中国移动安氏防火墙安全配置规范V10.docx

1、中国移动安氏防火墙安全配置规范V10中国移动安氏防火墙安全配置规范Specification for Configuration of Firewall Used in China Mobile 版本号：1.0.0-实施-发布 中国移动通信有限公司网络部目 录1. 范围 12. 规范性引用文件 13. 术语、定义和缩略语 14. 防火墙功能和配置要求 14.1. 引用说明 14.2. 日志配置要求 34.3. 告警配置要求 34.4. 安全策略配置要求 34.5. 攻击防护配置要求 44.6. 虚拟防火墙配置要求 44.7. 设备其他安全要求 55. 编制历史 5前 言为了贯彻安全三同步的要求

2、，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准明确了安氏防火墙的配置要求。本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司本标准主要起草人： 张瑾、

3、赵强、来晓阳、周智、曹一生、陈敏时。范围本标准规定了安氏防火墙的配置要求，供内部和厂商共同使用；适用于通信网、业务系统和支撑系统的防火墙。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。表1-1 1QB-通用安全功能和配置规范有限公司2QB-系统安全功能规范有限公司3QB-安全功能规范公司4中国移动防火墙配置规范术语、定义和缩略语下列术语、定义和缩略语适用于本标准：表1-2 词

4、语解释Firewall 防火墙防火墙功能和配置要求1.2. 配置要求及引用说明本要求主要采用引用中国移动设备通用安全功能和配置规范及中国移动防火墙配置规范基本要求，和根据安氏防火墙所特有配置特性综合后形成，具体配置规范见下表。编号内容采纳意见备注安全要求-设备-防火墙-配置-1不同等级管理员分配不同账号，避免账号混用。完全采纳安全要求-设备-防火墙-配置-2应删除或锁定与设备运行、维护等工作无关的账号。完全采纳安全要求-设备-防火墙-配置-3防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。完全采纳支持部分功能安全要求-设备-防火墙-配置-4账户口令的生

5、存期不长于90天。不采纳设备不支持安全要求-设备-防火墙-配置-5应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。不采纳设备不支持安全要求-设备-防火墙-配置-6应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。不采纳设备不支持安全要求-设备-防火墙-配置-7在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。完全采纳安全要求-设备-防火墙-配置-8对于具备字符交互界面及图形界面（含WEB界面）的设备，应配置定时账户自动登出。完全采纳安全要求-设备-防火墙-配置-9对于具备console口的设备，应配置console口密码保护功能。不采纳设

6、备不支持安全要求-设备-防火墙-配置-10对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP完全采纳安全要求-设备-防火墙-配置-11在进行重大配置修改前，必须对当前配置进行备份。完全采纳安全要求-设备-防火墙-配置-12设备应配置日志功能，记录对与防火墙设备自身相关的安全事件。完全采纳安全要求-设备-防火墙-配置-13设备应配置NAT日志记录功能，记录转换前后IP地址的对应关系。防火墙如果开启vpn功能，应配置记录vpn日志记录功能，记录vpn访问登陆、退出等信息。完全采纳安全要求-设备-防火墙-配置-14设备应配置流量

7、日志记录功能，记录防火墙拒绝，丢弃和接受的报文完全采纳安全要求-设备-防火墙-配置-15在防火墙设备的日志容量达到75%时，防火墙可产生告警。并且有专门的程序将日志导出到专门的日志服务器。不采纳设备不支持安全要求-设备-防火墙-配置-16防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。帐号解锁等信息完全采纳安全要求-设备-防火墙-配置-17设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。完全采纳安全要求-设备-防火墙-配置-18设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。建

8、议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台处理。完全采纳安全要求-设备-防火墙-配置-19设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。完全采纳安全要求-设备-防火墙-配置-20告警信息应被保留，直到被确认为止.部分采纳安全要求-设备-防火墙-配置-21设备应配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警，对每一个告警项是否告警可由用户配置。完全采纳 安全要求-设备-防火墙-配置-22可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维

9、护人员可通过设置白名单方式屏蔽部分告警。完全采纳，可参考安全要求-设备-防火墙-配置-44安全要求-设备-防火墙-配置-23可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警。完全采纳，可参考安全要求-设备-防火墙-配置-43安全要求-设备-防火墙-配置-24如防火墙具备关键字内容过滤功能，可打开该功能，在HTTP，SMTP，POP3等协议中对用户设定的关键字进行过滤。不予采纳，此功能在安氏的UTM设备中予以提供安全要求-设备-防火墙-配置-25如防火墙具备网络病毒防护功能。可打开病毒防护，对蠕虫等病毒传

10、播时的攻击流量进行过滤。如不具备相关模块，需要在安全策略配置中首先关注对常见病毒流量的端口的封堵完全采纳，可参考安全要求-设备-防火墙-配置-41安全要求-设备-防火墙-配置-26对于防火墙的一些关键操作事件、配置更改、严重告警事件等，建议通过邮件等方式通知系统管理员完全采纳安全要求-设备-防火墙-配置-27防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。完全采纳安全要求-设备-防火墙-配置-28所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。完全采纳安全要求-设备-防火墙-配置-29在配置访问规则

11、时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。完全采纳安全要求-设备-防火墙-配置-30对于访问规则的排列，应当遵从范围由小到大的排列规则。应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。完全采纳安全要求-设备-防火墙-配置-31在进行重大配置修改前，必须对当前配置进行备份。完全采纳安全要求-设备-防火墙-配置-32对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。完全采纳安全要求-设备-防火墙-配置-33访问规则必须按照一定的规则进行分组。完全采纳安全要求-设备-防火墙-配置-34配置N

12、AT，对公网隐藏局域网主机的实际地址。完全采纳安全要求-设备-防火墙-配置-35隐藏防火墙字符管理界面的bannner信息完全采纳安全要求-设备-防火墙-配置-36应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。完全采纳安全要求-设备-防火墙-配置-37防火墙设备必须关闭非必要服务。完全采纳安全要求-设备-防火墙-配置-38防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护，需要及时更新版本或者撤换。完全采纳安全要求-

13、设备-防火墙-配置-39防火墙设备必须首先确保承载防火墙系统的底层操作系统安全。完全采纳安全要求-设备-防火墙-配置-40防火墙策略配置时尽量不允许使用anyto any，对于从防火墙内部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理完全采纳安全要求-设备-防火墙-配置-41对于常见病毒及系统漏洞对应端口，应当进行端口的关闭配置。完全采纳安全要求-设备-防火墙-配置-42采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进行防护完全采纳安全要求-设备-防火墙-配置-43建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描攻击行为进行检测完全采纳安全要求-设备

14、-防火墙-配置-44打开防DDOS攻击功能。完全采纳安全要求-设备-防火墙-配置-45限制ping包的大小，以及一段时间内同一主机发送的次数。完全采纳安全要求-设备-防火墙-配置-46启用对带选项的IP包及畸形IP包的检测完全采纳安全要求-设备-防火墙-配置-47对于防火墙各逻辑接口需要开启防源地址欺骗功能。完全采纳安全要求-设备-防火墙-配置-48对于有固定模式串的攻击，在应急时可开启基于正则表达式的模式匹配的功能。不采纳设备不支持安全要求-设备-防火墙-配置-49回环地址（lookback address）一般用于本机的IPC通讯，防火墙必须阻断含有回环地址(lookback addres

15、s)的流量。完全采纳安全要求-设备-防火墙-配置-50防火墙异构部署要求。在防火墙策略设置上，外层(如DMZ区外侧）防火墙侧重实施粗粒度访问控制；内层防火墙(如DMZ区内侧）侧重针对特定系统施细粒度访问控制，并且应增强防火墙相关日志审计及入侵检测功能设置。完全采纳安全要求-设备-防火墙-配置-51防火墙须支持双机配置完全采纳安全要求-设备-防火墙-配置-52防火墙须支持透明模式及路由模式配置要求完全采纳1.3. 管理配置要求编号：安全要求-设备-防火墙-配置-1要求内容不同等级管理员分配不同账号，避免账号混用。操作指南1. 参考配置操作usrobj passwdp admin NNtEDJuo

16、3qa28usrobj passwdp guest fyRW3nLH7ywPlusrobj addadminp passwd 2. 补充操作说明前两个用户为系统默认建立的帐号。检测方法3. 判定条件用配置中没有的用户名去登录，结果是不能登录。4. 检测操作在图形界面登陆5. 补充说明无。编号：安全要求-设备-防火墙-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1. 参考配置操作usrobj del 2. 补充操作说明使用usrobj list admin显示帐户信息。检测方法3. 判定条件配置中用户信息被删除。4. 检测操作查看配置。5. 补充说明无。编号：安全要求-

17、设备-防火墙-配置-3要求内容防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1. 参考配置操作usrobj addadminp 回车，输入密码。2. 补充操作说明口令字符不完全符合要求。检测方法3. 判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。4. 检测操作实验性建立帐户信息。5. 补充说明无。编号：安全要求-设备-防火墙-配置-4要求内容账户口令的生存期不长于90天。操作指南1. 参考配置操作设备无此功能。2. 补充操作说明无。检测方法3. 判定条件设备无此功能。4. 检测操作无。5. 补充说明无。编号：安全要求-

18、设备-防火墙-配置-5要求内容应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1. 参考配置操作设备无此功能。2. 补充操作说明无。检测方法3. 判定条件无。4. 检测操作无。 5. 补充说明无。编号：安全要求-设备-防火墙-配置-6要求内容应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1. 参考配置操作设备无此功能。2. 补充操作说明无。检测方法3. 判定条件无。4. 检测操作无。 5. 补充说明无。编号：安全要求-设备-防火墙-配置-7要求内容在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。操作指南1. 参考配置

19、操作usrobj addadmin usrobj authorize 2. 补充操作说明对于管理员不同权限设置，可以定义不同管理员的访问模块以及相应权限。module包括：system(系统), net（网络）,svc（服务）,usr（用户）,time（时间）,nat（NAT）,policy（策略）,vpn（VPN）,smartpro（流探测）,log（日志）,other（其它）。r|w|x代表不同管理权限，r代表只读,w读写,x无权限。检测方法3. 判定条件不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外的模块。4. 检测操作不同用户登陆，尝试访问不同的模块。5. 补充说明无。编号

20、：安全要求-设备-防火墙-配置-8要求内容对于具备字符交互界面及图形界面（含WEB界面）的设备，应配置定时账户自动登出。操作指南1. 参考配置操作该设备自动设定。2. 补充操作说明无。检测方法3. 判定条件停止操作一段时间，查看是否已经自动登出。4. 检测操作无。5. 补充说明无。 编号：安全要求-设备-防火墙-配置-9要求内容对于具备console口的设备，应配置console口密码保护功能。操作指南1. 参考配置操作该设备无此功能。2. 补充操作说明无。检测方法3. 判定条件无。4. 检测操作无。5. 补充说明无。编号：安全要求-设备-防火墙-配置-10要求内容对于防火墙远程管理的配置，必

21、须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP操作指南1. 参考配置操作系统默认支持ssh及WEB SSL两种加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhost list增加管理IPadminhost add 2. 补充操作说明检测方法3. 判定条件只支持ssh及Web SSL管理，对于非允许的ip地址不能登陆。4. 检测操作使用非允许的ip地址登陆。 5. 补充说明无。编号：安全要求-设备-防火墙-配置-11要求内容在进行重大配置修改前，必须对当前配置进行备份。操作指南1、参考配置操作ruleconfig save 2、补

22、充操作说明当前，LinkTrust Firewall 提供5 个预选位置供管理员保存当前配置，分别编号为1、2、3、4、5， 编号0 代表当前的配置。检测方法1. 判定条件查看是否有前期的配置备份。2. 检测操作查看备份配置。3. 补充说明无。1.4. 日志及告警配置要求编号：安全要求-设备-防火墙-配置-12至配置-15要求内容设备应配置日志功能，记录对与设备相关的安全事件。日志记录的事件类型包括NAT、流量、管理员登陆及操作等。操作指南1. 参考配置操作log policy add 2. 补充操作说明设备只支持纪录部分关键操作。：系统 （以字母a 表示）NAT （以字母n 表示）包过滤 （

23、以字母f 表示）连接状态 （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec 协议（以字母I 表示）流探测（以字母i 表示） ：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。检测方法3. 判定条件在设备上正确纪录了日志信息。4. 检测操作查看日志模块。5. 补充说明无。编号：安全要

24、求-设备-防火墙-配置-16至配置-17要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1. 参考配置操作log policy add 2. 补充操作说明：系统 （以字母a 表示）NAT （以字母n 表示）包过滤 （以字母f 表示）连接状态 （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec

25、 协议（以字母I 表示）流探测（以字母i 表示） ：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。检测方法3. 判定条件在设备上正确纪录了日志信息。4. 检测操作查看日志模块。5. 补充说明无。 编号：安全要求-设备-防火墙-配置-18要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。建议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台处理。操作指南1. 参考配置操作loghost add log policy add 其中 0:EMERGE

26、NCY 1:ALERT 2:CRITICAL 3:ERROR 4:WARNING 5:NOTICE 6:INFO 7:DEBUG2. 补充操作说明可以设置发送的日志服务器IP地址。检测方法3. 判定条件日志服务器上是否接收到了正确的日志信息。4. 检测操作在日志服务器上查看信息。5. 补充说明无。编号：安全要求-设备-防火墙-配置-19要求内容设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。操作指南1. 参考配置操作参考日志配置模块，如下：log policy add 2. 补充操作说明设备只支持纪录部分关键操作。：系统 （以字母a 表示）NAT （

27、以字母n 表示）包过滤 （以字母f 表示）连接状态 （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec 协议（以字母I 表示）流探测（以字母i 表示） ：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。检测方法3. 判定条件查看防火墙是否生成相应告警4. 检测操作查看防火墙是否生成相应告警5. 补充说明无。编号：安全要求-设备-防火墙-配置-20要求内容告警信息应被保留，直到被确认为止.操作指南1. 参考配置操作无2. 补充操作说明无检测方法3. 判定条件 4. 检测操作无 5. 补充说明无。编号：安全要求-设备-防火墙-配置-21要求内容