H3C防火墻安全配置基線

H3C防火墻安全配置基線13]版本版本控制信息更新日期更新人審批人V2。0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格第1章概述01.1目的01。2適用范圍01。3適用版本01.4實施01。 5例外條款0第2章帳號管理、認證授權(quán)安全要求02。 1帳號管理02。1。1用戶帳號分配知2.1.2刪除無關(guān)的帳號沏2。1。3帳戶登錄超時大22。1。4帳戶密碼錯誤自動鎖定32.2口令322.1口令復(fù)雜度要求32。3授權(quán)42。 3。1遠程維護的設(shè)備使用加密協(xié)街第3章日志及配置安全要求53.1日志安全53.1.1記錄用戶對設(shè)備的操作53。 1。2開啟記錄NAT日志*63。1.3開啟記錄VPN日志*63.1.4配置記錄拒絕和丟棄報文規(guī)則的日73.2告警配置要求73。2。1配置對防火墻本身的攻擊或內(nèi)部錯誤告73.2.2配置TCP//P協(xié)議網(wǎng)絡(luò)層異常報文攻擊告孳83。2.3配置QOS和DDOS攻擊告警83。2.4配置關(guān)鍵字內(nèi)容過濾功能告警93.3安全策略配置要求93.3.1訪問規(guī)則列表最后一條必須是拒絕一切流93.3.2配置訪問規(guī)則應(yīng)盡可能縮小范目103。3。3VPN用戶按照訪問權(quán)限進彳亍分組103.3.4配置NAT地址轉(zhuǎn)換*113.3。 5隱藏防火墻字符管理界面界annner信息123.3.5避免從內(nèi)網(wǎng)主機直接訪問外網(wǎng)的規(guī)*123.3。 7關(guān)閉非必要服務(wù)133.4攻擊防護配置要求133.4。 1拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪133.4.2防火墻各邏輯接口配置開啟防源地址欺騙功15第4章IP協(xié)議安全要求154。 1功能配置154.1。1使用SNMPV2c或者V3以上的版本對防火墻遠程管圭15第5章其他安全要求165。 1其佃安全配置165。1。1外網(wǎng)口地址關(guān)閉對H'ng包的回應(yīng)大165.1.2對防火墻的管理地址做源地址限17第6章評審與修訂17第1章概述1.1目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進行H3C防火墻的安全配置.本配置標(biāo)準的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員.1.3適用版本H3C防火墻。1.4實施1.5例外條款第2章帳號管理、認證授權(quán)安全要求2.1帳號管理2.1.1用戶帳號分配*安全基線項目名稱用戶帳號分配安全基線要求項安全基線編號SBL-H3C-02-01-01安全基線項說明不同等級管理員分配不同帳號，避免帳號混用.檢測操作步驟1.參考配置操作#local—useruserl

passwordcipherW@FSOR(5:L'LK8RI6$H@XA!!authorization-attributelevel3service-typetelnet#local-useruser2passwordcipherW@FSOR(5：L,LK8RI6$H@XA!!authorization-attributelevel2service—typetelnet#2.補充操作說明無.基線符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄.檢測操作<H3C>displaycurrent—configuration#local-useruserlpasswordcipherW@FSOR(5:L’LK8RI6$H@XA!!authorization—attributelevel3service—typetelnet#local-useruser2passwordcipherW@FSOR(5:L,LK8RI6$H@XA!!authorization—attributelevel2service—typetelnet#補充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的帳號，需要手工檢查。2.1.2刪除無關(guān)的帳號大安全基線項目名稱無關(guān)的帳號安全基線要求項安全基線編號SBL—H3C-02-01-02

安全基線項說明應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的帳號。檢測操作步驟參考配置操作[H3C]undolocal-useruserl補充操作說明無基線符合性判定依據(jù)判定條件配置中用戶信息被刪除.檢測操作〈H3C〉displaycurrent-configuration補充說明無.備注建議手工抽查系統(tǒng),無關(guān)賬戶更多屬于管理層面，需要人為確認。2.1.3帳戶登錄超時*安全基線項目名稱帳戶登錄超時安全基線要求項安全基線編號SBL—H3C-02—01-03安全基線項說明配置定時帳戶自動登出，空閑5分鐘自動登出.登出后用戶需再次登錄才能進入系統(tǒng)。檢測操作步驟1、 參考配置操作設(shè)置超時時間為5分鐘2、 補充說明無?；€符合性判定依據(jù)判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備.參考檢測操作補充說明無。備注需要手工檢查。

2.1.4帳戶密碼錯誤自動鎖定*安全基線項目名稱帳戶密碼錯誤自動鎖定安全基線要求項安全基線編號SBL—H3C—02-01-04安全基線項說明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設(shè)置為300秒檢測操作步驟1、 參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、 補充說明無?；€符合性判定依據(jù)判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達后可以登錄。參考檢測操作補充說明無。備注注意！此項設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查。2.2口令2.2.1口令復(fù)雜度要求安全基線項目名稱口令復(fù)雜度要求安全基線要求項安全基線編號SBL—H3C-02-02—01安全基線項說明防火墻管理員帳號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令.密碼應(yīng)至少每90天進行更換。檢測操作步驟1.參考配置操作[H3C]local—useradmin

[H3C—luser-huawei]service—typetelnetlevel3[H3C—luser-huawei]passwordcipherAq1!Sw2@2.補充操作說明無基線符合性判定依據(jù)判定條件該級別的密碼設(shè)置由管理員進行密碼的生成，設(shè)備本身無此強制功能。檢測操作此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn)。補充說明無。備注2.3授權(quán)2.3.1遠程維護的設(shè)備使用加密協(xié)議安全基線項目名稱遠程維護使用加密協(xié)議安全基線要求項安全基線編號SBL—H3C—02—03-01安全基線項說明對于防火墻遠程管理的配置，必須是基于加密的協(xié)議。如 SSH或者WEBSSL,如果只允許從防火墻內(nèi)部進行管理，應(yīng)該限定管理IP。檢測操作步驟1.參考配置操作登陸設(shè)備web配置頁面，在“設(shè)備管理"-——-“服務(wù)管理”下選擇ssh、https方式登陸設(shè)備。配置針對SSH登陸用戶IP地址的限定：#aclnumber3000rule0permitipsource[ipaddress][wildcard]#user-interfacevty04acl3000inboundprotocolinboundssh#

2.補充操作說明無基線符合性判定依據(jù)判定條件查看防火墻是否啟用了ssh、https服務(wù);針對SSH登陸用戶進行IP地址限定.檢測操作通過ssh、https方式登陸設(shè)備進行檢測。補充說明無。備注第3章日志及配置安全要求3.1日志安全3.1.1記錄用戶對設(shè)備的操作安全基線項目名稱用戶對設(shè)備記錄安全基線要求項安全基線編號SBL—H3C—03—01-01安全基線項說明配置記錄防火墻管理員操作日志，如管理員登錄修改管理員組操作，帳號解鎖等信息。配置防火墻將相關(guān)的操作日志送往操作日志審計系統(tǒng)或者其他相關(guān)的安全管控系統(tǒng)。檢測操作步驟參考配置操作[H3C]info-centerenable補充操作說明設(shè)備默認開啟日志功能，記錄在設(shè)備的logbuffer中.基線符合性判定依據(jù)判定條件檢查配置中的logbuffer相關(guān)配置。檢測操作<H3C>displaylogbuffer備注

3.1.2開啟記錄NAT日志*安全基線項目名稱開啟記錄NAT日志安全基線要求項安全基線編號SBL—H3C-03-01—02安全基線項說明開啟記錄NAT日志,記錄轉(zhuǎn)換前后IP地址的對應(yīng)關(guān)系。檢測操作步驟參考配置操作[H3C]userlogflowexportversion3[H3C]userlogflowexporthostLlogserveripaddress][logserverport}補充操作說明防火墻自身不記錄NAT日志信息，需要配置專門的日志服務(wù)器，防火墻將NAT日志信息發(fā)送到專門的日志服務(wù)器.基線符合性判定依據(jù)1。 判定條件檢查配置中的NAT日志相關(guān)配置；2。 檢測操作〈H3C>displayuserlogexport備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項.3.1.3開啟記錄VPN日志*安全基線項目名稱開啟記錄VPN日志安全基線要求項安全基線編號SBL—H3C—03—01—03安全基線項說明開啟記錄VPN日志，記錄VPN訪問登陸、退出等信息.檢測操作步驟參考配置操作[H3C]info—centerenable補充操作說明設(shè)備默認會記錄VPN日志，不需要額外配置。基線符合性判定依據(jù)判定條件檢查配置中的日志相關(guān)配置檢測操作〈H3C>displaylogbuffer<H3C〉displaytrapbuffer備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。

3.1.4配置記錄拒絕和丟棄報文規(guī)則的日志安全基線項目名稱配置記錄拒絕和丟棄報文規(guī)則的日志安全基線要求項安全基線編號SBL-H3C-03-01—04安全基線項說明配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報文的日志。檢測操作步驟參考配置操作設(shè)備默認記錄，不需要額外配置；補充操作說明無基線符合性判定依據(jù)使用displaytrapbuffer檢查備注3.2告警配置要求3.2.1配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線項目名稱配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線要求項安全基線編號SBL-H3C—03—02—01安全基線項說明配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)內(nèi)部錯誤。檢測操作步驟參考配置操作無需配置，設(shè)備默認開啟；補充操作說明基線符合性判定依據(jù)判定條件通過查看設(shè)備的trapbuffer信息；檢測操作〈H3C〉displaytrapbuffer備注

3.2.2配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報文攻擊告警安全基線項目名稱配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報文攻擊告警安全基線要求項安全基線編號SBL-H3C—03—02—02安全基線項說明配置告警功能，報告網(wǎng)絡(luò)流量中對TCP/IP協(xié)議網(wǎng)絡(luò)層異常報文攻擊的相關(guān)告警。檢測操作步驟參考配置操作登陸防火墻web配置頁面，在“攻擊防范”---—“報文異常檢測，選擇所需的針對異常攻擊報文的檢測。補充操作說明無基線符合性判定依據(jù)1。 判定條件檢查防火墻攻擊防范配置；檢測操作登陸防火墻web頁面，在“攻擊防范”一-一-“入侵檢測統(tǒng)計”中查看攻擊防范的效果；備注3.2.3配置DOS和DDOS攻擊告警安全基線項目名稱配置DOS和DDOS攻擊防護功能安全基線要求項安全基線編號SBL-H3C-03—02—03安全基線項說明配置DOS和DDOS攻擊防護功能。對DOS和DDOS攻擊告警。維護人員應(yīng)根據(jù)網(wǎng)絡(luò)環(huán)境調(diào)整DDOS的攻擊告警的參數(shù)。檢測操作步驟參考配置操作登陸防火墻web配置頁面，在“攻擊防范”--——“流量異常檢測”中,選擇需要防范的攻擊類型.補充操作說明基線符合性判定依據(jù)1。 判定條件檢查防火墻攻擊防范配置；檢測操作

登陸防火墻web頁面，在“攻擊防范”-—--“入侵檢測統(tǒng)計”中查看攻擊防范的效果；備注3.2.4配置關(guān)鍵字內(nèi)容過濾功能告警*安全基線項目名稱配置關(guān)鍵字內(nèi)容過濾功能告警安全基線要求項安全基線編號SBL-H3C—03-02-04安全基線項說明配置關(guān)鍵字內(nèi)容過濾功能，在HTTP，SMTP，POP3等應(yīng)用協(xié)議流量過濾包含有設(shè)定的關(guān)鍵字的報文。針對關(guān)鍵字過濾是應(yīng)用層過濾機制,對系統(tǒng)性能有一定影響。針對HTTP協(xié)議內(nèi)容訪問的網(wǎng)站關(guān)鍵字段，包含暴力、淫穢、違法等類型?？商砑觾?nèi)容庫實現(xiàn)。檢測操作步驟參考配置操作登陸防火墻web配置頁面，在“應(yīng)用控制”--——“內(nèi)容過濾”，根據(jù)需求選擇關(guān)鍵字、URL主機名、文件名等方式進行過濾。補充操作說明基線符合性判定依據(jù)1。 判定條件檢查防火墻“應(yīng)用控制〃配置；2。 檢測操作登陸防火墻web頁面配置，在“應(yīng)用控制”---—“內(nèi)容過濾” “統(tǒng)計信息”中查看過濾功能實施效果。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。3.3安全策略配置要求3.3.1訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線項目名稱訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項安全基線編號SBL-H3C-03—03-01安全基線項說明防火墻在配置訪問規(guī)則列表時，最后一條必須是拒絕一切流量。檢測操作步1.參考配置操作

驟#aclnumber3001rule0permitipdestinationLipaddress][mask]rule1denyip#2.補充操作說明無基線符合性判定依據(jù)1。 判定條件檢查配置中的ACL設(shè)置檢測操作〈H3C〉displayaclnumber3001備注3.3.2配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線項目名稱配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線要求項安全基線編號SBL-H3C-03—03-02安全基線項說明在配置訪問規(guī)則時，源地址，目的地址服務(wù)或端口的范圍必須以實際訪問需求為前提，盡可能的縮小范圍.禁止源到目的全部允許規(guī)則。禁止目的地址及服務(wù)全允許規(guī)則，禁止全服務(wù)訪問規(guī)則。檢測操作步驟參考配置操作登陸防火墻web配置頁面，在“防火墻” “安全策略”-—--“域間策略”中增加訪問規(guī)則，需要填寫的內(nèi)容是：源域、目的域、源IP地址、目的IP地址、服務(wù)(訪問的協(xié)議和端口)、過濾動作(permitordeny)、時間段。補充操作說明基線符合性判定依據(jù)1。 判定條件檢查防火墻“域間策略”配置，域間策略詳細到協(xié)議、端口、具體的IP地址；2。 檢測操作無；備注3.3.3VPN用戶按照訪問權(quán)限進行分組*安全基線項目名稱VPN用戶按照訪問權(quán)限進行分組安全基線要求項

安全基線編號SBL-H3C-03-03-03安全基線項說明對于VPN用戶，必須按照其訪問權(quán)限不同而進行分組，并在訪問控制規(guī)則中對該組的訪問權(quán)限進行嚴格限制。檢測操作步驟參考配置操作#local-user[vpnuser]passwordcipher[password]service-typepppauthorization-attributelevel[0—5] 〃設(shè)定用戶的訪問權(quán)限#domainsystem 〃對VPN用戶采用本地驗證authenticationppplocalippool1Lippooladdressrange]#l2tpenable〃啟用L2TP服務(wù)#interfacevirtual-template1//配置虛模板Virtual-Template的相關(guān)信息ipaddressLipaddress] Lmask]pppauthentication—modechapdomainsystemremoteaddresspool1#l2tp-group1〃設(shè)置一個L2TP組，指定接收呼叫的虛擬接口模板allowl2tpvirtual—template1#補充操作說明基線符合性判定依據(jù)判定條件檢查配置中用戶設(shè)置：2。 檢測操作使用displaylocal—user檢查備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項.3.3.4配置NAT地址轉(zhuǎn)換*安全基線項目名稱配置NAT地址轉(zhuǎn)換安全基線要求項安全基線編號SBL—H3C—03—03—04安全基線項說明配置NAT地址轉(zhuǎn)換，對互聯(lián)網(wǎng)隱藏內(nèi)網(wǎng)主機的實際地址。檢測操作步驟1.參考配置操作#

aclnumber3001rule0permitipdestination10.4。125。650rule1permitipdestination10.4.125。660#interfaceGigabitEthernet0/0portlink-moderoutenatoutbound3001#2.補充操作說明基線符合性判定依據(jù)1。 判定條件配置中有nat或者static的內(nèi)容檢測操作〈H3C〉displaynat備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項.3.3.5隱藏防火墻字符管理界面的bannner信息安全基線項目名稱隱藏防火墻字付官理界面的bannner信息安全基線要求項安全基線編號SBL—H3C—03-03—05安全基線項說明隱藏防火墻字付官理界面的bannner信息。檢測操作步驟1.參考配置操作[H3C]undocopyright-infoenable2.補充操作說明基線符合性判定依據(jù)判定條件登陸設(shè)備后，字符管理頁面消失；2。 檢測操作telnet登陸到設(shè)備，字符管理頁面消失；備注3.3.6避免從內(nèi)網(wǎng)主機直接訪問外網(wǎng)的規(guī)則*安全基線項目名稱避免從內(nèi)網(wǎng)主機直接訪問外網(wǎng)的規(guī)則安全基線要求項安全基線編SBL-H3C-03-03-06

號安全基線項說明應(yīng)用代理服務(wù)器，將從內(nèi)網(wǎng)到外網(wǎng)的訪問流量通過代理服務(wù)器。防火墻只開啟代理服務(wù)器到外部網(wǎng)絡(luò)的訪問規(guī)則，避免在防火墻上配置從內(nèi)網(wǎng)的主機直接到外網(wǎng)的訪問規(guī)則。檢測操作步驟參考配置操作參考3.3。2配置，在防火墻上可以配置代理服務(wù)器與外網(wǎng)互訪的規(guī)則；補充操作說明基線符合性判定依據(jù)判定條件檢查防火墻“域間策略”，配置了針對代理服務(wù)器到外網(wǎng)的訪問規(guī)則；檢測操作備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。3.3.7關(guān)閉非必要服務(wù)安全基線項目名稱關(guān)閉非必要服務(wù)安全基線要求項安全基線編號SBL-H3C-03—03—07安全基線項說明防火墻設(shè)備必須關(guān)閉非必要服務(wù)。檢測操作步驟參考配置操作登陸防火墻web配置頁面，在“設(shè)備管理”一一-“服務(wù)管理”中關(guān)閉非必要的服務(wù)，比如http、telnet、ftp等。補充操作說明基線符合性判定依據(jù)1。 判定條件檢查配置中是否關(guān)閉對應(yīng)服務(wù)檢測操作備注3.4攻擊防護配置要求3.4.1拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問安全基線項目名稱拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問安全基線要求項

安全基線編號SBL—H3C—03—04—01安全基線項說明配置訪問控制規(guī)則，拒絕對防火墻保護的系統(tǒng)中常見漏洞所對應(yīng)端口或者服務(wù)的訪問。檢測操作步驟參考配置操作#aclnumber3001rule0denytcpdestination-porteq135rule1denytcpdestination—porteq136rule2denytcpdestination—porteq138rule3denytcpdestination-porteq4444rule4denytcpdestination-porteq389rule5denytcpdestination-porteq445rule6denytcpdestination—porteq4899rule7denytcpdestination-porteq6588rule8denytcpdestination—porteq1978rule9denytcpdestination-porteq593rule10denytcpdestination-porteq3389rule11denytcpdestination-porteq137rule12denytcpdestination-porteqtalkrule13denytcpdestination—porteq139rule14denytcpdestination—porteq2745rule15denytcpdestination-porteq1080rule16denytcpdestination-porteq6129rule17denytcpdestination—porteq3127rule18denytcpdestination—porteq3128rule19denytcpdestination-porteq5800rule20denytcpdestination—porteq6667rule21denytcpdestination—porteq1025rule22denytcpdestination-porteq5554rule23denytcpdestination—porteq1068rule24denytcpdestination—porteq9995rule25denytcpdestination-porteq539rule26denyudpdestination—porteq539rule27denyudpdestination-porteq1434rule28denyudpdestination-porteq593rule29permitip#補充操作說明應(yīng)根據(jù)實際情況調(diào)整?；€符合性判定依據(jù)1。 判定條件檢查配置文件檢測操作使用命令displayaclnumber3001

備注3.4.2防火墻各邏輯接口配置開啟防源地址欺騙功能安全基線項目名稱防火墻各邏輯接口配置開啟防源地址欺騙功能安全基線要求項安全基線編號SBL-H3C—03—04—02安全基線項說明對于防火墻各邏輯接口配置開啟防源地址欺騙功能。檢測操作步驟參考配置操作登陸防火墻web配置頁面，在“攻擊防范”--——“URPF檢查”中使能防源地址欺騙功能。補充操作說明基線符合性判定依據(jù)判定條件檢查配置中是否有URPF功能；檢測操作備注第4章IP協(xié)議安全要求4.1功能配置4.1.1使用SNMPV2c或者V3以上的版本對防火墻遠程管理安全基線項目名稱使用SNMPV2C或者V3以上的版本對防火墻遠程管理安全基線要求項安全基線編號SBL-H3C-04—01-01安全基線項說明使用SNMPV3以上的版本對防火墻做遠程管理。去除SNMP默認的共同體名(CommunityName)和用戶名。并且不同的用戶名和共同體明對應(yīng)不同的權(quán)限(只讀或者讀寫)。檢測操作步驟1.參考配置操作井snmp-agent 〃打開SNMP功