防火墙安全配置基线.docx

1、防火墙安全配置基线H3C防火墙安全配置基线版本版本控制信息更新日期更新人审批人创建2012 年 4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表第1章概述1.1目的本文档旨在指导系统管理人员进行 H3C防火墙的安全配置。1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控 人员。1.3适用版本H3C防火墙。1.4实施1.5例外条款第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配安全基线用户帐号分配安全基线要求项项目名称安全基线SBL-H3C-02-01-01编号安全基线项说明不同等级管理员分配不同帐号，避免帐号混用。检测

2、操作步骤1.参考配置操作#local-user userlpassword cipher WFSOR(5 丄LK8RI6$HXA!authorizati on-attribute level 3service-type telnet#local-user user2password cipher WFSOR(5 丄LK8RI6$HXA!authorizati on-attribute level 2 service-type telnet#2.补充操作说明无。基线符合性判定依据1.判定条件用配置中没有的用户名去登录，结果是不能登录。2.检测操作display curre nt-c on fig

3、urati on#local-user userlpassword cipher WFSOR(5 丄LK8RI6$HXA!authorizati on-attribute level 3service-type telnet#local-user user2password cipher WFSOR(5 丄LK8RI6$HXA!authorizati on-attribute level 2 service-type telnet#3.补充说明无。备注有些防火墙系统本身就携带二种不冋权限的帐号， 需要手工检查。2.1.2删除无关的帐号安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-

4、 H3C-02-01-02安全基线应删除或锁疋与设备运行、维护等工作无关的帐号。项说明检测操作步骤1.参考配置操作H3C undo local-user userl2.补充操作说明无基线符合1.判定条件性判定依配置中用户信息被删除。据2.检测操作 display curre nt-c on figurati on3.补充说明无。备注建议手工抽杳系统，无关账户更多属于管理层面， 需要人为确 认。2.1.3帐户登录超时安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL- H3C -02-01-03安全基线配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需项说明再次登录才能进入系统。检

5、测操作1、参考配置操作步骤设置超时时间为5分钟2、补充说明 无。基线符合性判定依据1.判定条件在超出设定时间后，用户自动登出设备。2.参考检测操作3.补充说明无。备注需要手工检查。2.1.4帐户密码错误自动锁定安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-H3C-02-01-04安全基线在10次尝试登录失败后锁定帐户，不允许登录。项说明解锁时间设置为300秒检测操作1、参考配置操作步骤设置尝试失败锁定次数为 10次2、补充说明无。基线符合1.判定条件性判定依超出重试次数后帐号锁定， 不允许登录，解锁时间到达后可以据登录。2.参考检测操作3.补充说明无。备注注意！此项设置

6、会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL- H3C -02-02-01安全基线防火墙管理员帐号口令长度至少 8位，并包括数字、小写字母、项说明大写字母和特殊符号四类中至少两类。 且5次以内不得设置相同的口令。密码应至少每 90天进行更换。检测操作1.参考配置操作步骤H3Clocal-user admi nH3C-luser-huaweiservice-type telnet level 3H3C-luser-huaweipassword cipher Aq1!Sw22.补

7、充操作说明无基线符合性判定依据1.判定条件该级别的密码设置由管理员进行密码的生成， 设备本身无此强制功能。2.检测操作此项无法通过配置实现，建议通过管理实现。3.补充说明无。备注2.3授权231远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编号SBL-H3C-02-03-01安全基线对于防火墙远程管理的配置， 必须是基于加密的协议。如SSH项说明或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理IP 0检测操作1.参考配置操作步骤登陆设备web配置页面，在“设备管理” 一“服务管理”下选择ssh、https方式登陆设备。配置针对SSH登陆用户

8、IP地址的限定：#acl number 3000rule 0 permit ip source ip addresswildcard#user- in terface vty 0 4acl 3000 in bou ndprotocol inbound ssh#2.补充操作说明无基线符合性判定依据1.判定条件查看防火墙是否启用了 ssh、https服务；针对SSH登陆用户 进行IP地址限定。2.检测操作通过ssh、https方式登陆设备进行检测。3.补充说明无。备注第3章 日志及配置安全要求3.1日志安全3.1.1记录用户对设备的操作安全基线用户对设备记录安全基线要求项项目名称安全基线编号SBL

9、-H3C-03-01-01安全基线配置记录防火墙管理员操作日志， 如管理员登录，修改管理员项说明组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往 操作日志审计系统或者其他相关的安全管控系统。检测操作1 .参考配置操作步骤H3C in fo-ce nter en able2.补充操作说明设备默认幵启日志功能，记录在设备的 logbuffer中。基线符合1.判定条件性判定依检杳配置中的logbuffer 相关配置。据2.检测操作 display logbuffer备注3.1.2开启记录NAT日志安全基线项目名称开启记录NAT日志安全基线要求项安全基线编号SBL-H3C-03-01-02安全基

10、线开启记录NAT日志，记录转换前后IP地址的对应关系。项说明检测操作1 .参考配置操作步骤H3C userlog flow export vers ion 3H3C userlog flow export host log server ip addresslog server port2.补充操作说明防火墙自身不记录 NAT日志信息，需要配置专门的日志服务器，防火墙将NAT日志信息发送到专门的日志服务器。基线符合1.判定条件性判定依检查配置中的NAT日志相关配置；据2.检测操作 display userlog export备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1

11、.3开启记录 VPN日志安全基线项目名称开启记录VPN日志安全基线要求项安全基线编号SBL-H3C-03-01-03安全基线项说明开启记录VPN日志，记录VPN访问登陆、退出等信息。检测操作步骤1 .参考配置操作H3C in fo-ce nter en able2.补充操作说明设备默认会记录 VPN日志，不需要额外配置。基线符合性判定依据1.判定条件检查配置中的日志相关配置2.检测操作 display logbuffer display trapbuffer备注根据应用场景的不同，如部署场景需开启此功能，则强制要求 此项。3.1.4配置记录拒绝和丢弃报文规则的日志安全基线项目名称配置记录拒绝和

12、丢弃报文规则的日志安全基线要求项安全基线编号SBL-H3C-03-01-04安全基线项说明配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。检测操作步骤1 .参考配置操作设备默认记录，不需要额外配置；2.补充操作说明无基线符合性判定依据使用 display trapbuffer 检杳备注3.2告警配置要求3.2.1配置对防火墙本身的攻击或内部错误告警安全基线项目名称配置对防火墙本身的攻击或内部错误告警安全基线要求项安全基线编号SBL-H3C-03-02-01安全基线配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内项说明部错误。检测操作步骤1参考配置操作无需配置，设备默认幵启；2.补充操作说

13、明基线符合性判定依据1.判定条件通过杳看设备的trapbuffer 信息；2.检测操作 display trapbuffer备注322配置TCP/IP协议网络层异常报文攻击告警安全基线项目名称配置TCP/IP协议网络层异常报文攻击告警安全基线要求项安全基线编号SBL-H3C-03-02-02安全基线配置告警功能，报告网络流量中对 TCP/IP协议网络层异常报项说明文攻击的相关告警。检测操作1 .参考配置操作步骤登陆防火墙web配置页面，在“攻击防范”-“报文异常检测”选择所需的针对异常攻击报文的检测。备注2.补充操作说明中查看攻击防范的效果;323配置DOS和DDOS攻击告警安全基线项目名称配

14、置DOS和DDO啟击防护功能安全基线要求项安全基线编号SBL-H3C-03-02-03安全基线配置DOS和DDO啟击防护功能。对DOS和DDO啟击告警。维项说明护人员应根据网络环境调整 DDOS勺攻击告警的参数。检测操作步骤1.参考配置操作登陆防火墙web配置页面，在“攻击防范”测”中，选择需要防范的攻击类型。2.补充操作说明-“流量异常检基线符合性判定依据1.判定条件检查防火墙攻击防范配置；2.检测操作登陆防火墙web页面，在“攻击防范”-中查看攻击防范的效果；“入侵检测统计”备注324配置关键字内容过滤功能告警安全基线项目名称配置关键字内容过滤功能告警安全基线要求项安全基线编号SBL-H3

15、C-03-02-04安全基线项说明配置关键字内容过滤功能，在 HTTP SMTP POP3等应用协议 流量过滤包含有设定的关键字的报文。针对关键字过滤是应用 层过滤机制，对系统性能有 定影响。针对 HTTP协议内容访问的网站关键字段，包含暴力、淫秽、违法等类型。可添加内 容库实现。检测操作1 .参考配置操作步骤登陆防火墙web配置页面，在“应用控制”-“内容过滤”， 根据需求选择关键字、URL主机名、文件名等方式进行过滤。2.补充操作说明基线符合性判定依据备注1.判定条件检查防火墙“应用控制”配置；2.检测操作登陆防火墙web页面配置，在“应用控制”-“内容过滤” -“统计信息”中查看过滤功能

16、实施效果。根据应用场景的不同，如部署场景需幵启此功能，则强制要求 此项。3.3安全策略配置要求3.3.1访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后 条必须是拒绝 切流量安全基线要求项安全基线SBL-H3C-03-03-01编号安全基线项说明防火墙在配置访问规则列表时，最后 条必须是拒绝 切流 量。检测操作步骤1参考配置操作#acl number 3001rule 0 permit ip dest in ati on ip address maskrule 1 deny ip#2.补充操作说明无基线符合性判定依据1.判定条件检杳配置中的ACL设置2.检测操作 disp

17、lay acl number 3001备注332配置访问规则应尽可能缩小范围安全基线项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-H3C-03-03-02安全基线项说明在配置访问规则时，源地址，目的地址，服务或端口的范围必 须以实际访问需求为前提， 尽可能的缩小范围。禁止源到目的 全部允许规则。禁止目的地址及服务全允许规则， 禁止全服务访问规则。检测操作步骤1.参考配置操作登陆防火墙web配置页面，在“防火墙”-“安全策略” -“域间策略”中增加访问规则，需要填写的内容是：源域、 目的域、源IP地址、目的IP地址、服务(访问的协议和端口)、 过滤动作(permit or

18、 deny )、时间段。2.补充操作说明基线符合性判定依据1.判定条件检查防火墙“域间策略”配置，域间策略详细到协议、端口、 具体的IP地址；2.检测操作无；备注333 VPN用户按照访问权限进行分组安全基线项目名称VPN用户按照访问权限进行分组安全基线要求项安全基线编号SBL-H3C-03-03-03安全基线项说明对于VPN用户，必须按照其访冋权限不冋而进行分组，并在访 冋控制规则中对该组的访冋权限进行严格限制。检测操作步骤1参考配置操作#local-user vp nu serpassword cipher passwordservice-type pppauthorizati on-at

19、tribute level 0-3定条件检查配置中用户设置：2.检测操作使用 display local-user 检杳备注根据应用场景的不同，如部署场景需幵启此功能，则强制要求 此项。334配置NAT地址转换安全基线项目名称配置NAT地址转换安全基线要求项安全基线编号SBL-H3C-03-03-04安全基线项说明配置NAT地址转换，对互联网隐藏内网主机的实际地址。检测操作1参考配置操作步骤#acl number 3001#in terface GigabitEther netO/O port lin k-mode route nat outbound 3001#2.补充操作说明基线符合1.判

20、定条件性判定依配置中有nat或者static 的内容据2.检测操作display nat备注根据应用场景的不同，如部署场景需幵启此功能，则强制要求此项。335隐藏防火墙字符管理界面的 bannner信息安全基线项目名称隐藏防火墙字符管理界面的bannner信息安全基线要求项安全基线编号SBL-H3C-03-03-05安全基线项说明隐藏防火墙字符管理界面的bannner 信息。检测操作1 .参考配置操作步骤H3C undo copyright-i nfo en able2.补充操作说明基线符合1.判定条件性判定依登陆设备后，字符管理页面消失；据2.检测操作telnet登陆到设备，字符管理页面消失

21、；备注336避免从内网主机直接访问外网的规则安全基线项目名称避免从内网主机直接访问外网的规则安全基线要求项安全基线编号SBL-H3C-03-03-06安全基线应用代理服务器，将从内网到外网的访问流量通过代理服务项说明器。防火墙只幵启代理服务器到外部网络的访问规则， 避免在防火墙上配置从内网的主机直接到外网的访问规则。检测操作1 .参考配置操作步骤2.补充操作说明基线符合1.判定条件性判定依检查防火墙“域间策略”，配置了针对代理服务器到外网的访据问规则；2.检测操作备注根据应用场景的不冋，如部署场景需幵启此功能，则强制要求 此项。337关闭非必要服务安全基线关闭非必要服务安全基线要求项项目名称安

22、全基线编号SBL-H3C-03-03-07安全基线防火墙设备必须关闭非必要服务。项说明检测操作1 .参考配置操作-“服务管理”步骤登陆防火墙web配置页面，在“设备管理”-中关闭非必要的服务，比如 http、tel net、ftp等。2.补充操作说明基线符合 1.判定条件性判定依检查配置中是否关闭对应服务据2.检测操作备注3.4攻击防护配置要求3.4.1拒绝常见漏洞所对应端口或者服务的访问安全基线项目名称拒绝常见漏洞所对应端口或者服务的访问安全基线要求项安全基线编号SBL-H3C-03-04-01安全基线项说明配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对 应端口或者服务的访问。检测操

23、作步骤1 .参考配置操作#acl number 3001rule 0 deny tcp dest in ati on-port eq 135rule 1 deny tcp dest in ati on-port eq 136rule 2 deny tcp dest in ati on-port eq 138rule 3 deny tcp dest in ati on-port eq 4444rule 4 deny tcp dest in ati on-port eq 389rule 5 deny tcp dest in ati on-port eq 445rule 6 deny tcp des

24、t in ati on-port eq 4899 rule 7 deny tcp dest in ati on-port eq 6588 rule 8 deny tcp dest in ati on-port eq 1978 rule 9 deny tcp dest in ati on-port eq 593 rule 10 deny tcp desti nati on-port eq 3389 rule 11 deny tcp desti nati on-port eq 137 rule 12 deny tcp desti nati on-port eq talk rule 13 deny

25、tcp desti nati on-port eq 139 rule 14 deny tcp desti nati on-port eq 2745 rule 15 deny tcp desti nati on-port eq 1080 rule 16 deny tcp desti nati on-port eq 6129 rule 17 deny tcp desti nati on-port eq 3127 rule 18 deny tcp desti nati on-port eq 3128 rule 19 deny tcp desti nati on-port eq 5800 rule 2

26、0 deny tcp desti nati on-port eq 6667 rule 21 deny tcp desti nati on-port eq 1025 rule 22 deny tcp desti nati on-port eq 5554 rule 23 deny tcp desti nati on-port eq 1068 rule 24 deny tcp desti nati on-port eq 9995 rule 25 deny tcp desti nati on-port eq 539 rule 26 deny udp dest in ati on-port eq 539

27、 rule 27 deny udp desti natio n-port eq 1434rule 28 deny udp dest in ati on-port eq 593rule 29 permit ip#2.补充操作说明应根据实际情况调整。基线符合性判定依据1.判定条件检查配置文件2.检测操作使用命令 display acl number 3001备注3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能安全基线项目名称防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求 项安全基线编号SBL-H3C-03-04-02安全基线项说明对于防火墙各逻辑接口配置开启防源地址欺骗功能。检测操作步骤1 .参考配置操作登陆防火墙web配置页面，在“攻击防范” -“ URPF佥查” 中使能防源地址欺骗功能。2.补充操作说明基线符合1.判定条件性判定依检查配置中是否有URPF功能；据2.检