H3C防火墙安全配置基线.docx

1、H3C防火墙安全配置基线H3C 防火墙安全配置基线H3C防火墙安全配置基线第1页共28页H3C 防火墙安全配置基线版本 版本控制信息 更新日期 更新人 审批人V2.0 创建 2012 年 4 月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第2页共28页H3C 防火墙安全配置基线目录第 1章概述 .11.1目的 .11.2适用范围 .11.3适用版本 .11.4实施 .11.5例外条款 .1第 2章帐号管理、认证授权安全要求.22.1帐号管理 .22.1.1用户帐号分配 * .22.1.2删除无关的帐号 * .32.1.3帐户登录超时 * .32.1.4帐户密

2、码错误自动锁定 * .42.2口令 .52.2.1口令复杂度要求 .52.3授权 .62.3.1远程维护的设备使用加密协议.6第 3章日志及配置安全要求 .73.1日志安全 .73.1.1记录用户对设备的操作 .73.1.2开启记录 NAT 日志 * .73.1.3开启记录 VPN 日志 *.83.1.4配置记录拒绝和丢弃报文规则的日志 .83.2告警配置要求 .93.2.1配置对防火墙本身的攻击或内部错误告警 .93.2.2配置 TCP/IP 协议网络层异常报文攻击告警 .93.2.3配置 DOS 和 DDOS 攻击告警 .103.2.4配置关键字内容过滤功能告警 * .123.3安全策略配

3、置要求 .133.3.1访问规则列表最后一条必须是拒绝一切流量.133.3.2配置访问规则应尽可能缩小范围 .133.3.3VPN 用户按照访问权限进行分组 * .143.3.4配置 NAT 地址转换 * .153.3.5隐藏防火墙字符管理界面的bannner 信息 .163.3.6避免从内网主机直接访问外网的规则 * .163.3.7关闭非必要服务 .173.4攻击防护配置要求 .173.4.1拒绝常见漏洞所对应端口或者服务的访问 .173.4.2防火墙各逻辑接口配置开启防源地址欺骗功能.19第 4章IP 协议安全要求 .19第3页共28页H3C 防火墙安全配置基线4.1功能配置 .194.

4、1.1使用 SNMP V2c 或者 V3 以上的版本对防火墙远程管理 .19第 5章其他安全要求 .225.1其他安全配置 .225.1.1外网口地址关闭对 ping 包的回应 * .225.1.2对防火墙的管理地址做源地址限制 .22第 6章评审与修订 .24第4页共28页H3C 防火墙安全配置基线第1章 概述1.1 目的本文档旨在指导系统管理人员进行 H3C 防火墙的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本H3C 防火墙。1.4 实施1.5 例外条款第1页共28页H3C 防火墙安全配置基线第 2章 帐号管理、认证授权安全要

5、求2.1 帐号管理2.1.1 用户帐号分配 *安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据用户帐号分配安全基线要求项SBL-H3C-02-01-01不同等级管理员分配不同帐号，避免帐号混用。1.参考配置操作#local-user user1password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3service-type telnet#local-user user2password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute lev

6、el 2service-type telnet#2.补充操作说明无。1.判定条件用配置中没有的用户名去登录，结果是不能登录。2.检测操作display current-configuration#local-user user1password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3service-type telnet#第2页共28页H3C 防火墙安全配置基线local-user user2password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute lev

7、el 2service-type telnet#3.补充说明无。备注 有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。2.1.2 删除无关的帐号 *安全基线项 无关的帐号安全基线要求项目名称安全基线编 SBL- H3C-02-01-02号安全基线项 应删除或锁定与设备运行、维护等工作无关的帐号。说明检测操作步 1. 参考配置操作骤H3C undo local-user user12.补充操作说明无基线符合性 1. 判定条件判定依据配置中用户信息被删除。2.检测操作 display current-configuration3.补充说明无。备注 建议手工抽查系统，无关账户更多属于管理层

8、面，需要人为确认。2.1.3 帐户登录超时 *安全基线项 帐户登录超时安全基线要求项目名称安全基线编 SBL- H3C -02-01-03号第3页共28页H3C 防火墙安全配置基线安全基线项 配置定时帐户自动登出，空闲 5 分钟自动登出。登出后用户需再次登录才能说明进入系统。检测操作步 1、 参考配置操作骤设置超时时间为 5 分钟2、补充说明无。基线符合性 1. 判定条件判定依据在超出设定时间后，用户自动登出设备。2.参考检测操作3.补充说明无。备注 需要手工检查。2.1.4 帐户密码错误自动锁定 *安全基线项帐户密码错误自动锁定安全基线要求项目名称安全基线编SBL-H3C-02-01-04号

9、安全基线项在 10 次尝试登录失败后锁定帐户，不允许登录。说明解锁时间设置为 300 秒检测操作步1、 参考配置操作骤10 次设置尝试失败锁定次数为2、补充说明无。基线符合性 1. 判定条件判定依据超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2.参考检测操作第4页共28页H3C 防火墙安全配置基线3.补充说明无。备注 注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度要求安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注口令复杂度要求安全基线要求项SBL- H3C -02-02-01防火墙管

10、理员帐号口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置相同的口令。密码应至少每90天进行更换。1.参考配置操作H3Clocal-user admin H3C-luser-huaweiservice-type telnet level 3 H3C-luser-huaweipassword cipher Aq1!Sw22.补充操作说明无1.判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2.检测操作此项无法通过配置实现，建议通过管理实现。3.补充说明无。第5页共28页H3C 防火墙安全配置基线2.3 授权2.3.1 远程维

11、护的设备使用加密协议安全基线项 远程维护使用加密协议安全基线要求项目名称安全基线编 SBL-H3C-02-03-01号安全基线项 对于防火墙远程管理的配置，必须是基于加密的协议。如 SSH 或者 WEB 说明SSL ，如果只允许从防火墙内部进行管理，应该限定管理 IP 。检测操作步 1. 参考配置操作骤登陆设备 web 配置页面，在“设备管理” - “服务管理”下选择 ssh 、https方式登陆设备。基线符合性判定依据配置针对 SSH 登陆用户 IP 地址的限定：#acl number 3000rule 0 permit ip source ip addresswildcard#user-i

12、nterface vty 0 4acl 3000 inboundprotocol inbound ssh#2.补充操作说明无1.判定条件查看防火墙是否启用了 ssh 、https 服务；针对 SSH 登陆用户进行 IP 地址限第6页共28页H3C 防火墙安全配置基线定。2.检测操作通过 ssh 、 https 方式登陆设备进行检测。3.补充说明无。备注第 3章 日志及配置安全要求3.1 日志安全3.1.1 记录用户对设备的操作安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据用户对设备记录安全基线要求项SBL-H3C-03-01-01配置记录防火墙管理员操作日志，如管理员

13、登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。1参考配置操作H3C info-center enable2补充操作说明设备默认开启日志功能，记录在设备的 logbuffer 中。1.判定条件检查配置中的 logbuffer 相关配置。2.检测操作 display logbuffer备注3.1.2 开启记录 NAT 日志 *安全基线项 开启记录 NAT 日志安全基线要求项目名称第7页共28页H3C 防火墙安全配置基线安全基线编 SBL-H3C-03-01-02号安全基线项 开启记录 NAT 日志，记录转换前后 IP 地址的对应关系。说明检测操作步 1参考配置操作骤H3C userlog flow export version 3H3C userlog flow export host log server ip address log server port2补充操作说明防火墙自身不记录 NAT 日志信息，需要配置专门的日志服务器，防火墙将 NAT 日志信息发送到专门的日志服务器。基线符合性 1.判定条件判定依据 检查配置中的 NAT日志相关配置；2.检测操作 display use