防火墻安全配置基線

H3C防火墻安全配置基線1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第1章概述1.1目的本文檔旨在指導系統(tǒng)管理人員進行H3C防火墻的安全配置。1.2適用范本配置標準的使用者包括：網(wǎng)絡管理員、網(wǎng)絡安全管理員、網(wǎng)絡監(jiān)控人員。1.3適用版本H3C防火墻。1.4實施1.5例外條款第2章帳號管理、認證授權安全要求2.1帳號管理2.1.1用戶帳號分配*安全基線項目名稱用戶帳號分配安全基線要求項安全基線SBL-H3C-02-01-01

編號安全基線不同等級管理員分配不同帳號，避免帳號混用。項說明檢測操作1.參考配置操作步驟#local-useruserlpasswordcipherW@FS0R(5:L'LK8RI6$H@XA!!authorization-attributelevel3service-typetelnet#local-useruser2passwordcipherW@FS0R(5:L'LK8RI6$H@XA!!authorization-attributelevel2service-typetelnet#2.補充操作說明無?；€符合1.判定條件性判定依用配置中沒有的用戶名去登錄，結果是不能登錄。據(jù)2.檢測操作<H3C>displaycurrent-configuration#

local-useruserlpasswordcipherW@FS0R(5:L'LK8RI6$H@XA!!authorization-attributelevel3service-typetelnet#local-useruser2passwordcipherW@FS0R(5:L'LK8RI6$H@XA!!authorization-attributelevel2service-typetelnet#3.補充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不同權限的帳號，需要手工檢查。2.1.2刪除無關的帳號*安全基線項目名稱無關的帳號女全基線要求項安全基線編號SBL-H3C-02-01-02安全基線項說明應刪除或鎖定與設備運行、維護等工作無關的帳號。

檢測操作1.參考配置操作步驟[H3C]undolocal-useruserl2.補充操作說明無基線符合1.判定條件性判定依配置中用戶信息被刪除。據(jù)檢測操作<H3C>displaycurrent-configuration補充說明無。備注建議手工抽查系統(tǒng)，無關賬戶更多屬于管理層面，需要人為確認。2.1.3帳戶登錄超時*安全基線帳戶登錄超時安全基線要求項項目名稱安全基線SBL-H3C-02-01-03編號安全基線配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需項說明再次登錄才能進入系統(tǒng)。檢測操作1、參考配置操作步驟設置超時時間為5分鐘

2、補充說明無?；€符合1.判定條件性判定依在超出設定時間后，用戶自動登出設備。據(jù)參考檢測操作補充說明無。備注需要手工檢查。2.1.4帳戶密碼錯誤自動鎖定*安全基線帳戶密碼錯誤自動鎖定安全基線要求項項目名稱安全基線SBL-H3C-02-01-04編號安全基線在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。項說明解鎖時間設置為300秒檢測操作1、參考配置操作步驟設置嘗試失敗鎖定次數(shù)為10次2、補充說明無?；€符合1.判定條件性判定依超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達后可以

據(jù)登錄。參考檢測操作補充說明無。備注注意！此項設置會影響性能，建議設置后對訪問此設備做源地址做限制。需要手工檢查?？诹?.2.1口令復雜度要求安全基線項目名稱口令復雜度要求安全基線要求項安全基線編號SBL-H3C-02-02-01安全基線項說明防火墻管理員帳號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設置相同的口令。密碼應至少每90天進行更換。檢測操作步驟1.參考配置操作[H3C]local-useradmin[H3CTuser-huawei]service-typetelnetlevel3[H3CTuser-huawei]passwordcipherAq1!Sw2@

2.補充操作說明無基線符合1.判定條件性判定依該級別的密碼設置由管理員進行密碼的生成，設備本身無此強據(jù)制功能。檢測操作此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn)。補充說明無。備注授權2.3.1遠程維護的設備使用加密協(xié)議安全基線遠程維護使用加密協(xié)議安全基線要求項項目名稱安全基線SBL-H3C-02-03-01編號安全基線對于防火墻遠程管理的配置，必須是基于加密的協(xié)議。如SSH項說明或者WEBSSL，如果只允許從防火墻內(nèi)部進行管理，應該限定管理IP。檢測操作1.參考配置操作

步驟登陸設備web配置頁面，在“設備管理”-…“服務管理”下選擇ssh、https方式登陸設備。配置針對SSH登陸用戶IP地址的限定：#aclnumber3000rule0permitipsource[ipaddress][wildcard]#user-interfacevty04acl3000inboundprotocolinboundssh#2.補充操作說明無基線符合性判定依據(jù)判定條件查看防火墻是否啟用了ssh、https服務；針對SSH登陸用戶進行IP地址限定。檢測操作通過ssh、https方式登陸設備進行檢測。補充說明無。備注

第3章日志及配置安全要求3.1日志安全3.1.1記錄用戶對設備的操作性判定依檢查配置中的性判定依檢查配置中的logbuffer相關配置。安全基線項目名稱用戶對設備記錄安全基線要求項安全基線編號SBL-H3C-03-01-01安全基線項說明配置記錄防火墻管理員操作日志，如管理員登錄，修改管理員組操作，帳號解鎖等信息。配置防火墻將相關的操作日志送往操作日志審計系統(tǒng)或者其他相關的安全管控系統(tǒng)。檢測操作步驟1.參考配置操作[H3C]info-centerenable2?補充操作說明設備默認開啟日志功能，記錄在設備的logbuffer中?；€符合1.判定條件2.檢測操作<H3C>displaylogbuffer備注

備注3.1.2開啟記錄NAT日志*安全基線開啟記錄NAT日志安全基線要求項項目名稱安全基線SBL-H3C-03-01-02編號安全基線開啟記錄NAT0志，記錄轉換前后IP地址的對應關系。項說明檢測操作1?參考配置操作步驟[H3C]userlogflowexportversion3[H3C]userlogflowexporthost[logserveripaddress.[logserverport]2?補充操作說明防火墻自身不記錄NAT日志信息，需要配置專門的日志服務器，防火墻將NAT日志信息發(fā)送到專門的日志服務器?；€符合1.判定條件性判定依檢杳配置中的NAT日志相關配置；據(jù)2.檢測操作<H3C>displayuserlogexport備注根據(jù)應用場景的不冋，如部署場景需開啟此功能，則強制要求此項。

3.1.3開啟記錄VPN日志*安全基線項目名稱開啟記錄VPN日志安全基線要求項安全基線編號SBL-H3C-03-01-03安全基線項說明開啟記錄VPN日志，記錄VPN訪問登陸、退出等信息。檢測操作步驟1.參考配置操作[H3C]info-centerenable2?補充操作說明設備默認會記錄VPN日志，不需要額外配置?；€符合性判定依據(jù)判定條件檢杳配置中的日志相關配置檢測操作<H3C>displaylogbuffer<H3C>displaytrapbuffer備注根據(jù)應用場景的不冋，如部署場景需開啟此功能，則強制要求此項。3.1.4配置記錄拒絕和丟棄報文規(guī)則的日志安全基線項目名稱配置記錄拒絕和丟棄報文規(guī)則的日志安全基線要求項

安全基線SBL-H3C-03-01-04編號安全基線配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報文的日志。項說明檢測操作1?參考配置操作步驟設備默認記錄，不需要額外配置；2?補充操作說明無基線符合使用displaytrapbuffer檢杳性判定依

據(jù)

備注3.2告警配置要求3.2.1配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線要求項項目名稱安全基線SBL-H3C-03-02-01編號安全基線配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)內(nèi)項說明部錯誤。

檢測操作步驟1.參考配置操作無需配置，設備默認開啟；2?補充操作說明基線符合性判定依據(jù)判定條件通過查看設備的trapbuffer信息；檢測操作<H3C>displaytrapbuffer備注3?2?2配置TCP/IP協(xié)議網(wǎng)絡層異常報文攻擊告警步驟 登陸防火墻步驟 登陸防火墻web配置頁面,在“攻擊防范” “報文異常檢安全基線項目名稱配置TCP/IP協(xié)議網(wǎng)絡層異常報文攻擊告警安全基線要求項安全基線編號SBL-H3C-03-02-02安全基線項說明配置告警功能，報告網(wǎng)絡流量中對TCP/IP協(xié)議網(wǎng)絡層異常報文攻擊的相關告警。檢測操作1.參考配置操作測”選擇所需的針對異常攻擊報文的檢測。3?2?3配置DOS和DDOS攻擊告警安全基線項目名稱配置DOS和DDOS攻擊防護功能安全基線要求項安全基線編號SBL-H3C-03-02-03安全基線項說明配置DOS和DDOS攻擊防護功能。對DOS和DDOS攻擊告警。維護人員應根據(jù)網(wǎng)絡環(huán)境調(diào)整DDOS的攻擊告警的參數(shù)。

檢測操作步驟1.參考配置操作登陸防火墻web配置頁面，在“攻擊防范” “流量異常檢測”中，選擇需要防范的攻擊類型。2?補充操作說明基線符合性判定依據(jù)判定條件檢杳防火墻攻擊防范配置；檢測操作登陸防火墻web頁面，在“攻擊防范” “入侵檢測統(tǒng)計”中查看攻擊防范的效果；備注3.2.4配置關鍵字內(nèi)容過濾功能告警*安全基線項目名稱配置關鍵字內(nèi)容過濾功能告警安全基線要求項安全基線編號SBL-H3C-03-02-04安全基線項說明配置關鍵字內(nèi)容過濾功能，在HTTP,SMTP,POP3等應用協(xié)議流量過濾包含有設定的關鍵字的報文。針對關鍵字過濾是應用層過濾機制，對系統(tǒng)性能有一定影響。針對HTTP協(xié)議內(nèi)容訪問的網(wǎng)站關鍵字段，包含暴力、淫穢、違法等類型。可添加內(nèi)容庫實現(xiàn)。檢測操作1?參考配置操作

步驟登陸防火墻web配置頁面，在“應用控制”一一“內(nèi)容過濾”,步驟根據(jù)需求選擇關鍵字、URL主機名、文件名等方式進行過濾。iH3C[ROOC]網(wǎng)ESiH3C[ROOC]網(wǎng)ES普理

-a用戶曾耀

衛(wèi)防大tfl?回加哎憶-TSrUfi；■-Sti-KSfi-H^PN |5曲詫 左理容IJRLM jEMg Ad嘟□工4宇BBT2?補充操作說明基線符合1.判定條件性判定依基線符合1.判定條件性判定依檢查防火墻“應用控制”配置;2.檢測操作登陸防火墻web登陸防火墻web頁面配置，在“應用控制”“內(nèi)容過濾”-“統(tǒng)計信息”中查看過濾功能實施效果。備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求備注此項。安全策略配置要求3.3.1訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項項目名稱安全基線SBL-H3C-03-03-01

編號安全基線防火墻在配置訪問規(guī)則列表時，最后條必須是拒絕切流項說明量。檢測操作1?參考配置操作步驟#aclnumber3001rule0permitipdestination[ipaddress][mask]rule1denyip#2?補充操作說明無基線符合1.判定條件性判定依檢杳配置中的ACL設置據(jù)2.檢測操作<H3C>displayaclnumber3001備注3.3.2配置訪問規(guī)則應盡可能縮小范圍安全基線配置訪問規(guī)則應盡可能縮小范圍安全基線要求項項目名稱安全基線SBL-H3C-03-03-02編號

安全基線項說明在配置訪問規(guī)則時，源地址，目的地址，服務或端口的范圍必須以實際訪問需求為前提，盡可能的縮小范圍。禁止源到目的全部允許規(guī)則。禁止目的地址及服務全允許規(guī)則，禁止全服務訪問規(guī)則。檢測操作步驟1.參考配置操作登陸防火墻web配置頁面，在“防火墻”一一“安全策略”――“域間策略”中增加訪問規(guī)則，需要填寫的內(nèi)容是：源域、目的域、源IP地址、目的IP地址、服務(訪問的協(xié)議和端口)、過濾動作(permitordeny)、時間段。2?補充操作說明基線符合性判定依據(jù)判定條件檢杳防火墻“域間策略”配置，域間策略詳細到協(xié)議、端口、具體的IP地址；檢測操作無；備注3?3?3VPN用戶按照訪問權限進行分組*安全基線編號安全基線編號SBL-H3C-03-03-03安全基線VPN用戶按照訪問權限進行分組安全基線要求項項目名稱

安全基線項說明對于VPN用戶，必須按照其訪問權限不同而進行分組，并在訪問控制規(guī)則中對該組的訪問權限進行嚴格限制。檢測操作步驟1.參考配置操作#local-user[vpnuser]passwordcipher[password]service-typepppauthorization-attributelevel[0-3]定條件檢杳配置中用戶設置：2.檢測操作使用displaylocal-user檢杳備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。3?3?4配置NAT地址轉換*安全基線項目名稱配置NAT地址轉換安全基線要求項安全基線編號SBL-H3C-03-03-04安全基線項說明配置NAT地址轉換，對互聯(lián)網(wǎng)隱藏內(nèi)網(wǎng)主機的實際地址。檢測操作步驟1.參考配置操作#

aclnumber3001#interfaceGigabitEthernetO/Oportlink-moderoutenatoutbound3001#2?補充操作說明基線符合1.判定條件性判定依酉P置屮有nat或者static的內(nèi)容據(jù)2.檢測操作<H3C>displaynat備注根據(jù)應用場景的不冋，如部署場景需開啟此功能，則強制要求此項。3?3?5隱藏防火墻字符管理界面的bannner信息安全基線隱臧防火墻字付官理界面的bannner信息女全基線要求項項目名稱安全基線SBL-H3C-03-03-05編號安全基線隱臧防火墻字付官理界面的bannner信息。項說明檢測操作1?參考配置操作

步驟[H3C]undocopyright-infoenable2?補充操作說明基線符合1.判定條件性判定依登陸設備后，字符管理頁面消失；據(jù)2.檢測操作telnet登陸到設備，字符管理頁面消失；備注3.3.6避免從內(nèi)網(wǎng)主機直接訪問外網(wǎng)的規(guī)則*安全基線避免從內(nèi)網(wǎng)主機直接訪問外網(wǎng)的規(guī)則安全基線要求項項目名稱安全基線SBL-H3C-03-03-06編號安全基線應用代理服務器，將從內(nèi)網(wǎng)到外網(wǎng)的訪問流量通過代理服務項說明器。防火墻只開啟代理服務器到外部網(wǎng)絡的訪問規(guī)則，避免在防火墻上配置從內(nèi)網(wǎng)的主機直接到外網(wǎng)的訪問規(guī)則。檢測操作1?參考配置操作步驟2?補充操作說明基線符合1.判定條件性判定依檢杳防火墻“域間策略”配置了針對代理服務器到外網(wǎng)的訪據(jù)問規(guī)則；2.檢測操作

備注根據(jù)應用場景的不冋，如部署場景需開啟此功能，則強制要求此項。3.3.7關閉非必要服務安全基線關閉非必要服務安全基線要求項安全基線關閉非必要服務安全基線要求項項目名稱安全基線SBL-H3C-03-03-07安全基線SBL-H3C-03-03-07編號安全基線防火墻設備必須關閉非必要服務。安全基線防火墻設備必須關閉非必要服務。項說明檢測操作1.參考配置操作步驟登陸防火墻檢測操作1.參考配置操作步驟登陸防火墻web配置頁面，在“設備管理”“服務管理”中關閉非必要的服務，比如http、telnet、ftp等。H3C[Roat]一總詢寵配直商#H3C[Roat]一總詢寵配直商#id段備音總uBtSKBWftrrnl迂口書觀去全底-ffiHUH型再升覆liShSre-ulFWiirH夙尖擊民|帝13爲可樂1里SBSVSrelnHHS-SSI-S4F3/3=TF博聘□fiffiSFTF.載毎卜HTTPff尋□jldhttf*;;FHTTP3.FS□EffiHHFSJB*if書：BmaiMJ確8=湘叭旳gdmCH=S0r1er.O?j=h3c.,D^?FTFje*□EffiFTPJB#2?補充操作說明基線符合1.基線符合1.判定條件性判定依檢查配置中是否關閉對應服務2.檢測操作備注性判定依檢查配置中是否關閉對應服務2.檢測操作備注攻擊防護配置要求3.4.1拒絕常見漏洞所對應端口或者服務的訪問安全基線項目名稱拒絕常見漏洞所對應端口或者服務的訪問安全基線要求項安全基線編號SBL-H3C-03-04-01安全基線項說明配置訪問控制規(guī)則，拒絕對防火墻保護的系統(tǒng)中常見漏洞所對應端口或者服務的訪問。檢測操作步驟1.參考配置操作#aclnumber3001rule0 deny tcp destination-port eq 135rule1 deny tcp destination-port eq 136rule2 deny tcp destination-port eq 138rule3 deny tcp destination-port eq 4444rule4 deny tcp destination-port eq 389rule5 deny tcp destination-port eq 445

rule6denytcpdestination-porteq4899rule7’deny-tcp(destination-port(eq(6588rule8ideny-tcp(destination-port(eq1978rule9ideny-tcp(destination-port(eqJ593rule10denytcpdestination-porteq3389rule11denytcpdestination-porteq137rule12denytcpdestination-porteqtalkrule13denytcpdestination-porteq139rule14denytcpdestination-porteq2745rule15denytcpdestination-porteq1080rule16denytcpdestination-porteq6129rule17denytcpdestination-porteq3127rule18denytcpdestination-porteq3128rule19denytcpdestination-porteq5800rule20denytcpdestination-porteq6667rule21denytcpdestination-porteq1025rule22denytcpdestination-porteq5554rule23denytcpdestination-porteq1068rule24denytcpdestination-porteq9995rule25denytcpdestination-porteq539rule26denyudpdestination-porteq539rule27denyudpdestination-porteq1434

rule28denyudpdestination-porteq593rule29permitip#2?補充操作說明應根據(jù)實際情況調(diào)整?；€符合1.判定條件性判定依檢杳配置文件據(jù)2.檢測操作使用命令displayaclnumber3001備注3.4.2防火墻各邏輯接口配置開啟防源地址欺騙功能安全基線防火墻各邏輯接口配置開啟防源地址欺騙功能安全基線要求項目名稱項安全基線SBL-H3C-03-04-02編號安全基線對于防火墻各邏輯接口配置開啟防源地址欺騙功能。項說明檢測操作1?參考配置操作步驟登陸防火墻web配置頁面，在“攻擊防范”——“URPF檢杳”中使能防源地址欺騙功能。2?補充操作說明

基線符合1.判定條件性判定依檢杳配置中是否有URPF功能；據(jù)2.檢測操作備注第