安氏防火墻安全配置基線

1、安氏防火墻安全配置基線中國移動(dòng)通信 管理信息系統(tǒng)部2012年 04 月版本版本控制信息|更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第1章概述11.1 目的 11.2 適用圍 11.3 適用版本 11.4 實(shí)施 11.5 例外條款 1第2章賬號(hào)管理、認(rèn)證授權(quán)安全要求 22.1 賬號(hào)管理 22.1.1 用戶賬號(hào)分配* 22.1.2 刪除無關(guān)的賬號(hào)* 22.1.3 登錄超時(shí)* 32.1.4 密碼錯(cuò)誤自動(dòng)鎖定* 42.2 口令 42.2.1 口令復(fù)雜度要求 42.3 授權(quán) 52.3.1 遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議

2、5第3章日志及配置安全要求 63.1 日志安全 63.1.1 對(duì)用戶登錄進(jìn)行記錄 63.1.2 記錄與設(shè)備相關(guān)的安全事件 73.1.3 配置設(shè)備遠(yuǎn)程日志功能 83.2 告警配置要求 93.2.1 配置對(duì)防火墻本身的攻擊或部錯(cuò)誤告警 93.2.2 配置DOS DDO攻擊告警 103.2.3 配置掃描攻擊檢測(cè)告警* 113.3 安全策略配置要求 113.3.1 訪問規(guī)則列表最后一條必須是拒絕一切流量 113.3.2 配置訪問規(guī)則應(yīng)盡可能縮小圍 123.3.3 VPN用戶按照訪問權(quán)限進(jìn)行分組* 133.3.4 配置NAT地址轉(zhuǎn)換* 143.3.5 關(guān)閉僅開啟必要服務(wù) 143.3.6 禁止使用any

3、to anyall 允許規(guī)則 153.4 攻擊防護(hù)配置要求 163.4.1 配置應(yīng)用層攻擊防護(hù)* 163.4.2 配置網(wǎng)絡(luò)掃描攻擊防護(hù)* 163.4.3 限制ping包大小* 仃3.4.4 啟用對(duì)帶選項(xiàng)的IP包及畸形IP包的檢測(cè) 183.4.5 防火墻各邏輯接口配置開啟防源地址欺騙功能 19第4章 IP協(xié)議安全要求 204.1 IP 協(xié)議 204.1.1 使用SNMP V或者V3以上的版本對(duì)防火墻遠(yuǎn)程管理 20第5章其他安全要求 215.1 其他安全配置 5.1.1 配置定時(shí)賬戶自動(dòng)登出第6章評(píng)審與修訂232121215.1.2 配置con sol 口密碼保護(hù)功能 第 1章 概述1.1 目的本

4、文檔規(guī)定了中國移動(dòng)管理信息系統(tǒng)部所維護(hù)管理的安氏防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行安氏防火墻的安全配置。1.2 適用圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的圍包括：中國移動(dòng)總部和各省公司信息化部門維護(hù)管理的安氏防火墻。1.3 適用版本安氏防火墻。1.4 實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動(dòng)集團(tuán)管理信息系統(tǒng)部， 在本標(biāo)準(zhǔn)的執(zhí)行過程中若 有任何疑問或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款， 申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件， 說明業(yè)務(wù)需求和原因， 送交 中國移動(dòng)通信管理信息系統(tǒng)部進(jìn)行審批

5、備案。第2章賬號(hào)管理、認(rèn)證授權(quán)安全要求2.1賬號(hào)管理2.1.1用戶賬號(hào)分配安全基線項(xiàng) 目名稱用戶賬號(hào)分配安全基線要求項(xiàng)安全基線編 號(hào)SBL-Li nkTrustFW-02-01-01安全基線項(xiàng) 說明不冋等級(jí)管理員分配不冋賬號(hào)，避免賬號(hào)混用。檢測(cè)操作步 驟1. 參考配置操作usrobj passwdp adm in NNtEDJuo3qa28usrobj passwdp guest fyRW3 nLH7ywPIusrobj addadm inp user namepasswd 2. 補(bǔ)充操作說明前兩個(gè)用戶為系統(tǒng)默認(rèn)建立的?；€符合性 判定依據(jù)1. 判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登

6、錄。2. 檢測(cè)操作在圖形界面登陸3. 補(bǔ)充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不冋權(quán)限的賬號(hào)，需要手工檢查。2.1.2刪除無關(guān)的賬號(hào)安全基線項(xiàng)千辛的井耳左木苴牡兩步丁百目名稱無天的賬號(hào)女全基線要求項(xiàng)安全基線編 號(hào)SBL- Lin kTrustFW-02-01-02安全基線項(xiàng) 說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)。檢測(cè)操作步 驟1. 參考配置操作usrobj del 2. 補(bǔ)充操作說明使用 usrobj list admin顯示信息?；€符合性 判定依據(jù)1. 判定條件配置中用戶信息被刪除。2. 檢測(cè)操作查看配置。3. 補(bǔ)充說明 無。備注建議手工抽查系統(tǒng)，無關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。2.1.3登錄超時(shí)安全基線項(xiàng) 目名稱登錄超時(shí)安全基線要求項(xiàng)安全基線編 號(hào)SBL- Lin kTrustFW -02-01-03安全基線項(xiàng) 說明配置定時(shí)自動(dòng)登出，空閑 5分鐘自動(dòng)登出。登出