C防火墙安全配置基线.docx

1、C防火墙安全配置基线H3C防火墙安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第1章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章 帐号管理、认证授权安全要求 22.1 帐号管理 22.1.1 用户帐号分配* 22.1.2 删除无关的帐号* 32.1.3 帐户登录超时* 32.1.4 帐户密码错误自动锁定* 42.2 口令 52.2.1 口令复杂度要求 52.3 授权 62.3.1 远程维护的设备使用加密协议 6第3章 日志

2、及配置安全要求 73.1 日志安全 73.1.1 记录用户对设备的操作 73.1.2 开启记录NAT日志* 73.1.3 开启记录VPN日志* 83.1.4 配置记录拒绝和丢弃报文规则的日志 83.2 告警配置要求 93.2.1 配置对防火墙本身的攻击或内部错误告警 93.2.2 配置TCP/IP协议网络层异常报文攻击告警 93.2.3 配置DOS和DDOS攻击告警 103.2.4 配置关键字内容过滤功能告警* 123.3 安全策略配置要求 133.3.1 访问规则列表最后一条必须是拒绝一切流量 133.3.2 配置访问规则应尽可能缩小范围 133.3.3 VPN用户按照访问权限进行分组* 1

3、43.3.4 配置NAT地址转换* 153.3.5 隐藏防火墙字符管理界面的bannner信息 163.3.6 避免从内网主机直接访问外网的规则* 163.3.7 关闭非必要服务 173.4 攻击防护配置要求 173.4.1 拒绝常见漏洞所对应端口或者服务的访问 173.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能 19第4章 IP协议安全要求 194.1 功能配置 194.1.1 使用SNMPV2c或者V3以上的版本对防火墙远程管理 19第5章 其他安全要求 225.1 其他安全配置 225.1.1 外网口地址关闭对ping包的回应* 225.1.2 对防火墙的管理地址做源地址限制 22

4、第6章 评审与修订 24第1章 概述1.1 目的本文档旨在指导系统管理人员进行H3C防火墙的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本H3C防火墙。1.4 实施1.5 例外条款第2章 帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-H3C-02-01-01安全基线项说明不同等级管理员分配不同帐号，避免帐号混用。检测操作步骤1. 参考配置操作#local-useruser1passwordcipherWFSOR(5:LLK8RI6$HXA!autho

5、rization-attributelevel3service-typetelnet#local-useruser2passwordcipherWFSOR(5:LLK8RI6$HXA!authorization-attributelevel2service-typetelnet#2. 补充操作说明无。基线符合性判定依据1. 判定条件用配置中没有的用户名去登录，结果是不能登录。2. 检测操作displaycurrent-configuration#local-useruser1passwordcipherWFSOR(5:LLK8RI6$HXA!authorization-attributelev

6、el3service-typetelnet#local-useruser2passwordcipherWFSOR(5:LLK8RI6$HXA!authorization-attributelevel2service-typetelnet#3. 补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。2.1.2 删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-H3C-02-01-02安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1. 参考配置操作H3Cundolocal-useruser12. 补充操作说明无基线符合性判定依

7、据1. 判定条件配置中用户信息被删除。2. 检测操作displaycurrent-configuration3. 补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3 帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL-H3C-02-01-03安全基线项说明配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、 参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据1. 判定条件在超出设定时间后，用户自动登出设备。2. 参考检测操作3. 补充说明无。备注需要手工检查。2.1.4 帐户密码错

8、误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-H3C-02-01-04安全基线项说明在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒检测操作步骤1、 参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据1. 判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2. 参考检测操作3. 补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL-H3C-02-02-01安全

9、基线项说明防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1. 参考配置操作H3Clocal-useradminH3C-luser-huaweiservice-typetelnetlevel3H3C-luser-huaweipasswordcipherAq1!Sw22. 补充操作说明无基线符合性判定依据1. 判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2. 检测操作此项无法通过配置实现，建议通过管理实现。3. 补充说明无。备注2.3 授权2.3.1 远程维护

10、的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编号SBL-H3C-02-03-01安全基线项说明对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP。检测操作步骤1. 参考配置操作登陆设备web配置页面，在“设备管理”-“服务管理”下选择ssh、https方式登陆设备。配置针对SSH登陆用户IP地址的限定：#aclnumber3000rule0permitipsourceipaddresswildcard#user-interfacevty04acl3000inboundprotocolinbo

11、undssh#2. 补充操作说明无基线符合性判定依据1. 判定条件查看防火墙是否启用了ssh、https服务；针对SSH登陆用户进行IP地址限定。2. 检测操作通过ssh、https方式登陆设备进行检测。3. 补充说明无。备注第3章 日志及配置安全要求3.1 日志安全3.1.1 记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-H3C-03-01-01安全基线项说明配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。检测操作步骤1参考配置操作H3Cinfo-ce

12、nterenable2补充操作说明设备默认开启日志功能，记录在设备的logbuffer中。基线符合性判定依据1.判定条件检查配置中的logbuffer相关配置。2.检测操作displaylogbuffer备注3.1.2 开启记录NAT日志*安全基线项目名称开启记录NAT日志安全基线要求项安全基线编号SBL-H3C-03-01-02安全基线项说明开启记录NAT日志，记录转换前后IP地址的对应关系。检测操作步骤1参考配置操作H3Cuserlogflowexportversion3H3Cuserlogflowexporthostlogserveripaddresslogserverport2补充操作

13、说明防火墙自身不记录NAT日志信息，需要配置专门的日志服务器，防火墙将NAT日志信息发送到专门的日志服务器。基线符合性判定依据1.判定条件检查配置中的NAT日志相关配置；2.检测操作displayuserlogexport备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.3 开启记录VPN日志*安全基线项目名称开启记录VPN日志安全基线要求项安全基线编号SBL-H3C-03-01-03安全基线项说明开启记录VPN日志，记录VPN访问登陆、退出等信息。检测操作步骤1参考配置操作H3Cinfo-centerenable2补充操作说明设备默认会记录VPN日志，不需要额外配置。基

14、线符合性判定依据1.判定条件检查配置中的日志相关配置2.检测操作displaylogbufferdisplaytrapbuffer备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.4 配置记录拒绝和丢弃报文规则的日志安全基线项目名称配置记录拒绝和丢弃报文规则的日志安全基线要求项安全基线编号SBL-H3C-03-01-04安全基线项说明配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。检测操作步骤1参考配置操作设备默认记录，不需要额外配置；2补充操作说明无基线符合性判定依据使用displaytrapbuffer检查备注3.2 告警配置要求3.2.1 配置对防火墙本身的攻击或内

15、部错误告警安全基线项目名称配置对防火墙本身的攻击或内部错误告警安全基线要求项安全基线编号SBL-H3C-03-02-01安全基线项说明配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。检测操作步骤1参考配置操作无需配置，设备默认开启；2补充操作说明基线符合性判定依据1.判定条件通过查看设备的trapbuffer信息；2.检测操作displaytrapbuffer备注3.2.2 配置TCP/IP协议网络层异常报文攻击告警安全基线项目名称配置TCP/IP协议网络层异常报文攻击告警安全基线要求项安全基线编号SBL-H3C-03-02-02安全基线项说明配置告警功能，报告网络流量中对TCP

16、/IP协议网络层异常报文攻击的相关告警。检测操作步骤1参考配置操作登陆防火墙web配置页面，在“攻击防范”-“报文异常检测”选择所需的针对异常攻击报文的检测。2补充操作说明无基线符合性判定依据1.判定条件检查防火墙攻击防范配置；2. 检测操作登陆防火墙web页面，在“攻击防范”-“入侵检测统计”中查看攻击防范的效果；备注3.2.3 配置DOS和DDOS攻击告警安全基线项目名称配置DOS和DDOS攻击防护功能安全基线要求项安全基线编号SBL-H3C-03-02-03安全基线项说明配置DOS和DDOS攻击防护功能。对DOS和DDOS攻击告警。维护人员应根据网络环境调整DDOS的攻击告警的参数。检测

17、操作步骤1 参考配置操作登陆防火墙web配置页面，在“攻击防范”-“流量异常检测”中，选择需要防范的攻击类型。2补充操作说明基线符合性判定依据1.判定条件检查防火墙攻击防范配置；2.检测操作登陆防火墙web页面，在“攻击防范”-“入侵检测统计”中查看攻击防范的效果；备注3.2.4 配置关键字内容过滤功能告警*安全基线项目名称配置关键字内容过滤功能告警安全基线要求项安全基线编号SBL-H3C-03-02-04安全基线项说明配置关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。针对关键字过滤是应用层过滤机制，对系统性能有一定影响。针对HTTP协议内容访问

18、的网站关键字段，包含暴力、淫秽、违法等类型。可添加内容库实现。检测操作步骤1参考配置操作登陆防火墙web配置页面，在“应用控制”-“内容过滤”，根据需求选择关键字、URL主机名、文件名等方式进行过滤。2补充操作说明基线符合性判定依据1.判定条件检查防火墙“应用控制”配置；2.检测操作登陆防火墙web页面配置，在“应用控制”-“内容过滤”-“统计信息”中查看过滤功能实施效果。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3 安全策略配置要求3.3.1 访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后一条必须是拒绝一切流量安全基线要求项安全基线编号SBL

19、-H3C-03-03-01安全基线项说明防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。检测操作步骤1参考配置操作#aclnumber3001rule0permitipdestinationipaddressmaskrule1denyip#2补充操作说明无基线符合性判定依据1.判定条件检查配置中的ACL设置2.检测操作displayaclnumber3001备注3.3.2 配置访问规则应尽可能缩小范围安全基线项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-H3C-03-03-02安全基线项说明在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为

20、前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。检测操作步骤1 参考配置操作登陆防火墙web配置页面，在“防火墙”-“安全策略”-“域间策略”中增加访问规则，需要填写的内容是：源域、目的域、源IP地址、目的IP地址、服务（访问的协议和端口）、过滤动作（permitordeny）、时间段。2补充操作说明基线符合性判定依据1.判定条件检查防火墙“域间策略”配置，域间策略详细到协议、端口、具体的IP地址；2.检测操作无；备注3.3.3 VPN用户按照访问权限进行分组*安全基线项目名称VPN用户按照访问权限进行分组安全基线要求项安全基线编号SBL-H

21、3C-03-03-03安全基线项说明对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。检测操作步骤1参考配置操作#local-uservpnuserpasswordcipherpasswordservice-typepppauthorization-attributelevel0-3/设定用户的访问权限#domainsystem/对VPN用户采用本地验证authenticationppplocalippool1ippooladdressrange#l2tpenable/启用L2TP服务#interfacevirtual-template1/配置虚

22、模板Virtual-Template的相关信息ipaddressipaddressmaskpppauthentication-modechapdomainsystemremoteaddresspool1#l2tp-group1/设置一个L2TP组，指定接收呼叫的虚拟接口模板allowl2tpvirtual-template1#2补充操作说明基线符合性判定依据1.判定条件检查配置中用户设置：2.检测操作使用displaylocal-user检查备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.4 配置NAT地址转换*安全基线项目名称配置NAT地址转换安全基线要求项安全基线编

23、号SBL-H3C-03-03-04安全基线项说明配置NAT地址转换，对互联网隐藏内网主机的实际地址。检测操作步骤1参考配置操作#aclnumber3001#interfaceGigabitEthernet0/0portlink-moderoutenatoutbound3001#2补充操作说明基线符合性判定依据1.判定条件配置中有nat或者static的内容2.检测操作displaynat备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.5 隐藏防火墙字符管理界面的bannner信息安全基线项目名称隐藏防火墙字符管理界面的bannner信息安全基线要求项安全基线编号SBL-

24、H3C-03-03-05安全基线项说明隐藏防火墙字符管理界面的bannner信息。检测操作步骤1参考配置操作H3Cundocopyright-infoenable2补充操作说明基线符合性判定依据1.判定条件登陆设备后，字符管理页面消失；2.检测操作telnet登陆到设备，字符管理页面消失；备注3.3.6 避免从内网主机直接访问外网的规则*安全基线项目名称避免从内网主机直接访问外网的规则安全基线要求项安全基线编号SBL-H3C-03-03-06安全基线项说明应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网

25、的访问规则。检测操作步骤1参考配置操作2补充操作说明基线符合性判定依据1.判定条件检查防火墙“域间策略”，配置了针对代理服务器到外网的访问规则；2.检测操作备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.7 关闭非必要服务安全基线项目名称关闭非必要服务安全基线要求项安全基线编号SBL-H3C-03-03-07安全基线项说明防火墙设备必须关闭非必要服务。检测操作步骤1参考配置操作登陆防火墙web配置页面，在“设备管理”-“服务管理”中关闭非必要的服务，比如http、telnet、ftp等。2补充操作说明基线符合性判定依据1.判定条件检查配置中是否关闭对应服务2.检测操作备

26、注3.4 攻击防护配置要求3.4.1 拒绝常见漏洞所对应端口或者服务的访问安全基线项目名称拒绝常见漏洞所对应端口或者服务的访问安全基线要求项安全基线编号SBL-H3C-03-04-01安全基线项说明配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。检测操作步骤1参考配置操作#aclnumber3001rule0denytcpdestination-porteq135rule1denytcpdestination-porteq136rule2denytcpdestination-porteq138rule3denytcpdestination-porteq4444rul

27、e4denytcpdestination-porteq389rule5denytcpdestination-porteq445rule6denytcpdestination-porteq4899rule7denytcpdestination-porteq6588rule8denytcpdestination-porteq1978rule9denytcpdestination-porteq593rule10denytcpdestination-porteq3389rule11denytcpdestination-porteq137rule12denytcpdestination-porteqta

28、lkrule13denytcpdestination-porteq139rule14denytcpdestination-porteq2745rule15denytcpdestination-porteq1080rule16denytcpdestination-porteq6129rule17denytcpdestination-porteq3127rule18denytcpdestination-porteq3128rule19denytcpdestination-porteq5800rule20denytcpdestination-porteq6667rule21denytcpdestination-porteq1025rule22denytcpdestination-porteq5554rule23denytcpdestination-porteq1068rule24denytcpdestination-porteq9995rule25denytcpdestination-porte