Huawei 防火墙安全配置基线
中国移动通信有限公司 管理信息系统部
2012年 04月
备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目 录
第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5
目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1
第2章 帐号管理、认证授权安全要求 ............................................................................................. 2 2.1
帐号管理 ................................................................................................................................. 2
用户帐号分配* ............................................................................................................... 2
2.1.2 删除无关的帐号* ........................................................................................................... 2 2.1.3 帐户登录超时* ............................................................................................................... 3 2.1.4 帐户密码错误自动锁定* ............................................................................................... 4 2.2 口令 ......................................................................................................................................... 5 2.2.1 口令复杂度要求 ............................................................................................................. 5 2.3 授权 ......................................................................................................................................... 5 2.3.1 远程维护的设备使用加密协议 ..................................................................................... 5
第3章 日志及配置安全要求 ............................................................................................................. 7 3.1
日志安全 ................................................................................................................................. 7
2.1.1
记录用户对设备的操作 ................................................................................................. 7 3.1.2 记录与设备相关的安全事件 ......................................................................................... 7 3.1.3 开启记录NAT 日志 . ....................................................................................................... 8 3.1.4 配置记录流量日志 ......................................................................................................... 9 3.1.5 配置日志容量告警阈值 ................................................................................................. 9 3.2 告警配置要求 ....................................................................................................................... 10 3.2.1 配置对防火墙本身的攻击或内部错误告警 ............................................................... 10 3.2.2 配置TCP/IP协议网络层异常报文攻击告警 ............................................................. 10 3.2.3 配置DOS 和DDOS 攻击告警 . .................................................................................... 11 3.2.4 配置关键字内容过滤功能告警* ................................................................................. 12 3.3 安全策略配置要求 ............................................................................................................... 12 3.3.1 访问规则列表最后一条必须是拒绝一切流量 ........................................................... 12 3.3.2 配置访问规则应尽可能缩小范围 ............................................................................... 13 3.3.3 访问规则进行分组* ..................................................................................................... 13 3.3.4 配置NAT 地址转换 . ..................................................................................................... 14 3.3.5 隐藏防火墙字符管理界面的bannner 信息 ................................................................ 15 3.3.6 关闭非必要服务 ........................................................................................................... 15 3.4 攻击防护配置要求 ............................................................................................................... 16 3.4.1 拒绝常见漏洞所对应端口或者服务的访问 ............................................................... 16 3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能* ..................................................... 17 3.4.3 限制ICMP 包大小* ..................................................................................................... 17
第4章
IP 协议安全要求 .............................................................................................................. 19
3.1.1
4.1 功能配置 ............................................................................................................................... 19
4.1.1 使用SNMP V2或 V3版本对防火墙远程管理 .......................................................... 19
第5章 其他安全要求 ....................................................................................................................... 21 5.1
其他安全配置 ....................................................................................................................... 21
5.1.1 5.1.2 5.1.3 外网口地址关闭对ping 包的回应 .............................................................................. 21 对防火墙的管理地址做源地址限制 ........................................................................... 21 配置consol 口密码保护功能 . ...................................................................................... 22
第6章 评审与修订 ........................................................................................................................... 24
第1章 概述
1.1 目的
本文档规定了中国移动管理信息系统部所维护管理的Huawei 防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei 防火墙的安全配置。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Huawei 防火墙。
1.3 适用版本
Huawei 防火墙。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章 帐号管理、认证授权安全要求
2.1 帐号管理 2.1.1 用户帐号分配*
2.1.2 删除无关的帐号*
2.1.3 帐户登录超时*
2.1.4 帐户密码错误自动锁定*
2.2 口令
2.2.1 口令复杂度要求
2.3 授权
2.3.1 远程维护的设备使用加密协议
第3章 日志及配置安全要求
3.1 日志安全
3.1.1 记录用户对设备的操作
3.1.2 记录与设备相关的安全事件
第 7 页 共 27 页
中国移动集团公司
3.1.3 开启记录NAT 日志
中国移动集团公司 第 8 页 共 27 页
3.1.4 配置记录流量日志
3.1.5 配置日志容量告警阈值
第 9 页 共 27 页
中国移动集团公司
3.2 告警配置要求
3.2.1 配置对防火墙本身的攻击或内部错误告警
3.2.2 配置TCP/IP协议网络层异常报文攻击告警
中国移动集团公司 第 10 页 共 27 页
3.2.3 配置DOS 和DDOS 攻击告警
中国移动集团公司 第 11 页 共 27 页
3.2.4 配置关键字内容过滤功能告警*
3.3 安全策略配置要求
3.3.1 访问规则列表最后一条必须是拒绝一切流量
中国移动集团公司 第 12 页 共 27 页
3.3.2 配置访问规则应尽可能缩小范围
3.3.3 访问规则进行分组*
中国移动集团公司 第 13 页 共 27 页
3.3.4 配置NAT 地址转换
中国移动集团公司 第 14 页 共 27 页
3.3.5 隐藏防火墙字符管理界面的bannner 信息
3.3.6 关闭非必要服务
中国移动集团公司 第 15 页 共 27 页
3.4 攻击防护配置要求
3.4.1 拒绝常见漏洞所对应端口或者服务的访问
中国移动集团公司 第 16 页 共 27 页
3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能*
3.4.3 限制ICMP 包大小*
中国移动集团公司 第 17 页 共 27 页
中国移动集团公司 第 18 页 共 27 页
第4章 IP 协议安全要求
4.1 功能配置
4.1.1 使用SNMP V2或 V3版本对防火墙远程管理
中国移动集团公司 第 19 页 共 27 页
中国移动集团公司 第 20 页 共 27 页
第5章 其他安全要求
5.1 其他安全配置
5.1.1 外网口地址关闭对ping 包的回应
5.1.2 对防火墙的管理地址做源地址限制
中国移动集团公司 第 21 页 共 27 页
5.1.3 配置consol 口密码保护功能
中国移动集团公司 第 22 页 共 27 页
中国移动集团公司 第 23 页 共 27 页
第6章 评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
中国移动集团公司 第 24 页 共 27 页
Huawei 防火墙安全配置基线
中国移动通信有限公司 管理信息系统部
2012年 04月
备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目 录
第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5
目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1
第2章 帐号管理、认证授权安全要求 ............................................................................................. 2 2.1
帐号管理 ................................................................................................................................. 2
用户帐号分配* ............................................................................................................... 2
2.1.2 删除无关的帐号* ........................................................................................................... 2 2.1.3 帐户登录超时* ............................................................................................................... 3 2.1.4 帐户密码错误自动锁定* ............................................................................................... 4 2.2 口令 ......................................................................................................................................... 5 2.2.1 口令复杂度要求 ............................................................................................................. 5 2.3 授权 ......................................................................................................................................... 5 2.3.1 远程维护的设备使用加密协议 ..................................................................................... 5
第3章 日志及配置安全要求 ............................................................................................................. 7 3.1
日志安全 ................................................................................................................................. 7
2.1.1
记录用户对设备的操作 ................................................................................................. 7 3.1.2 记录与设备相关的安全事件 ......................................................................................... 7 3.1.3 开启记录NAT 日志 . ....................................................................................................... 8 3.1.4 配置记录流量日志 ......................................................................................................... 9 3.1.5 配置日志容量告警阈值 ................................................................................................. 9 3.2 告警配置要求 ....................................................................................................................... 10 3.2.1 配置对防火墙本身的攻击或内部错误告警 ............................................................... 10 3.2.2 配置TCP/IP协议网络层异常报文攻击告警 ............................................................. 10 3.2.3 配置DOS 和DDOS 攻击告警 . .................................................................................... 11 3.2.4 配置关键字内容过滤功能告警* ................................................................................. 12 3.3 安全策略配置要求 ............................................................................................................... 12 3.3.1 访问规则列表最后一条必须是拒绝一切流量 ........................................................... 12 3.3.2 配置访问规则应尽可能缩小范围 ............................................................................... 13 3.3.3 访问规则进行分组* ..................................................................................................... 13 3.3.4 配置NAT 地址转换 . ..................................................................................................... 14 3.3.5 隐藏防火墙字符管理界面的bannner 信息 ................................................................ 15 3.3.6 关闭非必要服务 ........................................................................................................... 15 3.4 攻击防护配置要求 ............................................................................................................... 16 3.4.1 拒绝常见漏洞所对应端口或者服务的访问 ............................................................... 16 3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能* ..................................................... 17 3.4.3 限制ICMP 包大小* ..................................................................................................... 17
第4章
IP 协议安全要求 .............................................................................................................. 19
3.1.1
4.1 功能配置 ............................................................................................................................... 19
4.1.1 使用SNMP V2或 V3版本对防火墙远程管理 .......................................................... 19
第5章 其他安全要求 ....................................................................................................................... 21 5.1
其他安全配置 ....................................................................................................................... 21
5.1.1 5.1.2 5.1.3 外网口地址关闭对ping 包的回应 .............................................................................. 21 对防火墙的管理地址做源地址限制 ........................................................................... 21 配置consol 口密码保护功能 . ...................................................................................... 22
第6章 评审与修订 ........................................................................................................................... 24
第1章 概述
1.1 目的
本文档规定了中国移动管理信息系统部所维护管理的Huawei 防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei 防火墙的安全配置。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Huawei 防火墙。
1.3 适用版本
Huawei 防火墙。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章 帐号管理、认证授权安全要求
2.1 帐号管理 2.1.1 用户帐号分配*
2.1.2 删除无关的帐号*
2.1.3 帐户登录超时*
2.1.4 帐户密码错误自动锁定*
2.2 口令
2.2.1 口令复杂度要求
2.3 授权
2.3.1 远程维护的设备使用加密协议
第3章 日志及配置安全要求
3.1 日志安全
3.1.1 记录用户对设备的操作
3.1.2 记录与设备相关的安全事件
第 7 页 共 27 页
中国移动集团公司
3.1.3 开启记录NAT 日志
中国移动集团公司 第 8 页 共 27 页
3.1.4 配置记录流量日志
3.1.5 配置日志容量告警阈值
第 9 页 共 27 页
中国移动集团公司
3.2 告警配置要求
3.2.1 配置对防火墙本身的攻击或内部错误告警
3.2.2 配置TCP/IP协议网络层异常报文攻击告警
中国移动集团公司 第 10 页 共 27 页
3.2.3 配置DOS 和DDOS 攻击告警
中国移动集团公司 第 11 页 共 27 页
3.2.4 配置关键字内容过滤功能告警*
3.3 安全策略配置要求
3.3.1 访问规则列表最后一条必须是拒绝一切流量
中国移动集团公司 第 12 页 共 27 页
3.3.2 配置访问规则应尽可能缩小范围
3.3.3 访问规则进行分组*
中国移动集团公司 第 13 页 共 27 页
3.3.4 配置NAT 地址转换
中国移动集团公司 第 14 页 共 27 页
3.3.5 隐藏防火墙字符管理界面的bannner 信息
3.3.6 关闭非必要服务
中国移动集团公司 第 15 页 共 27 页
3.4 攻击防护配置要求
3.4.1 拒绝常见漏洞所对应端口或者服务的访问
中国移动集团公司 第 16 页 共 27 页
3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能*
3.4.3 限制ICMP 包大小*
中国移动集团公司 第 17 页 共 27 页
中国移动集团公司 第 18 页 共 27 页
第4章 IP 协议安全要求
4.1 功能配置
4.1.1 使用SNMP V2或 V3版本对防火墙远程管理
中国移动集团公司 第 19 页 共 27 页
中国移动集团公司 第 20 页 共 27 页
第5章 其他安全要求
5.1 其他安全配置
5.1.1 外网口地址关闭对ping 包的回应
5.1.2 对防火墙的管理地址做源地址限制
中国移动集团公司 第 21 页 共 27 页
5.1.3 配置consol 口密码保护功能
中国移动集团公司 第 22 页 共 27 页
中国移动集团公司 第 23 页 共 27 页
第6章 评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
中国移动集团公司 第 24 页 共 27 页