H3C防火墙安全配置基线.docx
《H3C防火墙安全配置基线.docx》由会员分享,可在线阅读,更多相关《H3C防火墙安全配置基线.docx(85页珍藏版)》请在冰点文库上搜索。
![H3C防火墙安全配置基线.docx](https://file1.bingdoc.com/fileroot1/2023-6/9/12728616-9fe8-48c4-9ee9-d0003b272150/12728616-9fe8-48c4-9ee9-d0003b2721501.gif)
H3C防火墙安全配置基线
H3C防火墙安全配置基线
H3C防火墙安全配置基线
第1页共28页
H3C防火墙安全配置基线
版本版本控制信息更新日期更新人审批人
V2.0创建2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
第2页共28页
H3C防火墙安全配置基线
目
录
第1
章
概述.........................................................................................................................................
1
1.1
目的.........................................................................................................................................
1
1.2
适用范围.................................................................................................................................
1
1.3
适用版本.................................................................................................................................
1
1.4
实施.........................................................................................................................................
1
1.5
例外条款.................................................................................................................................
1
第2
章
帐号管理、认证授权安全要求.............................................................................................
2
2.1
帐号管理.................................................................................................................................
2
2.1.1
用户帐号分配*...............................................................................................................
2
2.1.2
删除无关的帐号*...........................................................................................................
3
2.1.3
帐户登录超时*...............................................................................................................
3
2.1.4
帐户密码错误自动锁定*...............................................................................................
4
2.2
口令.........................................................................................................................................
5
2.2.1
口令复杂度要求.............................................................................................................
5
2.3
授权.........................................................................................................................................
6
2.3.1
远程维护的设备使用加密协议
.....................................................................................
6
第3
章
日志及配置安全要求.............................................................................................................
7
3.1
日志安全.................................................................................................................................
7
3.1.1
记录用户对设备的操作.................................................................................................
7
3.1.2
开启记录NAT日志*......................................................................................................
7
3.1.3
开启记录VPN日志*......................................................................................................
8
3.1.4
配置记录拒绝和丢弃报文规则的日志.........................................................................
8
3.2
告警配置要求.........................................................................................................................
9
3.2.1
配置对防火墙本身的攻击或内部错误告警.................................................................
9
3.2.2
配置TCP/IP协议网络层异常报文攻击告警...............................................................
9
3.2.3
配置DOS和DDOS攻击告警.....................................................................................
10
3.2.4
配置关键字内容过滤功能告警*.................................................................................
12
3.3
安全策略配置要求...............................................................................................................
13
3.3.1
访问规则列表最后一条必须是拒绝一切流量...........................................................
13
3.3.2
配置访问规则应尽可能缩小范围...............................................................................
13
3.3.3
VPN用户按照访问权限进行分组*.................................................................................
14
3.3.4
配置NAT地址转换*....................................................................................................
15
3.3.5
隐藏防火墙字符管理界面的
bannner信息................................................................
16
3.3.6
避免从内网主机直接访问外网的规则*.....................................................................
16
3.3.7
关闭非必要服务...........................................................................................................
17
3.4
攻击防护配置要求...............................................................................................................
17
3.4.1
拒绝常见漏洞所对应端口或者服务的访问...............................................................
17
3.4.2
防火墙各逻辑接口配置开启防源地址欺骗功能.......................................................
19
第4
章
IP协议安全要求..............................................................................................................
19
第3页共28页
H3C防火墙安全配置基线
4.1
功能配置...............................................................................................................................
19
4.1.1
使用SNMPV2c或者V3以上的版本对防火墙远程管理..........................................
19
第5
章
其他安全要求.......................................................................................................................
22
5.1
其他安全配置.......................................................................................................................
22
5.1.1
外网口地址关闭对ping包的回应*............................................................................
22
5.1.2
对防火墙的管理地址做源地址限制...........................................................................
22
第6
章
评审与修订...........................................................................................................................
24
第4页共28页
H3C防火墙安全配置基线
第1章概述
1.1目的
本文档旨在指导系统管理人员进行H3C防火墙的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
H3C防火墙。
1.4实施
1.5例外条款
第1页共28页
H3C防火墙安全配置基线
第2章帐号管理、认证授权安全要求
2.1帐号管理
2.1.1用户帐号分配*
安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据
用户帐号分配安全基线要求项
SBL-H3C-02-01-01
不同等级管理员分配不同帐号,避免帐号混用。
1.参考配置操作
#
local-useruser1
passwordcipherW@FSOR(5:
L'LK8RI6$H@XA!
!
authorization-attributelevel3
service-typetelnet
#
local-useruser2
passwordcipherW@FSOR(5:
L'LK8RI6$H@XA!
!
authorization-attributelevel2
service-typetelnet
#
2.补充操作说明
无。
1.判定条件
用配置中没有的用户名去登录,结果是不能登录。
2.检测操作
displaycurrent-configuration
#
local-useruser1
passwordcipherW@FSOR(5:
L'LK8RI6$H@XA!
!
authorization-attributelevel3
service-typetelnet
#
第2页共28页
H3C防火墙安全配置基线
local-useruser2
passwordcipherW@FSOR(5:
L'LK8RI6$H@XA!
!
authorization-attributelevel2
service-typetelnet
#
3.补充说明
无。
备注有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。
2.1.2删除无关的帐号*
安全基线项无关的帐号安全基线要求项
目名称
安全基线编SBL-H3C-02-01-02
号
安全基线项应删除或锁定与设备运行、维护等工作无关的帐号。
说明
检测操作步1.参考配置操作
骤
[H3C]undolocal-useruser1
2.补充操作说明
无
基线符合性1.判定条件
判定依据
配置中用户信息被删除。
2.检测操作
displaycurrent-configuration
3.补充说明
无。
备注建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。
2.1.3帐户登录超时*
安全基线项帐户登录超时安全基线要求项
目名称
安全基线编SBL-H3C-02-01-03
号
第3页共28页
H3C防火墙安全配置基线
安全基线项配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需再次登录才能
说明
进入系统。
检测操作步1、参考配置操作
骤
设置超时时间为5分钟
2、补充说明
无。
基线符合性1.判定条件
判定依据
在超出设定时间后,用户自动登出设备。
2.参考检测操作
3.补充说明
无。
备注需要手工检查。
2.1.4帐户密码错误自动锁定*
安全基线项
帐户密码错误自动锁定安全基线要求项
目名称
安全基线编
SBL-H3C-02-01-04
号
安全基线项
在10次尝试登录失败后锁定帐户,不允许登录。
说明
解锁时间设置为300秒
检测操作步
1、参考配置操作
骤
10次
设置尝试失败锁定次数为
2、补充说明
无。
基线符合性1.判定条件
判定依据
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。
2.参考检测操作
第4页共28页
H3C防火墙安全配置基线
3.补充说明
无。
备注注意!
此项设置会影响性能,建议设置后对访问此设备做源地址做限制。
需要手工检查。
2.2口令
2.2.1口令复杂度要求
安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据
备注
口令复杂度要求安全基线要求项
SBL-H3C-02-02-01
防火墙管理员帐号口令长度至少8位,并包括数字、小写字母、大写字母和
特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每
90天进行更换。
1.参考配置操作
[H3C]local-useradmin[H3C-luser-huawei]service-typetelnetlevel3[H3C-luser-huawei]passwordcipherAq1!
Sw2@
2.补充操作说明
无
1.判定条件
该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。
2.检测操作
此项无法通过配置实现,建议通过管理实现。
3.补充说明
无。
第5页共28页
H3C防火墙安全配置基线
2.3授权
2.3.1远程维护的设备使用加密协议
安全基线项远程维护使用加密协议安全基线要求项
目名称
安全基线编SBL-H3C-02-03-01
号
安全基线项对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH或者WEB说明
SSL,如果只允许从防火墙内部进行管理,应该限定管理IP。
检测操作步1.参考配置操作
骤
登陆设备web配置页面,在“设备管理”----“服务管理”下选择ssh、https
方式登陆设备。
基线符合性
判定依据
配置针对SSH登陆用户IP地址的限定:
#
aclnumber3000
rule0permitipsource[ipaddress][wildcard]
#
user-interfacevty04
acl3000inbound
protocolinboundssh
#
2.补充操作说明
无
1.判定条件
查看防火墙是否启用了ssh、https服务;针对SSH登陆用户进行IP地址限
第6页共28页
H3C防火墙安全配置基线
定。
2.检测操作
通过ssh、https方式登陆设备进行检测。
3.补充说明
无。
备注
第3章日志及配置安全要求
3.1日志安全
3.1.1记录用户对设备的操作
安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据
用户对设备记录安全基线要求项
SBL-H3C-03-01-01
配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号解锁等信息。
配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。
1.参考配置操作
[H3C]info-centerenable
2.补充操作说明
设备默认开启日志功能,记录在设备的logbuffer中。
1.判定条件
检查配置中的logbuffer相关配置。
2.检测操作
displaylogbuffer
备注
3.1.2开启记录NAT日志*
安全基线项开启记录NAT日志安全基线要求项
目名称
第7页共28页
H3C防火墙安全配置基线
安全基线编SBL-H3C-03-01-02
号
安全基线项开启记录NAT日志,记录转换前后IP地址的对应关系。
说明
检测操作步1.参考配置操作
骤[H3C]userlogflowexportversion3
[H3C]userlogflowexporthost[logserveripaddress][logserverport]
2.补充操作说明
防火墙自身不记录NAT日志信息,需要配置专门的日志服务器,防火墙将NAT日志信息发送到专门的日志服务器。
基线符合性1.判定条件
判定依据检查配置中的NAT日志相关配置;
2.检测操作
displayuse