Fortigate防火墻安全配置基線

-.z.Fortigate防火墻平安配置基線版本版本控制信息更新日期更新人審批人V2.0創(chuàng)立2012年4月備注：假設(shè)此文檔需要日后更新，請(qǐng)創(chuàng)立人填寫版本控制表格，否則刪除版本控制表格。目錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實(shí)施11.5例外條款1第2章**、口令管理與認(rèn)證授權(quán)22.1**管理*2用戶**管理*2刪除無(wú)關(guān)的***2**登錄超時(shí)*3**密碼錯(cuò)誤自動(dòng)鎖定*42.2口令5口令復(fù)雜度52.3授權(quán)6遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議6第3章日志平安要求73.1日志效勞器7啟用日志效勞器7配置遠(yuǎn)程日志效勞器73.2告警配置要求8配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警8配置DOS和DDOS攻擊告警9配置掃描攻擊檢測(cè)告警*93.3平安策略配置要求10訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量10配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍11用戶按照訪問(wèn)權(quán)限進(jìn)展分組*11配置NAT地址轉(zhuǎn)換*12關(guān)閉僅開啟必要效勞13制止使用any

toanyall允許規(guī)則133.4攻擊防護(hù)配置要求14配置應(yīng)用層攻擊防護(hù)*14配置網(wǎng)絡(luò)掃描攻擊防護(hù)*15限制ping包大小*15啟用對(duì)帶選項(xiàng)的IP包及畸形IP包的檢測(cè)16第4章IP協(xié)議平安要求174.1管理IP限制17管理IP限制17第5章SNMP平安185.1SNMP管理18使用SNMPV2或以上版本185.2SNMP訪問(wèn)控制19訪問(wèn)控制19第6章評(píng)審與修訂20-.z.概述目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)展Fortigate防火墻的平安配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)平安管理員、網(wǎng)絡(luò)監(jiān)控人員。適用版本Fortigate防火墻。實(shí)施例外條款**、口令管理與認(rèn)證授權(quán)**管理*用戶**管理*平安基線工程名稱用戶**管理平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-02-01-01平安基線項(xiàng)說(shuō)明應(yīng)按照用戶分配**。防止不同用戶間共享**。防止用戶**和設(shè)備間通信使用的**共享。檢測(cè)操作步驟參考配置操作使用命令showsystemadmin查看是否有多余**2、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件用配置中沒(méi)有的用戶名去登錄，結(jié)果是不能登錄參考檢測(cè)操作showsystemadmin刪除**:Configsystemadmindelete<name_str>補(bǔ)充說(shuō)明無(wú)。備注需要手工判定檢測(cè)。刪除無(wú)關(guān)的***平安基線工程名稱無(wú)關(guān)的**平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-02-01-02平安基線項(xiàng)說(shuō)明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的**。檢測(cè)操作步驟參考配置操作usrobjdel<name>補(bǔ)充操作說(shuō)明使用usrobjlistadmin顯示**信息?；€符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測(cè)操作查看配置。補(bǔ)充說(shuō)明無(wú)。備注需要手工判定檢測(cè)，無(wú)關(guān)**更多屬于管理層面，需要人為確認(rèn)。**登錄超時(shí)*平安基線工程名稱**登錄超時(shí)平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-02-01-03平安基線項(xiàng)說(shuō)明配置定時(shí)**自動(dòng)登出，空閑5分鐘自動(dòng)登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測(cè)操作步驟參考配置操作設(shè)置超時(shí)時(shí)間為5分鐘configsystemglobalsetadmintimeout52、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件在超出設(shè)定時(shí)間后，用戶自動(dòng)登出設(shè)備。參考檢測(cè)操作showsystemglobal補(bǔ)充說(shuō)明無(wú)。備注需要手工檢查**密碼錯(cuò)誤自動(dòng)鎖定*平安基線工程名稱**密碼錯(cuò)誤自動(dòng)鎖定平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-02-01-04平安基線項(xiàng)說(shuō)明在10次嘗試登錄失敗后鎖定**，不允許登錄。解鎖時(shí)間設(shè)置為300秒檢測(cè)操作步驟參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次setadmin-lockout-threshold10setadmintimeout1setadmin-lockout-duration3002、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件超出重試次數(shù)后**鎖定，不允許登錄，解鎖時(shí)間到達(dá)后可以登錄。參考檢測(cè)操作showsystemglobal補(bǔ)充說(shuō)明無(wú)。備注注意！此項(xiàng)設(shè)置會(huì)影響性能，建議設(shè)置后對(duì)訪問(wèn)此設(shè)備做源地址做限制。需要手工檢查?？诹羁诹顝?fù)雜度平安基線工程名稱口令復(fù)雜度平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-02-02-01平安基線項(xiàng)說(shuō)明防火墻的**密碼必須符合密碼復(fù)雜度要求，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置一樣的口令。密碼應(yīng)至少每90天進(jìn)展更換。檢測(cè)操作步驟參考配置操作configsystempassword-policysetstatusenablesetapply-to[admin-passwordipsec-preshared-key]setchange-4-charactersenablesete*pire90setminimum-length8setmust-contain[lower-case-letterUpper-case-letternon-alphanumeriumber]end2、補(bǔ)充說(shuō)明密碼長(zhǎng)度要求8位，大小寫字母和特殊字符混合，密碼超時(shí)時(shí)間90天。基線符合性判定依據(jù)判定條件Showsystempassword-policy參考檢測(cè)操作補(bǔ)充說(shuō)明無(wú)。備注授權(quán)遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議平安基線工程名稱遠(yuǎn)程維護(hù)使用加密協(xié)議平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-02-03-01平安基線項(xiàng)說(shuō)明對(duì)于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEB

SSL，如果只允許從防火墻內(nèi)部進(jìn)展管理，應(yīng)該限定管理IP。檢測(cè)操作步驟參考配置操作系統(tǒng)默認(rèn)支持ssh及WEBSSL兩種加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhostlist增加管理IPadminhostadd<ip>補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件只支持ssh及WebSSL管理，對(duì)于非允許的ip地址不能登陸。檢測(cè)操作使用非允許的ip地址登陸。補(bǔ)充說(shuō)明無(wú)。備注日志平安要求日志效勞器啟用日志效勞器平安基線工程名稱啟用日志效勞器平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-01-01平安基線項(xiàng)說(shuō)明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩拘谄?。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測(cè)操作步驟參考配置操作configlogsyslogdsettingsetstatusenableend補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件是否正確配置了相應(yīng)的日志效勞器地址，日志效勞器正確記錄了日志信息。參考檢測(cè)操作Showlogsyslogdsetting補(bǔ)充說(shuō)明無(wú)。備注配置遠(yuǎn)程日志效勞器平安基線工程名稱配置遠(yuǎn)程日志效勞器平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-01-02平安基線項(xiàng)說(shuō)明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩拘谄?。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測(cè)操作步驟1．參考配置操作configlogsyslogdsettingsetstatusenablesetserver***.***.***.***setport***end2．補(bǔ)充操作說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件是否正確配置了相應(yīng)的日志效勞器地址，日志效勞器正確記錄了日志信息。參考檢測(cè)操作Showlogsyslogdsetting補(bǔ)充說(shuō)明無(wú)。備注告警配置要求配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警平安基線工程名稱配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-02-01平安基線項(xiàng)說(shuō)明設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，報(bào)告對(duì)防火墻本身的攻擊或者防火墻的系統(tǒng)嚴(yán)重錯(cuò)誤。檢測(cè)操作步驟參考配置操作參考日志配置模塊基線符合性判定依據(jù)判定條件查看防火墻是否生成相應(yīng)告警檢測(cè)操作查看防火墻是否生成相應(yīng)告警補(bǔ)充說(shuō)明無(wú)。備注配置DOS和DDOS攻擊告警平安基線工程名稱配置DOS和DDOS攻擊防護(hù)功能平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-02-02平安基線項(xiàng)說(shuō)明可翻開DOS和DDOS攻擊防護(hù)功能。對(duì)攻擊告警。DDOS的攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)展調(diào)整。維護(hù)人員可通過(guò)設(shè)置白方式屏蔽局部告警。檢測(cè)操作步驟參考配置操作補(bǔ)充操作說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能翻開。檢測(cè)操作查看配置。補(bǔ)充說(shuō)明無(wú)。備注配置掃描攻擊檢測(cè)告警*平安基線工程名稱配置掃描攻擊檢測(cè)告警平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-02-03平安基線項(xiàng)說(shuō)明可翻開掃描攻擊檢測(cè)功能。對(duì)掃描探測(cè)告警。掃描攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)展調(diào)整。維護(hù)人員可通過(guò)設(shè)置白方式屏蔽局部網(wǎng)絡(luò)掃描告警。檢測(cè)操作步驟參考配置操作檢測(cè)是否開啟此功能補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)判定條件無(wú)檢測(cè)操作無(wú)補(bǔ)充說(shuō)明無(wú)。備注需手工判定。平安策略配置要求訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量平安基線工程名稱訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-03-01平安基線項(xiàng)說(shuō)明所有防火墻在配置訪問(wèn)規(guī)則時(shí)，最后一條必須是拒絕一切流量。檢測(cè)操作步驟參考配置操作設(shè)備默認(rèn)最后一條為拒絕所有其他。補(bǔ)充操作說(shuō)明設(shè)備也支持主動(dòng)建立制止一切的策略。基線符合性判定依據(jù)判定條件無(wú)。檢測(cè)操作查看策略配置及測(cè)試訪問(wèn)。補(bǔ)充說(shuō)明無(wú)。備注配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍平安基線工程名稱配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-03-02平安基線項(xiàng)說(shuō)明在配置訪問(wèn)規(guī)則時(shí)，源地址和目的地址的范圍必須以實(shí)際訪問(wèn)需求為前提，盡可能的縮小范圍。檢測(cè)操作步驟參考配置操作根據(jù)實(shí)際訪問(wèn)需求，縮小地址范圍。需要制止anytoanyall和anyall和效勞為all的規(guī)則。補(bǔ)充操作說(shuō)明我們?cè)诜阑饓ι峡梢远x不同范圍的地址對(duì)象，在策略中進(jìn)展引用即可。如下命令用來(lái)建立不同范圍的地址對(duì)象，供策略引用?；€符合性判定依據(jù)判定條件無(wú)。檢測(cè)操作根據(jù)實(shí)際訪問(wèn)需求，測(cè)試是否到達(dá)要求；查看配置。補(bǔ)充說(shuō)明無(wú)。備注VPN用戶按照訪問(wèn)權(quán)限進(jìn)展分組*平安基線工程名稱VPN用戶按照訪問(wèn)權(quán)限進(jìn)展分組平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-03-03平安基線項(xiàng)說(shuō)明對(duì)于VPN用戶，必須按照其訪問(wèn)權(quán)限不同而進(jìn)展分組，并在訪問(wèn)控制規(guī)則中對(duì)該組的訪問(wèn)權(quán)限進(jìn)展嚴(yán)格限制。檢測(cè)操作步驟參考配置操作policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說(shuō)明設(shè)備局部支持此項(xiàng)功能。基線符合性判定依據(jù)判定條件無(wú)。檢測(cè)操作按照需求訪問(wèn)進(jìn)展檢測(cè)。補(bǔ)充說(shuō)明無(wú)。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。配置NAT地址轉(zhuǎn)換*平安基線工程名稱配置NAT地址轉(zhuǎn)換平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-03-04平安基線項(xiàng)說(shuō)明配置NAT，對(duì)公網(wǎng)隱藏局域網(wǎng)主機(jī)的實(shí)際地址。檢測(cè)操作步驟參考配置操作檢測(cè)是否啟用NAT功能。補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)判定條件無(wú)。檢測(cè)操作從外網(wǎng)用NAT地址訪問(wèn)內(nèi)網(wǎng)的IP補(bǔ)充說(shuō)明無(wú)。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。關(guān)閉僅開啟必要效勞平安基線工程名稱僅開啟必要效勞平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-03-05平安基線項(xiàng)說(shuō)明防火墻設(shè)備必須僅開啟必要效勞。與生產(chǎn)無(wú)關(guān)的效勞端口不能開放規(guī)則。檢測(cè)操作步驟參考配置操作policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)判定條件無(wú)。檢測(cè)操作查看策略，檢查是否有不必要的效勞Policylist補(bǔ)充說(shuō)明無(wú)。備注制止使用any

toanyall允許規(guī)則平安基線工程名稱盡量不允許使用any

toany平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-03-06平安基線項(xiàng)說(shuō)明防火墻策略配置時(shí)不允許使用any

toanyall允許規(guī)則，對(duì)于從防火墻內(nèi)部到外部的訪問(wèn)也應(yīng)指定策略;應(yīng)定期的對(duì)防火墻策略進(jìn)展檢查和梳理檢測(cè)操作步驟參考配置操作查看訪問(wèn)控制策略policylist配置防火墻策略policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說(shuō)明無(wú)基線符合性判定依據(jù)判定條件無(wú)檢測(cè)操作policylist補(bǔ)充說(shuō)明無(wú)。備注攻擊防護(hù)配置要求配置應(yīng)用層攻擊防護(hù)*平安基線工程名稱配置應(yīng)用層攻擊防護(hù)平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-04-01平安基線項(xiàng)說(shuō)明建議采用防火墻自帶的入侵檢測(cè)模塊對(duì)應(yīng)用層攻擊進(jìn)展防護(hù)檢測(cè)操作步驟參考配置操作enable[level]其中級(jí)別如下，建議采用默認(rèn)級(jí)別10-disable1-duplicatepass-policymatchedpackets,2-duplicatemorepass-policymatchedpackets3-duplicateallpackets補(bǔ)充操作說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能翻開。檢測(cè)操作查看配置。補(bǔ)充說(shuō)明無(wú)。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。配置網(wǎng)絡(luò)掃描攻擊防護(hù)*平安基線工程名稱配置網(wǎng)絡(luò)掃描攻擊防護(hù)平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-04-02平安基線項(xiàng)說(shuō)明建議采用防火墻自帶的入侵檢測(cè)模塊對(duì)網(wǎng)絡(luò)掃描攻擊行為進(jìn)展檢測(cè)檢測(cè)操作步驟參考配置操作啟用流探測(cè)功能模塊：選擇啟用即可補(bǔ)充操作說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能翻開。檢測(cè)操作查看配置。補(bǔ)充說(shuō)明無(wú)。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。限制ping包大小*平安基線工程名稱限制ping包大小平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-04-03平安基線項(xiàng)說(shuō)明限制ping包的大小，以及一段時(shí)間內(nèi)同一主機(jī)發(fā)送的次數(shù)。檢測(cè)操作步驟參考配置操作補(bǔ)充操作說(shuō)明局部功能實(shí)現(xiàn)?；€符合性判定依據(jù)判定條件無(wú)。檢測(cè)操作查看配置；需求測(cè)試。補(bǔ)充說(shuō)明無(wú)。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。啟用對(duì)帶選項(xiàng)的IP包及畸形IP包的檢測(cè)平安基線工程名稱啟用對(duì)帶選項(xiàng)的IP包及畸形IP包的檢測(cè)平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-03-04-04平安基線項(xiàng)說(shuō)明啟用對(duì)帶選項(xiàng)的IP包及畸形IP包的檢測(cè)檢測(cè)操作步驟參考配置操作antisetfragon補(bǔ)充操作說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能翻開。檢測(cè)操作查看配置。補(bǔ)充說(shuō)明無(wú)。備注IP協(xié)議平安要求管理IP限制管理IP限制平安基線工程名稱管理IP限制平安基線要求項(xiàng)平安基線編號(hào)SBL-FortiFW-04-01-01平安基線項(xiàng)說(shuō)明系統(tǒng)遠(yuǎn)程管理效勞TELNET、SSH默認(rèn)可以承受任何地址的連接，出于平安考慮，應(yīng)該只允許特定地址訪問(wèn)。檢測(cè)操作步驟1、參考配置操作ConfigsystemadminEdit<name_str>Settrusthost1***.***.***.******.***.***.***Settrusthost2***.***.***.******.***.***