安氏防火墻安全安全配置基線

1、PAGE23安氏防火墻安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2012年 04月版本版本控制信息更新日期更新人審批人創(chuàng)建2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目 錄 TOC o 1-3 h z u HYPERLINK l _Toc6 第1章概述 PAGEREF _Toc6 h 1 HYPERLINK l _Toc7 目的 PAGEREF _Toc7 h 1 HYPERLINK l _Toc8 適用范圍 PAGEREF _Toc8 h 1 HYPERLINK l _Toc9 適用版本 PAGEREF _Toc9 h 1 HYPERLIN

2、K l _Toc0 實施 PAGEREF _Toc0 h 1 HYPERLINK l _Toc1 例外條款 PAGEREF _Toc1 h 1 HYPERLINK l _Toc2 第2章賬號管理、認證授權(quán)安全要求 PAGEREF _Toc2 h 2 HYPERLINK l _Toc3 賬號管理 PAGEREF _Toc3 h 2 HYPERLINK l _Toc4 用戶賬號分配* PAGEREF _Toc4 h 2 HYPERLINK l _Toc5 刪除無關(guān)的賬號* PAGEREF _Toc5 h 2 HYPERLINK l _Toc6 帳戶登錄超時* PAGEREF _Toc6 h 3 H

3、YPERLINK l _Toc7 帳戶密碼錯誤自動鎖定* PAGEREF _Toc7 h 4 HYPERLINK l _Toc8 口令 PAGEREF _Toc8 h 4 HYPERLINK l _Toc9 口令復(fù)雜度要求 PAGEREF _Toc9 h 4 HYPERLINK l _Toc0 授權(quán) PAGEREF _Toc0 h 5 HYPERLINK l _Toc1 遠程維護的設(shè)備使用加密協(xié)議 PAGEREF _Toc1 h 5 HYPERLINK l _Toc2 第3章日志及配置安全要求 PAGEREF _Toc2 h 6 HYPERLINK l _Toc3 日志安全 PAGEREF _

4、Toc3 h 6 HYPERLINK l _Toc4 對用戶登錄進行記錄 PAGEREF _Toc4 h 6 HYPERLINK l _Toc5 記錄與設(shè)備相關(guān)的安全事件 PAGEREF _Toc5 h 7 HYPERLINK l _Toc6 配置設(shè)備遠程日志功能 PAGEREF _Toc6 h 8 HYPERLINK l _Toc7 告警配置要求 PAGEREF _Toc7 h 9 HYPERLINK l _Toc8 配置對防火墻本身的攻擊或內(nèi)部錯誤告警 PAGEREF _Toc8 h 9 HYPERLINK l _Toc9 配置DOS和DDOS攻擊告警 PAGEREF _Toc9 h 10

5、 HYPERLINK l _Toc0 配置掃描攻擊檢測告警* PAGEREF _Toc0 h 11 HYPERLINK l _Toc1 安全策略配置要求 PAGEREF _Toc1 h 11 HYPERLINK l _Toc2 訪問規(guī)則列表最后一條必須是拒絕一切流量 PAGEREF _Toc2 h 11 HYPERLINK l _Toc3 配置訪問規(guī)則應(yīng)盡可能縮小范圍 PAGEREF _Toc3 h 12 HYPERLINK l _Toc4 VPN用戶按照訪問權(quán)限進行分組* PAGEREF _Toc4 h 13 HYPERLINK l _Toc5 配置NAT地址轉(zhuǎn)換* PAGEREF _Toc

6、5 h 13 HYPERLINK l _Toc6 關(guān)閉僅開啟必要服務(wù) PAGEREF _Toc6 h 14 HYPERLINK l _Toc7 禁止使用anyto anyall允許規(guī)則 PAGEREF _Toc7 h 15 HYPERLINK l _Toc8 攻擊防護配置要求 PAGEREF _Toc8 h 15 HYPERLINK l _Toc9 配置應(yīng)用層攻擊防護* PAGEREF _Toc9 h 15 HYPERLINK l _Toc0 配置網(wǎng)絡(luò)掃描攻擊防護* PAGEREF _Toc0 h 16 HYPERLINK l _Toc1 限制ping包大小* PAGEREF _Toc1 h

7、17 HYPERLINK l _Toc2 啟用對帶選項的IP包及畸形IP包的檢測 PAGEREF _Toc2 h 18 HYPERLINK l _Toc3 防火墻各邏輯接口配置開啟防源地址欺騙功能 PAGEREF _Toc3 h 18 HYPERLINK l _Toc4 第4章IP協(xié)議安全要求 PAGEREF _Toc4 h 19 HYPERLINK l _Toc5 IP協(xié)議 PAGEREF _Toc5 h 19 HYPERLINK l _Toc6 使用SNMP V2或者V3以上的版本對防火墻遠程管理 PAGEREF _Toc6 h 19 HYPERLINK l _Toc7 第5章其他安全要求

8、 PAGEREF _Toc7 h 21 HYPERLINK l _Toc8 其他安全配置 PAGEREF _Toc8 h 21 HYPERLINK l _Toc9 配置定時賬戶自動登出 PAGEREF _Toc9 h 21 HYPERLINK l _Toc0 配置consol口密碼保護功能 PAGEREF _Toc0 h 21 HYPERLINK l _Toc1 第6章評審與修訂 PAGEREF _Toc1 h 23概述目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的安氏防火墻應(yīng)當遵循的設(shè)備安全性設(shè)置標準，本文檔旨在指導(dǎo)系統(tǒng)管理人員進行安氏防火墻的安全配置。適用范圍本配置標準的使用者包括：網(wǎng)

9、絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的安氏防火墻。適用版本安氏防火墻。實施本標準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標準的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標準發(fā)布之日起生效。例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。賬號管理、認證授權(quán)安全要求賬號管理用戶賬號分配*安全基線項目名稱用戶賬號分配安全基線要求項安全基線編號SBL-LinkTrustFW-02-01-01 安全基線項說明 不同等級管理員分配不同賬號，

10、避免賬號混用。檢測操作步驟參考配置操作usrobj passwdp admin NNtEDJuo3qa28usrobj passwdp guest fyRW3nLH7ywPlusrobj addadminp passwd 補充操作說明前兩個用戶為系統(tǒng)默認建立的帳號?；€符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄。檢測操作在圖形界面登陸補充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的賬號，需要手工檢查。刪除無關(guān)的賬號*安全基線項目名稱無關(guān)的賬號安全基線要求項安全基線編號SBL- LinkTrustFW-02-01-02 安全基線項說明 應(yīng)刪除或鎖定與設(shè)備運行、維護等工

11、作無關(guān)的賬號。檢測操作步驟參考配置操作usrobj del 補充操作說明使用usrobj list admin顯示帳戶信息?；€符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測操作查看配置。補充說明無。備注建議手工抽查系統(tǒng)，無關(guān)賬戶更多屬于管理層面，需要人為確認。帳戶登錄超時*安全基線項目名稱帳戶登錄超時安全基線要求項安全基線編號SBL- LinkTrustFW -02-01-03 安全基線項說明 配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進入系統(tǒng)。檢測操作步驟參考配置操作設(shè)置超時時間為5分鐘2、補充說明無?；€符合性判定依據(jù)判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備。

12、參考檢測操作補充說明無。備注需要手工檢查。帳戶密碼錯誤自動鎖定*安全基線項目名稱帳戶密碼錯誤自動鎖定安全基線要求項安全基線編號SBL- LinkTrustFW -02-01-04 安全基線項說明 在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設(shè)置為300秒檢測操作步驟參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、補充說明無?；€符合性判定依據(jù)判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達后可以登錄。參考檢測操作補充說明無。備注注意！此項設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查。口令口令復(fù)雜度要求安全基線項目名稱口令復(fù)雜度要求安全基線要求項安全基線編號SB

13、L- LinkTrustFW -02-02-01 安全基線項說明 防火墻管理員賬號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換。檢測操作步驟參考配置操作usrobj addadminp 回車，輸入密碼。補充操作說明口令字符不完全符合要求?；€符合性判定依據(jù)判定條件該級別的密碼設(shè)置由管理員進行密碼的生成，設(shè)備本身無此強制功能。檢測操作實驗性建立帳戶信息。補充說明無。備注授權(quán)遠程維護的設(shè)備使用加密協(xié)議安全基線項目名稱遠程維護使用加密協(xié)議安全基線要求項安全基線編號SBL-LinkTrustFW-02-03-01安全

14、基線項說明 對于防火墻遠程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEBSSL，如果只允許從防火墻內(nèi)部進行管理，應(yīng)該限定管理IP。檢測操作步驟參考配置操作系統(tǒng)默認支持ssh及WEB SSL兩種加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhost list增加管理IPadminhost add 補充操作說明基線符合性判定依據(jù)判定條件只支持ssh及Web SSL管理，對于非允許的ip地址不能登陸。檢測操作使用非允許的ip地址登陸。 補充說明無。備注日志及配置安全要求日志安全對用戶登錄進行記錄安全基線項目名稱用戶登錄進行記錄安全基線要求項安全基線編號SBL-LinkTrus

15、tFW-03-01-01 安全基線項說明 設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟參考配置操作log policy add 補充操作說明：系統(tǒng) （以字母a 表示）NAT （以字母n 表示）包過濾 （以字母f 表示）連接狀態(tài) （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前認證（以字母R 表示）雙機熱備（以字母h 表示）VPN PPP 協(xié)議（以字母P 表示）VPN IPSec 協(xié)議（以字母

16、I 表示）流探測（以字母i 表示） ：指日志處理方式，mbyse 分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog 主機、外發(fā)snmp trap 主機、email 告警等，用戶可根據(jù)需要選擇。基線符合性判定依據(jù)設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。備注記錄與設(shè)備相關(guān)的安全事件安全基線項目名稱記錄與設(shè)備相關(guān)安全事件安全基線要求項安全基線編號SBL-LinkTrustFW-03-01-02安全基線項說明 設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及

17、遠程登錄時，用戶使用的IP地址。檢測操作步驟參考配置操作log policy add 補充操作說明：系統(tǒng) （以字母a 表示）NAT （以字母n 表示）包過濾 （以字母f 表示）連接狀態(tài) （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前認證（以字母R 表示）雙機熱備（以字母h 表示）VPN PPP 協(xié)議（以字母P 表示）VPN IPSec 協(xié)議（以字母I 表示）流探測（以字母i 表示） ：指日志處理方式，mbyse 分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog 主機、外發(fā)snmp tr

18、ap 主機、email 告警等，用戶可根據(jù)需要選擇?；€符合性判定依據(jù)判定條件在設(shè)備上正確紀錄了日志信息。檢測操作查看日志模塊。補充說明無。備注配置設(shè)備遠程日志功能安全基線項目名稱配置設(shè)備遠程日志功能安全基線要求項安全基線編號SBL-LinkTrustFW-03-01-03安全基線項說明 設(shè)備配置遠程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。建議將Warning級別（4級）以上日志傳送到志服務(wù)器和統(tǒng)一的安全管理平臺處理。檢測操作步驟參考配置操作loghost add 設(shè)備log policy add 其中 0:EMERGENCY 1:ALERT 2:CRITICAL 3:ERROR

19、4:WARNING 5:NOTICE 6:INFO 7:DEBUG補充操作說明可以設(shè)置發(fā)送的日志服務(wù)器IP地址?；€符合性判定依據(jù)判定條件日志服務(wù)器上是否接收到了正確的日志信息。檢測操作在日志服務(wù)器上查看信息。補充說明無。備注告警配置要求配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線項目名稱配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線要求項安全基線編號SBL-LinkTrustFW-03-02-01 安全基線項說明 設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)嚴重錯誤。檢測操作步驟參考配置操作參考日志配置模塊，如下：log policy add 補充操作說明

20、設(shè)備只支持紀錄部分關(guān)鍵操作。：系統(tǒng) （以字母a 表示）NAT （以字母n 表示）包過濾 （以字母f 表示）連接狀態(tài) （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前認證（以字母R 表示）雙機熱備（以字母h 表示）VPN PPP 協(xié)議（以字母P 表示）VPN IPSec 協(xié)議（以字母I 表示）流探測（以字母i 表示） ：指日志處理方式，mbyse 分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog 主機、外發(fā)snmp trap 主機、email 告警等，用戶可根據(jù)需要選擇?；€符合性判定依據(jù)

21、判定條件查看防火墻是否生成相應(yīng)告警檢測操作查看防火墻是否生成相應(yīng)告警補充說明無。備注配置DOS和DDOS攻擊告警安全基線項目名稱配置DOS和DDOS攻擊防護功能安全基線要求項安全基線編號SBL-LinkTrustFW-03-02-02 安全基線項說明 可打開DOS和DDOS攻擊防護功能。對攻擊告警。DDOS的攻擊告警的參數(shù)可由維護人員根據(jù)網(wǎng)絡(luò)環(huán)境進行調(diào)整。維護人員可通過設(shè)置白名單方式屏蔽部分告警。檢測操作步驟參考配置操作antidos set synflood antidos set land onantidos set smurf onanti set frag onantidos set

22、icmpmax antidos set udpmax blockshortip onblockipoptions on補充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補充說明無。備注配置掃描攻擊檢測告警*安全基線項目名稱配置掃描攻擊檢測告警安全基線要求項安全基線編號SBL-LinkTrustFW-03-02-03安全基線項說明 可打開掃描攻擊檢測功能。對掃描探測告警。掃描攻擊告警的參數(shù)可由維護人員根據(jù)網(wǎng)絡(luò)環(huán)境進行調(diào)整。維護人員可通過設(shè)置白名單方式屏蔽部分網(wǎng)絡(luò)掃描告警。檢測操作步驟參考配置操作可參考“安全要求-設(shè)備-防火墻-配置-43”補充操作說明無基線符合

23、性判定依據(jù)判定條件無 檢測操作無 補充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。安全策略配置要求訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線項目名稱訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-01安全基線項說明 所有防火墻在配置訪問規(guī)則時，最后一條必須是拒絕一切流量。檢測操作步驟參考配置操作設(shè)備默認最后一條為拒絕所有其他。補充操作說明設(shè)備也支持主動建立禁止一切的策略?；€符合性判定依據(jù)判定條件無。檢測操作查看策略配置及測試訪問。補充說明無。備注配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線項目名稱配置訪問規(guī)則

24、應(yīng)盡可能縮小范圍安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-02安全基線項說明 在配置訪問規(guī)則時，源地址和目的地址的范圍必須以實際訪問需求為前提，盡可能的縮小范圍。檢測操作步驟參考配置操作根據(jù)實際訪問需求，縮小地址范圍。需要禁止any to any all和any all和服務(wù)為all的規(guī)則。補充操作說明我們在防火墻上可以定義不同范圍的地址對象，在策略中進行引用即可。如下命令用來建立不同范圍的地址對象，供策略引用。netobj hostadd netobj add netobj addstd netobj addipr netobj addifr netobj add

25、znr 基線符合性判定依據(jù)判定條件無。檢測操作根據(jù)實際訪問需求，測試是否達到要求；查看配置。補充說明無。備注VPN用戶按照訪問權(quán)限進行分組*安全基線項目名稱VPN用戶按照訪問權(quán)限進行分組安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-03安全基線項說明 對于VPN用戶，必須按照其訪問權(quán)限不同而進行分組，并在訪問控制規(guī)則中對該組的訪問權(quán)限進行嚴格限制。檢測操作步驟參考配置操作vpn dialupuser add ip/maskpolicy add options toname補充操作說明設(shè)備部分支持此項功能。基線符合性判定依據(jù)判定條件無。檢測操作按照需求訪問進行檢測。補充說

26、明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。配置NAT地址轉(zhuǎn)換*安全基線項目名稱配置NAT地址轉(zhuǎn)換安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-04安全基線項說明 配置NAT，對公網(wǎng)隱藏局域網(wǎng)主機的實際地址。檢測操作步驟參考配置操作nat11 add interface補充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作從外網(wǎng)用NAT地址訪問內(nèi)網(wǎng)的IP補充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。關(guān)閉僅開啟必要服務(wù)安全基線項目名稱僅開啟必要服務(wù)安全基線要求項安全基線編號SBL- LinkTrustFW -03-03

27、-05安全基線項說明 防火墻設(shè)備必須僅開啟必要服務(wù)。與生產(chǎn)無關(guān)的服務(wù)端口不能開放規(guī)則。檢測操作步驟參考配置操作policy add options toname補充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作查看策略，檢查是否有不必要的服務(wù)Policy list補充說明無。備注禁止使用anyto anyall允許規(guī)則安全基線項目名稱盡量不允許使用anyto any安全基線要求項安全基線編號SBL- LinkTrustFW -03-03-06安全基線項說明 防火墻策略配置時不允許使用anyto any all允許規(guī)則，對于從防火墻內(nèi)部到外部的訪問也應(yīng)指定策略; 應(yīng)定期的對防火墻策略進行檢查和

28、梳理檢測操作步驟參考配置操作查看訪問控制策略policy list配置防火墻策略policy add options toname補充操作說明無基線符合性判定依據(jù)判定條件無檢測操作policy list補充說明無。備注攻擊防護配置要求配置應(yīng)用層攻擊防護*安全基線項目名稱配置應(yīng)用層攻擊防護安全基線要求項安全基線編號SBL-LinkTrustFW-03-04-01安全基線項說明 建議采用安氏防火墻自帶的smartpro入侵檢測模塊對應(yīng)用層攻擊進行防護檢測操作步驟參考配置操作smartpro enable level其中級別如下，建議采用默認級別10 - disable 1 - duplicate

29、pass-policy matched packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets補充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。配置網(wǎng)絡(luò)掃描攻擊防護*安全基線項目名稱配置網(wǎng)絡(luò)掃描攻擊防護安全基線要求項安全基線編號SBL-LinkTrustFW-03-04-02安全基線項說明 建議采用安氏防火墻自帶的smartpro入侵檢測模塊對網(wǎng)絡(luò)掃描攻擊行為進行檢測檢測操作步

30、驟參考配置操作啟用流探測功能模塊：smartpro enable level其中級別如下，建議采用默認級別10 - disable 1 - duplicate pass-policy matched packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets通過WEB管理界面選擇需要檢測的掃描攻擊行為的list，如下圖：選擇啟用即可補充操作說明無。基線符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。

31、限制ping包大小*安全基線項目名稱限制ping包大小安全基線要求項安全基線編號SBL-LinkTrustFW-03-04-03安全基線項說明 限制ping包的大小，以及一段時間內(nèi)同一主機發(fā)送的次數(shù)。檢測操作步驟參考配置操作antidos set icmpmax 補充操作說明部分功能實現(xiàn)?；€符合性判定依據(jù)判定條件無。檢測操作查看配置；需求測試。補充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。啟用對帶選項的IP包及畸形IP包的檢測安全基線項目名稱啟用對帶選項的IP包及畸形IP包的檢測安全基線要求項安全基線編號SBL-LinkTrustFW-03-04-04安全基線項說明 啟用對帶選項的IP包及畸形IP包的檢測檢測操作步驟參考配置操作anti set frag on補充操作說明無。基線符合性判