Fortigate防火墙安全配置基线.doc

Fortigate 防火墙安全配置基线 中国移动集团公司第 1 页 共 20 页 FortigateFortigate 防火墙安全配置基线防火墙安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 Fortigate 防火墙安全配置基线 中国移动集团公司第 2 页 共 20 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2 0创建2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Fortigate 防火墙安全配置基线 中国移动集团公司第 3 页 共 20 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章帐号 口令管理与认证授权帐号 口令管理与认证授权 2 2 1帐号管理 2 2 1 1用户帐号管理 2 2 1 2删除无关的帐号 2 2 1 3帐户登录超时 3 2 1 4帐户密码错误自动锁定 4 2 2口令 5 2 2 1口令复杂度 5 2 3授权 6 2 3 1远程维护的设备使用加密协议 6 第第 3 章章日志安全要求日志安全要求 7 3 1日志服务器 7 3 1 1启用日志服务器 7 3 1 2配置远程日志服务器 7 3 2告警配置要求 8 3 2 1配置对防火墙本身的攻击或内部错误告警 8 3 2 2配置DOS和DDOS攻击告警 9 3 2 3配置扫描攻击检测告警 9 3 3安全策略配置要求 10 3 3 1访问规则列表最后一条必须是拒绝一切流量 10 3 3 2配置访问规则应尽可能缩小范围 11 3 3 3VPN用户按照访问权限进行分组 11 3 3 4配置NAT地址转换 12 3 3 5关闭仅开启必要服务 13 3 3 6禁止使用any to anyall允许规则 13 3 4攻击防护配置要求 14 3 4 1配置应用层攻击防护 14 3 4 2配置网络扫描攻击防护 15 3 4 3限制ping包大小 15 3 4 4启用对带选项的IP包及畸形IP包的检测 16 第第 4 章章IP 协议安全要求协议安全要求 17 4 1管理 IP 限制 17 4 1 1管理IP限制 17 Fortigate 防火墙安全配置基线 中国移动集团公司第 4 页 共 20 页 第第 5 章章SNMP 安全安全 18 5 1SNMP 管理 18 5 1 1使用SNMPV2或以上版本 18 5 2SNMP 访问控制 19 5 2 1SNMP访问控制 19 第第 6 章章评审与修订评审与修订 20 Fortigate 防火墙安全配置基线 中国移动集团公司第 1 页 共 20 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 Fortigate 防火墙应当遵循的设备 安全性设置标准 本文档旨在指导系统管理人员进行 Fortigate 防火墙的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 Fortigate 防火墙 1 3 适用版本适用版本 Fortigate 防火墙 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 Fortigate 防火墙安全配置基线 中国移动集团公司第 2 页 共 20 页 第第 2 章章帐号 口令管理与认证授权帐号 口令管理与认证授权 2 1 帐号管理帐号管理 2 1 1 用户帐号管理用户帐号管理 安全基线项安全基线项 目名称目名称 用户帐号管理安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 02 01 01 安全基线项安全基线项 说明说明 应按照用户分配帐号 避免不同用户间共享帐号 避免用户帐号和设备间通信使用的帐号共享 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 使用命令 show system admin 查看是否有多余帐户 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 用配置中没有的用户名去登录 结果是不能登录 2 2 参考检测操作参考检测操作 show system admin 删除帐户 Config system admin delete 3 3 补充说明补充说明 无 备注备注 需要手工判定检测 2 1 2 删除无关的删除无关的帐号帐号 安全基线项安全基线项 目名称目名称 无关的帐号安全基线要求项 Fortigate 防火墙安全配置基线 中国移动集团公司第 3 页 共 20 页 安全基线编安全基线编 号号 SBL FortiFW 02 01 02 安全基线项安全基线项 说明说明 应删除或锁定与设备运行 维护等工作无关的帐号 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 usrobj del 2 补充操作说明补充操作说明 使用 usrobj list admin 显示帐户信息 基线符合性基线符合性 判定依据判定依据 3 判定条件判定条件 配置中用户信息被删除 4 检测操作检测操作 查看配置 5 补充说明补充说明 无 备注备注 需要手工判定检测 无关帐户更多属于管理层面 需要人为确认 2 1 3 帐户登录超时帐户登录超时 安全基线项安全基线项 目名称目名称 帐户登录超时安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 02 01 03 安全基线项安全基线项 说明说明 配置定时帐户自动登出 空闲 5 分钟自动登出 登出后用户需再次登录才能 进入系统 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置超时时间为 5 分钟 config system global set admintimeout 5 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 在超出设定时间后 用户自动登出设备 Fortigate 防火墙安全配置基线 中国移动集团公司第 4 页 共 20 页 2 2 参考检测操作参考检测操作 show system global 3 3 补充说明补充说明 无 备注备注 需要手工检查 2 1 4 帐户密码错误自动锁定帐户密码错误自动锁定 安全基线项安全基线项 目名称目名称 帐户密码错误自动锁定安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 02 01 04 安全基线项安全基线项 说明说明 在 10 次尝试登录失败后锁定帐户 不允许登录 解锁时间设置为 300 秒 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置尝试失败锁定次数为 10 次 set admin lockout threshold 10 set admintimeout 1 set admin lockout duration 300 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 超出重试次数后帐号锁定 不允许登录 解锁时间到达后可以登录 2 2 参考检测操作参考检测操作 show system global 3 3 补充说明补充说明 无 备注备注 注意 此项设置会影响性能 建议设置后对访问此设备做源地址做限制 需要手工检查 需要手工检查 Fortigate 防火墙安全配置基线 中国移动集团公司第 5 页 共 20 页 2 2 口令口令 2 2 1 口令复杂度口令复杂度 安全基线项安全基线项 目名称目名称 口令复杂度安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 02 02 01 安全基线项安全基线项 说明说明 防火墙的帐号密码必须符合密码复杂度要求 口令长度至少 8 位 并包括 数字 小写字母 大写字母和特殊符号四类中至少两类 且 5 次次以内不得设 置相同的口令 密码应至少每 90 天天进行更换 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 config system password policy set status enable set apply to admin password ipsec preshared key set change 4 characters enable set expire 90 set minimum length 8 set must contain lower case letter Upper case letter non alphanumeric number end 2 2 补充说明 补充说明 密码长度要求 8 位 大小写字母和特殊字符混合 密码超时时间 90 天 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 Show system password policy 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 无 备注备注 Fortigate 防火墙安全配置基线 中国移动集团公司第 6 页 共 20 页 2 3 授权授权 2 3 1 远程维护的设备使用加密协议远程维护的设备使用加密协议 安全基线项安全基线项 目名称目名称 远程维护使用加密协议安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 02 03 01 安全基线项安全基线项 说明说明 对于防火墙远程管理的配置 必须是基于加密的协议 如 SSH 或者 WEB SSL 如果只允许从防火墙内部进行管理 应该限定管理 IP 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 系统默认支持 ssh 及 WEB SSL 两种加密管理方式 查看及增加管理 IP 操 作如下 查看管理 IP adminhost list 增加管理 IP adminhost add 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 只支持 ssh 及 Web SSL 管理 对于非允许的 ip 地址不能登陆 2 检测操作检测操作 使用非允许的 ip 地址登陆 3 补充说明补充说明 无 备注备注 Fortigate 防火墙安全配置基线 中国移动集团公司第 7 页 共 20 页 第第 3 章章日志安全要求日志安全要求 3 1 日志服务器日志服务器 3 1 1启用日志服务器启用日志服务器 安全基线项安全基线项 目名称目名称 启用日志服务器安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 01 01 安全基线项安全基线项 说明说明 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到日志服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 config log syslogd setting set status enable end 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 是否正确配置了相应的日志服务器地址 日志服务器正确记录了日志信息 2 2 参考检测操作参考检测操作 Show log syslogd setting 3 3 补充说明补充说明 无 备注备注 3 1 2配置远程日志服务器配置远程日志服务器 安全基线项安全基线项 目名称目名称 配置远程日志服务器安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 01 02 安全基线项安全基线项 说明说明 设备应支持远程日志功能 Fortigate 防火墙安全配置基线 中国移动集团公司第 8 页 共 20 页 所有设备日志均能通过远程日志功能传输到日志服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 config log syslogd setting set status enable set server XXX XXX XXX XXX set port XXX end 2 补充操作说明 补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 是否正确配置了相应的日志服务器地址 日志服务器正确记录了日志信息 2 2 参考检测操作参考检测操作 Show log syslogd setting 3 3 补充说明补充说明 无 备注备注 3 2 告警配置要求告警配置要求 3 2 1 配置对防火墙本身的攻击或内部错误告警配置对防火墙本身的攻击或内部错误告警 安全基线项安全基线项 目名称目名称 配置对防火墙本身的攻击或内部错误告警安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 02 01 安全基线项安全基线项 说明说明 设备应具备向管理员告警的功能 配置告警功能 报告对防火墙本身的攻击 或者防火墙的系统严重错误 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 参考日志配置模块 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 Fortigate 防火墙安全配置基线 中国移动集团公司第 9 页 共 20 页 查看防火墙是否生成相应告警 2 检测操作检测操作 查看防火墙是否生成相应告警 3 补充说明补充说明 无 备注备注 3 2 2 配置配置 DOS 和和 DDOS 攻击告警攻击告警 安全基线项安全基线项 目名称目名称 配置 DOS 和 DDOS 攻击防护功能安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 02 02 安全基线项安全基线项 说明说明 可打开 DOS 和 DDOS 攻击防护功能 对攻击告警 DDOS 的攻击告警的 参数可由维护人员根据网络环境进行调整 维护人员可通过设置白名单方式 屏蔽部分告警 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否已经将此功能打开 2 检测操作检测操作 查看配置 3 补充说明补充说明 无 备注备注 3 2 3 配置扫描攻击检测告警配置扫描攻击检测告警 安全基线项安全基线项 目名称目名称 配置扫描攻击检测告警安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 02 03 安全基线项安全基线项可打开扫描攻击检测功能 对扫描探测告警 扫描攻击告警的参数可由维护 Fortigate 防火墙安全配置基线 中国移动集团公司第 10 页 共 20 页 说明说明 人员根据网络环境进行调整 维护人员可通过设置白名单方式屏蔽部分网络 扫描告警 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 检测是否开启此功能 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 无 3 补充说明补充说明 无 备注备注 需手工判定 3 3 安全策略配置要求安全策略配置要求 3 3 1 访问规则列表最后一条必须是拒绝一切流量访问规则列表最后一条必须是拒绝一切流量 安全基线项安全基线项 目名称目名称 访问规则列表最后一条必须是拒绝一切流量安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 03 01 安全基线项安全基线项 说明说明 所有防火墙在配置访问规则时 最后一条必须是拒绝一切流量 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 设备默认最后一条为拒绝所有其他 2 补充操作说明补充操作说明 设备也支持主动建立禁止一切的策略 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 查看策略配置及测试访问 3 补充说明补充说明 Fortigate 防火墙安全配置基线 中国移动集团公司第 11 页 共 20 页 无 备注备注 3 3 2 配置访问规则应尽可能缩小范围配置访问规则应尽可能缩小范围 安全基线项安全基线项 目名称目名称 配置访问规则应尽可能缩小范围安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 03 02 安全基线项安全基线项 说明说明 在配置访问规则时 源地址和目的地址的范围必须以实际访问需求为前提 尽可能的缩小范围 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 根据实际访问需求 缩小地址范围 需要禁止 any to any all 和 any all 和服务为 all 的规则 2 补充操作说明补充操作说明 我们在防火墙上可以定义不同范围的地址对象 在策略中进行引用即可 如下命令用来建立不同范围的地址对象 供策略引用 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 根据实际访问需求 测试是否达到要求 查看配置 3 补充说明补充说明 无 备注备注 3 3 3 VPN 用户按照访问权限进行分组用户按照访问权限进行分组 安全基线项安全基线项 目名称目名称 VPN 用户按照访问权限进行分组安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 03 03 安全基线项安全基线项 说明说明 对于 VPN 用户 必须按照其访问权限不同而进行分组 并在访问控制规则 Fortigate 防火墙安全配置基线 中国移动集团公司第 12 页 共 20 页 中对该组的访问权限进行严格限制 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 policy add options toname 2 补充操作说明补充操作说明 设备部分支持此项功能 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 按照需求访问进行检测 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 3 4 配置配置 NAT 地址转换地址转换 安全基线项安全基线项 目名称目名称 配置 NAT 地址转换安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 03 04 安全基线项安全基线项 说明说明 配置 NAT 对公网隐藏局域网主机的实际地址 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 检测是否启用检测是否启用 NAT 功能 功能 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 从外网用 NAT 地址访问内网的 IP 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 Fortigate 防火墙安全配置基线 中国移动集团公司第 13 页 共 20 页 3 3 5 关闭仅开启必要服务关闭仅开启必要服务 安全基线项安全基线项 目名称目名称 仅开启必要服务安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 03 05 安全基线项安全基线项 说明说明 防火墙设备必须仅开启必要服务 与生产无关的服务端口不能开放规则 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 policy add options toname 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 查看策略 检查是否有不必要的服务 Policy list 3 补充说明补充说明 无 备注备注 3 3 6 禁止使用禁止使用 any to anyall 允许规则允许规则 安全基线项安全基线项 目名称目名称 尽量不允许使用 any to any 安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 03 06 安全基线项安全基线项 说明说明 防火墙策略配置时不允许使用 any to any all 允许规则 对于从防火墙内部到 外部的访问也应指定策略 应定期的对防火墙策略进行检查和梳理 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 查看访问控制策略查看访问控制策略 policy list 配置防火墙策略配置防火墙策略 policy add options toname Fortigate 防火墙安全配置基线 中国移动集团公司第 14 页 共 20 页 2 补充操作说明补充操作说明 无无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无无 2 检测操作检测操作 policy list 3 补充说明补充说明 无 备注备注 3 4 攻击防护配置要求攻击防护配置要求 3 4 1 配置应用层攻击防护配置应用层攻击防护 安全基线项安全基线项 目名称目名称 配置应用层攻击防护安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 04 01 安全基线项安全基线项 说明说明 建议采用防火墙自带的入侵检测模块对应用层攻击进行防护 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 enable level 其中级别如下 建议采用默认级别 1 0 disable 1 duplicate pass policy matched packets 2 duplicate more pass policy matched packets 3 duplicate all packets 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否已经将此功能打开 2 检测操作检测操作 查看配置 Fortigate 防火墙安全配置基线 中国移动集团公司第 15 页 共 20 页 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 4 2 配置网络扫描攻击防护配置网络扫描攻击防护 安全基线项安全基线项 目名称目名称 配置网络扫描攻击防护安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 04 02 安全基线项安全基线项 说明说明 建议采用防火墙自带的入侵检测模块对网络扫描攻击行为进行检测 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 启用流探测功能模块 选择启用即可 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否已经将此功能打开 2 检测操作检测操作 查看配置 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 4 3 限制限制 ping 包大小包大小 安全基线项安全基线项 目名称目名称 限制 ping 包大小安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 04 03 安全基线项安全基线项 说明说明 限制 ping 包的大小 以及一段时间内同一主机发送的次数 Fortigate 防火墙安全配置基线 中国移动集团公司第 16 页 共 20 页 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 2 补充操作说明补充操作说明 部分功能实现 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 查看配置 需求测试 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 4 4 启用对带选项的启用对带选项的 IP 包及畸形包及畸形 IP 包的检测包的检测 安全基线项安全基线项 目名称目名称 启用对带选项的 IP 包及畸形 IP 包的检测安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 03 04 04 安全基线项安全基线项 说明说明 启用对带选项的 IP 包及畸形 IP 包的检测 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 anti set frag on 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否已经将此功能打开 2 检测操作检测操作 查看配置 3 补充说明补充说明 无 备注备注 Fortigate 防火墙安全配置基线 中国移动集团公司第 17 页 共 20 页 第第 4 章章IP 协议安全要求协议安全要求 4 1 管理管理 IP 限制限制 4 1 1 管理管理 IP 限制限制 安全基线项安全基线项 目名称目名称 管理 IP 限制安全基线要求项 安全基线编安全基线编 号号 SBL FortiFW 04 01 01 安全基线项安全基线项 说明说明 系统远程管理服务 TELNET SSH 默认可以接受任何地址的连接 出于安全考 虑 应该只允许特定地址访问 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 Config system admin Edit Set trusthost1 XXX XXX XXX XXX XXX XXX XXX XXX Set trusthost2 XXX XXX XXX XXX XXX XXX XXX XXX Set trusthost3 127 0 0 1 255 255 255 255 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判