安氏防火墻安全配置基線

安氏防火墻安全配置基線中國移動集團公司 第23頁共33頁 安氏防火墻安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第2章 賬號管理、認證授權安全要求 22.1 賬號管理 22.1.1 用戶賬號分配* 22.1.2 刪除無關的賬號* 22.1.3 帳戶登錄超時* 32.1.4 帳戶密碼錯誤自動鎖定* 42.2 口令 42.2.1 口令復雜度要求 42.3 授權 52.3.1 遠程維護的設備使用加密協(xié)議 5第3章 日志及配置安全要求 63.1 日志安全 63.1.1 對用戶登錄進行記錄 63.1.2 記錄與設備相關的安全事件 73.1.3 配置設備遠程日志功能 83.2 告警配置要求 93.2.1 配置對防火墻本身的攻擊或內部錯誤告警 93.2.2 配置DOS和DDOS攻擊告警 103.2.3 配置掃描攻擊檢測告警* 113.3 安全策略配置要求 113.3.1 訪問規(guī)則列表最后一條必須是拒絕一切流量 113.3.2 配置訪問規(guī)則應盡可能縮小范圍 123.3.3 VPN用戶按照訪問權限進行分組* 133.3.4 配置NAT地址轉換* 133.3.5 關閉僅開啟必要服務 143.3.6 禁止使用any

toanyall允許規(guī)則 153.4 攻擊防護配置要求 153.4.1 配置應用層攻擊防護* 153.4.2 配置網絡掃描攻擊防護* 163.4.3 限制ping包大小* 173.4.4 啟用對帶選項的IP包及畸形IP包的檢測 183.4.5 防火墻各邏輯接口配置開啟防源地址欺騙功能 18第4章 IP協(xié)議安全要求 194.1 IP協(xié)議 194.1.1 使用SNMPV2或者V3以上的版本對防火墻遠程管理 19第5章 其他安全要求 215.1 其他安全配置 215.1.1 配置定時賬戶自動登出 215.1.2 配置consol口密碼保護功能 21第6章 評審與修訂 23概述目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的安氏防火墻應當遵循的設備安全性設置標準，本文檔旨在指導系統(tǒng)管理人員進行安氏防火墻的安全配置。適用范圍本配置標準的使用者包括：網絡管理員、網絡安全管理員、網絡監(jiān)控人員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的安氏防火墻。適用版本安氏防火墻。實施本標準的解釋權和修改權屬于中國移動集團管理信息系統(tǒng)部，在本標準的執(zhí)行過程中若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。

賬號管理、認證授權安全要求賬號管理用戶賬號分配*安全基線項目名稱用戶賬號分配安全基線要求項安全基線編號SBL-LinkTrustFW-02-01-01安全基線項說明不同等級管理員分配不同賬號，避免賬號混用。檢測操作步驟參考配置操作usrobjpasswdpadminNNtEDJuo3qa28usrobjpasswdpguestfyRW3nLH7ywPlusrobjaddadminp<username>passwd<password>""補充操作說明前兩個用戶為系統(tǒng)默認建立的帳號?；€符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結果是不能登錄。檢測操作在圖形界面登陸補充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不同權限的賬號，需要手工檢查。刪除無關的賬號*安全基線項目名稱無關的賬號安全基線要求項安全基線編號SBL-LinkTrustFW-02-01-02安全基線項說明應刪除或鎖定與設備運行、維護等工作無關的賬號。檢測操作步驟參考配置操作usrobjdel<name>補充操作說明使用usrobjlistadmin顯示帳戶信息?；€符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測操作查看配置。補充說明無。備注建議手工抽查系統(tǒng)，無關賬戶更多屬于管理層面，需要人為確認。帳戶登錄超時*安全基線項目名稱帳戶登錄超時安全基線要求項安全基線編號SBL-LinkTrustFW-02-01-03安全基線項說明配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進入系統(tǒng)。檢測操作步驟參考配置操作設置超時時間為5分鐘2、補充說明無?；€符合性判定依據(jù)判定條件在超出設定時間后，用戶自動登出設備。參考檢測操作補充說明無。備注需要手工檢查。帳戶密碼錯誤自動鎖定*安全基線項目名稱帳戶密碼錯誤自動鎖定安全基線要求項安全基線編號SBL-LinkTrustFW-02-01-04安全基線項說明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設置為300秒檢測操作步驟參考配置操作設置嘗試失敗鎖定次數(shù)為10次2、補充說明無?；€符合性判定依據(jù)判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達后可以登錄。參考檢測操作補充說明無。備注注意！此項設置會影響性能，建議設置后對訪問此設備做源地址做限制。需要手工檢查。口令口令復雜度要求安全基線項目名稱口令復雜度要求安全基線要求項安全基線編號SBL-LinkTrustFW-02-02-01安全基線項說明防火墻管理員賬號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內不得設置相同的口令。密碼應至少每90天進行更換。檢測操作步驟參考配置操作usrobjaddadminp<username><comment>回車，輸入密碼。補充操作說明口令字符不完全符合要求?；€符合性判定依據(jù)判定條件該級別的密碼設置由管理員進行密碼的生成，設備本身無此強制功能。檢測操作實驗性建立帳戶信息。補充說明無。備注授權遠程維護的設備使用加密協(xié)議安全基線項目名稱遠程維護使用加密協(xié)議安全基線要求項安全基線編號SBL-LinkTrustFW-02-03-01安全基線項說明對于防火墻遠程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEB

SSL，如果只允許從防火墻內部進行管理，應該限定管理IP。檢測操作步驟參考配置操作系統(tǒng)默認支持ssh及WEBSSL兩種加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhostlist增加管理IPadminhostadd<ip>補充操作說明基線符合性判定依據(jù)判定條件只支持ssh及WebSSL管理，對于非允許的ip地址不能登陸。檢測操作使用非允許的ip地址登陸。補充說明無。備注日志及配置安全要求日志安全對用戶登錄進行記錄安全基線項目名稱用戶登錄進行記錄安全基線要求項安全基線編號SBL-LinkTrustFW-03-01-01安全基線項說明設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟參考配置操作logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>補充操作說明<flags:anfcHTSORhPIi>：系統(tǒng)（以字母a表示）NAT（以字母n表示）包過濾（以字母f表示）連接狀態(tài)（以字母c表示）HTTP代理（以字母H表示）TELNET代理（以字母T表示）SMTP代理（以字母S表示）POP3代理（以字母O表示）事前認證（以字母R表示）雙機熱備（以字母h表示）VPNPPP協(xié)議（以字母P表示）VPNIPSec協(xié)議（以字母I表示）流探測（以字母i表示）<dst:mbyse>：指日志處理方式，mbyse分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog主機、外發(fā)snmptrap主機、email告警等，用戶可根據(jù)需要選擇?；€符合性判定依據(jù)設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。備注記錄與設備相關的安全事件安全基線項目名稱記錄與設備相關安全事件安全基線要求項安全基線編號SBL-LinkTrustFW-03-01-02安全基線項說明設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟參考配置操作logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>補充操作說明<flags:anfcHTSORhPIi>：系統(tǒng)（以字母a表示）NAT（以字母n表示）包過濾（以字母f表示）連接狀態(tài)（以字母c表示）HTTP代理（以字母H表示）TELNET代理（以字母T表示）SMTP代理（以字母S表示）POP3代理（以字母O表示）事前認證（以字母R表示）雙機熱備（以字母h表示）VPNPPP協(xié)議（以字母P表示）VPNIPSec協(xié)議（以字母I表示）流探測（以字母i表示）<dst:mbyse>：指日志處理方式，mbyse分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog主機、外發(fā)snmptrap主機、email告警等，用戶可根據(jù)需要選擇。基線符合性判定依據(jù)判定條件在設備上正確紀錄了日志信息。檢測操作查看日志模塊。補充說明無。備注配置設備遠程日志功能安全基線項目名稱配置設備遠程日志功能安全基線要求項安全基線編號SBL-LinkTrustFW-03-01-03安全基線項說明設備配置遠程日志功能，將需要重點關注的日志內容傳輸?shù)饺罩痉掌?。建議將Warning級別（4級）以上日志傳送到志服務器和統(tǒng)一的安全管理平臺處理。檢測操作步驟參考配置操作loghostadd<ip>設備logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>其中0:EMERGENCY1:ALERT2:CRITICAL3:ERROR4:WARNING5:NOTICE6:INFO7:DEBUG補充操作說明可以設置發(fā)送的日志服務器IP地址。基線符合性判定依據(jù)判定條件日志服務器上是否接收到了正確的日志信息。檢測操作在日志服務器上查看信息。補充說明無。備注告警配置要求配置對防火墻本身的攻擊或內部錯誤告警安全基線項目名稱配置對防火墻本身的攻擊或內部錯誤告警安全基線要求項安全基線編號SBL-LinkTrustFW-03-02-01安全基線項說明設備應具備向管理員告警的功能，配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)嚴重錯誤。檢測操作步驟參考配置操作參考日志配置模塊，如下：logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>補充操作說明設備只支持紀錄部分關鍵操作。<flags:anfcHTSORhPIi>：系統(tǒng)（以字母a表示）NAT（以字母n表示）包過濾（以字母f表示）連接狀態(tài)（以字母c表示）HTTP代理（以字母H表示）TELNET代理（以字母T表示）SMTP代理（以字母S表示）POP3代理（以字母O表示）事前認證（以字母R表示）雙機熱備（以字母h表示）VPNPPP協(xié)議（以字母P表示）VPNIPSec協(xié)議（以字母I表示）流探測（以字母i表示）<dst:mbyse>：指日志處理方式，mbyse分別指發(fā)送本地一、發(fā)送本地二日志、外發(fā)syslog主機、外發(fā)snmptrap主機、email告警等，用戶可根據(jù)需要選擇?；€符合性判定依據(jù)判定條件查看防火墻是否生成相應告警檢測操作查看防火墻是否生成相應告警補充說明無。備注配置DOS和DDOS攻擊告警安全基線項目名稱配置DOS和DDOS攻擊防護功能安全基線要求項安全基線編號SBL-LinkTrustFW-03-02-02安全基線項說明可打開DOS和DDOS攻擊防護功能。對攻擊告警。DDOS的攻擊告警的參數(shù)可由維護人員根據(jù)網絡環(huán)境進行調整。維護人員可通過設置白名單方式屏蔽部分告警。檢測操作步驟參考配置操作antidossetsynfloodantidossetlandonantidossetsmurfonantisetfragonantidosseticmpmax<2-10000|on>antidossetudpmax<50-100000|on>blockshortiponblockipoptionson補充操作說明無。基線符合性判定依據(jù)判定條件查看是否已經將此功能打開。檢測操作查看配置。補充說明無。備注配置掃描攻擊檢測告警*安全基線項目名稱配置掃描攻擊檢測告警安全基線要求項安全基線編號SBL-LinkTrustFW-03-02-03安全基線項說明可打開掃描攻擊檢測功能。對掃描探測告警。掃描攻擊告警的參數(shù)可由維護人員根據(jù)網絡環(huán)境進行調整。維護人員可通過設置白名單方式屏蔽部分網絡掃描告警。檢測操作步驟參考配置操作可參考“安全要求-設備-防火墻-配置-43”補充操作說明無基線符合性判定依據(jù)判定條件無檢測操作無補充說明無。備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。安全策略配置要求訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線項目名稱訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-01安全基線項說明所有防火墻在配置訪問規(guī)則時，最后一條必須是拒絕一切流量。檢測操作步驟參考配置操作設備默認最后一條為拒絕所有其他。補充操作說明設備也支持主動建立禁止一切的策略。基線符合性判定依據(jù)判定條件無。檢測操作查看策略配置及測試訪問。補充說明無。備注配置訪問規(guī)則應盡可能縮小范圍安全基線項目名稱配置訪問規(guī)則應盡可能縮小范圍安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-02安全基線項說明在配置訪問規(guī)則時，源地址和目的地址的范圍必須以實際訪問需求為前提，盡可能的縮小范圍。檢測操作步驟參考配置操作根據(jù)實際訪問需求，縮小地址范圍。需要禁止anytoanyall和anyall和服務為all的規(guī)則。補充操作說明我們在防火墻上可以定義不同范圍的地址對象，在策略中進行引用即可。如下命令用來建立不同范圍的地址對象，供策略引用。netobjhostadd<name><interface><ip><comment>netobjadd<name><interface><ip/maskbits><comment>netobjaddstd<name><interface><ip/maskbits><comment>netobjaddipr<name><interface><iprange><comment>netobjaddifr<name><interface><comment>netobjaddznr<name><zone><comment>基線符合性判定依據(jù)判定條件無。檢測操作根據(jù)實際訪問需求，測試是否達到要求；查看配置。補充說明無。備注VPN用戶按照訪問權限進行分組*安全基線項目名稱VPN用戶按照訪問權限進行分組安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-03安全基線項說明對于VPN用戶，必須按照其訪問權限不同而進行分組，并在訪問控制規(guī)則中對該組的訪問權限進行嚴格限制。檢測操作步驟參考配置操作vpndialupuseradd<name><comment>[ip/mask]policyadd<service><netfrom><netto><act>[options][toname]補充操作說明設備部分支持此項功能?；€符合性判定依據(jù)判定條件無。檢測操作按照需求訪問進行檢測。補充說明無。備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。配置NAT地址轉換*安全基線項目名稱配置NAT地址轉換安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-04安全基線項說明配置NAT，對公網隱藏局域網主機的實際地址。檢測操作步驟參考配置操作nat11add<ipin><ipout>[interface]補充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作從外網用NAT地址訪問內網的IP補充說明無。備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。關閉僅開啟必要服務安全基線項目名稱僅開啟必要服務安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-05安全基線項說明防火墻設備必須僅開啟必要服務。與生產無關的服務端口不能開放規(guī)則。檢測操作步驟參考配置操作policyadd<service><netfrom><netto><act>[options][toname]補充操作說明無基線符合性判定依據(jù)判定條件無。檢測操作查看策略，檢查是否有不必要的服務Policylist補充說明無。備注禁止使用any

toanyall允許規(guī)則安全基線項目名稱盡量不允許使用any

toany安全基線要求項安全基線編號SBL-LinkTrustFW-03-03-06安全基線項說明防火墻策略配置時不允許使用any

toanyall允許規(guī)則，對于從防火墻內部到外部的訪問也應指定策略;應定期的對防火墻策略進行檢查和梳理檢測操作步驟參考配置操作查看訪問控制策略policylist配置防火墻策略policyadd<service><netfrom><netto><act>[options][toname]補充操作說明無基線符合性判定依據(jù)判定條件無檢測操作policylist補充說明無。備注攻擊防護配置要求配置應用層攻擊防護*安全基線項目名稱配置應用層攻擊防護安全基線要求項安全基線編號SBL-LinkTrustFW-03-04-01安全基線項說明建議采用安氏防火墻自帶的smartpro入侵檢測模塊對應用層攻擊進行防護檢測操作步驟參考配置操作smartproenable[level]其中級別如下，建議采用默認級別10-disable1-duplicatepass-policymatchedpackets,2-duplicatemorepass-policymatchedpackets3-duplicateallpackets補充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經將此功能打開。檢測操作查看配置。補充說明無。備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。配置網絡掃描攻擊防護*安全基線項目名稱配置網絡掃描攻擊防護安全基線要求項安全基線編號SBL-LinkTrustFW-03-04-02安全基線項說明建議采用安氏防火墻自帶的smartpro入侵檢測模塊對網絡掃描攻擊行為進行檢測檢測操作步驟參考配置操作啟用流探測功能模塊：smartproenable[level]其中級別如下，建議采用默認級別10-disable1-duplicatepass-policymatchedpackets,2-duplicatemorepass-policymatchedpackets3-duplicateallpackets通過WEB管理界面選擇需要檢測的掃描攻擊行為的list，如下圖：選擇啟用即可補充操作說明無。基線符合性判定依據(jù)判定條件查看是否已經將此功能打開。檢測操作查看配置。補充說明無。備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。限制ping包大小*安全基線項目名稱限制ping包大小安全基線要求項安全基線編號SBL-LinkTrustFW-03-04-03安全基線項說明限制ping包的大小，以及一段時間內同一主機發(fā)送的次數(shù)。檢測操作步驟參考配置操作antidosseticmpmax<2-10000|on|off>補充操作說明部分功能實現(xiàn)。基線符合性判定依據(jù)判定條件無。檢測操作查看配置；需求測試。補充說明無。備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。啟用對帶選項的IP包及畸形IP包的檢測安全基線項目名稱啟用對帶選項的IP包及畸形IP包的檢測安全基線要求項安全基線編號SBL-LinkTrustFW-03-04-04安全基線項說明啟用對帶選項的IP包及畸形IP包的檢測檢測操作步驟參考配置操作antisetfragon補充操作說明無?；€符合性判定依據(jù)判定條件查看是否已經將此功能打開。檢測操作查看配置。補充說明無。備注防火墻各邏輯接口配置開啟防源地址欺騙功能安全基線項目名稱防火墻