安氏防火墙安全配置基线.doc

1、 安氏防火墙安全配置基线中国移动集团公司 第 1 页 共 33 页安氏防火墙安全配置基线中国移动通信有限公司 管理信息系统部2012 年 04 月安氏防火墙安全配置基线中国移动集团公司 第 2 页 共 33 页版本 版本控制信息 更新日期 更新人 审批人V2.0 创建 2012 年 4 月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。安氏防火墙安全配置基线中国移动集团公司 第 3 页 共 33 页目 录第 1 章 概述 .11.1 目的 .11.2 适用范围 .11.3 适用版本 .11.4 实施 .11.5 例外条款 .1第 2 章 账号管理、认证授权安全

2、要求 .22.1 账号管理 .22.1.1 用户账号分配 * 22.1.2 删除无关的账号 * 22.1.3 帐户登录超时 * 32.1.4 帐户密码错误自动锁定 * 42.2 口令 .42.2.1 口令复杂度要求 42.3 授权 .52.3.1 远程维护的设备使用加密协议 5第 3 章 日志及配置安全要求 .63.1 日志安全 .63.1.1 对用户登录进行记录 63.1.2 记录与设备相关的安全事件 73.1.3 配置设备远程日志功能 83.2 告警配置要求 .93.2.1 配置对防火墙本身的攻击或内部错误告警 93.2.2 配置 DOS 和 DDOS 攻击告警 103.2.3 配置扫描攻

3、击检测告警 * 113.3 安全策略配置要求 .113.3.1 访问规则列表最后一条必须是拒绝一切流量 113.3.2 配置访问规则应尽可能缩小范围 123.3.3 VPN 用户按照访问权限进行分组 *133.3.4 配置 NAT 地址转换 *.133.3.5 关闭仅开启必要服务 143.3.6 禁止使用 any to anyall 允许规则 .153.4 攻击防护配置要求 .153.4.1 配置应用层攻击防护 *.153.4.2 配置网络扫描攻击防护 *.163.4.3 限制 ping 包大小 *.173.4.4 启用对带选项的 IP 包及畸形 IP 包的检测 .183.4.5 防火墙各逻辑

4、接口配置开启防源地址欺骗功能 18第 4 章 IP 协议安全要求 .19安氏防火墙安全配置基线中国移动集团公司 第 4 页 共 33 页4.1 IP 协议 194.1.1 使用 SNMP V2 或者 V3 以上的版本对防火墙远程管理 19第 5 章 其他安全要求 .215.1 其他安全配置 .215.1.1 配置定时账户自动登出 215.1.2 配置 consol 口密码保护功能 21第 6 章 评审与修订 .23安氏防火墙安全配置基线中国移动集团公司 第 1 页 共 33 页第 1 章 概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的安氏防火墙应当遵循的设备安全性设置标准，本文

5、档旨在指导系统管理人员进行安氏防火墙的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的安氏防火墙。1.3 适用版本安氏防火墙。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。安氏防火墙安全配置基线中国移动集团公司 第 2 页 共 33 页第 2 章 账号管

6、理、认证授权安全要求2.1 账号管理2.1.1 用户账号分配*安全基线项目名称用户账号分配安全基线要求项安全基线编号SBL-LinkTrustFW-02-01-01 安全基线项说明 不同等级管理员分配不同账号，避免账号混用。检测操作步骤1. 参考配置操作usrobj passwdp admin NNtEDJuo3qa28usrobj passwdp guest fyRW3nLH7ywPlusrobj addadminp passwd “2. 补充操作说明前两个用户为系统默认建立的帐号。基线符合性判定依据1. 判定条件用配置中没有的用户名去登录，结果是不能登录。2. 检测操作在图形界面登陆3.

7、补充说明无。备注 有些防火墙系统本身就携带三种不同权限的账号，需要手工检查。2.1.2 删除无关的账号*安全基线项目名称无关的账号安全基线要求项安全基线编号SBL- LinkTrustFW-02-01-02 安氏防火墙安全配置基线中国移动集团公司 第 3 页 共 33 页安全基线项说明 应删除或锁定与设备运行、维护等工作无关的账号。检测操作步骤1. 参考配置操作usrobj del 2. 补充操作说明使用 usrobj list admin 显示帐户信息。基线符合性判定依据1. 判定条件配置中用户信息被删除。2. 检测操作查看配置。3. 补充说明无。备注 建议手工抽查系统，无关账户更多属于管理

8、层面，需要人为确认。2.1.3 帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL- LinkTrustFW -02-01-03 安全基线项说明 配置定时帐户自动登出，空闲 5 分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、 参考配置操作设置超时时间为 5 分钟2、补充说明无。基线符合性判定依据1. 判定条件在超出设定时间后，用户自动登出设备。2. 参考检测操作3. 补充说明安氏防火墙安全配置基线中国移动集团公司 第 4 页 共 33 页无。备注 需要手工检查。2.1.4 帐户密码错误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线

9、编号SBL- LinkTrustFW -02-01-04 安全基线项说明 在 10 次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为 300 秒检测操作步骤1、 参考配置操作设置尝试失败锁定次数为 10 次2、补充说明无。基线符合性判定依据1. 判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2. 参考检测操作3. 补充说明无。备注 注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL- LinkTrustFW -02-02-01 安氏防火墙安全

10、配置基线中国移动集团公司 第 5 页 共 33 页安全基线项说明 防火墙管理员账号口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置相同的口令。密码应至少每 90 天进行更换。检测操作步骤1. 参考配置操作usrobj addadminp 回车，输入密码。2. 补充操作说明口令字符不完全符合要求。基线符合性判定依据1. 判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2. 检测操作实验性建立帐户信息。3. 补充说明无。备注2.3 授权2.3.1 远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安

11、全基线编号SBL-LinkTrustFW-02-03-01安全基线项说明 对于防火墙远程管理的配置，必须是基于加密的协议。如 SSH 或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理 IP。检测操作步骤1. 参考配置操作系统默认支持 ssh 及 WEB SSL 两种加密管理方式，查看及增加管理 IP 操作如下：查看管理 IPadminhost list安氏防火墙安全配置基线中国移动集团公司 第 6 页 共 33 页增加管理 IPadminhost add 2. 补充操作说明基线符合性判定依据1. 判定条件只支持 ssh 及 Web SSL 管理，对于非允许的 ip 地址不能登陆

12、。2. 检测操作使用非允许的 ip 地址登陆。 3. 补充说明无。备注第 3 章 日志及配置安全要求3.1 日志安全3.1.1 对用户登录进行记录安全基线项目名称用户登录进行记录安全基线要求项安全基线编号SBL-LinkTrustFW-03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。检测操作步骤1. 参考配置操作log policy add 2. 补充操作说明：系统 （以字母 a 表示）NAT （以字母 n 表示）包过滤 （以字母 f 表示）连接状态 （以字母 c 表示）H

13、TTP 代理（以字母 H 表示）TELNET 代理（以字母 T 表示）SMTP 代理（以字母 S 表示）安氏防火墙安全配置基线中国移动集团公司 第 7 页 共 33 页POP3 代理（以字母 O 表示）事前认证（以字母 R 表示）双机热备（以字母 h 表示）VPN PPP 协议（以字母 P 表示）VPN IPSec 协议（以字母 I 表示）流探测（以字母 i 表示）：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发 syslog 主机、外发 snmp trap 主机、email 告警等，用户可根据需要选择。基线符合性判定依据设备应配置日志功能，对用户登录进行记录，记录内容包括

14、用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。备注3.1.2 记录与设备相关的安全事件安全基线项目名称记录与设备相关安全事件安全基线要求项安全基线编号SBL-LinkTrustFW-03-01-02安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。检测操作步骤1. 参考配置操作log policy add 2. 补充操作说明：系统 （以字母 a 表示）NAT （以字母 n 表示）包过滤 （以字母 f 表示）连接状态 （以字母 c 表示）HTTP 代理（以字

15、母 H 表示）TELNET 代理（以字母 T 表示）SMTP 代理（以字母 S 表示）POP3 代理（以字母 O 表示）事前认证（以字母 R 表示）双机热备（以字母 h 表示）VPN PPP 协议（以字母 P 表示）VPN IPSec 协议（以字母 I 表示）流探测（以字母 i 表示）：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发 syslog 主机、外发 snmp trap 主机、email 告警等，用户可根安氏防火墙安全配置基线中国移动集团公司 第 8 页 共 33 页据需要选择。基线符合性判定依据1. 判定条件在设备上正确纪录了日志信息。2. 检测操作查看日志模块。

16、3. 补充说明无。备注3.1.3 配置设备远程日志功能安全基线项目名称配置设备远程日志功能安全基线要求项安全基线编号SBL-LinkTrustFW-03-01-03安全基线项说明 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。建议将 Warning 级别（4 级）以上日志传送到志服务器和统一的安全管理平台处理。检测操作步骤1. 参考配置操作loghost add 设备log policy add 其中 0:EMERGENCY1:ALERT2:CRITICAL3:ERROR4:WARNING5:NOTICE6:INFO7:DEBUG2. 补充操作说明可以设置发送的日志服务器 I

17、P 地址。基线符合性判定依据1. 判定条件日志服务器上是否接收到了正确的日志信息。2. 检测操作安氏防火墙安全配置基线中国移动集团公司 第 9 页 共 33 页在日志服务器上查看信息。3. 补充说明无。备注3.2 告警配置要求3.2.1 配置对防火墙本身的攻击或内部错误告警安全基线项目名称配置对防火墙本身的攻击或内部错误告警安全基线要求项安全基线编号SBL-LinkTrustFW-03-02-01 安全基线项说明 设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。检测操作步骤1. 参考配置操作参考日志配置模块，如下：log policy add 2.

18、补充操作说明设备只支持纪录部分关键操作。：系统 （以字母 a 表示）NAT （以字母 n 表示）包过滤 （以字母 f 表示）连接状态 （以字母 c 表示）HTTP 代理（以字母 H 表示）TELNET 代理（以字母 T 表示）SMTP 代理（以字母 S 表示）POP3 代理（以字母 O 表示）事前认证（以字母 R 表示）双机热备（以字母 h 表示）VPN PPP 协议（以字母 P 表示）VPN IPSec 协议（以字母 I 表示）流探测（以字母 i 表示）：指日志处理方式，mbyse 分别指发送本地一、发送本地二安氏防火墙安全配置基线中国移动集团公司 第 10 页 共 33 页日志、外发 sy

19、slog 主机、外发 snmp trap 主机、email 告警等，用户可根据需要选择。基线符合性判定依据1. 判定条件查看防火墙是否生成相应告警2. 检测操作查看防火墙是否生成相应告警3. 补充说明无。备注3.2.2 配置 DOS 和 DDOS 攻击告警安全基线项目名称配置 DOS 和 DDOS 攻击防护功能安全基线要求项安全基线编号SBL-LinkTrustFW-03-02-02 安全基线项说明 可打开 DOS 和 DDOS 攻击防护功能。对攻击告警。 DDOS 的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。检测操作步骤1. 参考配置操作ant

20、idos set synflood antidos set land onantidos set smurf onanti set frag onantidos set icmpmax antidos set udpmax blockshortip onblockipoptions on2. 补充操作说明无。基线符合性判定依据3. 判定条件查看是否已经将此功能打开。安氏防火墙安全配置基线中国移动集团公司 第 11 页 共 33 页4. 检测操作查看配置。5. 补充说明无。备注3.2.3 配置扫描攻击检测告警*安全基线项目名称配置扫描攻击检测告警安全基线要求项安全基线编号SBL-LinkTrus

21、tFW-03-02-03安全基线项说明 可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警。检测操作步骤1. 参考配置操作可参考“安全要求-设备-防火墙-配置-43 ”2. 补充操作说明无基线符合性判定依据1. 判定条件无 2. 检测操作无 3. 补充说明无。备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3 安全策略配置要求3.3.1 访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后一条必须是拒绝一切流量安全基线要求项安氏防火墙安全配置基线中国移动集团公司 第

22、 12 页 共 33 页安全基线编号SBL-LinkTrustFW-03-03-01安全基线项说明 所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。检测操作步骤1. 参考配置操作设备默认最后一条为拒绝所有其他。2. 补充操作说明设备也支持主动建立禁止一切的策略。基线符合性判定依据1. 判定条件无。2. 检测操作查看策略配置及测试访问。3. 补充说明无。备注3.3.2 配置访问规则应尽可能缩小范围安全基线项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-LinkTrustFW-03-03-02安全基线项说明 在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为

23、前提，尽可能的缩小范围。检测操作步骤1. 参考配置操作根据实际访问需求，缩小地址范围。需要禁止 any to any all 和 any all和服务为 all 的规则。2. 补充操作说明我们在防火墙上可以定义不同范围的地址对象，在策略中进行引用即可。如下命令用来建立不同范围的地址对象，供策略引用。netobj hostadd netobj add netobj addstd 安氏防火墙安全配置基线中国移动集团公司 第 13 页 共 33 页netobj addipr netobj addifr netobj addznr 基线符合性判定依据1. 判定条件无。2. 检测操作根据实际访问需求，测

24、试是否达到要求；查看配置。3. 补充说明无。备注3.3.3 VPN 用户按照访问权限进行分组*安全基线项目名称VPN 用户按照访问权限进行分组安全基线要求项安全基线编号SBL-LinkTrustFW-03-03-03安全基线项说明 对于 VPN 用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。检测操作步骤1. 参考配置操作vpn dialupuser add ip/maskpolicy add options toname2. 补充操作说明设备部分支持此项功能。基线符合性判定依据1. 判定条件无。2. 检测操作按照需求访问进行检测。3. 补充说明无。备注

25、 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。安氏防火墙安全配置基线中国移动集团公司 第 14 页 共 33 页3.3.4 配置 NAT 地址转换*安全基线项目名称配置 NAT 地址转换安全基线要求项安全基线编号SBL-LinkTrustFW-03-03-04安全基线项说明 配置 NAT，对公网隐藏局域网主机的实际地址。检测操作步骤1. 参考配置操作nat11 add interface2. 补充操作说明无基线符合性判定依据1. 判定条件无。2. 检测操作从外网用 NAT 地址访问内网的 IP3. 补充说明无。备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3

26、.3.5 关闭仅开启必要服务安全基线项目名称仅开启必要服务安全基线要求项安全基线编号SBL- LinkTrustFW -03-03-05安全基线项说明 防火墙设备必须仅开启必要服务。与生产无关的服务端口不能开放规则。检测操作步骤1. 参考配置操作policy add options toname2. 补充操作说明无基线符合性判定依据1. 判定条件无。安氏防火墙安全配置基线中国移动集团公司 第 15 页 共 33 页2. 检测操作查看策略，检查是否有不必要的服务Policy list3. 补充说明无。备注3.3.6 禁止使用 any to anyall 允许规则安全基线项目名称尽量不允许使用 a

27、ny to any 安全基线要求项安全基线编号SBL- LinkTrustFW -03-03-06安全基线项说明 防火墙策略配置时不允许使用 any to any all 允许规则，对于从防火墙内部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理检测操作步骤1. 参考配置操作查看访问控制策略policy list配置防火墙策略policy add options toname2. 补充操作说明无基线符合性判定依据1. 判定条件无2. 检测操作policy list3. 补充说明无。备注安氏防火墙安全配置基线中国移动集团公司 第 16 页 共 33 页3.4 攻击防护配置要求3.4

28、.1 配置应用层攻击防护*安全基线项目名称配置应用层攻击防护安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-01安全基线项说明 建议采用安氏防火墙自带的 smartpro 入侵检测模块对应用层攻击进行防护检测操作步骤1. 参考配置操作smartpro enable level其中级别如下，建议采用默认级别 10 - disable 1 - duplicate pass-policy matched packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets2. 补充操作

29、说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.2 配置网络扫描攻击防护*安全基线项目名称配置网络扫描攻击防护安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-02安全基线项说明 建议采用安氏防火墙自带的 smartpro 入侵检测模块对网络扫描攻击行为进行检测安氏防火墙安全配置基线中国移动集团公司 第 17 页 共 33 页检测操作步骤1. 参考配置操作启用流探测功能模块：smartpro enable level其中级别如下，建议采用默认

30、级别 10 - disable 1 - duplicate pass-policy matched packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets通过 WEB 管理界面选择需要检测的扫描攻击行为的 list，如下图：选择启用即可2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.3 限制 ping 包大小 *安全基线项目名称限制 ping

31、 包大小安全基线要求项安全基线编 SBL-LinkTrustFW-03-04-03安氏防火墙安全配置基线中国移动集团公司 第 18 页 共 33 页号安全基线项说明 限制 ping 包的大小，以及一段时间内同一主机发送的次数。检测操作步骤1. 参考配置操作antidos set icmpmax 2. 补充操作说明部分功能实现。基线符合性判定依据1. 判定条件无。2. 检测操作查看配置；需求测试。3. 补充说明无。备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.4 启用对带选项的 IP 包及畸形 IP 包的检测安全基线项目名称启用对带选项的 IP 包及畸形 IP 包的检

32、测安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-04安全基线项说明 启用对带选项的 IP 包及畸形 IP 包的检测检测操作步骤1. 参考配置操作anti set frag on2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。安氏防火墙安全配置基线中国移动集团公司 第 19 页 共 33 页备注3.4.5 防火墙各逻辑接口配置开启防源地址欺骗功能安全基线项目名称防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项安全基线编号SBL-LinkTrustFW-03-04-05安全基线项说明 防火墙须支

33、持透明模式及路由模式配置要求检测操作步骤1. 参考配置操作启用或禁用网桥配置brconfig enabledisable 配置网桥接口brconfig attach 2. 补充操作说明无基线符合性判定依据1. 判定条件无2. 检测操作查看网桥配置brconfig list3. 补充说明1) 加入网桥的接口必须先加入 layer2/layer3 类型的安全域中2) 只包含一个接口的网桥是不可用的备注安氏防火墙安全配置基线中国移动集团公司 第 20 页 共 33 页第 4 章 IP 协议安全要求4.1 IP 协议4.1.1 使用 SNMP V2 或者 V3 以上的版本对防火墙远程管理安全基线项目名

34、称使用 SNMPV2 或者 V3 以上的版本对防火墙远程管理安全基线要求项安全基线编号SBL-LinkTrustFW-04-01-01安全基线项说明 使用 SNMP V3 以上的版本对防火墙做远程管理。去除 SNMP 默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写） 。检测操作步骤1参考配置操作I.限制 snmp 远程管理的版本II.删除默认的共同体(public) 和用户名2补充操作说明基线符合性判定依据1.判定条件检查配置中 snmp 相关内容备注安氏防火墙安全配置基线中国移动集团公司 第 21 页 共 33 页第 5 章 其

35、他安全要求5.1 其他安全配置5.1.1 配置定时账户自动登出安全基线项目名称配置定时账户自动登出安全基线要求项安全基线编号SBL-LinkTrustFW-05-01-01 安全基线项说明 对于具备字符交互界面及图形界面（含 WEB 界面）的设备，应配置定时账户自动登出。空闲时间设置 5 分钟。检测操作步骤1. 参考配置操作该设备自动设定。2. 补充操作说明无。基线符合性判定依据1. 判定条件停止操作一段时间，查看是否已经自动登出。2. 检测操作无。3. 补充说明无。备注5.1.2 配置 consol 口密码保护功能安全基线项目名称配置 consol 口密码保护功能安全基线要求项安全基线编号SBL-LinkTrustFW-05-01-02安全基线项说明 对于具备 console 口的设备，应配置 console 口密码保护功能。安氏防火墙安全配置基线中国移动集团公司 第 22 页 共 33 页检测操作步骤1. 参考配置操作该设备无此功能。2. 补充操作说明无。基线符合性判定依据1. 判定条件无。2. 检测操作无。3. 补充说明无。备注安氏防火墙安全配置基线中国移动集团公司 第 23 页 共 33 页第 6 章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。