告警配置对防火墙本身的攻击或部错误告警安全基线要求项SBL-FortiFW-03-02-01 设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。参考日志配置模块查看防火墙是否生成相应告警6.4.2配置DOS和DDOS攻击告警配置DOS和DDOS攻击防护功能安全基线要求项SBL-FortiFW-03-02-02 可打开

8、DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白方式屏蔽部分告警。查看是否已经将此功能打开。6.4.3配置扫描攻击检测告警*配置扫描攻击检测告警安全基线要求项SBL-FortiFW-03-02-03可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白方式屏蔽部分网络扫描告警。检测是否开启此功能无无 需手工判定。6.5安全策略配置要求6.66.6.1访问规则列表最后一条必须是拒绝一切流量访问规则列表最后一条必须是拒绝一切流量安全基线要求项SBL-FortiFW-03

9、-03-01所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。设备默认最后一条为拒绝所有其他。设备也支持主动建立禁止一切的策略。查看策略配置及测试访问。6.6.2配置访问规则应尽可能缩小围配置访问规则应尽可能缩小围安全基线要求项SBL-FortiFW-03-03-02在配置访问规则时，源地址和目的地址的围必须以实际访问需求为前提，尽可能的缩小围。根据实际访问需求，缩小地址围。需要禁止any to any all和any all和服务为all的规则。我们在防火墙上可以定义不同围的地址对象，在策略中进行引用即可。如下命令用来建立不同围的地址对象，供策略引用。根据实际访问需求，测试是否达到要求

10、；6.6.3VPN用户按照访问权限进行分组*VPN用户按照访问权限进行分组安全基线要求项SBL-FortiFW-03-03-03对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。policy add nettoact options toname设备部分支持此项功能。按照需求访问进行检测。根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。6.6.4配置NAT地址转换*配置NAT地址转换安全基线要求项SBL-FortiFW-03-03-04配置NAT，对公网隐藏局域网主机的实际地址。检测是否启用NAT功能。从外网用NAT地址访问网的IP6

11、.6.5关闭仅开启必要服务仅开启必要服务安全基线要求项SBL- FortiFW -03-03-05防火墙设备必须仅开启必要服务。与生产无关的服务端口不能开放规则。查看策略，检查是否有不必要的服务Policy list6.6.6禁止使用anyto anyall允许规则尽量不允许使用anyto any安全基线要求项SBL- FortiFW -03-03-06防火墙策略配置时不允许使用anyto any all允许规则，对于从防火墙部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理查看访问控制策略policy list配置防火墙策略6.7攻击防护配置要求6.86.8.1配置应用层攻击防

12、护*配置应用层攻击防护安全基线要求项SBL-FortiFW-03-04-01建议采用防火墙自带的入侵检测模块对应用层攻击进行防护enable level其中级别如下，建议采用默认级别10 - disable 1 - duplicate pass-policy matched packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets6.8.2配置网络扫描攻击防护*配置网络扫描攻击防护安全基线要求项SBL-FortiFW-03-04-02建议采用防火墙自带的入侵检测模块对网络扫描攻击行为进行检

13、测启用流探测功能模块：选择启用即可6.8.3限制ping包大小*限制ping包大小安全基线要求项SBL-FortiFW-03-04-03限制ping包的大小，以及一段时间同一主机发送的次数。部分功能实现。查看配置；需求测试。6.8.4启用对带选项的IP包及畸形IP包的检测启用对带选项的IP包及畸形IP包的检测安全基线要求项SBL-FortiFW-03-04-04启用对带选项的IP包及畸形IP包的检测anti set frag on第7章IP协议安全要求第8章8.1管理IP限制8.28.2.1管理IP限制管理IP限制安全基线要求项SBL-FortiFW-04-01-01 系统远程管理服务TELN

14、ET、SSH默认可以接受任何地址的连接，出于安全考虑，应该只允许特定地址访问。Edit Set trusthost1 XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXSet trusthost2XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXSet trusthost3 127.0.0.1 255.255.255.255通过设定，成功过滤非法的访问。Show system admin第9章SNMP安全第10章10.1SNMP管理10.210.2.1使用SNMPV2或以上版本使用SNMPV2或V3版本安全基线要求项SBL-FortiFW-05-01-01 系统应配置为

15、SNMPV2或V3版本。config system snmp munityedit set name SNMP_1set query-v1-status disableset trap-v1-status disableset query-v2c-statusenable2、补充说明 成功使能snmpv2c或V3版本。Show system snmp munity10.3SNMP访问控制10.410.4.1SNMP访问控制SNMP访问控制安全基线要求项SBL-FortiFW-05-02-01 设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。config hostsset interface internalset ip XXX.XXX.XXX.XXX通过设定acl来成功过滤特定的源才能进行访问。第11章评审与修订第12章