1、H3C 防火墙安全加固之设备篇(一)防火墙作为保障网络安全的基础设备,往往部署在网络的边界位置,起到隔离不同安全区域的作用,这使得防火墙成为保护内部网络的一道屏障,此时防火墙作为重要的网络节点,自身一旦被攻破,用户的内部网络便暴露在攻击者面前,所以防火墙自身的安全需要引起我们的重视。今天我们就来了解一下H3C 防火墙的常用安全加固手段。对于网络维护人员而言,最常接触并最应该重视的就是防火墙的口令。H3C 防火墙的缺省用户名密码通常为 h3c/h3c 或者 admin/admin, 由于缺省密码的安全级别非常低,在完成初始化部署后,必须修改缺省账户的密码或者禁用缺省账号。这里通常建议密码的长度至
2、少为 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类,每类多于 4 个,账户口令的生存期要低于 90 天,并实效前提前7 天发出告警。例如在设备上可以通过以下方式设定口令规范:system-viewH3C password-control enableH3C password-control length 8H3C password-control composition type-number 2 type-length 4H3C password-control aging 90H3C password-control alert-before-expire 7此后
3、则必须输入符合规则的口令,否则会报错,例如:H3Clocal-user H3C_YYSH3C-luser-H3C_YYSpassword cipher 12!Error: Password is too short. Please input a password in minimum length(The minimum length is 8).除了口令以外,网络维护人员还需要制定严格的设备管理控制策略。在 H3C 防火墙上可以通过域间策略来实现这个需求。默认情况下,H3C 防火墙允许所有区域的设备访问 local 区域,虽然将管理口连接的网络划入了 management 区域,但是设备上
4、接口本身是属于 local 区域的,这样需要配置安全策略阻止所有区域到 local 区域的服务请求,并且在此规则前应放开以下业务:1. 允许网管机和本计算机到 local 区域的访问,包括HTTPS、 SSH、SNMP 、FTP 、 TFTP、PING、TELNET、HTTP:2. 允许部分区域到本地的一些必要协议,例如 VRRP、OSPF、BGP、PING、IKE 、L2TP、ESP等,可以根据实际需求配置。假设本地连接公网的接口地址为 10.1.1.1:3. 确认其它设备是否有到本地的探测,比如 NQA,BFD 探测之类的功能,如果需要则必须允许相关协议访问 local 区域。假设内网 Trust 区域有设备需要对防火墙接口 10.2.2.1 进行 BFD 检测:4. 在配置 IP 地址范围明确的区域时,要使用基于明确地址的域间策略,不使用 any - any 这种方式配置,比如 trust 区域的地址范围是 192.168.1.1/28,untrust 是互联网,则配置 trust 192.168.1.1/28 -untrust any 的策略;5. 最后 deny 所有其他的访问。但必须要注意,由于 H3C 防火墙按照 WEB 页面显示顺序匹配域间策略,所以配置的 deny any 的规则一定要放到最后,避免导致网络不通:
