安氏防火墻安全配置基線

1、安氏防火墻平安配置基線中國移動通信管理信息系統(tǒng)部2012年04月版本版本控制信息|更新日期更新人審批人V2.0創(chuàng)立2012年4月備注：.假設(shè)此文檔需要日后更新，請創(chuàng)立人填寫版本控制表格，否那么刪除版本控制表格。目錄第1章概述1目的1適用圍1適用版本1實施1例外條款1第2章賬號管理、認(rèn)證授權(quán)平安要求2賬號管理2用戶賬號分配*2刪除無關(guān)的賬號*2登錄超時*3密碼錯誤自動鎖定*4口令 4口令復(fù)雜度要求4授權(quán)5遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議5第3章日志及配置平安要求6日志平安6對用戶登錄進(jìn)展記錄6記錄與設(shè)備相關(guān)的平安事件7配置設(shè)備遠(yuǎn)程日志功能8告警配置要求9 TOC o 1-5 h z HYPERLINK

2、 l bookmark46 o Current Document 配置對防火墻本身的攻擊或部錯誤告警9配置DO麗DDOSC擊告警10配置掃描攻擊檢測告警*11平安策略配置要求11 HYPERLINK l bookmark53 o Current Document 訪問規(guī)那么列表最后一條必須是拒絕一切流量11配置訪問規(guī)那么應(yīng)盡可能縮小圍12VPN用戶按照訪問權(quán)限進(jìn)展分組*13配置NATM址轉(zhuǎn)換*13關(guān)閉僅開啟必要效勞14制止使用any to anyall 允許規(guī)那么15攻擊防護(hù)配置要求15配置應(yīng)用層攻擊防護(hù)*15配置網(wǎng)絡(luò)掃描攻擊防護(hù)*16限制ping包大小*17啟用對帶選項的IP包及他形IP包的

3、4測18防火墻各邏輯接口配置開啟防源地址欺騙功能18第4章IP協(xié)議平安要求194.1IP 協(xié)議 19194.1.1使用SNMP V減者V3以上的版本對防火墻遠(yuǎn)程管理第5章其他平安要求 20其他平安配置20配置定時賬戶自動登出20配置consol 口密碼保護(hù)功能21第6章評審與修訂21第1章概述目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護(hù)管理的安氏防火墻應(yīng)當(dāng)遵循的設(shè)備平安 性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)展安氏防火墻的平安配置。適用圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)平安管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的圍包括：中國移動總部和各省公司信息化部門維護(hù)管理的安氏防火墻。適用版本安氏

4、防火墻。實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中假設(shè)有任何疑問或建議，應(yīng)及時反應(yīng)。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因， 送交中國移動通信管理信息系統(tǒng)部進(jìn)展審批備案。第2章賬號管理、認(rèn)證授權(quán)平安要求2.1賬號管理用戶賬號分配*平安基線工 程名稱用戶賬號分配平安基線要求項平安基線編 號SBL-LinkTrustFW-02-01-01平安基線項 說明不同等級管理員分配不同賬號，防止賬號混用。檢測操作步 驟.參考配置操作usrobj passwdp admin NNtEDJuo3qa28usrobj

5、 passwdp guest fyRW3nLH7ywPlusrobj addadminp passwdpassword.補(bǔ)充操作說明前兩個用戶為系統(tǒng)默認(rèn)建立的。基線符合性 判定依據(jù). 判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄。.檢測操作在圖形界面登陸.補(bǔ)充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不向權(quán)限的賬號，需要手工檢查。刪除無關(guān)的賬號*平安基線工 程名稱無關(guān)的賬號平安基線要求項平安基線編 號SBL- LinkTrustFW-02-01-02平安基線項 說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。檢測操作步 驟.參考配置操作usrobj del .補(bǔ)充操作說明使用 usrob

6、j list admin顯示信息?；€符合性 判定依據(jù). 判定條件配置中用戶信息被刪除。.檢測操作查看配置。.補(bǔ)充說明無。備注建議手工抽查系統(tǒng)，無關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。登錄超時*平安基線工 程名稱登錄超時平安基線要求項平安基線編 號SBL- LinkTrustFW -02-01-03平安基線項 說明配置定時自動登出，空閑 5分鐘自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步 驟1、參考配置操作設(shè)置超時時間為5分鐘2、補(bǔ)充說明無?；€符合性 判定依據(jù). 判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備。.參考檢測操作.補(bǔ)充說明無。備注需要手工檢查。密碼錯誤自動鎖定*平安基線工

7、程名稱密碼錯誤自動鎖定平安基線要求項平安基線編 號SBL- LinkTrustFW -02-01-04平安基線項 說明在10次嘗試登錄失敗后鎖定，不允許登錄。解鎖時間設(shè)置為300秒檢測操作步 驟1、參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為 10次2、補(bǔ)充說明無?；€符合性 判定依據(jù). 判定條件超出重試次數(shù)后鎖定，不允許登錄，解鎖時間到達(dá)后可以登錄。.參考檢測操作.補(bǔ)充說明無。備注注意！此項設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查。2.2 口令2.2.1 口令復(fù)雜度要求平安基線工 程名稱口令復(fù)雜度要求平安:基線要求項平安基線編 號SBL- LinkTrustFW -02-02

8、-01平安基線項 說明防火墻管理員賬號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以不得設(shè)置一樣的口令。密碼應(yīng)至少每90天進(jìn)展更換。檢測操作步 驟.參考配置操作usrobj addadminp 回車，輸入密碼。.補(bǔ)充操作說明口令字符不完全符合要求?；€符合性 判定依據(jù). 判定條件該級別的密碼設(shè)置由管理員進(jìn)展密碼的生成，設(shè)備本身無此強(qiáng)制功能。.檢測操作實驗性建立信息。.補(bǔ)充說明無。備注2.3授權(quán)2.3.1遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議平安基線工 程名稱遠(yuǎn)程維護(hù)使用加密協(xié)議平安基線要求項平安基線編 號SBL-LinkTrustFW-02-03-01平安基線項 說明對

9、于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。 如SSH者 WEB SSL,如果只允許從防火墻部進(jìn)展管理，應(yīng)該限定管理IP。檢測操作步 驟1.參考配置操作系統(tǒng)默認(rèn)支持ssh及WEBSSL兩種加密管理方式， 查看及增加管理IP操作如下：查看管理IPadminhost list增加管理IPadminhost add 2.補(bǔ)充操作說明基線符合性 判定依據(jù). 判定條件只支持ssh及Web SSL管理，對于非允許的.檢測操作使用非允許的ip地址登陸。.補(bǔ)充說明無。ip地址不能登陸。備注第3章日志及配置平安要求3.1日志平安對用戶登錄進(jìn)展記錄平安基線工 程名稱用戶登錄進(jìn)展記錄平安基線要求項平安基線編 號S

10、BL-LinkTrustFW-03-01-01平安基線項 說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)展記錄，記錄容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步 驟.參考配置操作log policy add .補(bǔ)充操作說明系統(tǒng)以字母a表示NAT以字母n表示包過濾以字母f表示連接狀態(tài)以字母c表示HTTP代理以字母H表示TELNET代理以字母T表示SMTP代理以字母 S表示POP3代理以字母 O表示事前認(rèn)證以字母 R表示雙機(jī)熱備以字母 h表示VPN PPP協(xié)議以字母 P近VPN IPSec協(xié)議以字母I表示流探測以字母i表示 :指日志處理方式，mbyse分別

11、指發(fā)送本地一、發(fā)送本地一日志、外發(fā)syslog 主機(jī)、外發(fā)snmp trap主機(jī)、email告警等,用戶可根據(jù) 需要選擇?；€符合性 判定依據(jù)設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)展記錄，記錄容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。備注記錄與設(shè)備相關(guān)的平安事件平安基線工 程名稱記錄與設(shè)備相關(guān)平安事件平安基線要求項平安基線編 號SBL-LinkTrustFW-03-01-02平安基線項 說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)展記錄，記錄容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步 驟.參考配置操作log p

12、olicy add .補(bǔ)充操作說明系統(tǒng)以字母a表示NAT以字母n表示包過濾以字母f表示連接狀態(tài)以字母c表示HTTP代理以字母H表示TELNET代理以字母T表示SMTP代理以字母 S表示POP3代理以字母 O表示事前認(rèn)證以字母 R表示雙機(jī)熱備以字母 h表示VPN PPP協(xié)議以字母 P近VPN IPSec協(xié)議以字母I表示流探測以字母i表示 :指日志處理方式，mbyse分別指發(fā)送本地一、發(fā)送本地一日志、外發(fā)syslog 主機(jī)、外發(fā)snmp trap主機(jī)、email告警等,用戶可根據(jù) 需要選擇。基線符合性 判定依據(jù)1. 判定條件在設(shè)備上正確紀(jì)錄了日志信息。.檢測操作查看日志模塊。.補(bǔ)充說明無。備注配置

13、設(shè)備遠(yuǎn)程日志功能平安基線工 程名稱配置設(shè)備遠(yuǎn)程日志功能平安基線要求項平安基線編 號SBL-LinkTrustFW-03-01-03平安基線項 說明設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志容傳輸?shù)饺罩拘谄?。建議 將Warning級別4級以上日志傳送到志效勞器和統(tǒng)一的平安管理平臺處 理。檢測操作步 驟.參考配置操作loghost add 設(shè)備log policy add 其中 0:EMERGENCY1:ALERT2:CRITICAL3:ERROR4:WARNING5:NOTICE6:INFO7:DEBUG.補(bǔ)充操作說明可以設(shè)置發(fā)送的日志效勞器IP地址?；€符合性 判定依據(jù). 判定條件日志效勞器

14、上是否接收到了正確的日志信息。.檢測操作在日志效勞器上查看信息。.補(bǔ)充說明無。備注3.2告警配置要求配置對防火墻本身的攻擊或部錯誤告警平安基線工 程名稱配置對防火墻本身的攻擊或部錯誤告警平安基線要求項平安基線編 號SBL-LinkTrustFW-03-02-01平安基線項 說明設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，報告對防火墻本身的攻擊 或者防火墻的系統(tǒng)嚴(yán)重錯誤。檢測操作步 驟.參考配置操作參考日志配置模塊，如下：log policy add .補(bǔ)充操作說明設(shè)備只支持紀(jì)錄局部關(guān)鍵操作。系統(tǒng)以字母a表示NAT以字母n表示包過濾以字母f表示連接狀態(tài)以字母c表示HTTP代理以字母H表示TELN

15、ET代理以字母T表示SMTP代理以字母 S表示POP3代理以字母 O表示事前認(rèn)證以字母 R表示雙機(jī)熱備以字母 h表示VPN PPP協(xié)議以字母 P近VPN IPSec協(xié)議以字母I表示流探測以字母i表示 :指日志處理方式， mbyse分別指發(fā)送本地一、發(fā)送本地一日志、外發(fā)syslog 主機(jī)、外發(fā)snmp trap主機(jī)、email告警等,用戶可根據(jù) 需要選擇。基線符合性 判定依據(jù). 判定條件查看防火墻是否生成相應(yīng)告警.檢測操作查看防火墻是否生成相應(yīng)告警.補(bǔ)充說明無。備注配置DO的DDO敢擊告警平安基線工 程名稱配置DO序口 DDO敢擊防護(hù)功能平安基線要求項平安基線編 號SBL-LinkTrustFW

16、-03-02-02平安基線項 說明可翻開DOS和DDOSC擊防護(hù)功能。又攻擊告警。DDOS勺攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)展調(diào)整。維護(hù)人員可通過設(shè)置白方式屏蔽局部告 警。檢測操作步 驟.參考配置操作antidos set synfloodantidos set land onantidos set smurf onanti set frag onantidos set icmpmax antidos set udpmax blockshortip onblockipoptions on.補(bǔ)充操作說明無?；€符合性 判定依據(jù). 判定條件查看是否已經(jīng)將此功能翻開。.檢測操作查看配置。5.

17、補(bǔ)充說明無。備注配置掃描攻擊檢測告警*平安基線工 程名稱配置掃描攻擊檢測告警平安基線要求項平安基線編 號SBL-LinkTrustFW-03-02-03平安基線項 說明可翻開掃描攻擊檢測功能。對掃描探測告警。掃描攻擊告警的參數(shù)可由維護(hù) 人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)展調(diào)整。維護(hù)人員可通過設(shè)置白方式屏蔽局部網(wǎng)絡(luò)掃描 a曜口 。檢測操作步 驟.參考配置操作可參考“平安要求-設(shè)備-防火墻-配置-43 .補(bǔ)充操作說明無基線符合性 判定依據(jù). 判定條件 無.檢測操作 無.補(bǔ)充說明 無。備注根據(jù)應(yīng)用場景的不向，如部署場景需開啟此功能，那么強(qiáng)制要求此項。平安策略配置要求訪問規(guī)那么列表最后一條必須是拒絕一切流量平安基線工

18、 程名稱訪問規(guī)那么列表最舟-條必須是拒切流量平安基線要求項平安基線編 號SBL-LinkTrustFW-03-03-01平安基線項 說明所有防火墻在配置訪問規(guī)那么時，最舟-條必須是拒切流量。檢測操作步 驟.參考配置操作設(shè)備默認(rèn)最舟-條為拒絕所有其他。.補(bǔ)充操作說明設(shè)備也支持主動建立制止一切的策略?；€符合性 判定依據(jù). 判定條件無。.檢測操作查看策略配置及測試訪問。.補(bǔ)充說明無。備注配置訪問規(guī)那么應(yīng)盡可能縮小圍平安基線工 程名稱配置訪問規(guī)那么應(yīng)盡可能縮小圍平安基線要求項平安基線編 號SBL-LinkTrustFW-03-03-02平安基線項 說明在配置訪問規(guī)那么時，源地址和目的地址的圍必須以實

19、際訪問需求為前提， 盡可能的縮小圍。檢測操作步 驟.參考配置操作根據(jù)實際訪問需求，縮小地址圍。需要制止any to any all和any all和效勞為all的規(guī)那么。.補(bǔ)充操作說明我們在防火墻上可以定義/、同圍的地址對象，在策略中進(jìn)展引用即可。如下命令用來建立不同圍的地址對象，供策略引用。netobj hostadd interface netobj add interface netobj addstd interface netobj addipr interface netobj addifr interfacenetobj addznr 基線符合性1. 判定條件判定依據(jù)無。2.檢測

20、操作根據(jù)實際訪問需求，測試是否到達(dá)要求；查看配置。3.補(bǔ)充說明無。備注VPN用戶按照訪問權(quán)限進(jìn)展分組*平安基線工 程名稱VPN用戶按照訪問權(quán)限進(jìn)展分組平安基線要求項平安基線編 號SBL-LinkTrustFW-03-03-03平安基線項 說明對于VPN用戶，必須按照其訪問權(quán)限/、同而進(jìn)展分組，并在訪問控制規(guī)那么 中對該組的訪問權(quán)限進(jìn)展嚴(yán)格限制。檢測操作步 驟.參考配置操作vpn dialupuser add ip/maskpolicy add options toname.補(bǔ)充操作說明設(shè)備局部支持此項功能?；€符合性 判定依據(jù). 判定條件無。.檢測操作按照需求訪問進(jìn)展檢測。.補(bǔ)充說明無。備注根

21、據(jù)應(yīng)用場景的不向，如部署場景需開啟此功能，那么強(qiáng)制要求此項。配置NAT地址車換*平安基線工 程名稱配置NAT地址轉(zhuǎn)換平安基線要求項平安基線編 號SBL-LinkTrustFW-03-03-04平安基線項 說明配置NAT對公網(wǎng)隱藏局域網(wǎng)主機(jī)的實際地址。檢測操作步 驟.參考配置操作natll add interface.補(bǔ)充操作說明無基線符合性 判定依據(jù). 判定條件無。.檢測操作從外網(wǎng)用NAT地址訪問網(wǎng)的IP.補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不向，如部署場景需開啟此功能，那么強(qiáng)制要求此項。關(guān)閉僅開啟必要效勞平安基線工 程名稱僅開啟必要效勞平安基線要求項平安基線編 號SBL- LinkTrustFW

22、-03-03-05平安基線項 說明防火墻設(shè)備必須僅開啟必要效勞。與生產(chǎn)無關(guān)的效勞端口不能開放規(guī)那么。檢測操作步 驟.參考配置操作policy add options toname.補(bǔ)充操作說明無基線符合性 判定依據(jù). 判定條件無。.檢測操作查看策略，檢查是否有不必要的效勞Policy list3.補(bǔ)充說明無。備注制止使用any to anyall允許規(guī)那么平安基線工 程名稱盡重不允許使用 any to any平安基線要求項平安基線編 號SBL- LinkTrustFW -03-03-06平安基線項 說明防火墻策略配置時不允許使用any to any all 允許規(guī)那么，對于從防火墻部到外部的訪

23、問也應(yīng)指定策略；應(yīng)定期的對防火墻策略進(jìn)展檢查和梳理檢測操作步 驟.參考配置操作查有訪問控制策略policy list配置防火墻策略policy add options toname.補(bǔ)充操作說明無基線符合性 判定依據(jù).判定條件無.檢測操作 policy list.補(bǔ)充說明 無。備注攻擊防護(hù)配置要求配置應(yīng)用層攻擊防護(hù)*平安基線工 程名稱配置應(yīng)用層攻擊防護(hù)平安基線要求項平安基線編 號SBL-LinkTrustFW-03-04-01平安基線項 說明建議采用安氏防火墻自帶的smartpro入侵檢測模塊對應(yīng)用層攻擊進(jìn)展防護(hù)檢測操作步 驟.參考配置操作smartproenable level其中級別如下，

24、建議采用默認(rèn)級別10 - disable- duplicate pass-policy matched packets,- duplicate more pass-policy matched packets- duplicate all packets2.補(bǔ)充操作說明無?；€符合性 判定依據(jù). 判定條件查看是否已經(jīng)將此功能翻開。.檢測操作查看配置。.補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不向，如部署場景需開啟此功能，那么強(qiáng)制要求此項。配置網(wǎng)絡(luò)掃描攻擊防護(hù)*平安基線工 程名稱配置網(wǎng)絡(luò)掃描攻擊防護(hù)平安基線要求項平安基線編 號SBL-LinkTrustFW-03-04-02平安基線項 說明建議采用安氏防火

25、墻自帶的smartpro入侵檢測模塊對網(wǎng)絡(luò)掃描攻擊行為進(jìn)展檢測檢測操作步 驟1.參考配置操作啟用流探測功能模塊：smartproenable level其中級別如下，建議采用默認(rèn)級別10 - disable1 - duplicate pass-policy matched packets,2 - duplicate more pass-policy matched packets3 - duplicate all packets通過WE塔理界面選擇需要檢測白掃描攻擊行為的list ,如下列圖:.上陽陸依廿MUMHitt1di唧.，3rrfl,t匕CM 立M.出 w，fi腳9J s5U CslM

26、rdifl 話口 UfiUDVVt -rn都.*川. 小FfjFUp.q*京丁IQQil 用黨H hKeii M工.睛，居制FflMY Cfllt武威皿叫注ftp,MBq7fiortSCJfJ F3MtqpqBan月U 一歸弓州MaitriiqgJL至 5MU舊Ke .，B5IDkj-i 5m FJHgzJifnrkuLOIJ地se3T !i3U XMASz0rHiq12%5=rYMmapXH 任ttp匕qMUMihSi曰i曜唄E邛IJ14Jt C2 ?j ,-一 n 1 忙:Q=1ilA網(wǎng)4.i . fi.115.，.353U 0A 心一打口 M皿dluIV*帚 aru ds：睢圖 x. i

27、osjmk.禽.qUAqqIBrj-jSCJSfJ ls ijr . . p ip tur4j心卜小嗎?選擇啟用即可2.補(bǔ)充操作說明無?；€符合性 判定依據(jù). 判定條件查看是否已經(jīng)將此功能翻開。.檢測操作查看配置。.補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不向，如部署場景需開啟此功能，那么強(qiáng)制要求此項。限制ping包大小*平安基線工 程名稱限制ping包大小平安基線要求項平安基線編 號SBL-LinkTrustFW-03-04-03平安基線項 說明限制ping包的大小，以及一段時間同一主機(jī)發(fā)送的次數(shù)。檢測操作步 驟1.參考配置操作antidos set icmpmax 2.補(bǔ)充操作說明局部功能實現(xiàn)?；€

28、符合性 判定依據(jù). 判定條件無。.檢測操作查看配置；需求測試。.補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不向，如部署場景需開啟此功能，那么強(qiáng)制要求此項。啟用對帶選項的IP包及畸形IP包的檢測平安基線工 程名稱啟用對帶選項的IP包及他形IP包的檢測平安基線要求項平安基線編 號SBL-LinkTrustFW-03-04-04平安基線項 說明啟用對帶選項的IP包及他形IP包的檢測檢測操作步 驟1.參考配置操作anti set frag on2.補(bǔ)充操作說明 無?；€符合性 判定依據(jù). 判定條件查看是否已經(jīng)將此功能翻開。.檢測操作查看配置。.補(bǔ)充說明無。備注防火墻各邏輯接口配置開啟防源地址欺騙功能平安基線工 程名稱防火墻各邏輯接口配置開啟防源地址欺騙功能平安基線要求項平安基線編 號SBL-LinkTrustFW-03-04-05平安基線項 說明防火墻須支持透明模式及路由模式配置