Huawei防火墙安全配置基线

Huawei 防火墙安全配置基线

中国移动通信有限公司 管理信息系统部

2012年 04月

备注:

1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目 录

第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5

目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1

第2章 帐号管理、认证授权安全要求 ............................................................................................. 2 2.1

帐号管理 ................................................................................................................................. 2

用户帐号分配* ............................................................................................................... 2

2.1.2 删除无关的帐号* ........................................................................................................... 2 2.1.3 帐户登录超时* ............................................................................................................... 3 2.1.4 帐户密码错误自动锁定* ............................................................................................... 4 2.2 口令 ......................................................................................................................................... 5 2.2.1 口令复杂度要求 ............................................................................................................. 5 2.3 授权 ......................................................................................................................................... 5 2.3.1 远程维护的设备使用加密协议 ..................................................................................... 5

第3章 日志及配置安全要求 ............................................................................................................. 7 3.1

日志安全 ................................................................................................................................. 7

2.1.1

记录用户对设备的操作 ................................................................................................. 7 3.1.2 记录与设备相关的安全事件 ......................................................................................... 7 3.1.3 开启记录NAT 日志 . ....................................................................................................... 8 3.1.4 配置记录流量日志 ......................................................................................................... 9 3.1.5 配置日志容量告警阈值 ................................................................................................. 9 3.2 告警配置要求 ....................................................................................................................... 10 3.2.1 配置对防火墙本身的攻击或内部错误告警 ............................................................... 10 3.2.2 配置TCP/IP协议网络层异常报文攻击告警 ............................................................. 10 3.2.3 配置DOS 和DDOS 攻击告警 . .................................................................................... 11 3.2.4 配置关键字内容过滤功能告警* ................................................................................. 12 3.3 安全策略配置要求 ............................................................................................................... 12 3.3.1 访问规则列表最后一条必须是拒绝一切流量 ........................................................... 12 3.3.2 配置访问规则应尽可能缩小范围 ............................................................................... 13 3.3.3 访问规则进行分组* ..................................................................................................... 13 3.3.4 配置NAT 地址转换 . ..................................................................................................... 14 3.3.5 隐藏防火墙字符管理界面的bannner 信息 ................................................................ 15 3.3.6 关闭非必要服务 ........................................................................................................... 15 3.4 攻击防护配置要求 ............................................................................................................... 16 3.4.1 拒绝常见漏洞所对应端口或者服务的访问 ............................................................... 16 3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能* ..................................................... 17 3.4.3 限制ICMP 包大小* ..................................................................................................... 17

第4章

IP 协议安全要求 .............................................................................................................. 19

3.1.1

4.1 功能配置 ............................................................................................................................... 19

4.1.1 使用SNMP V2或 V3版本对防火墙远程管理 .......................................................... 19

第5章 其他安全要求 ....................................................................................................................... 21 5.1

其他安全配置 ....................................................................................................................... 21

5.1.1 5.1.2 5.1.3 外网口地址关闭对ping 包的回应 .............................................................................. 21 对防火墙的管理地址做源地址限制 ........................................................................... 21 配置consol 口密码保护功能 . ...................................................................................... 22

第6章 评审与修订 ........................................................................................................................... 24

第1章 概述

1.1 目的

本文档规定了中国移动管理信息系统部所维护管理的Huawei 防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei 防火墙的安全配置。

1.2 适用范围

本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Huawei 防火墙。

1.3 适用版本

Huawei 防火墙。

1.4 实施

本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。

本标准发布之日起生效。

1.5 例外条款

欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章 帐号管理、认证授权安全要求

2.1 帐号管理 2.1.1 用户帐号分配*

2.1.2 删除无关的帐号*

2.1.3 帐户登录超时*

2.1.4 帐户密码错误自动锁定*

2.2 口令

2.2.1 口令复杂度要求

2.3 授权

2.3.1 远程维护的设备使用加密协议

第3章 日志及配置安全要求

3.1 日志安全

3.1.1 记录用户对设备的操作

3.1.2 记录与设备相关的安全事件

第 7 页 共 27 页

中国移动集团公司

3.1.3 开启记录NAT 日志

中国移动集团公司 第 8 页 共 27 页

3.1.4 配置记录流量日志

3.1.5 配置日志容量告警阈值

第 9 页 共 27 页

中国移动集团公司

3.2 告警配置要求

3.2.1 配置对防火墙本身的攻击或内部错误告警

3.2.2 配置TCP/IP协议网络层异常报文攻击告警

中国移动集团公司 第 10 页 共 27 页

3.2.3 配置DOS 和DDOS 攻击告警

中国移动集团公司 第 11 页 共 27 页

3.2.4 配置关键字内容过滤功能告警*

3.3 安全策略配置要求

3.3.1 访问规则列表最后一条必须是拒绝一切流量

中国移动集团公司 第 12 页 共 27 页

3.3.2 配置访问规则应尽可能缩小范围

3.3.3 访问规则进行分组*

中国移动集团公司 第 13 页 共 27 页

3.3.4 配置NAT 地址转换

中国移动集团公司 第 14 页 共 27 页

3.3.5 隐藏防火墙字符管理界面的bannner 信息

3.3.6 关闭非必要服务

中国移动集团公司 第 15 页 共 27 页

3.4 攻击防护配置要求

3.4.1 拒绝常见漏洞所对应端口或者服务的访问

中国移动集团公司 第 16 页 共 27 页

3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能*

3.4.3 限制ICMP 包大小*

中国移动集团公司 第 17 页 共 27 页

中国移动集团公司 第 18 页 共 27 页

第4章 IP 协议安全要求

4.1 功能配置

4.1.1 使用SNMP V2或 V3版本对防火墙远程管理

中国移动集团公司 第 19 页 共 27 页

中国移动集团公司 第 20 页 共 27 页

第5章 其他安全要求

5.1 其他安全配置

5.1.1 外网口地址关闭对ping 包的回应

5.1.2 对防火墙的管理地址做源地址限制

中国移动集团公司 第 21 页 共 27 页

5.1.3 配置consol 口密码保护功能

中国移动集团公司 第 22 页 共 27 页

中国移动集团公司 第 23 页 共 27 页

第6章 评审与修订

本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。

中国移动集团公司 第 24 页 共 27 页

Huawei 防火墙安全配置基线

中国移动通信有限公司 管理信息系统部

2012年 04月

备注:

1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目 录

第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5

目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1

第2章 帐号管理、认证授权安全要求 ............................................................................................. 2 2.1

帐号管理 ................................................................................................................................. 2

用户帐号分配* ............................................................................................................... 2

2.1.2 删除无关的帐号* ........................................................................................................... 2 2.1.3 帐户登录超时* ............................................................................................................... 3 2.1.4 帐户密码错误自动锁定* ............................................................................................... 4 2.2 口令 ......................................................................................................................................... 5 2.2.1 口令复杂度要求 ............................................................................................................. 5 2.3 授权 ......................................................................................................................................... 5 2.3.1 远程维护的设备使用加密协议 ..................................................................................... 5

第3章 日志及配置安全要求 ............................................................................................................. 7 3.1

日志安全 ................................................................................................................................. 7

2.1.1

记录用户对设备的操作 ................................................................................................. 7 3.1.2 记录与设备相关的安全事件 ......................................................................................... 7 3.1.3 开启记录NAT 日志 . ....................................................................................................... 8 3.1.4 配置记录流量日志 ......................................................................................................... 9 3.1.5 配置日志容量告警阈值 ................................................................................................. 9 3.2 告警配置要求 ....................................................................................................................... 10 3.2.1 配置对防火墙本身的攻击或内部错误告警 ............................................................... 10 3.2.2 配置TCP/IP协议网络层异常报文攻击告警 ............................................................. 10 3.2.3 配置DOS 和DDOS 攻击告警 . .................................................................................... 11 3.2.4 配置关键字内容过滤功能告警* ................................................................................. 12 3.3 安全策略配置要求 ............................................................................................................... 12 3.3.1 访问规则列表最后一条必须是拒绝一切流量 ........................................................... 12 3.3.2 配置访问规则应尽可能缩小范围 ............................................................................... 13 3.3.3 访问规则进行分组* ..................................................................................................... 13 3.3.4 配置NAT 地址转换 . ..................................................................................................... 14 3.3.5 隐藏防火墙字符管理界面的bannner 信息 ................................................................ 15 3.3.6 关闭非必要服务 ........................................................................................................... 15 3.4 攻击防护配置要求 ............................................................................................................... 16 3.4.1 拒绝常见漏洞所对应端口或者服务的访问 ............................................................... 16 3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能* ..................................................... 17 3.4.3 限制ICMP 包大小* ..................................................................................................... 17

第4章

IP 协议安全要求 .............................................................................................................. 19

3.1.1

4.1 功能配置 ............................................................................................................................... 19

4.1.1 使用SNMP V2或 V3版本对防火墙远程管理 .......................................................... 19

第5章 其他安全要求 ....................................................................................................................... 21 5.1

其他安全配置 ....................................................................................................................... 21

5.1.1 5.1.2 5.1.3 外网口地址关闭对ping 包的回应 .............................................................................. 21 对防火墙的管理地址做源地址限制 ........................................................................... 21 配置consol 口密码保护功能 . ...................................................................................... 22

第6章 评审与修订 ........................................................................................................................... 24

第1章 概述

1.1 目的

本文档规定了中国移动管理信息系统部所维护管理的Huawei 防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei 防火墙的安全配置。

1.2 适用范围

本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Huawei 防火墙。

1.3 适用版本

Huawei 防火墙。

1.4 实施

本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。

本标准发布之日起生效。

1.5 例外条款

欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章 帐号管理、认证授权安全要求

2.1 帐号管理 2.1.1 用户帐号分配*

2.1.2 删除无关的帐号*

2.1.3 帐户登录超时*

2.1.4 帐户密码错误自动锁定*

2.2 口令

2.2.1 口令复杂度要求

2.3 授权

2.3.1 远程维护的设备使用加密协议

第3章 日志及配置安全要求

3.1 日志安全

3.1.1 记录用户对设备的操作

3.1.2 记录与设备相关的安全事件

第 7 页 共 27 页

中国移动集团公司

3.1.3 开启记录NAT 日志

中国移动集团公司 第 8 页 共 27 页

3.1.4 配置记录流量日志

3.1.5 配置日志容量告警阈值

第 9 页 共 27 页

中国移动集团公司

3.2 告警配置要求

3.2.1 配置对防火墙本身的攻击或内部错误告警

3.2.2 配置TCP/IP协议网络层异常报文攻击告警

中国移动集团公司 第 10 页 共 27 页

3.2.3 配置DOS 和DDOS 攻击告警

中国移动集团公司 第 11 页 共 27 页

3.2.4 配置关键字内容过滤功能告警*

3.3 安全策略配置要求

3.3.1 访问规则列表最后一条必须是拒绝一切流量

中国移动集团公司 第 12 页 共 27 页

3.3.2 配置访问规则应尽可能缩小范围

3.3.3 访问规则进行分组*

中国移动集团公司 第 13 页 共 27 页

3.3.4 配置NAT 地址转换

中国移动集团公司 第 14 页 共 27 页

3.3.5 隐藏防火墙字符管理界面的bannner 信息

3.3.6 关闭非必要服务

中国移动集团公司 第 15 页 共 27 页

3.4 攻击防护配置要求

3.4.1 拒绝常见漏洞所对应端口或者服务的访问

中国移动集团公司 第 16 页 共 27 页

3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能*

3.4.3 限制ICMP 包大小*

中国移动集团公司 第 17 页 共 27 页

中国移动集团公司 第 18 页 共 27 页

第4章 IP 协议安全要求

4.1 功能配置

4.1.1 使用SNMP V2或 V3版本对防火墙远程管理

中国移动集团公司 第 19 页 共 27 页

中国移动集团公司 第 20 页 共 27 页

第5章 其他安全要求

5.1 其他安全配置

5.1.1 外网口地址关闭对ping 包的回应

5.1.2 对防火墙的管理地址做源地址限制

中国移动集团公司 第 21 页 共 27 页

5.1.3 配置consol 口密码保护功能

中国移动集团公司 第 22 页 共 27 页

中国移动集团公司 第 23 页 共 27 页

第6章 评审与修订

本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。

中国移动集团公司 第 24 页 共 27 页


相关内容

  • 华为数据通信认证考试大纲

    • 华为数据通信认证考试大纲 ISSUE1.0 华为客户培训 2010年 目录 1 认证考试介绍 ....................................................................................................... ...

  • 网络工程师招聘能力

    • 2.掌握服务器及机房设备管理,具有VPN网络构建.网络防火墙.虚拟终端.邮件服务器等技术,熟悉MSISA.MSExchange调试和管理技术:3.出差 4.熟悉数据库备份.文件服务器备份技术:有实施K3财务系统和服装ERP系统经验者优先: 5.有大中型企划网络管理经验者优先:6.能力稍逊者可先任职网 ...

  • 华为内部信息安全管理

    • 1. 新员工入职信息安全须知 新员工入职后,在信息安全方面有哪些注意事项? 接受"信息安全与保密意识"培训: 每年应至少参加一次信息安全网上考试: 办理员工卡: 签署劳动合同(含保密职责): 根据部门和岗位的需要签署保密协议. 员工入职后,需要办理员工卡,员工卡的意义和用途是什么 ...

  • FusionCloud V100R005 桌面云管理办法

    • 关于印发<XX 公司桌面云管理办法(暂行)> 的通知 公司所属各单位.机关各部门: 为规范XX 公司桌面云使用.维护及资产管理,确保桌面云在XX 公司数字化办公应用中发挥应有作用,按照合理配置.规范管理的原则, 制定了<XX 公司桌面云管理办法(暂行)>,现予以印发,请各单位 ...

  • 华为交换机常用配置命令

    • 端口划入Vlan前,必须设置为access模式 端口批量加入Vlan [huawei]port-group yewu [huawei-port-group-yewu]group-member g0/0/4 to g0/0/6 [huawei-port-group-yewu]port link-typ ...

  • 华为交换机如何配置端口镜像

    • 5822 3 返回版块 monkeybrother 2015-02-10 17:08:12 0 楼主 本主题已关闭,不再接受新内容 该帖被管理员或版主屏蔽 只有管理员或有管理权限的成员可见 市场价: 竞拍底价: 加价幅度: 价格: 物品类型: 物品数量: 剩余时间: 人气5822 出价记录 用户名 ...

  • 网络面试题

    • 问题补充: 一.交换部分 1.STP\MSTP\RSTP\PVST\PVST+ 2.HSRP\VRRP 3.HSRP|VRRP和STP|MSTP|RSTP|PVST混用应注意那几点 4.三层交换的实际应用及常见故障 二.路由部分 1.RIP 属于那一层协议,协议号多少 2.EIGRP 的各种管理距离 ...

  • eNSP动态路由配置实验报告

    • eNSP动态路由配置实验 姓名:X 学号:X 班级:X 课程名称:动态路由配置实验提交日期:年月 日 注:仅供参考 一.实验名称:动态路由配置 二.实验目的:实了解动态路由的原理,掌握动态路由的配置方法 三.实验软件:eNSP 四.实验任务: 1.了解RIP协议的配置及其特性 2.掌握路由聚合的方法 ...

  • 华为交换机常用命令大全

    • 华为交换机常用配置大全 2010-02-27 目 录 一.基础配置举例........................................................................................................ 3 1.1配置文件处 ...

热门内容

标签

宣传部工作计划   清史稿范文程传   个人实习工作总结范文   转预备党员范文   大学自我小结范文   出国研修计划范文   读书札记范文   批评与自我批评范文 群众路线   班级活动通讯稿范文   高中入党自传范文   结语范文   个人工作职责范文   感谢实习信 英文   对某某同志的任命充分体现了上级