防火墙安全配置基线.docx

1、防火墙安全配置基线H3C防火墙安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第1章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章 帐号管理、认证授权安全要求 22.1 帐号管理 22.1.1 用户帐号分配* 22.1.2 删除无关的帐号* 32.1.3 帐户登录超时* 32.1.4 帐户密码错误自动锁定* 42.2 口令 52.2.1 口令复杂度要求 52.3 授权 62.3.1 远程维护的设备使用加密协议 6第3章 日志及配

2、置安全要求 73.1 日志安全 73.1.1 记录用户对设备的操作 73.1.2 开启记录NAT日志* 73.1.3 开启记录VPN日志* 83.1.4 配置记录拒绝和丢弃报文规则的日志 83.2 告警配置要求 93.2.1 配置对防火墙本身的攻击或内部错误告警 93.2.2 配置TCP/IP协议网络层异常报文攻击告警 93.2.3 配置DOS和DDOS攻击告警 103.2.4 配置关键字内容过滤功能告警* 123.3 安全策略配置要求 133.3.1 访问规则列表最后一条必须是拒绝一切流量 133.3.2 配置访问规则应尽可能缩小范围 133.3.3 VPN用户按照访问权限进行分组* 143

3、.3.4 配置NAT地址转换* 153.3.5 隐藏防火墙字符管理界面的bannner信息 163.3.6 避免从内网主机直接访问外网的规则* 163.3.7 关闭非必要服务 173.4 攻击防护配置要求 173.4.1 拒绝常见漏洞所对应端口或者服务的访问 173.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能 19第4章 IP协议安全要求 194.1 功能配置 194.1.1 使用SNMP V2c或者V3以上的版本对防火墙远程管理 19第5章 其他安全要求 225.1 其他安全配置 225.1.1 外网口地址关闭对ping包的回应* 225.1.2 对防火墙的管理地址做源地址限制 22第

4、6章 评审与修订 24第1章概述1.1目的本文档旨在指导系统管理人员进行H3C防火墙的安全配置。1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3适用版本H3C防火墙。1.4实施1.5例外条款第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-H3C-02-01-01 安全基线项说明 不同等级管理员分配不同帐号，避免帐号混用。检测操作步骤1.参考配置操作#local-user user1 password cipher WFSOR(5:LLK8RI6$HXA! authoriza

5、tion-attribute level 3 service-type telnet# local-user user2 password cipher WFSOR(5:LLK8RI6$HXA! authorization-attribute level 2 service-type telnet#2.补充操作说明无。基线符合性判定依据1.判定条件用配置中没有的用户名去登录，结果是不能登录。2.检测操作display current-configuration#local-user user1 password cipher WFSOR(5:LLK8RI6$HXA! authorization

6、-attribute level 3 service-type telnet# local-user user2 password cipher WFSOR(5:LLK8RI6$HXA! authorization-attribute level 2 service-type telnet#3.补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。2.1.2删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL- H3C-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1.参考配置操作H3C undo loca

7、l-user user12.补充操作说明无基线符合性判定依据1.判定条件配置中用户信息被删除。2.检测操作 display current-configuration3.补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL- H3C -02-01-03 安全基线项说明 配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据1.判定条件在超出设定时间后，用户自动登出设备。2.参考检测操作3

8、.补充说明无。备注需要手工检查。2.1.4帐户密码错误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-H3C-02-01-04 安全基线项说明 在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒检测操作步骤1、参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据1.判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2.参考检测操作3.补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2口令2.2.1口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全

9、基线编号SBL- H3C -02-02-01 安全基线项说明 防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1.参考配置操作H3Clocal-user adminH3C-luser-huaweiservice-type telnet level 3H3C-luser-huaweipassword cipher Aq1!Sw22.补充操作说明无基线符合性判定依据1.判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2.检测操作此项无法通过配置实现，建议通过管理实现

10、。3.补充说明无。备注2.3授权2.3.1远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编号SBL-H3C-02-03-01 安全基线项说明 对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理IP。检测操作步骤1.参考配置操作登陆设备web配置页面，在“设备管理”-“服务管理”下选择ssh、https方式登陆设备。配置针对SSH登陆用户IP地址的限定：#acl number 3000 rule 0 permit ip source ip addresswildcard #user-int

11、erface vty 0 4 acl 3000 inbound protocol inbound ssh#2.补充操作说明无基线符合性判定依据1.判定条件查看防火墙是否启用了ssh、https服务；针对SSH登陆用户进行IP地址限定。2.检测操作通过ssh、https方式登陆设备进行检测。3.补充说明无。备注第3章日志及配置安全要求3.1日志安全3.1.1记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-H3C-03-01-01安全基线项说明 配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审

12、计系统或者其他相关的安全管控系统。检测操作步骤1参考配置操作H3C info-center enable2补充操作说明设备默认开启日志功能，记录在设备的logbuffer中。基线符合性判定依据1.判定条件检查配置中的logbuffer相关配置。2.检测操作 display logbuffer备注3.1.2开启记录NAT日志*安全基线项目名称开启记录NAT日志安全基线要求项安全基线编号SBL-H3C-03-01-02安全基线项说明 开启记录NAT日志，记录转换前后IP地址的对应关系。检测操作步骤1参考配置操作H3C userlog flow export version 3H3C userlog

13、 flow export host log server ip address log server port2补充操作说明防火墙自身不记录NAT日志信息，需要配置专门的日志服务器，防火墙将NAT日志信息发送到专门的日志服务器。基线符合性判定依据1.判定条件检查配置中的NAT日志相关配置；2.检测操作 display userlog export备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.3开启记录VPN日志*安全基线项目名称开启记录VPN日志安全基线要求项安全基线编号SBL-H3C-03-01-03安全基线项说明 开启记录VPN日志，记录VPN访问登陆、退出等信息

14、。检测操作步骤1参考配置操作H3C info-center enable2补充操作说明设备默认会记录VPN日志，不需要额外配置。基线符合性判定依据1.判定条件检查配置中的日志相关配置2.检测操作 display logbuffer display trapbuffer备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.4配置记录拒绝和丢弃报文规则的日志安全基线项目名称配置记录拒绝和丢弃报文规则的日志安全基线要求项安全基线编号SBL-H3C-03-01-04安全基线项说明 配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。检测操作步骤1参考配置操作设备默认记录，不需要额外配置；

15、2补充操作说明无基线符合性判定依据使用display trapbuffer检查备注3.2告警配置要求3.2.1配置对防火墙本身的攻击或内部错误告警安全基线项目名称配置对防火墙本身的攻击或内部错误告警安全基线要求项安全基线编号SBL-H3C-03-02-01 安全基线项说明 配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。检测操作步骤1参考配置操作无需配置，设备默认开启；2补充操作说明基线符合性判定依据1.判定条件通过查看设备的trapbuffer信息；2.检测操作 display trapbuffer备注3.2.2配置TCP/IP协议网络层异常报文攻击告警安全基线项目名称配置TC

16、P/IP协议网络层异常报文攻击告警安全基线要求项安全基线编号SBL-H3C-03-02-02 安全基线项说明 配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。检测操作步骤1参考配置操作登陆防火墙web配置页面，在“攻击防范”-“报文异常检测”选择所需的针对异常攻击报文的检测。2补充操作说明无基线符合性判定依据1.判定条件检查防火墙攻击防范配置；2.检测操作登陆防火墙web页面，在“攻击防范”-“入侵检测统计”中查看攻击防范的效果；备注3.2.3配置DOS和DDOS攻击告警安全基线项目名称配置DOS和DDOS攻击防护功能安全基线要求项安全基线编号SBL-H3C-03-

17、02-03 安全基线项说明 配置DOS和DDOS攻击防护功能。对DOS和DDOS攻击告警。维护人员应根据网络环境调整DDOS的攻击告警的参数。检测操作步骤1参考配置操作登陆防火墙web配置页面，在“攻击防范”-“流量异常检测”中，选择需要防范的攻击类型。2补充操作说明基线符合性判定依据1.判定条件检查防火墙攻击防范配置；2.检测操作登陆防火墙web页面，在“攻击防范”-“入侵检测统计”中查看攻击防范的效果；备注3.2.4配置关键字内容过滤功能告警*安全基线项目名称配置关键字内容过滤功能告警安全基线要求项安全基线编号SBL-H3C-03-02-04安全基线项说明 配置关键字内容过滤功能，在HTT

18、P，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。针对关键字过滤是应用层过滤机制，对系统性能有一定影响。针对HTTP协议内容访问的网站关键字段，包含暴力、淫秽、违法等类型。可添加内容库实现。检测操作步骤1参考配置操作登陆防火墙web配置页面，在“应用控制”-“内容过滤”，根据需求选择关键字、URL主机名、文件名等方式进行过滤。2补充操作说明基线符合性判定依据1.判定条件检查防火墙“应用控制”配置；2.检测操作登陆防火墙web页面配置，在“应用控制”-“内容过滤”-“统计信息”中查看过滤功能实施效果。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3安全策略配

19、置要求3.3.1访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后一条必须是拒绝一切流量安全基线要求项安全基线编号SBL-H3C-03-03-01安全基线项说明 防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。检测操作步骤1参考配置操作#acl number 3001 rule 0 permit ip destination ip address mask rule 1 deny ip#2补充操作说明无基线符合性判定依据1.判定条件检查配置中的 ACL 设置2.检测操作 display acl number 3001备注3.3.2配置访问规则应尽可能缩小范围安全基线

20、项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-H3C-03-03-02安全基线项说明 在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。检测操作步骤1参考配置操作登陆防火墙web配置页面，在“防火墙”-“安全策略”-“域间策略”中增加访问规则，需要填写的内容是：源域、目的域、源IP地址、目的IP地址、服务（访问的协议和端口）、过滤动作（permit or deny）、时间段。2补充操作说明基线符合性判定依据1.判定条件检查防火墙“域间策略”配置，域间

21、策略详细到协议、端口、具体的IP地址；2.检测操作无；备注3.3.3VPN用户按照访问权限进行分组*安全基线项目名称VPN用户按照访问权限进行分组安全基线要求项安全基线编号SBL-H3C-03-03-03安全基线项说明 对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。检测操作步骤1参考配置操作#local-user vpnuser password cipher password service-type ppp authorization-attribute level 0-3 /设定用户的访问权限#domain system /对VPN用户

22、采用本地验证authentication ppp localip pool 1 ip pool address range#l2tp enable /启用L2TP服务#interface virtual-template 1 /配置虚模板Virtual-Template的相关信息 ip address ipaddress mask ppp authentication-mode chap domain system remote address pool 1#l2tp-group 1 /设置一个L2TP组，指定接收呼叫的虚拟接口模板allow l2tp virtual-template 1#2

23、补充操作说明基线符合性判定依据1.判定条件检查配置中用户设置：2.检测操作 使用display local-user检查备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.4配置NAT地址转换*安全基线项目名称配置NAT地址转换安全基线要求项安全基线编号SBL-H3C-03-03-04安全基线项说明 配置NAT地址转换，对互联网隐藏内网主机的实际地址。检测操作步骤1参考配置操作#acl number 3001#interface GigabitEthernet0/0 port link-mode route nat outbound 3001#2补充操作说明基线符合性判定依

24、据1.判定条件配置中有nat或者static的内容2.检测操作display nat备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.5隐藏防火墙字符管理界面的bannner信息安全基线项目名称隐藏防火墙字符管理界面的bannner信息安全基线要求项安全基线编号SBL-H3C-03-03-05安全基线项说明 隐藏防火墙字符管理界面的bannner信息。检测操作步骤1参考配置操作H3C undo copyright-info enable2补充操作说明基线符合性判定依据1.判定条件登陆设备后，字符管理页面消失；2.检测操作telnet登陆到设备，字符管理页面消失；备注3.3

25、.6避免从内网主机直接访问外网的规则*安全基线项目名称避免从内网主机直接访问外网的规则安全基线要求项安全基线编号SBL-H3C-03-03-06安全基线项说明 应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。检测操作步骤1参考配置操作2补充操作说明基线符合性判定依据1.判定条件检查防火墙“域间策略”，配置了针对代理服务器到外网的访问规则；2.检测操作备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.7关闭非必要服务安全基线项目名称关闭非必要服务安全基线要求项安全基线编号

26、SBL-H3C-03-03-07安全基线项说明 防火墙设备必须关闭非必要服务。检测操作步骤1参考配置操作登陆防火墙web配置页面，在“设备管理”-“服务管理”中关闭非必要的服务，比如http、telnet、ftp等。2补充操作说明基线符合性判定依据1.判定条件检查配置中是否关闭对应服务2.检测操作备注3.4攻击防护配置要求3.4.1拒绝常见漏洞所对应端口或者服务的访问安全基线项目名称拒绝常见漏洞所对应端口或者服务的访问安全基线要求项安全基线编号SBL-H3C-03-04-01安全基线项说明 配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。检测操作步骤1参考配置操作#

27、acl number 3001 rule 0 deny tcp destination-port eq 135 rule 1 deny tcp destination-port eq 136 rule 2 deny tcp destination-port eq 138 rule 3 deny tcp destination-port eq 4444 rule 4 deny tcp destination-port eq 389 rule 5 deny tcp destination-port eq 445 rule 6 deny tcp destination-port eq 4899 ru

28、le 7 deny tcp destination-port eq 6588 rule 8 deny tcp destination-port eq 1978 rule 9 deny tcp destination-port eq 593 rule 10 deny tcp destination-port eq 3389 rule 11 deny tcp destination-port eq 137 rule 12 deny tcp destination-port eq talk rule 13 deny tcp destination-port eq 139 rule 14 deny tcp destination-port eq 2745 rule 15 deny tcp destination-port eq 1080 rule 16 deny tcp destination-port eq 6129 rule 17 deny tcp destination-port eq 3127 rule 18 den