收藏
下载资源

fortigate防火墙安全配置基线资料

上传人:w****i 文档编号:102966967 上传时间:2019-10-05 格式:DOC 页数:24 大小:201.40KB
返回 下载 相关 举报
fortigate防火墙安全配置基线资料_第1页
第1页 / 共24页
fortigate防火墙安全配置基线资料_第2页
第2页 / 共24页
fortigate防火墙安全配置基线资料_第3页
第3页 / 共24页
fortigate防火墙安全配置基线资料_第4页
第4页 / 共24页
fortigate防火墙安全配置基线资料_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《fortigate防火墙安全配置基线资料》由会员分享,可在线阅读,更多相关《fortigate防火墙安全配置基线资料(24页珍藏版)》请在金锄头文库上搜索。

1、 Fortigate 防火墙安全配置基线 第 0 页 共 20 页 FortigateFortigate 防火墙安全配置基线防火墙安全配置基线 Fortigate 防火墙安全配置基线 第 1 页 共 20 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2.0创建2012 年 4 月 备注:备注: 1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 Fortigate 防火墙安全配置基线 第 2 页 共 20 页 目目 录录 第第 1 章章概述概述.1 1.1目的.1 1.2适用范围.1 1.3适用版本.1 1.4实施.1 1.5例外条

2、款.1 第第 2 章章帐号、口令管理与认证授权帐号、口令管理与认证授权.2 2.1帐号管理*.2 2.1.1用户帐号管理*2 2.1.2删除无关的帐号*2 2.1.3帐户登录超时*3 2.1.4帐户密码错误自动锁定*4 2.2口令.5 2.2.1口令复杂度5 2.3授权.6 2.3.1远程维护的设备使用加密协议6 第第 3 章章日志安全要求日志安全要求.7 3.1日志服务器.7 3.1.1启用日志服务器 7 3.1.2配置远程日志服务器 7 3.2告警配置要求.8 3.2.1配置对防火墙本身的攻击或内部错误告警8 3.2.2配置DOS和DDOS攻击告警9 3.2.3配置扫描攻击检测告警*9 3

3、.3安全策略配置要求.10 3.3.1访问规则列表最后一条必须是拒绝一切流量10 3.3.2配置访问规则应尽可能缩小范围11 3.3.3VPN用户按照访问权限进行分组*11 3.3.4配置NAT地址转换*.12 3.3.5关闭仅开启必要服务13 3.3.6禁止使用any to anyall允许规则.13 3.4攻击防护配置要求.14 3.4.1配置应用层攻击防护*.14 3.4.2配置网络扫描攻击防护*.15 3.4.3限制ping包大小*.15 3.4.4启用对带选项的IP包及畸形IP包的检测.16 第第 4 章章IP 协议安全要求协议安全要求 .17 4.1管理 IP 限制.17 4.1.

4、1管理IP限制17 Fortigate 防火墙安全配置基线 第 3 页 共 20 页 第第 5 章章SNMP 安全安全18 5.1SNMP 管理.18 5.1.1使用SNMPV2或以上版本.18 5.2SNMP 访问控制.19 5.2.1SNMP访问控制.19 第第 6 章章评审与修订评审与修订.20 Fortigate 防火墙安全配置基线 第 0 页 共 20 页 第第 1 章章概述概述 1.1 目的目的 本文档旨在指导系统管理人员进行 Fortigate 防火墙的安全配置。 1.2 适用范围适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 1.3 适用版本适用版

5、本 Fortigate 防火墙。 1.4 实施实施 1.5 例外条款例外条款 Fortigate 防火墙安全配置基线 第 1 页 共 20 页 第第 2 章章帐号、口令管理与认证授权帐号、口令管理与认证授权 2.1 帐号管理帐号管理* 2.1.1 用户帐号管理用户帐号管理* 安全基线项安全基线项 目名称目名称 用户帐号管理安全基线要求项 安全基线编安全基线编 号号 SBL-FortiFW-02-01-01 安全基线项安全基线项 说明说明 应按照用户分配帐号。 避免不同用户间共享帐号。 避免用户帐号和设备间通信使用的帐号共享。 检测操作步检测操作步 骤骤 1 1、 参考配置操作参考配置操作 使用

6、命令 show system admin 查看是否有多余帐户 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1 1、 判定条件判定条件 用配置中没有的用户名去登录,结果是不能登录 2 2、 参考检测操作参考检测操作 show system admin 删除帐户: Config system admin delete 3 3、 补充说明补充说明 无。 备注备注 需要手工判定检测。 2.1.2 删除无关的删除无关的帐号帐号* 安全基线项安全基线项 目名称目名称 无关的帐号安全基线要求项 Fortigate 防火墙安全配置基线 第 2 页 共 20 页 安全基线编安全基线

7、编 号号 SBL-FortiFW-02-01-02 安全基线项安全基线项 说明说明 应删除或锁定与设备运行、维护等工作无关的帐号。 检测操作步检测操作步 骤骤 1.参考配置操作参考配置操作 usrobj del 2.补充操作说明补充操作说明 使用 usrobj list admin 显示帐户信息。 基线符合性基线符合性 判定依据判定依据 3.判定条件判定条件 配置中用户信息被删除。 4.检测操作检测操作 查看配置。 5.补充说明补充说明 无。 备注备注 需要手工判定检测,无关帐户更多属于管理层面,需要人为确认。 2.1.3 帐户登录超时帐户登录超时* 安全基线项安全基线项 目名称目名称 帐户登

8、录超时安全基线要求项 安全基线编安全基线编 号号 SBL-FortiFW-02-01-03 安全基线项安全基线项 说明说明 配置定时帐户自动登出,空闲 5 分钟自动登出。登出后用户需再次登录才能 进入系统。 检测操作步检测操作步 骤骤 1 1、 参考配置操作参考配置操作 设置超时时间为 5 分钟 config system global set admintimeout 5 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 在超出设定时间后,用户自动登出设备。 Fortigate 防火墙安全配置基线 第 3 页 共 20 页 2.2.参考检测操

9、作参考检测操作 show system global 3.3.补充说明补充说明 无。 备注备注 需要手工检查 2.1.4 帐户密码错误自动锁定帐户密码错误自动锁定* 安全基线项安全基线项 目名称目名称 帐户密码错误自动锁定安全基线要求项 安全基线编安全基线编 号号 SBL-FortiFW-02-01-04 安全基线项安全基线项 说明说明 在 10 次尝试登录失败后锁定帐户,不允许登录。 解锁时间设置为 300 秒 检测操作步检测操作步 骤骤 1 1、 参考配置操作参考配置操作 设置尝试失败锁定次数为 10 次 set admin-lockout-threshold 10 set adminti

10、meout 1 set admin-lockout-duration 300 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。 2.2.参考检测操作参考检测操作 show system global 3.3.补充说明补充说明 无。 备注备注 注意!此项设置会影响性能,建议设置后对访问此设备做源地址做限制。 需要手工检查。 Fortigate 防火墙安全配置基线 第 4 页 共 20 页 2.2 口令口令 2.2.1 口令复杂度口令复杂度 安全基线项安全基线项 目名称目名称 口令复杂度

11、安全基线要求项 安全基线编安全基线编 号号 SBL-FortiFW-02-02-01 安全基线项安全基线项 说明说明 防火墙的帐号密码必须符合密码复杂度要求,口令长度至少 8 位,并包括 数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次次以内不得设 置相同的口令。密码应至少每 90 天天进行更换。 检测操作步检测操作步 骤骤 1 1、 参考配置操作参考配置操作 config system password-policy set status enable set apply-to admin-password ipsec-preshared-key set change-4-cha

12、racters enable set expire 90 set minimum-length 8 set must-contain lower-case-letter Upper-case-letter non-alphanumeric number end 2 2、补充说明、补充说明 密码长度要求 8 位,大小写字母和特殊字符混合,密码超时时间 90 天。 基线符合性基线符合性 判定依据判定依据 1 1、 判定条件判定条件 Show system password-policy 2 2、 参考检测操作参考检测操作 3 3、 补充说明补充说明 无。 备注备注 Fortigate 防火墙安全配

13、置基线 第 5 页 共 20 页 2.3 授权授权 2.3.1 远程维护的设备使用加密协议远程维护的设备使用加密协议 安全基线项安全基线项 目名称目名称 远程维护使用加密协议安全基线要求项 安全基线编安全基线编 号号 SBL-FortiFW-02-03-01 安全基线项安全基线项 说明说明 对于防火墙远程管理的配置,必须是基于加密的协议。如 SSH 或者 WEB SSL,如果只允许从防火墙内部进行管理,应该限定管理 IP。 检测操作步检测操作步 骤骤 1.参考配置操作参考配置操作 系统默认支持 ssh 及 WEB SSL 两种加密管理方式,查看及增加管理 IP 操 作如下: 查看管理 IP a

14、dminhost list 增加管理 IP adminhost add 2.补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1.判定条件判定条件 只支持 ssh 及 Web SSL 管理,对于非允许的 ip 地址不能登陆。 2.检测操作检测操作 使用非允许的 ip 地址登陆。 3.补充说明补充说明 无。 备注备注 Fortigate 防火墙安全配置基线 第 6 页 共 20 页 第第 3 章章日志安全要求日志安全要求 3.1 日志服务器日志服务器 3.1.1启用日志服务器启用日志服务器 安全基线项安全基线项 目名称目名称 启用日志服务器安全基线要求项 安全基线编安全基线编 号

15、号 SBL-FortiFW-03-01-01 安全基线项安全基线项 说明说明 设备应支持远程日志功能。 所有设备日志均能通过远程日志功能传输到日志服务器。 设备应支持至少一种通用的远程标准日志接口,如 SYSLOG、FTP 等。 检测操作步检测操作步 骤骤 1.参考配置操作参考配置操作 config log syslogd setting set status enable end 2.补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。 2.2.参考检测操作参考检测操作 Show log

16、 syslogd setting 3.3.补充说明补充说明 无。 备注备注 3.1.2配置远程日志服务器配置远程日志服务器 安全基线项安全基线项 目名称目名称 配置远程日志服务器安全基线要求项 安全基线编安全基线编 号号 SBL-FortiFW-03-01-02 安全基线项安全基线项 说明说明 设备应支持远程日志功能。 Fortigate 防火墙安全配置基线 第 7 页 共 20 页 所有设备日志均能通过远程日志功能传输到日志服务器。 设备应支持至少一种通用的远程标准日志接口,如 SYSLOG、FTP 等。 检测操作步检测操作步 骤骤 1参考配置操作参考配置操作 config log syslogd setting set status enable set server XXX.XXX.XXX.XXX set port XXX end 2补充操作说明补充操作说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 是否正确配置了相应的日志服务器地址,日志服务器正

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号