安氏防火墻安全配置基線

安氏防火墻安全配置基線中國移動集團(tuán)公司 第23頁共33頁 安氏防火墻安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實(shí)施 11.5 例外條款 1第2章 賬號管理、認(rèn)證授權(quán)安全要求 22.1 賬號管理 22.1.1 用戶賬號分配* 22.1.2 刪除無關(guān)的賬號* 22.1.3 帳戶登錄超時* 32.1.4 帳戶密碼錯誤自動鎖定* 42.2 口令 42.2.1 口令復(fù)雜度要求 42.3 授權(quán) 52.3.1 遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議 5第3章 日志及配置安全要求 63.1 日志安全 63.1.1 對用戶登錄進(jìn)行記錄 63.1.2 記錄與設(shè)備相關(guān)的安全事件 73.1.3 配置設(shè)備遠(yuǎn)程日志功能 83.2 告警配置要求 93.2.1 配置對防火墻本身的攻擊或內(nèi)部錯誤告警 93.2.2 配置DOS和DDOS攻擊告警 103.2.3 配置掃描攻擊檢測告警* 113.3 安全策略配置要求 113.3.1 訪問規(guī)則列表最后一條必須是拒絕一切流量 113.3.2 配置訪問規(guī)則應(yīng)盡可能縮小范圍 123.3.3 VPN用戶按照訪問權(quán)限進(jìn)行分組* 133.3.4 配置NAT地址轉(zhuǎn)換* 133.3.5 關(guān)閉僅開啟必要服務(wù) 143.3.6 禁止使用any

toanyall允許規(guī)則 153.4 攻擊防護(hù)配置要求 153.4.1 配置應(yīng)用層攻擊防護(hù)* 153.4.2 配置網(wǎng)絡(luò)掃描攻擊防護(hù)* 163.4.3 限制ping包大小* 173.4.4 啟用對帶選項(xiàng)的IP包及畸形IP包的檢測 183.4.5 防火墻各邏輯接口配置開啟防源地址欺騙功能 18第4章 IP協(xié)議安全要求 194.1 IP協(xié)議 194.1.1 使用SNMPV2或者V3以上的版本對防火墻遠(yuǎn)程管理 19第5章 其他安全要求 215.1 其他安全配置 215.1.1 配置定時賬戶自動登出 215.1.2 配置consol口密碼保護(hù)功能 21第6章 評審與修訂 23概述目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護(hù)管理的安氏防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行安氏防火墻的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護(hù)管理的安氏防火墻。適用版本安氏防火墻。實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。

賬號管理、認(rèn)證授權(quán)安全要求賬號管理用戶賬號分配*安全基線項(xiàng)目名稱用戶賬號分配安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-02-01-01安全基線項(xiàng)說明不同等級管理員分配不同賬號，避免賬號混用。檢測操作步驟參考配置操作usrobjpasswdpadminNNtEDJuo3qa28usrobjpasswdpguestfyRW3nLH7ywPlusrobjaddadminp<username>passwd<password>""補(bǔ)充操作說明前兩個用戶為系統(tǒng)默認(rèn)建立的帳號。基線符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄。檢測操作在圖形界面登陸補(bǔ)充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的賬號，需要手工檢查。刪除無關(guān)的賬號*安全基線項(xiàng)目名稱無關(guān)的賬號安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-02-01-02安全基線項(xiàng)說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。檢測操作步驟參考配置操作usrobjdel<name>補(bǔ)充操作說明使用usrobjlistadmin顯示帳戶信息?；€符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測操作查看配置。補(bǔ)充說明無。備注建議手工抽查系統(tǒng)，無關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。帳戶登錄超時*安全基線項(xiàng)目名稱帳戶登錄超時安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-02-01-03安全基線項(xiàng)說明配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟參考配置操作設(shè)置超時時間為5分鐘2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備。參考檢測操作補(bǔ)充說明無。備注需要手工檢查。帳戶密碼錯誤自動鎖定*安全基線項(xiàng)目名稱帳戶密碼錯誤自動鎖定安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-02-01-04安全基線項(xiàng)說明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設(shè)置為300秒檢測操作步驟參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達(dá)后可以登錄。參考檢測操作補(bǔ)充說明無。備注注意！此項(xiàng)設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查?？诹羁诹顝?fù)雜度要求安全基線項(xiàng)目名稱口令復(fù)雜度要求安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-02-02-01安全基線項(xiàng)說明防火墻管理員賬號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步驟參考配置操作usrobjaddadminp<username><comment>回車，輸入密碼。補(bǔ)充操作說明口令字符不完全符合要求?；€符合性判定依據(jù)判定條件該級別的密碼設(shè)置由管理員進(jìn)行密碼的生成，設(shè)備本身無此強(qiáng)制功能。檢測操作實(shí)驗(yàn)性建立帳戶信息。補(bǔ)充說明無。備注授權(quán)遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議安全基線項(xiàng)目名稱遠(yuǎn)程維護(hù)使用加密協(xié)議安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-02-03-01安全基線項(xiàng)說明對于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEB

SSL，如果只允許從防火墻內(nèi)部進(jìn)行管理，應(yīng)該限定管理IP。檢測操作步驟參考配置操作系統(tǒng)默認(rèn)支持ssh及WEBSSL兩種加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhostlist增加管理IPadminhostadd<ip>補(bǔ)充操作說明基線符合性判定依據(jù)判定條件只支持ssh及WebSSL管理，對于非允許的ip地址不能登陸。檢測操作使用非允許的ip地址登陸。補(bǔ)充說明無。備注日志及配置安全要求日志安全對用戶登錄進(jìn)行記錄安全基線項(xiàng)目名稱用戶登錄進(jìn)行記錄安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-01-01安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步驟參考配置操作logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>補(bǔ)充操作說明<flags:anfcHTSORhPIi>：系統(tǒng)（以字母a表示）NAT（以字母n表示）包過濾（以字母f表示）連接狀態(tài)（以字母c表示）HTTP代理（以字母H表示）TELNET代理（以字母T表示）SMTP代理（以字母S表示）POP3代理（以字母O表示）事前認(rèn)證（以字母R表示）雙機(jī)熱備（以字母h表示）VPNPPP協(xié)議（以字母P表示）VPNIPSec協(xié)議（以字母I表示）流探測（以字母i表示）<dst:mbyse>：指日志處理方式，mbyse分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog主機(jī)、外發(fā)snmptrap主機(jī)、email告警等，用戶可根據(jù)需要選擇?；€符合性判定依據(jù)設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。備注記錄與設(shè)備相關(guān)的安全事件安全基線項(xiàng)目名稱記錄與設(shè)備相關(guān)安全事件安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-01-02安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步驟參考配置操作logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>補(bǔ)充操作說明<flags:anfcHTSORhPIi>：系統(tǒng)（以字母a表示）NAT（以字母n表示）包過濾（以字母f表示）連接狀態(tài)（以字母c表示）HTTP代理（以字母H表示）TELNET代理（以字母T表示）SMTP代理（以字母S表示）POP3代理（以字母O表示）事前認(rèn)證（以字母R表示）雙機(jī)熱備（以字母h表示）VPNPPP協(xié)議（以字母P表示）VPNIPSec協(xié)議（以字母I表示）流探測（以字母i表示）<dst:mbyse>：指日志處理方式，mbyse分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog主機(jī)、外發(fā)snmptrap主機(jī)、email告警等，用戶可根據(jù)需要選擇?；€符合性判定依據(jù)判定條件在設(shè)備上正確紀(jì)錄了日志信息。檢測操作查看日志模塊。補(bǔ)充說明無。備注配置設(shè)備遠(yuǎn)程日志功能安全基線項(xiàng)目名稱配置設(shè)備遠(yuǎn)程日志功能安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-01-03安全基線項(xiàng)說明設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。建議將Warning級別（4級）以上日志傳送到志服務(wù)器和統(tǒng)一的安全管理平臺處理。檢測操作步驟參考配置操作loghostadd<ip>設(shè)備logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>其中0:EMERGENCY1:ALERT2:CRITICAL3:ERROR4:WARNING5:NOTICE6:INFO7:DEBUG補(bǔ)充操作說明可以設(shè)置發(fā)送的日志服務(wù)器IP地址?；€符合性判定依據(jù)判定條件日志服務(wù)器上是否接收到了正確的日志信息。檢測操作在日志服務(wù)器上查看信息。補(bǔ)充說明無。備注告警配置要求配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線項(xiàng)目名稱配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-02-01安全基線項(xiàng)說明設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)嚴(yán)重錯誤。檢測操作步驟參考配置操作參考日志配置模塊，如下：logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>補(bǔ)充操作說明設(shè)備只支持紀(jì)錄部分關(guān)鍵操作。<flags:anfcHTSORhPIi>：系統(tǒng)（以字母a表示）NAT（以字母n表示）包過濾（以字母f表示）連接狀態(tài)（以字母c表示）HTTP代理（以字母H表示）TELNET代理（以字母T表示）SMTP代理（以字母S表示）POP3代理（以字母O表示）事前認(rèn)證（以字母R表示）雙機(jī)熱備（以字母h表示）VPNPPP協(xié)議（以字母P表示）VPNIPSec協(xié)議（以字母I表示）流探測（以字母i表示）<dst:mbyse>：指日志處理方式，mbyse分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog主機(jī)、外發(fā)snmptrap主機(jī)、email告警等，用戶可根據(jù)需要選擇。基線符合性判定依據(jù)判定條件查看防火墻是否生成相應(yīng)告警檢測操作查看防火墻是否生成相應(yīng)告警補(bǔ)充說明無。備注配置DOS和DDOS攻擊告警安全基線項(xiàng)目名稱配置DOS和DDOS攻擊防護(hù)功能安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-02-02安全基線項(xiàng)說明可打開DOS和DDOS攻擊防護(hù)功能。對攻擊告警。DDOS的攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整。維護(hù)人員可通過設(shè)置白名單方式屏蔽部分告警。檢測操作步驟參考配置操作antidossetsynfloodantidossetlandonantidossetsmurfonantisetfragonantidosseticmpmax<2-10000|on>antidossetudpmax<50-100000|on>blockshortiponblockipoptionson補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補(bǔ)充說明無。備注配置掃描攻擊檢測告警*安全基線項(xiàng)目名稱配置掃描攻擊檢測告警安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-02-03安全基線項(xiàng)說明可打開掃描攻擊檢測功能。對掃描探測告警。掃描攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整。維護(hù)人員可通過設(shè)置白名單方式屏蔽部分網(wǎng)絡(luò)掃描告警。檢測操作步驟參考配置操作可參考“安全要求-設(shè)備-防火墻-配置-43”補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無檢測操作無補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。安全策略配置要求訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線項(xiàng)目名稱訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-03-01安全基線項(xiàng)說明所有防火墻在配置訪問規(guī)則時，最后一條必須是拒絕一切流量。檢測操作步驟參考配置操作設(shè)備默認(rèn)最后一條為拒絕所有其他。補(bǔ)充操作說明設(shè)備也支持主動建立禁止一切的策略?；€符合性判定依據(jù)判定條件無。檢測操作查看策略配置及測試訪問。補(bǔ)充說明無。備注配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線項(xiàng)目名稱配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-03-02安全基線項(xiàng)說明在配置訪問規(guī)則時，源地址和目的地址的范圍必須以實(shí)際訪問需求為前提，盡可能的縮小范圍。檢測操作步驟參考配置操作根據(jù)實(shí)際訪問需求，縮小地址范圍。需要禁止anytoanyall和anyall和服務(wù)為all的規(guī)則。補(bǔ)充操作說明我們在防火墻上可以定義不同范圍的地址對象，在策略中進(jìn)行引用即可。如下命令用來建立不同范圍的地址對象，供策略引用。netobjhostadd<name><interface><ip><comment>netobjadd<name><interface><ip/maskbits><comment>netobjaddstd<name><interface><ip/maskbits><comment>netobjaddipr<name><interface><iprange><comment>netobjaddifr<name><interface><comment>netobjaddznr<name><zone><comment>基線符合性判定依據(jù)判定條件無。檢測操作根據(jù)實(shí)際訪問需求，測試是否達(dá)到要求；查看配置。補(bǔ)充說明無。備注VPN用戶按照訪問權(quán)限進(jìn)行分組*安全基線項(xiàng)目名稱VPN用戶按照訪問權(quán)限進(jìn)行分組安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-03-03安全基線項(xiàng)說明對于VPN用戶，必須按照其訪問權(quán)限不同而進(jìn)行分組，并在訪問控制規(guī)則中對該組的訪問權(quán)限進(jìn)行嚴(yán)格限制。檢測操作步驟參考配置操作vpndialupuseradd<name><comment>[ip/mask]policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說明設(shè)備部分支持此項(xiàng)功能?；€符合性判定依據(jù)判定條件無。檢測操作按照需求訪問進(jìn)行檢測。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。配置NAT地址轉(zhuǎn)換*安全基線項(xiàng)目名稱配置NAT地址轉(zhuǎn)換安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-03-04安全基線項(xiàng)說明配置NAT，對公網(wǎng)隱藏局域網(wǎng)主機(jī)的實(shí)際地址。檢測操作步驟參考配置操作nat11add<ipin><ipout>[interface]補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作從外網(wǎng)用NAT地址訪問內(nèi)網(wǎng)的IP補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。關(guān)閉僅開啟必要服務(wù)安全基線項(xiàng)目名稱僅開啟必要服務(wù)安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-03-05安全基線項(xiàng)說明防火墻設(shè)備必須僅開啟必要服務(wù)。與生產(chǎn)無關(guān)的服務(wù)端口不能開放規(guī)則。檢測操作步驟參考配置操作policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作查看策略，檢查是否有不必要的服務(wù)Policylist補(bǔ)充說明無。備注禁止使用any

toanyall允許規(guī)則安全基線項(xiàng)目名稱盡量不允許使用any

toany安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-03-06安全基線項(xiàng)說明防火墻策略配置時不允許使用any

toanyall允許規(guī)則，對于從防火墻內(nèi)部到外部的訪問也應(yīng)指定策略;應(yīng)定期的對防火墻策略進(jìn)行檢查和梳理檢測操作步驟參考配置操作查看訪問控制策略policylist配置防火墻策略policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無檢測操作policylist補(bǔ)充說明無。備注攻擊防護(hù)配置要求配置應(yīng)用層攻擊防護(hù)*安全基線項(xiàng)目名稱配置應(yīng)用層攻擊防護(hù)安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-04-01安全基線項(xiàng)說明建議采用安氏防火墻自帶的smartpro入侵檢測模塊對應(yīng)用層攻擊進(jìn)行防護(hù)檢測操作步驟參考配置操作smartproenable[level]其中級別如下，建議采用默認(rèn)級別10-disable1-duplicatepass-policymatchedpackets,2-duplicatemorepass-policymatchedpackets3-duplicateallpackets補(bǔ)充操作說明無。基線符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。配置網(wǎng)絡(luò)掃描攻擊防護(hù)*安全基線項(xiàng)目名稱配置網(wǎng)絡(luò)掃描攻擊防護(hù)安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-04-02安全基線項(xiàng)說明建議采用安氏防火墻自帶的smartpro入侵檢測模塊對網(wǎng)絡(luò)掃描攻擊行為進(jìn)行檢測檢測操作步驟參考配置操作啟用流探測功能模塊：smartproenable[level]其中級別如下，建議采用默認(rèn)級別10-disable1-duplicatepass-policymatchedpackets,2-duplicatemorepass-policymatchedpackets3-duplicateallpackets通過WEB管理界面選擇需要檢測的掃描攻擊行為的list，如下圖：選擇啟用即可補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。限制ping包大小*安全基線項(xiàng)目名稱限制ping包大小安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-04-03安全基線項(xiàng)說明限制ping包的大小，以及一段時間內(nèi)同一主機(jī)發(fā)送的次數(shù)。檢測操作步驟參考配置操作antidosseticmpmax<2-10000|on|off>補(bǔ)充操作說明部分功能實(shí)現(xiàn)?；€符合性判定依據(jù)判定條件無。檢測操作查看配置；需求測試。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。啟用對帶選項(xiàng)的IP包及畸形IP包的檢測安全基線項(xiàng)目名稱啟用對帶選項(xiàng)的IP包及畸形IP包的檢測安全基線要求項(xiàng)安全基線編號SBL-LinkTrustFW-03-04-04安全基線項(xiàng)說明啟用對帶選項(xiàng)的IP包及畸形IP包的檢測檢測操作步驟參考配置操作antisetfragon補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補(bǔ)充說明無。備注防火墻各邏輯接口配置開啟防源地址欺騙功能安全基線項(xiàng)目名稱防火墻