Fortigate防火墻安全配置基線

-.z.Fortigate防火墻平安配置基線版本版本控制信息更新日期更新人審批人V2.0創(chuàng)立2012年4月備注：假設(shè)此文檔需要日后更新，請創(chuàng)立人填寫版本控制表格，否則刪除版本控制表格。目錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實(shí)施11.5例外條款1第2章**、口令管理與認(rèn)證授權(quán)22.1**管理*2用戶**管理*2刪除無關(guān)的***2**登錄超時*3**密碼錯誤自動鎖定*42.2口令5口令復(fù)雜度52.3授權(quán)6遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議6第3章日志平安要求73.1日志效勞器7啟用日志效勞器7配置遠(yuǎn)程日志效勞器73.2告警配置要求8配置對防火墻本身的攻擊或內(nèi)部錯誤告警8配置DOS和DDOS攻擊告警9配置掃描攻擊檢測告警*93.3平安策略配置要求10訪問規(guī)則列表最后一條必須是拒絕一切流量10配置訪問規(guī)則應(yīng)盡可能縮小范圍11用戶按照訪問權(quán)限進(jìn)展分組*11配置NAT地址轉(zhuǎn)換*12關(guān)閉僅開啟必要效勞13制止使用any

toanyall允許規(guī)則133.4攻擊防護(hù)配置要求14配置應(yīng)用層攻擊防護(hù)*14配置網(wǎng)絡(luò)掃描攻擊防護(hù)*15限制ping包大小*15啟用對帶選項(xiàng)的IP包及畸形IP包的檢測16第4章IP協(xié)議平安要求174.1管理IP限制17管理IP限制17第5章SNMP平安185.1SNMP管理18使用SNMPV2或以上版本185.2SNMP訪問控制19訪問控制19第6章評審與修訂20-.z.概述目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)展Fortigate防火墻的平安配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)平安管理員、網(wǎng)絡(luò)監(jiān)控人員。適用版本Fortigate防火墻。實(shí)施例外條款**、口令管理與認(rèn)證授權(quán)**管理*用戶**管理*平安基線工程名稱用戶**管理平安基線要求項(xiàng)平安基線編號SBL-FortiFW-02-01-01平安基線項(xiàng)說明應(yīng)按照用戶分配**。防止不同用戶間共享**。防止用戶**和設(shè)備間通信使用的**共享。檢測操作步驟參考配置操作使用命令showsystemadmin查看是否有多余**2、補(bǔ)充說明無。基線符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄參考檢測操作showsystemadmin刪除**:Configsystemadmindelete<name_str>補(bǔ)充說明無。備注需要手工判定檢測。刪除無關(guān)的***平安基線工程名稱無關(guān)的**平安基線要求項(xiàng)平安基線編號SBL-FortiFW-02-01-02平安基線項(xiàng)說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的**。檢測操作步驟參考配置操作usrobjdel<name>補(bǔ)充操作說明使用usrobjlistadmin顯示**信息。基線符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測操作查看配置。補(bǔ)充說明無。備注需要手工判定檢測，無關(guān)**更多屬于管理層面，需要人為確認(rèn)。**登錄超時*平安基線工程名稱**登錄超時平安基線要求項(xiàng)平安基線編號SBL-FortiFW-02-01-03平安基線項(xiàng)說明配置定時**自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟參考配置操作設(shè)置超時時間為5分鐘configsystemglobalsetadmintimeout52、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備。參考檢測操作showsystemglobal補(bǔ)充說明無。備注需要手工檢查**密碼錯誤自動鎖定*平安基線工程名稱**密碼錯誤自動鎖定平安基線要求項(xiàng)平安基線編號SBL-FortiFW-02-01-04平安基線項(xiàng)說明在10次嘗試登錄失敗后鎖定**，不允許登錄。解鎖時間設(shè)置為300秒檢測操作步驟參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次setadmin-lockout-threshold10setadmintimeout1setadmin-lockout-duration3002、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件超出重試次數(shù)后**鎖定，不允許登錄，解鎖時間到達(dá)后可以登錄。參考檢測操作showsystemglobal補(bǔ)充說明無。備注注意！此項(xiàng)設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查?？诹羁诹顝?fù)雜度平安基線工程名稱口令復(fù)雜度平安基線要求項(xiàng)平安基線編號SBL-FortiFW-02-02-01平安基線項(xiàng)說明防火墻的**密碼必須符合密碼復(fù)雜度要求，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置一樣的口令。密碼應(yīng)至少每90天進(jìn)展更換。檢測操作步驟參考配置操作configsystempassword-policysetstatusenablesetapply-to[admin-passwordipsec-preshared-key]setchange-4-charactersenablesete*pire90setminimum-length8setmust-contain[lower-case-letterUpper-case-letternon-alphanumeriumber]end2、補(bǔ)充說明密碼長度要求8位，大小寫字母和特殊字符混合，密碼超時時間90天?；€符合性判定依據(jù)判定條件Showsystempassword-policy參考檢測操作補(bǔ)充說明無。備注授權(quán)遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議平安基線工程名稱遠(yuǎn)程維護(hù)使用加密協(xié)議平安基線要求項(xiàng)平安基線編號SBL-FortiFW-02-03-01平安基線項(xiàng)說明對于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEB

SSL，如果只允許從防火墻內(nèi)部進(jìn)展管理，應(yīng)該限定管理IP。檢測操作步驟參考配置操作系統(tǒng)默認(rèn)支持ssh及WEBSSL兩種加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhostlist增加管理IPadminhostadd<ip>補(bǔ)充操作說明基線符合性判定依據(jù)判定條件只支持ssh及WebSSL管理，對于非允許的ip地址不能登陸。檢測操作使用非允許的ip地址登陸。補(bǔ)充說明無。備注日志平安要求日志效勞器啟用日志效勞器平安基線工程名稱啟用日志效勞器平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-01-01平安基線項(xiàng)說明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩拘谄鳌ＴO(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測操作步驟參考配置操作configlogsyslogdsettingsetstatusenableend補(bǔ)充操作說明基線符合性判定依據(jù)判定條件是否正確配置了相應(yīng)的日志效勞器地址，日志效勞器正確記錄了日志信息。參考檢測操作Showlogsyslogdsetting補(bǔ)充說明無。備注配置遠(yuǎn)程日志效勞器平安基線工程名稱配置遠(yuǎn)程日志效勞器平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-01-02平安基線項(xiàng)說明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩拘谄?。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測操作步驟1．參考配置操作configlogsyslogdsettingsetstatusenablesetserver***.***.***.***setport***end2．補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件是否正確配置了相應(yīng)的日志效勞器地址，日志效勞器正確記錄了日志信息。參考檢測操作Showlogsyslogdsetting補(bǔ)充說明無。備注告警配置要求配置對防火墻本身的攻擊或內(nèi)部錯誤告警平安基線工程名稱配置對防火墻本身的攻擊或內(nèi)部錯誤告警平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-02-01平安基線項(xiàng)說明設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)嚴(yán)重錯誤。檢測操作步驟參考配置操作參考日志配置模塊基線符合性判定依據(jù)判定條件查看防火墻是否生成相應(yīng)告警檢測操作查看防火墻是否生成相應(yīng)告警補(bǔ)充說明無。備注配置DOS和DDOS攻擊告警平安基線工程名稱配置DOS和DDOS攻擊防護(hù)功能平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-02-02平安基線項(xiàng)說明可翻開DOS和DDOS攻擊防護(hù)功能。對攻擊告警。DDOS的攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)展調(diào)整。維護(hù)人員可通過設(shè)置白方式屏蔽局部告警。檢測操作步驟參考配置操作補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能翻開。檢測操作查看配置。補(bǔ)充說明無。備注配置掃描攻擊檢測告警*平安基線工程名稱配置掃描攻擊檢測告警平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-02-03平安基線項(xiàng)說明可翻開掃描攻擊檢測功能。對掃描探測告警。掃描攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)展調(diào)整。維護(hù)人員可通過設(shè)置白方式屏蔽局部網(wǎng)絡(luò)掃描告警。檢測操作步驟參考配置操作檢測是否開啟此功能補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無檢測操作無補(bǔ)充說明無。備注需手工判定。平安策略配置要求訪問規(guī)則列表最后一條必須是拒絕一切流量平安基線工程名稱訪問規(guī)則列表最后一條必須是拒絕一切流量平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-03-01平安基線項(xiàng)說明所有防火墻在配置訪問規(guī)則時，最后一條必須是拒絕一切流量。檢測操作步驟參考配置操作設(shè)備默認(rèn)最后一條為拒絕所有其他。補(bǔ)充操作說明設(shè)備也支持主動建立制止一切的策略。基線符合性判定依據(jù)判定條件無。檢測操作查看策略配置及測試訪問。補(bǔ)充說明無。備注配置訪問規(guī)則應(yīng)盡可能縮小范圍平安基線工程名稱配置訪問規(guī)則應(yīng)盡可能縮小范圍平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-03-02平安基線項(xiàng)說明在配置訪問規(guī)則時，源地址和目的地址的范圍必須以實(shí)際訪問需求為前提，盡可能的縮小范圍。檢測操作步驟參考配置操作根據(jù)實(shí)際訪問需求，縮小地址范圍。需要制止anytoanyall和anyall和效勞為all的規(guī)則。補(bǔ)充操作說明我們在防火墻上可以定義不同范圍的地址對象，在策略中進(jìn)展引用即可。如下命令用來建立不同范圍的地址對象，供策略引用?；€符合性判定依據(jù)判定條件無。檢測操作根據(jù)實(shí)際訪問需求，測試是否到達(dá)要求；查看配置。補(bǔ)充說明無。備注VPN用戶按照訪問權(quán)限進(jìn)展分組*平安基線工程名稱VPN用戶按照訪問權(quán)限進(jìn)展分組平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-03-03平安基線項(xiàng)說明對于VPN用戶，必須按照其訪問權(quán)限不同而進(jìn)展分組，并在訪問控制規(guī)則中對該組的訪問權(quán)限進(jìn)展嚴(yán)格限制。檢測操作步驟參考配置操作policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說明設(shè)備局部支持此項(xiàng)功能?；€符合性判定依據(jù)判定條件無。檢測操作按照需求訪問進(jìn)展檢測。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。配置NAT地址轉(zhuǎn)換*平安基線工程名稱配置NAT地址轉(zhuǎn)換平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-03-04平安基線項(xiàng)說明配置NAT，對公網(wǎng)隱藏局域網(wǎng)主機(jī)的實(shí)際地址。檢測操作步驟參考配置操作檢測是否啟用NAT功能。補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作從外網(wǎng)用NAT地址訪問內(nèi)網(wǎng)的IP補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。關(guān)閉僅開啟必要效勞平安基線工程名稱僅開啟必要效勞平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-03-05平安基線項(xiàng)說明防火墻設(shè)備必須僅開啟必要效勞。與生產(chǎn)無關(guān)的效勞端口不能開放規(guī)則。檢測操作步驟參考配置操作policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作查看策略，檢查是否有不必要的效勞Policylist補(bǔ)充說明無。備注制止使用any

toanyall允許規(guī)則平安基線工程名稱盡量不允許使用any

toany平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-03-06平安基線項(xiàng)說明防火墻策略配置時不允許使用any

toanyall允許規(guī)則，對于從防火墻內(nèi)部到外部的訪問也應(yīng)指定策略;應(yīng)定期的對防火墻策略進(jìn)展檢查和梳理檢測操作步驟參考配置操作查看訪問控制策略policylist配置防火墻策略policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無檢測操作policylist補(bǔ)充說明無。備注攻擊防護(hù)配置要求配置應(yīng)用層攻擊防護(hù)*平安基線工程名稱配置應(yīng)用層攻擊防護(hù)平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-04-01平安基線項(xiàng)說明建議采用防火墻自帶的入侵檢測模塊對應(yīng)用層攻擊進(jìn)展防護(hù)檢測操作步驟參考配置操作enable[level]其中級別如下，建議采用默認(rèn)級別10-disable1-duplicatepass-policymatchedpackets,2-duplicatemorepass-policymatchedpackets3-duplicateallpackets補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能翻開。檢測操作查看配置。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。配置網(wǎng)絡(luò)掃描攻擊防護(hù)*平安基線工程名稱配置網(wǎng)絡(luò)掃描攻擊防護(hù)平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-04-02平安基線項(xiàng)說明建議采用防火墻自帶的入侵檢測模塊對網(wǎng)絡(luò)掃描攻擊行為進(jìn)展檢測檢測操作步驟參考配置操作啟用流探測功能模塊：選擇啟用即可補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能翻開。檢測操作查看配置。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。限制ping包大小*平安基線工程名稱限制ping包大小平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-04-03平安基線項(xiàng)說明限制ping包的大小，以及一段時間內(nèi)同一主機(jī)發(fā)送的次數(shù)。檢測操作步驟參考配置操作補(bǔ)充操作說明局部功能實(shí)現(xiàn)?；€符合性判定依據(jù)判定條件無。檢測操作查看配置；需求測試。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。啟用對帶選項(xiàng)的IP包及畸形IP包的檢測平安基線工程名稱啟用對帶選項(xiàng)的IP包及畸形IP包的檢測平安基線要求項(xiàng)平安基線編號SBL-FortiFW-03-04-04平安基線項(xiàng)說明啟用對帶選項(xiàng)的IP包及畸形IP包的檢測檢測操作步驟參考配置操作antisetfragon補(bǔ)充操作說明無。基線符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能翻開。檢測操作查看配置。補(bǔ)充說明無。備注IP協(xié)議平安要求管理IP限制管理IP限制平安基線工程名稱管理IP限制平安基線要求項(xiàng)平安基線編號SBL-FortiFW-04-01-01平安基線項(xiàng)說明系統(tǒng)遠(yuǎn)程管理效勞TELNET、SSH默認(rèn)可以承受任何地址的連接，出于平安考慮，應(yīng)該只允許特定地址訪問。檢測操作步驟1、參考配置操作ConfigsystemadminEdit<name_str>Settrusthost1***.***.***.******.***.***.***Settrusthost2***.***.***.******.***.***