06防火墻安全配置基線v1

1、汽車(chē)信息系統(tǒng)部版本 1.0汽車(chē) 信息系統(tǒng)部修改日期：2010.11.26頁(yè)數(shù)：2/4文檔信息文檔修訂歷史信息系統(tǒng)部發(fā)布Information System Dept. Ie版本號(hào)修訂日期修訂者修訂內(nèi)容1.02010-11-26新建文檔作者：創(chuàng)建日期:2010-11-26審核者:審核日期（yyyy-mm-dd）:2011-4-12最后修訂者：最后修訂日期（yyyy-mm-dd）:2010-11-26文檔類(lèi)型：技術(shù)規(guī)范修改日期：2010.11.26 頁(yè)數(shù)：3/41)應(yīng)配置日志功能，對(duì)于設(shè)備自身相關(guān)的安全事件2)應(yīng)配置 NAT 日志轉(zhuǎn)換前后 IP 地址的對(duì)應(yīng)關(guān)系。登陸、退出等信息。功能，功能，如果開(kāi)

2、啟功能，應(yīng)配置日志3)應(yīng)配置流量日志功能4)在設(shè)備的日志容量達(dá)到 75%時(shí)，可產(chǎn)生告警。并且有專(zhuān)門(mén)的程序?qū)⑷罩緦?dǎo)出到專(zhuān)門(mén)的日志服務(wù)器。5)管理員的操作必須被日志，如登錄信息，修改為管理員組操作。帳號(hào)等信息6)設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，重錯(cuò)誤。對(duì)本身的或者的系統(tǒng)嚴(yán)7)設(shè)備應(yīng)配置告警功能，絡(luò)流量中對(duì)TCP/IP 協(xié)議網(wǎng)絡(luò)層異常報(bào)文的相關(guān)告警。對(duì)每一個(gè)告警項(xiàng)是否告警可由用戶(hù)配置。8)如具備關(guān)鍵字內(nèi)容過(guò)濾功能，可打開(kāi)該功能，在 HTTP，SMTP，POP3 等協(xié)議中對(duì)用戶(hù)設(shè)定的關(guān)鍵字進(jìn)行過(guò)濾。9)所有在配置規(guī)則時(shí)，最后一條必須是一切流量10)在配置規(guī)則時(shí)，源地址和目的地址的范圍必須以

3、實(shí)際需求為前提，盡可能的縮小范圍11)對(duì)于規(guī)則的排列，應(yīng)當(dāng)遵從范圍由小到大的排列規(guī)則。應(yīng)根據(jù)實(shí)際網(wǎng)絡(luò)流量，保證重要連接和數(shù)據(jù)吞吐量大的連接對(duì)應(yīng)的規(guī)則優(yōu)先得到匹配12)在進(jìn)行配置修改前，必須對(duì)當(dāng)前配置進(jìn)行備份13)對(duì)于用戶(hù)，必須按照其權(quán)限不同而進(jìn)行分組，并在控制規(guī)則中對(duì)該組的權(quán)限進(jìn)行嚴(yán)格限制14)配置 NAT，對(duì)公網(wǎng)隱藏局域網(wǎng)主機(jī)的實(shí)際地址15)隱藏字符管理界面的 bannner 信息16)設(shè)備必須關(guān)閉非必要服務(wù)17)的系統(tǒng)和版本必須處于廠家期，并且必須定期對(duì)版本進(jìn)行升級(jí)或者打補(bǔ)丁操作。如系統(tǒng)廠家已不再，需要及時(shí)更新版本或者撤換18)對(duì)于常見(jiàn)系統(tǒng)對(duì)應(yīng)端口，應(yīng)當(dāng)進(jìn)行端口的關(guān)閉配置信息系統(tǒng)部發(fā)布Information System Dept. Ie修改日期：2010.11.26 頁(yè)數(shù)：4/419)限制 ICMP 包的大小，以及一段時(shí)間內(nèi)同一 IP 地址主機(jī)發(fā)送 ICMPECHO Request 報(bào)文的次數(shù)20)對(duì)于各邏輯接口需要開(kāi)啟防源地址功能，對(duì)于IP 源路由包要丟棄21)對(duì)于管理口地址，關(guān)閉對(duì)包的回應(yīng)。建議通過(guò)隧道獲得內(nèi)網(wǎng)地址，從內(nèi)網(wǎng)口進(jìn)行22)對(duì)的管理地址做源地址限制23)對(duì)網(wǎng)絡(luò)各個(gè)部分進(jìn)行分配帶寬，從而保證在業(yè)務(wù)期業(yè)務(wù)服務(wù)的連續(xù)性。24)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分