H3C防火墻安全配置基線

H3C防火墻安全配置基線13]版本版本控制信息更新日期更新人審批人V2。0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格第1章概述01.1目的01。2適用范圍01。3適用版本01.4實(shí)施01。 5例外條款0第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求02。 1帳號(hào)管理02。1。1用戶帳號(hào)分配知2.1.2刪除無(wú)關(guān)的帳號(hào)沏2。1。3帳戶登錄超時(shí)大22。1。4帳戶密碼錯(cuò)誤自動(dòng)鎖定32.2口令322.1口令復(fù)雜度要求32。3授權(quán)42。 3。1遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)街第3章日志及配置安全要求53.1日志安全53.1.1記錄用戶對(duì)設(shè)備的操作53。 1。2開(kāi)啟記錄NAT日志*63。1.3開(kāi)啟記錄VPN日志*63.1.4配置記錄拒絕和丟棄報(bào)文規(guī)則的日73.2告警配置要求73。2。1配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告73.2.2配置TCP//P協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告孳83。2.3配置QOS和DDOS攻擊告警83。2.4配置關(guān)鍵字內(nèi)容過(guò)濾功能告警93.3安全策略配置要求93.3.1訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流93.3.2配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范目103。3。3VPN用戶按照訪問(wèn)權(quán)限進(jìn)彳亍分組103.3.4配置NAT地址轉(zhuǎn)換*113.3。 5隱藏防火墻字符管理界面界annner信息123.3.5避免從內(nèi)網(wǎng)主機(jī)直接訪問(wèn)外網(wǎng)的規(guī)*123.3。 7關(guān)閉非必要服務(wù)133.4攻擊防護(hù)配置要求133.4。 1拒絕常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪133.4.2防火墻各邏輯接口配置開(kāi)啟防源地址欺騙功15第4章IP協(xié)議安全要求154。 1功能配置154.1。1使用SNMPV2c或者V3以上的版本對(duì)防火墻遠(yuǎn)程管圭15第5章其他安全要求165。 1其佃安全配置165。1。1外網(wǎng)口地址關(guān)閉對(duì)H'ng包的回應(yīng)大165.1.2對(duì)防火墻的管理地址做源地址限17第6章評(píng)審與修訂17第1章概述1.1目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行H3C防火墻的安全配置.本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員.1.3適用版本H3C防火墻。1.4實(shí)施1.5例外條款第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求2.1帳號(hào)管理2.1.1用戶帳號(hào)分配*安全基線項(xiàng)目名稱用戶帳號(hào)分配安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C-02-01-01安全基線項(xiàng)說(shuō)明不同等級(jí)管理員分配不同帳號(hào)，避免帳號(hào)混用.檢測(cè)操作步驟1.參考配置操作#local—useruserl

passwordcipherW@FSOR(5:L'LK8RI6$H@XA!!authorization-attributelevel3service-typetelnet#local-useruser2passwordcipherW@FSOR(5：L,LK8RI6$H@XA!!authorization-attributelevel2service—typetelnet#2.補(bǔ)充操作說(shuō)明無(wú).基線符合性判定依據(jù)判定條件用配置中沒(méi)有的用戶名去登錄，結(jié)果是不能登錄.檢測(cè)操作<H3C>displaycurrent—configuration#local-useruserlpasswordcipherW@FSOR(5:L’LK8RI6$H@XA!!authorization—attributelevel3service—typetelnet#local-useruser2passwordcipherW@FSOR(5:L,LK8RI6$H@XA!!authorization—attributelevel2service—typetelnet#補(bǔ)充說(shuō)明無(wú)。備注有些防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的帳號(hào)，需要手工檢查。2.1.2刪除無(wú)關(guān)的帳號(hào)大安全基線項(xiàng)目名稱無(wú)關(guān)的帳號(hào)安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C-02-01-02

安全基線項(xiàng)說(shuō)明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的帳號(hào)。檢測(cè)操作步驟參考配置操作[H3C]undolocal-useruserl補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)判定條件配置中用戶信息被刪除.檢測(cè)操作〈H3C〉displaycurrent-configuration補(bǔ)充說(shuō)明無(wú).備注建議手工抽查系統(tǒng),無(wú)關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。2.1.3帳戶登錄超時(shí)*安全基線項(xiàng)目名稱帳戶登錄超時(shí)安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C-02—01-03安全基線項(xiàng)說(shuō)明配置定時(shí)帳戶自動(dòng)登出，空閑5分鐘自動(dòng)登出.登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測(cè)操作步驟1、 參考配置操作設(shè)置超時(shí)時(shí)間為5分鐘2、 補(bǔ)充說(shuō)明無(wú)。基線符合性判定依據(jù)判定條件在超出設(shè)定時(shí)間后，用戶自動(dòng)登出設(shè)備.參考檢測(cè)操作補(bǔ)充說(shuō)明無(wú)。備注需要手工檢查。

2.1.4帳戶密碼錯(cuò)誤自動(dòng)鎖定*安全基線項(xiàng)目名稱帳戶密碼錯(cuò)誤自動(dòng)鎖定安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C—02-01-04安全基線項(xiàng)說(shuō)明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時(shí)間設(shè)置為300秒檢測(cè)操作步驟1、 參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、 補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件超出重試次數(shù)后帳號(hào)鎖定，不允許登錄，解鎖時(shí)間到達(dá)后可以登錄。參考檢測(cè)操作補(bǔ)充說(shuō)明無(wú)。備注注意！此項(xiàng)設(shè)置會(huì)影響性能，建議設(shè)置后對(duì)訪問(wèn)此設(shè)備做源地址做限制。需要手工檢查。2.2口令2.2.1口令復(fù)雜度要求安全基線項(xiàng)目名稱口令復(fù)雜度要求安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C-02-02—01安全基線項(xiàng)說(shuō)明防火墻管理員帳號(hào)口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令.密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟1.參考配置操作[H3C]local—useradmin

[H3C—luser-huawei]service—typetelnetlevel3[H3C—luser-huawei]passwordcipherAq1!Sw2@2.補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)判定條件該級(jí)別的密碼設(shè)置由管理員進(jìn)行密碼的生成，設(shè)備本身無(wú)此強(qiáng)制功能。檢測(cè)操作此項(xiàng)無(wú)法通過(guò)配置實(shí)現(xiàn)，建議通過(guò)管理實(shí)現(xiàn)。補(bǔ)充說(shuō)明無(wú)。備注2.3授權(quán)2.3.1遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議安全基線項(xiàng)目名稱遠(yuǎn)程維護(hù)使用加密協(xié)議安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C—02—03-01安全基線項(xiàng)說(shuō)明對(duì)于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。如 SSH或者WEBSSL,如果只允許從防火墻內(nèi)部進(jìn)行管理，應(yīng)該限定管理IP。檢測(cè)操作步驟1.參考配置操作登陸設(shè)備web配置頁(yè)面，在“設(shè)備管理"-——-“服務(wù)管理”下選擇ssh、https方式登陸設(shè)備。配置針對(duì)SSH登陸用戶IP地址的限定：#aclnumber3000rule0permitipsource[ipaddress][wildcard]#user-interfacevty04acl3000inboundprotocolinboundssh#

2.補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)判定條件查看防火墻是否啟用了ssh、https服務(wù);針對(duì)SSH登陸用戶進(jìn)行IP地址限定.檢測(cè)操作通過(guò)ssh、https方式登陸設(shè)備進(jìn)行檢測(cè)。補(bǔ)充說(shuō)明無(wú)。備注第3章日志及配置安全要求3.1日志安全3.1.1記錄用戶對(duì)設(shè)備的操作安全基線項(xiàng)目名稱用戶對(duì)設(shè)備記錄安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C—03—01-01安全基線項(xiàng)說(shuō)明配置記錄防火墻管理員操作日志，如管理員登錄修改管理員組操作，帳號(hào)解鎖等信息。配置防火墻將相關(guān)的操作日志送往操作日志審計(jì)系統(tǒng)或者其他相關(guān)的安全管控系統(tǒng)。檢測(cè)操作步驟參考配置操作[H3C]info-centerenable補(bǔ)充操作說(shuō)明設(shè)備默認(rèn)開(kāi)啟日志功能，記錄在設(shè)備的logbuffer中.基線符合性判定依據(jù)判定條件檢查配置中的logbuffer相關(guān)配置。檢測(cè)操作<H3C>displaylogbuffer備注

3.1.2開(kāi)啟記錄NAT日志*安全基線項(xiàng)目名稱開(kāi)啟記錄NAT日志安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C-03-01—02安全基線項(xiàng)說(shuō)明開(kāi)啟記錄NAT日志,記錄轉(zhuǎn)換前后IP地址的對(duì)應(yīng)關(guān)系。檢測(cè)操作步驟參考配置操作[H3C]userlogflowexportversion3[H3C]userlogflowexporthostLlogserveripaddress][logserverport}補(bǔ)充操作說(shuō)明防火墻自身不記錄NAT日志信息，需要配置專門(mén)的日志服務(wù)器，防火墻將NAT日志信息發(fā)送到專門(mén)的日志服務(wù)器.基線符合性判定依據(jù)1。 判定條件檢查配置中的NAT日志相關(guān)配置；2。 檢測(cè)操作〈H3C>displayuserlogexport備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng).3.1.3開(kāi)啟記錄VPN日志*安全基線項(xiàng)目名稱開(kāi)啟記錄VPN日志安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C—03—01—03安全基線項(xiàng)說(shuō)明開(kāi)啟記錄VPN日志，記錄VPN訪問(wèn)登陸、退出等信息.檢測(cè)操作步驟參考配置操作[H3C]info—centerenable補(bǔ)充操作說(shuō)明設(shè)備默認(rèn)會(huì)記錄VPN日志，不需要額外配置?；€符合性判定依據(jù)判定條件檢查配置中的日志相關(guān)配置檢測(cè)操作〈H3C>displaylogbuffer<H3C〉displaytrapbuffer備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。

3.1.4配置記錄拒絕和丟棄報(bào)文規(guī)則的日志安全基線項(xiàng)目名稱配置記錄拒絕和丟棄報(bào)文規(guī)則的日志安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C-03-01—04安全基線項(xiàng)說(shuō)明配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報(bào)文的日志。檢測(cè)操作步驟參考配置操作設(shè)備默認(rèn)記錄，不需要額外配置；補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)使用displaytrapbuffer檢查備注3.2告警配置要求3.2.1配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警安全基線項(xiàng)目名稱配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C—03—02—01安全基線項(xiàng)說(shuō)明配置告警功能，報(bào)告對(duì)防火墻本身的攻擊或者防火墻的系統(tǒng)內(nèi)部錯(cuò)誤。檢測(cè)操作步驟參考配置操作無(wú)需配置，設(shè)備默認(rèn)開(kāi)啟；補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件通過(guò)查看設(shè)備的trapbuffer信息；檢測(cè)操作〈H3C〉displaytrapbuffer備注

3.2.2配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警安全基線項(xiàng)目名稱配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C—03—02—02安全基線項(xiàng)說(shuō)明配置告警功能，報(bào)告網(wǎng)絡(luò)流量中對(duì)TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊的相關(guān)告警。檢測(cè)操作步驟參考配置操作登陸防火墻web配置頁(yè)面，在“攻擊防范”---—“報(bào)文異常檢測(cè)，選擇所需的針對(duì)異常攻擊報(bào)文的檢測(cè)。補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)1。 判定條件檢查防火墻攻擊防范配置；檢測(cè)操作登陸防火墻web頁(yè)面，在“攻擊防范”一-一-“入侵檢測(cè)統(tǒng)計(jì)”中查看攻擊防范的效果；備注3.2.3配置DOS和DDOS攻擊告警安全基線項(xiàng)目名稱配置DOS和DDOS攻擊防護(hù)功能安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C-03—02—03安全基線項(xiàng)說(shuō)明配置DOS和DDOS攻擊防護(hù)功能。對(duì)DOS和DDOS攻擊告警。維護(hù)人員應(yīng)根據(jù)網(wǎng)絡(luò)環(huán)境調(diào)整DDOS的攻擊告警的參數(shù)。檢測(cè)操作步驟參考配置操作登陸防火墻web配置頁(yè)面，在“攻擊防范”--——“流量異常檢測(cè)”中,選擇需要防范的攻擊類型.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1。 判定條件檢查防火墻攻擊防范配置；檢測(cè)操作

登陸防火墻web頁(yè)面，在“攻擊防范”-—--“入侵檢測(cè)統(tǒng)計(jì)”中查看攻擊防范的效果；備注3.2.4配置關(guān)鍵字內(nèi)容過(guò)濾功能告警*安全基線項(xiàng)目名稱配置關(guān)鍵字內(nèi)容過(guò)濾功能告警安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C—03-02-04安全基線項(xiàng)說(shuō)明配置關(guān)鍵字內(nèi)容過(guò)濾功能，在HTTP，SMTP，POP3等應(yīng)用協(xié)議流量過(guò)濾包含有設(shè)定的關(guān)鍵字的報(bào)文。針對(duì)關(guān)鍵字過(guò)濾是應(yīng)用層過(guò)濾機(jī)制,對(duì)系統(tǒng)性能有一定影響。針對(duì)HTTP協(xié)議內(nèi)容訪問(wèn)的網(wǎng)站關(guān)鍵字段，包含暴力、淫穢、違法等類型。可添加內(nèi)容庫(kù)實(shí)現(xiàn)。檢測(cè)操作步驟參考配置操作登陸防火墻web配置頁(yè)面，在“應(yīng)用控制”--——“內(nèi)容過(guò)濾”，根據(jù)需求選擇關(guān)鍵字、URL主機(jī)名、文件名等方式進(jìn)行過(guò)濾。補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1。 判定條件檢查防火墻“應(yīng)用控制〃配置；2。 檢測(cè)操作登陸防火墻web頁(yè)面配置，在“應(yīng)用控制”---—“內(nèi)容過(guò)濾” “統(tǒng)計(jì)信息”中查看過(guò)濾功能實(shí)施效果。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。3.3安全策略配置要求3.3.1訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量安全基線項(xiàng)目名稱訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C-03—03-01安全基線項(xiàng)說(shuō)明防火墻在配置訪問(wèn)規(guī)則列表時(shí)，最后一條必須是拒絕一切流量。檢測(cè)操作步1.參考配置操作

驟#aclnumber3001rule0permitipdestinationLipaddress][mask]rule1denyip#2.補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)1。 判定條件檢查配置中的ACL設(shè)置檢測(cè)操作〈H3C〉displayaclnumber3001備注3.3.2配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍安全基線項(xiàng)目名稱配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C-03—03-02安全基線項(xiàng)說(shuō)明在配置訪問(wèn)規(guī)則時(shí)，源地址，目的地址服務(wù)或端口的范圍必須以實(shí)際訪問(wèn)需求為前提，盡可能的縮小范圍.禁止源到目的全部允許規(guī)則。禁止目的地址及服務(wù)全允許規(guī)則，禁止全服務(wù)訪問(wèn)規(guī)則。檢測(cè)操作步驟參考配置操作登陸防火墻web配置頁(yè)面，在“防火墻” “安全策略”-—--“域間策略”中增加訪問(wèn)規(guī)則，需要填寫(xiě)的內(nèi)容是：源域、目的域、源IP地址、目的IP地址、服務(wù)(訪問(wèn)的協(xié)議和端口)、過(guò)濾動(dòng)作(permitordeny)、時(shí)間段。補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1。 判定條件檢查防火墻“域間策略”配置，域間策略詳細(xì)到協(xié)議、端口、具體的IP地址；2。 檢測(cè)操作無(wú)；備注3.3.3VPN用戶按照訪問(wèn)權(quán)限進(jìn)行分組*安全基線項(xiàng)目名稱VPN用戶按照訪問(wèn)權(quán)限進(jìn)行分組安全基線要求項(xiàng)

安全基線編號(hào)SBL-H3C-03-03-03安全基線項(xiàng)說(shuō)明對(duì)于VPN用戶，必須按照其訪問(wèn)權(quán)限不同而進(jìn)行分組，并在訪問(wèn)控制規(guī)則中對(duì)該組的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格限制。檢測(cè)操作步驟參考配置操作#local-user[vpnuser]passwordcipher[password]service-typepppauthorization-attributelevel[0—5] 〃設(shè)定用戶的訪問(wèn)權(quán)限#domainsystem 〃對(duì)VPN用戶采用本地驗(yàn)證authenticationppplocalippool1Lippooladdressrange]#l2tpenable〃啟用L2TP服務(wù)#interfacevirtual-template1//配置虛模板Virtual-Template的相關(guān)信息ipaddressLipaddress] Lmask]pppauthentication—modechapdomainsystemremoteaddresspool1#l2tp-group1〃設(shè)置一個(gè)L2TP組，指定接收呼叫的虛擬接口模板allowl2tpvirtual—template1#補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件檢查配置中用戶設(shè)置：2。 檢測(cè)操作使用displaylocal—user檢查備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng).3.3.4配置NAT地址轉(zhuǎn)換*安全基線項(xiàng)目名稱配置NAT地址轉(zhuǎn)換安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C—03—03—04安全基線項(xiàng)說(shuō)明配置NAT地址轉(zhuǎn)換，對(duì)互聯(lián)網(wǎng)隱藏內(nèi)網(wǎng)主機(jī)的實(shí)際地址。檢測(cè)操作步驟1.參考配置操作#

aclnumber3001rule0permitipdestination10.4。125。650rule1permitipdestination10.4.125。660#interfaceGigabitEthernet0/0portlink-moderoutenatoutbound3001#2.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1。 判定條件配置中有nat或者static的內(nèi)容檢測(cè)操作〈H3C〉displaynat備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng).3.3.5隱藏防火墻字符管理界面的bannner信息安全基線項(xiàng)目名稱隱藏防火墻字付官理界面的bannner信息安全基線要求項(xiàng)安全基線編號(hào)SBL—H3C—03-03—05安全基線項(xiàng)說(shuō)明隱藏防火墻字付官理界面的bannner信息。檢測(cè)操作步驟1.參考配置操作[H3C]undocopyright-infoenable2.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件登陸設(shè)備后，字符管理頁(yè)面消失；2。 檢測(cè)操作telnet登陸到設(shè)備，字符管理頁(yè)面消失；備注3.3.6避免從內(nèi)網(wǎng)主機(jī)直接訪問(wèn)外網(wǎng)的規(guī)則*安全基線項(xiàng)目名稱避免從內(nèi)網(wǎng)主機(jī)直接訪問(wèn)外網(wǎng)的規(guī)則安全基線要求項(xiàng)安全基線編SBL-H3C-03-03-06

號(hào)安全基線項(xiàng)說(shuō)明應(yīng)用代理服務(wù)器，將從內(nèi)網(wǎng)到外網(wǎng)的訪問(wèn)流量通過(guò)代理服務(wù)器。防火墻只開(kāi)啟代理服務(wù)器到外部網(wǎng)絡(luò)的訪問(wèn)規(guī)則，避免在防火墻上配置從內(nèi)網(wǎng)的主機(jī)直接到外網(wǎng)的訪問(wèn)規(guī)則。檢測(cè)操作步驟參考配置操作參考3.3。2配置，在防火墻上可以配置代理服務(wù)器與外網(wǎng)互訪的規(guī)則；補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件檢查防火墻“域間策略”，配置了針對(duì)代理服務(wù)器到外網(wǎng)的訪問(wèn)規(guī)則；檢測(cè)操作備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。3.3.7關(guān)閉非必要服務(wù)安全基線項(xiàng)目名稱關(guān)閉非必要服務(wù)安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C-03—03—07安全基線項(xiàng)說(shuō)明防火墻設(shè)備必須關(guān)閉非必要服務(wù)。檢測(cè)操作步驟參考配置操作登陸防火墻web配置頁(yè)面，在“設(shè)備管理”一一-“服務(wù)管理”中關(guān)閉非必要的服務(wù)，比如http、telnet、ftp等。補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1。 判定條件檢查配置中是否關(guān)閉對(duì)應(yīng)服務(wù)檢測(cè)操作備注3.4攻擊防護(hù)配置要求3.4.1拒絕常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)安全基線項(xiàng)目名稱拒絕常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)安全基線要求項(xiàng)

安全基線編號(hào)SBL—H3C—03—04—01安全基線項(xiàng)說(shuō)明配置訪問(wèn)控制規(guī)則，拒絕對(duì)防火墻保護(hù)的系統(tǒng)中常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)。檢測(cè)操作步驟參考配置操作#aclnumber3001rule0denytcpdestination-porteq135rule1denytcpdestination—porteq136rule2denytcpdestination—porteq138rule3denytcpdestination-porteq4444rule4denytcpdestination-porteq389rule5denytcpdestination-porteq445rule6denytcpdestination—porteq4899rule7denytcpdestination-porteq6588rule8denytcpdestination—porteq1978rule9denytcpdestination-porteq593rule10denytcpdestination-porteq3389rule11denytcpdestination-porteq137rule12denytcpdestination-porteqtalkrule13denytcpdestination—porteq139rule14denytcpdestination—porteq2745rule15denytcpdestination-porteq1080rule16denytcpdestination-porteq6129rule17denytcpdestination—porteq3127rule18denytcpdestination—porteq3128rule19denytcpdestination-porteq5800rule20denytcpdestination—porteq6667rule21denytcpdestination—porteq1025rule22denytcpdestination-porteq5554rule23denytcpdestination—porteq1068rule24denytcpdestination—porteq9995rule25denytcpdestination-porteq539rule26denyudpdestination—porteq539rule27denyudpdestination-porteq1434rule28denyudpdestination-porteq593rule29permitip#補(bǔ)充操作說(shuō)明應(yīng)根據(jù)實(shí)際情況調(diào)整?；€符合性判定依據(jù)1。 判定條件檢查配置文件檢測(cè)操作使用命令displayaclnumber3001

備注3.4.2防火墻各邏輯接口配置開(kāi)啟防源地址欺騙功能安全基線項(xiàng)目名稱防火墻各邏輯接口配置開(kāi)啟防源地址欺騙功能安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C—03—04—02安全基線項(xiàng)說(shuō)明對(duì)于防火墻各邏輯接口配置開(kāi)啟防源地址欺騙功能。檢測(cè)操作步驟參考配置操作登陸防火墻web配置頁(yè)面，在“攻擊防范”--——“URPF檢查”中使能防源地址欺騙功能。補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件檢查配置中是否有URPF功能；檢測(cè)操作備注第4章IP協(xié)議安全要求4.1功能配置4.1.1使用SNMPV2c或者V3以上的版本對(duì)防火墻遠(yuǎn)程管理安全基線項(xiàng)目名稱使用SNMPV2C或者V3以上的版本對(duì)防火墻遠(yuǎn)程管理安全基線要求項(xiàng)安全基線編號(hào)SBL-H3C-04—01-01安全基線項(xiàng)說(shuō)明使用SNMPV3以上的版本對(duì)防火墻做遠(yuǎn)程管理。去除SNMP默認(rèn)的共同體名(CommunityName)和用戶名。并且不同的用戶名和共同體明對(duì)應(yīng)不同的權(quán)限(只讀或者讀寫(xiě))。檢測(cè)操作步驟1.參考配置操作井snmp-agent 〃打開(kāi)SNMP功