《H3C防火墙安全配置基线》由会员分享,可在线阅读,更多相关《H3C防火墙安全配置基线(28页珍藏版)》请在金锄头文库上搜索。
1、H3C防火墙安全配置基线版本V2.0创建版本控制信息更新日期2012年4月更新人审批人备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目录第 1 章概述 .01.1目的 .01.2适用范围 .01.3适用版本 .01.4实施 .01.5例外条款 .0第 2 章帐号管理、认证授权安全要求. . 12.1帐号管理 .12.1.1用户帐号分配 * .12.1.2删除无关的帐号 * .22.1.3帐户登录超时 * .22.1.4帐户密码错误自动锁定 * .32.2口令 .42.2.1口令复杂度要求 .42.3授权 .52.3.1远程维护的设备使用加密协议.5第 3 章
2、日志及配置安全要求 .63.1日志安全 .63.1.1记录用户对设备的操作 .63.1.2开启记录 NAT日志 * .63.1.3开启记录 VPN日志 * .73.1.4配置记录拒绝和丢弃报文规则的日志 .83.2告警配置要求 .83.2.1配置对防火墙本身的攻击或内部错误告警 .83.2.2配置 TCP/IP 协议网络层异常报文攻击告警 .93.2.3配置 DOS和 DDOS攻击告警 .103.2.4配置关键字内容过滤功能告警 * .113.3安全策略配置要求 .123.3.1访问规则列表最后一条必须是拒绝一切流量 .123.3.2配置访问规则应尽可能缩小范围 .133.3.3VPN用户按照
3、访问权限进行分组 * .133.3.4配置 NAT地址转换 * .143.3.5隐藏防火墙字符管理界面的bannner 信息 .153.3.6避免从内网主机直接访问外网的规则 * .153.3.7关闭非必要服务 .163.4攻击防护配置要求 .173.4.1拒绝常见漏洞所对应端口或者服务的访问 .173.4.2防火墙各逻辑接口配置开启防源地址欺骗功能.18第 4 章IP 协议安全要求. 194.1功能配置 .194.1.1使用 SNMP V2c或者 V3 以上的版本对防火墙远程管理 .19第 5章其他安全要求 .215.1其他安全配置 .215.1.1外网口地址关闭对 ping 包的回应 *
4、.215.1.2对防火墙的管理地址做源地址限制 .21第 6章评审与修订 .23第1章 概述1.1 目的本文档旨在指导系统管理人员进行H3C防火墙的安全配置。1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。1.3 适用版本H3C防火墙。1.4 实施1.5 例外条款第 2章 帐号管理、认证授权安全要求2.1 帐号管理用户帐号分配 *安全基线项用户帐号分配安全基线要求项目名称安全基线编SBL-H3C-02-01-01号安全基线项不同等级管理员分配不同帐号,避免帐号混用。说明检测操作步1.参考配置操作骤#基线符合性判定依据local-user user1passwo
5、rd cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3service-type telnet#local-user user2password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 2service-type telnet#2. 补充操作说明无。1. 判定条件用配置中没有的用户名去登录,结果是不能登录。2. 检测操作display current-configuration#local-user user1password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3service-type telnet#local-user user2password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 2service-type telnet#3. 补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。删除无关的帐号*安全基线项目名称
