《安全产品配置优化操作规范》由会员分享,可在线阅读,更多相关《安全产品配置优化操作规范(61页珍藏版)》请在金锄头文库上搜索。
1、安全产品配置优化操作规范 安全产品配置优化操作规范(FW、LB、IPS&ACG)Version 1.0杭州华三通信技术有限公司2014年8月声明Copyright 2014杭州华三通信技术有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来,请务必在安全产品部署实施中重视本操作规范要求,保障设备在网运行效果及稳定性。本文档为保密文档,仅限H3C原厂工程师使用,对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类:l 必选项:设备部署时必须严
2、按照必选项的规范要求执行。l 可选项:在客户无明确要求且不影响客户使用情况下,视具体组网环境可选部署。2014-08-15 第1页, 共59页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页声明2FW-1、(必选)通过配置域间策略对防火墙本地实施保护5FW-2、(必选)防火墙ALG功能配置优化6FW-3、(必选)防火墙双机组网环境NAT与VRRP联动7FW-4、(必选)配置ACL时慎用Deny any规则8FW-5、(必选)防火墙使用独立物理端口做双机热备口8FW-6、(必选)配置NTP保持防火墙时钟正确同步9FW-7、(必选)采用二进制格式输出Userlog日
3、志9FW-8、(必选)SSL VPN采用IP接入方式配置资源11FW-9、(必选)DNS协议应用层老化时间配置优化11FW-10、(必选)防火墙不启用QoS功能12FW-11、(必选)防火墙地址对象范围地址配置优化12FW-12、(必选)部分型号防火墙业务端口选择建议12FW-13、(必选)禁用会话加速功能13FW-14、(必选)禁用ACL加速功能14FW-15、(必选)禁用域间策略加速功能14FW-16、(必选)禁止通过ACL方式实现远程管理访问控制15FW-17、(必选)禁止使用弱口令15FW-18、(必选)禁止使用动态链路聚合模式16FW-19、(必选)IPSec VPN模板策略配置优化
4、16FW-20、(必选)合理修改三层业务口TCP MSS参数17FW-21、(可选)利用域间策略对防火墙实施路由环路保护18FW-22、(可选)虚拟分片重组功能配置优化18FW-23、(可选)会话表项老化时间参数配置优化19FW-24、(可选)报文异常检测功能配置优化20FW-25、(可选)流量异常检测功能配置优化21FW-26、(可选)双机热备会话同步组网中避免业务流量非对称路径转发23FW-27、(可选)采用逐流转发模式24LB-1、(必选)Outbound链路负载均衡优先通过ACL方式进行虚服务配置26LB-2、(必选)Outbound链路负载均衡不启用就近性27LB-3、(必选)服务器
5、负载均衡虚服务IP不响应ARP请求限制的解决方法28LB-4、(必选)采用二进制格式输出Userlog日志29LB-5、(必选)关于实服务故障处理方式的配置选择30LB-6、(必选)配置NTP保持时钟正确同步32LB-7、(必选)RADIUS业务与强制负载均衡特性配置优化33LB-8、(必选)使用独立物理端口做双机热备口34LB-9、(必选)配置ACL时慎用Deny any规则35LB-10、(必选)不启用QoS功能35LB-11、(必选)不启用攻击防范功能36LB-12、(必选)禁用ACL加速功能36LB-13、(可选)业务端口添加安全区域属性36LB-14、(可选)双机热备会话同步组网避免
6、业务流量非对称路径转发38LB-15、(可选)优先采用四层负载均衡模式满足客户配置需求39LB-16、(可选)采用逐流转发模式40IPS&ACG-1、(必选)配置IPS攻击防范策略时必须先手工调整策略规则42IPS&ACG-2、(必选)配置IPS病毒防范策略时必须先手工调整策略规则47IPS&ACG-3、(必选)定期检查IPS/ACG特征库版本是否正常更新48IPS&ACG-4、(必选)通过NTPACSEI保持IPS/ACG时钟同步正确49IPS&ACG-5、(必选)部署IPS/ACG MQC引流内外安全域须为不同Vlan51IPS&ACG-6、(必选)部署IPS/ACG插卡MQC引流时避免二
7、层报文风暴53IPS&ACG-7、(必选)正则表达式URL过滤规则的配置优化54IPS&ACG-8、(必选)带宽管理P2P限流规则配置优化54IPS&ACG-9、(必选)ACG通道带宽管理功能针对DNS业务流量进行保障55IPS&ACG-10、(可选)部署专用日志主机配合IPS/ACG实现安全事件审计56IPS&ACG-11、(可选)ACG流日志配置优化58IPS&ACG-12、(可选)不启用IPS DDoS攻击防范策略59FW-1、(必选)通过配置域间策略对防火墙本地实施保护应用说明:Comware V5平台防火墙为便于用户登录管理设备,当前实现机制为默认所有安全区域都可以访问代表防火墙自身
8、的Local区域。为避免无效报文、攻击流量冲击防火墙,要求必须配置到local区域的域间策略以对防火墙自身进行保护。在配置具体的域间策略时,应首先允许必要的管理、协议报文与防火墙本地交互,然后禁止其它流量与防火墙本地交互。自2014年7月起,新软件版本的Comware V5平台防火墙进行了一次默认策略变更切换,将默认所有安全区域及Local区域之间的策略变更为全部禁止互访,以满足市场需求并加强安全性,详见请查询H3C 技术公告【2014】018号-关于H3C Comware V5平台防火墙变更默认域间策略转发规则的公告。参考配置思路:1.配置允许网管计算机访问local区域的域间策略,允许包括
9、HTTP、HTTPS、Telnet、SSH、SNMP、PING等常见网管相关协议访问本地,域间策略源IP地址范围应做严格限制,避免非管理主机访问防火墙本地;2.配置允许防火墙与其它网络设备进行协议交互的域间策略,例如VRRP,OSPF,BGP、PING、IKE、L2TP,ESP等常见协议; 3.确认其他网络设备是否有目的地址为防火墙本地的探测,例如NQA、BFD等,如有则必须补充允许其他设备探测报文到达防火墙本地的域间策略;4配置域间策略时应尽量使用明确的源目的IP地址范围,减少使用“any_address”等方式的粗放管理型配置,比如Trust区域的实际规划IP范围为192.168.1.1/
10、24,Untrust区域为Internet,则配置域间策略时应将Trust区域源IP地址范围配置为 192.168.1.0/0.0.0.255子网地址对象,使策略更加合理精确,阻断可能出现的源地址欺骗报文经防火墙转发。5.最后配置各安全区域至Local区域的全部禁止策略,避免防火墙因接收到达本地的无效报文过多而影响CPU性能,最终实现对防火墙自身的安全保护。综合以上原则,在防火墙Web管理界面中的配置示例如下图所示:FW-2、(必选)防火墙ALG功能配置优化应用说明:防火墙ALG(Application Level Gateway,应用层网关)特性主要完成对应用层报文的处理。当应用层数据中包含
11、IP地址时,ALG可以对该地址进行处理,以保证后续该地址对应的连接能够正确建立。ALG的工作包括:解析数据报文载荷中的IP地址信息,并根据需要对其进行NAT(Network Address Translation,网络地址转换)处理;提取数据通道信息,为后续的会话连接建立数据通道。这里的数据通道通常指相对于用户认证的控制连接而言的数据连接;在防火墙上,安全策略通常只允许特定的端口通过,对于需要动态开放端口的协议,即使没有NAT也必须启用ALG才能合格证业务正常处理,例如FTP协议;另有些属于功能型ALG,专为实现某种功能而存在,例如DNS ALG,需要视实际环境决定是否需要开启。参考配置思路:
12、当防火墙做二层转发部署时,除FTP协议外,推荐关闭其他所有ALG功能。当防火墙做三层转发部署时,以下为H3C防火墙应用的ALG推荐配置,建议只开启,关闭其他ALG功能。DNS关闭要实现相关需求可打开,一般不使用FTP打开GTP关闭有些特殊局点需要开启H.323关闭使用H.323协议的应用需要开启,一般不使用。ILS关闭MSN关闭不使用。NBT关闭PPTP关闭有PPTP业务从防火墙透传,需要开启,一般不使用。QQ关闭不使用。RTSP打开SCCP关闭SIP关闭SQLNET关闭仅适配老版本Oracle,一般不使用。TFTP关闭FW-3、(必选)防火墙双机组网环境NAT与VRRP联动应用说明:Comw
13、are V5防火墙在双机组网场景中,当两台设备使用相同的NAT Outbound地址池、NAT Server、NAT Static的Global地址,且与接口主IP地址在同一网段时,需要在NAT命令后跟track vrrp vrid配置,避免因主机和备机共享相同地址而出现ARP冲突。参考配置思路:以下为防火墙某外网端口配置示例:interface GigabitEthernet0/2 port link-mode route nat outbound static track vrrp 1 nat outbound 3002 address-group 10 track vrrp 1 nat
14、outbound 3001 track vrrp 1 nat server protocol tcp global 10.0.0.100 172.16.0.100 vrrp 1 ip address 10.0.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.0.254 vrrp vrid 1 priority 110FW-4、(必选)配置ACL时慎用Deny any规则应用说明:Comware V5平台防火墙的ACL主要用于软件对业务或管理流量的识别与分类,并不直接用于报文的允许或阻断动作。在配置防火墙各软件模块功能参数时,常常需要使用ACL,此时应注意配置ACL规则时仅需匹配需要识别的具体流量即可,无须在所有规则最后配置一条Deny any,这样可以在很大程度上减少防火墙的无谓性能消耗。参考配置思路:例如,在配置NAT转换策略时,需要通过ACL限制仅允许内网10.0.0.0/16网段的用户做出方向源地址转换,引用至NAT命令,如下列所示ACL 3001是正确的配置方式,而ACL 3002是错误的配置方式。#acl number 3001/正确的ACL配置方式示例 rule 10 pe
