Fortigate防火墻安全配置基線

Fortigate防火墻安全配置基線13]1=版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"適用版本 1\o"CurrentDocument"實(shí)施 1\o"CurrentDocument"例外條款 1\o"CurrentDocument"第2章 帳號、口令管理與認(rèn)證授權(quán) 2帳號管理* 2用戶帳號管理 2\o"CurrentDocument"刪除無關(guān)的帳號 2\o"CurrentDocument"帳戶登錄超沖 3\o"CurrentDocument"帳戶密碼錯誤自動鎖定 4\o"CurrentDocument"口令 5\o"CurrentDocument"口令復(fù)雜度 5\o"CurrentDocument"授權(quán) 6\o"CurrentDocument"遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議 6\o"CurrentDocument"第3章日志安全要求 7日志服務(wù)器 7啟用日志服務(wù)器 7\o"CurrentDocument"配置遠(yuǎn)程日志服務(wù)器 7\o"CurrentDocument"告警配置要求 8\o"CurrentDocument"配置對防火墻本身的攻擊或內(nèi)部錯誤告警 8\o"CurrentDocument"配置DOS和DDOS攻擊告警 9\o"CurrentDocument"配置掃描攻擊檢測告警 9\o"CurrentDocument"安全策略配置要求 10\o"CurrentDocument"訪問規(guī)則列表最后一條必須是拒絕一切流量 10配置訪問規(guī)則應(yīng)盡可能縮小范圍 11\o"CurrentDocument"VPN用戶按照訪問權(quán)限進(jìn)行分組 11\o"CurrentDocument"配置NAT地址轉(zhuǎn)換* 12\o"CurrentDocument"關(guān)閉僅開啟必要服務(wù) 13\o"CurrentDocument"禁止使用anytoanyall允許規(guī)則 13\o"CurrentDocument"攻擊防護(hù)配置要求 14\o"CurrentDocument"配置應(yīng)用層攻擊防護(hù). 14\o"CurrentDocument"配置網(wǎng)絡(luò)掃描攻擊防護(hù). 15\o"CurrentDocument"限制ping包大小* 15\o"CurrentDocument"啟用對帶選項(xiàng)的/P包及畸形IP包的檢測. 16\o"CurrentDocument"第4章 IP協(xié)議安全要求 174.1 管理IP限制 174.1.1管理IP限制 17第5章SNMP安全 18SNMP管理 18使用SNMPV2或以上版本 18SNMP訪問控制 19SNMP訪問控制. 19\o"CurrentDocument"第6章評審與修訂 20第1章概述1.1目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Fortigate防火墻的安全配置。1.2適用范本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3適用版本Fortigate防火墻。1.4實(shí)施1.5例外條款第2章帳號、口令管理與認(rèn)證授權(quán)2.1帳號管理*2.1.1用戶帳號管理*安全基線項(xiàng)目名稱用戶帳號管理安全基線要求項(xiàng)安全基線編號SBL-FortiFW-02-01-01安全基線項(xiàng)說明應(yīng)按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設(shè)備間通信使用的帳號共享。檢測操作步驟1、 參考配置操作使用命令showsystemadmin查看是否有多余帳戶2、 補(bǔ)充說明無?；€符合性判定依據(jù)1、 判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄2、 參考檢測操作showsystemadmin刪除帳戶：Configsystemadmindelete<name_str>3、 補(bǔ)充說明無。備注需要手工判定檢測。2.1.2刪除無關(guān)的帳號*安全基線項(xiàng)目名稱無關(guān)的帳號安全基線要求項(xiàng)

安全基線編號SBL-FortiFW-02-01-02安全基線項(xiàng)說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的帳號。檢測操作步驟參考配置操作usrobjdel<name>補(bǔ)充操作說明使用usrobjlistadmin顯示帳戶信息?；€符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測操作查看配置。補(bǔ)充說明無。備注需要手工判定檢測，無關(guān)帳戶更多屬于管理層面，需要人為確認(rèn)。2.1.3帳戶登錄超時*安全基線項(xiàng)目名稱帳戶登錄超時安全基線要求項(xiàng)安全基線編號SBL-FortiFW-02-01-03安全基線項(xiàng)說明配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟1、 參考配置操作設(shè)置超時時間為5分鐘configsystemglobalsetadmintimeout52、 補(bǔ)充說明無?；€符合性判定依據(jù)1.判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備。

參考檢測操作showsystemglobal補(bǔ)充說明無。備注需要手工檢查2.1.4帳戶密碼錯誤自動鎖定*安全基線項(xiàng)目名稱帳戶密碼錯誤自動鎖定安全基線要求項(xiàng)安全基線編號SBL-FortiFW-02-01-04安全基線項(xiàng)說明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設(shè)置為300秒檢測操作步驟1、 參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次setadmin-lockout-threshold10setadmintimeout1setadmin-lockout-duration3002、 補(bǔ)充說明無。基線符合性判定依據(jù)判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達(dá)后可以登錄。參考檢測操作showsystemglobal補(bǔ)充說明無。備注注意！此項(xiàng)設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查。

2.2口令2.2.1口令復(fù)雜度安全基線項(xiàng)目名稱口令復(fù)雜度安全基線要求項(xiàng)安全基線編號SBL-FortiFW-02-02-01安全基線項(xiàng)說明防火墻的帳號密碼必須符合密碼復(fù)雜度要求，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步驟1、 參考配置操作configsystempassword-policysetstatusenablesetapply-to[admin-passwordipsec-preshared-key]setchange-4-charactersenablesetexpire90setminimum-length8setmust-contain[lower-case-letterUpper-case-letternon-alphanumericnumber]end2、 補(bǔ)充說明密碼長度要求8位，大小寫字母和特殊字符混合，密碼超時時間90天?；€符合性判定依據(jù)1、 判定條件Showsystempassword-policy2、 參考檢測操作3、 補(bǔ)充說明無。備注

2.3授權(quán)2.3.1遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議安全基線項(xiàng)目名稱遠(yuǎn)程維護(hù)使用加密協(xié)議安全基線要求項(xiàng)安全基線編號SBL-FortiFW-02-03-01安全基線項(xiàng)說明對于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。如 SSH或者WEBSSL，如果只允許從防火墻內(nèi)部進(jìn)行管理，應(yīng)該限定管理IP。檢測操作步驟參考配置操作系統(tǒng)默認(rèn)支持ssh及WEBSSL兩種加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhostlist增加管理IPadminhostadd<ip>補(bǔ)充操作說明基線符合性判定依據(jù)判定條件只支持ssh及WebSSL管理，對于非允許的ip地址不能登陸。檢測操作使用非允許的ip地址登陸。補(bǔ)充說明無。備注

第3章日志安全要求3.1日志服務(wù)器3.1.1啟用日志服務(wù)器安全基線項(xiàng)目名稱啟用日志服務(wù)器安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-01-01安全基線項(xiàng)說明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測操作步驟參考配置操作configlogsyslogdsettingsetstatusenableend補(bǔ)充操作說明基線符合性判定依據(jù)判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址，日志服務(wù)器正確記錄了日志信息。參考檢測操作Showlogsyslogdsetting補(bǔ)充說明無。備注3.1.2配置遠(yuǎn)程日志服務(wù)器安全基線項(xiàng)目名稱配置遠(yuǎn)程日志服務(wù)器安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-01-02安全基線項(xiàng)說明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。

所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測操作步驟參考配置操作configlogsyslogdsettingsetstatusenablesetserverXXX.XXX.XXX.XXXsetportXXXend補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址，日志服務(wù)器正確記錄了日志信息。參考檢測操作Showlogsyslogdsetting補(bǔ)充說明無。備注3.2告警配置要求3.2.1配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線項(xiàng)目名稱配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-02-01安全基線項(xiàng)說明設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)嚴(yán)重錯誤。檢測操作步驟1.參考配置操作參考日志配置模塊基線符合性判定依據(jù)1.判定條件

查看防火墻是否生成相應(yīng)告警檢測操作查看防火墻是否生成相應(yīng)告警補(bǔ)充說明無。備注3.2.2配置DOS和DDOS攻擊告警安全基線項(xiàng)目名稱配置DOS和DDOS攻擊防護(hù)功能安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-02-02安全基線項(xiàng)說明可打開DOS和DDOS攻擊防護(hù)功能。對攻擊告警。DDOS的攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整。維護(hù)人員可通過設(shè)置白名單方式屏蔽部分告警。檢測操作步驟參考配置操作補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補(bǔ)充說明無。備注3.2.3配置掃描攻擊檢測告警*安全基線項(xiàng)目名稱配置掃描攻擊檢測告警安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-02-03安全基線項(xiàng)可打開掃描攻擊檢測功能。對掃描探測告警。掃描攻擊告警的參數(shù)可由維護(hù)

說明人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整。維護(hù)人員可通過設(shè)置白名單方式屏蔽部分網(wǎng)絡(luò)掃描告警。檢測操作步驟參考配置操作檢測是否開啟此功能補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無檢測操作無補(bǔ)充說明無。備注需手工判定。3.3安全策略配置要求3.3.1訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線項(xiàng)目名稱訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-03-01安全基線項(xiàng)說明所有防火墻在配置訪問規(guī)則時，最后一條必須是拒絕一切流量。檢測操作步驟參考配置操作設(shè)備默認(rèn)最后一條為拒絕所有其他。補(bǔ)充操作說明設(shè)備也支持主動建立禁止一切的策略?；€符合性判定依據(jù)判定條件無。檢測操作查看策略配置及測試訪問。補(bǔ)充說明

安全基線項(xiàng)目名稱配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-03-02安全基線項(xiàng)說明在配置訪問規(guī)則時，源地址和目的地址的范圍必須以實(shí)際訪問需求為前提，盡可能的縮小范圍。檢測操作步驟參考配置操作根據(jù)實(shí)際訪問需求，縮小地址范圍。需要禁止anytoanyall和anyall和服務(wù)為all的規(guī)則。補(bǔ)充操作說明我們在防火墻上可以定義不同范圍的地址對象，在策略中進(jìn)行引用即可。如下命令用來建立不同范圍的地址對象，供策略引用。基線符合性判定依據(jù)判定條件無。檢測操作根據(jù)實(shí)際訪問需求，測試是否達(dá)到要求；查看配置。補(bǔ)充說明無。備注3.3.3VPN用戶按照訪問權(quán)限進(jìn)行分組*安全基線項(xiàng)目名稱VPN用戶按照訪問權(quán)限進(jìn)行分組安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-03-03安全基線項(xiàng)說明對于VPN用戶，必須按照其訪問權(quán)限不同而進(jìn)行分組，并在訪問控制規(guī)則

中對該組的訪問權(quán)限進(jìn)行嚴(yán)格限制。檢測操作步驟參考配置操作policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說明設(shè)備部分支持此項(xiàng)功能?；€符合性判定依據(jù)判定條件無。檢測操作按照需求訪問進(jìn)行檢測。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。3.3.4配置NAT地址轉(zhuǎn)換*安全基線項(xiàng)目名稱配置NAT地址轉(zhuǎn)換安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-03-04安全基線項(xiàng)說明配置NAT，對公網(wǎng)隱藏局域網(wǎng)主機(jī)的實(shí)際地址。檢測操作步驟參考配置操作檢測是否啟用NAT功能。補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作從外網(wǎng)用NAT地址訪問內(nèi)網(wǎng)的IP補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。

3.3.5關(guān)閉僅開啟必要服務(wù)安全基線項(xiàng)目名稱僅開啟必要服務(wù)安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-03-05安全基線項(xiàng)說明防火墻設(shè)備必須僅開啟必要服務(wù)。與生產(chǎn)無關(guān)的服務(wù)端口不能開放規(guī)則。檢測操作步驟參考配置操作policyadd<service><netfrom><netto><act>[options][toname]補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作查看策略，檢查是否有不必要的服務(wù)Policylist補(bǔ)充說明無。備注3.3.6禁止使用anytoanyall允許規(guī)則安全基線項(xiàng)目名稱盡量不允許使用anytoany安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-03-06安全基線項(xiàng)說明防火墻策略配置時不允許使用anytoanyall允許規(guī)則，對于從防火墻內(nèi)部到外部的訪問也應(yīng)指定策略；應(yīng)定期的對防火墻策略進(jìn)行檢查和梳理檢測操作步驟1.參考配置操作查看訪問控制策略policylist配置防火墻策略policyadd<service><netfrom><netto><act>[options][toname]

2.補(bǔ)充操作說明無基線符合性判定依據(jù)判定條件無檢測操作policylist補(bǔ)充說明無。備注3.4攻擊防護(hù)配置要求3.4.1配置應(yīng)用層攻擊防護(hù)*安全基線項(xiàng)目名稱配置應(yīng)用層攻擊防護(hù)安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-04-01安全基線項(xiàng)說明建議采用防火墻自帶的入侵檢測模塊對應(yīng)用層攻擊進(jìn)行防護(hù)檢測操作步驟參考配置操作enable[level]其中級別如下，建議采用默認(rèn)級別10-disable-duplicatepass-policymatchedpackets,-duplicatemorepass-policymatchedpackets-duplicateallpackets補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。

3.補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。3.4.2配置網(wǎng)絡(luò)掃描攻擊防護(hù)*安全基線項(xiàng)目名稱配置網(wǎng)絡(luò)掃描攻擊防護(hù)安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-04-02安全基線項(xiàng)說明建議米用防火墻自帶的入侵檢測模塊對網(wǎng)絡(luò)掃描攻擊行為進(jìn)行檢測檢測操作步驟參考配置操作啟用流探測功能模塊：選擇啟用即可補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。3.4.3限制ping包大小*安全基線項(xiàng)目名稱限制ping包大小安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-04-03安全基線項(xiàng)說明限制ping包的大小，以及一段時間內(nèi)同一主機(jī)發(fā)送的次數(shù)。

檢測操作步驟參考配置操作補(bǔ)充操作說明部分功能實(shí)現(xiàn)。基線符合性判定依據(jù)判定條件無。檢測操作查看配置；需求測試。補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。3.4.4啟用對帶選項(xiàng)的IP包及畸形IP包的檢測安全基線項(xiàng)目名稱啟用對帶選項(xiàng)的IP包及畸形IP包的檢測安全基線要求項(xiàng)安全基線編號SBL-FortiFW-03-04-04安全基線項(xiàng)說明啟用對帶選項(xiàng)的IP包及畸形IP包的檢測檢測操作步驟參考配置操作antisetfragon補(bǔ)充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經(jīng)將此功能打開。檢測操作查看配置。補(bǔ)充說明無。備注

第4章IP協(xié)議安全要求4.1管理IP限制4.1.1管理IP限制安全基線項(xiàng)目名稱管理IP限制安全基線要求項(xiàng)安全基線編號SBL-FortiFW-04-01-01安全基線項(xiàng)說明系統(tǒng)遠(yuǎn)程管理服務(wù)TELNET、SSH默認(rèn)可以接受任何地址的連接，出于安全考慮，應(yīng)該只允許特定地址訪問。檢測操作步驟1、