安氏防火墙安全配置基线.doc

安氏防火墙安全配置基线 中国移动集团公司第 1 页 共 33 页 安氏防火墙安全配置基线安氏防火墙安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 安氏防火墙安全配置基线 中国移动集团公司第 2 页 共 33 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2 0创建2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 安氏防火墙安全配置基线 中国移动集团公司第 3 页 共 33 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理 认证授权安全要求账号管理 认证授权安全要求 2 2 1账号管理 2 2 1 1用户账号分配 2 2 1 2删除无关的账号 2 2 1 3帐户登录超时 3 2 1 4帐户密码错误自动锁定 4 2 2口令 4 2 2 1口令复杂度要求 4 2 3授权 5 2 3 1远程维护的设备使用加密协议 5 第第 3 章章日志及配置安全要求日志及配置安全要求 6 3 1日志安全 6 3 1 1对用户登录进行记录 6 3 1 2记录与设备相关的安全事件 7 3 1 3配置设备远程日志功能 8 3 2告警配置要求 9 3 2 1配置对防火墙本身的攻击或内部错误告警 9 3 2 2配置DOS和DDOS攻击告警 10 3 2 3配置扫描攻击检测告警 11 3 3安全策略配置要求 11 3 3 1访问规则列表最后一条必须是拒绝一切流量 11 3 3 2配置访问规则应尽可能缩小范围 12 3 3 3VPN用户按照访问权限进行分组 13 3 3 4配置NAT地址转换 13 3 3 5关闭仅开启必要服务 14 3 3 6禁止使用any to anyall允许规则 15 3 4攻击防护配置要求 15 3 4 1配置应用层攻击防护 15 3 4 2配置网络扫描攻击防护 16 3 4 3限制ping包大小 17 3 4 4启用对带选项的IP包及畸形IP包的检测 18 3 4 5防火墙各逻辑接口配置开启防源地址欺骗功能 18 第第 4 章章IP 协议安全要求协议安全要求 19 安氏防火墙安全配置基线 中国移动集团公司第 4 页 共 33 页 4 1IP 协议 19 4 1 1使用SNMP V2或者V3以上的版本对防火墙远程管理 19 第第 5 章章其他安全要求其他安全要求 21 5 1其他安全配置 21 5 1 1配置定时账户自动登出 21 5 1 2配置consol口密码保护功能 21 第第 6 章章评审与修订评审与修订 23 安氏防火墙安全配置基线 中国移动集团公司第 1 页 共 33 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的安氏防火墙应当遵循的设备安全 性设置标准 本文档旨在指导系统管理人员进行安氏防火墙的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的安氏防 火墙 1 3 适用版本适用版本 安氏防火墙 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 安氏防火墙安全配置基线 中国移动集团公司第 2 页 共 33 页 第第 2 章章账号管理 认证授权安全要求账号管理 认证授权安全要求 2 1 账号管理账号管理 2 1 1 用户账号分配用户账号分配 安全基线项安全基线项 目名称目名称 用户账号分配安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 02 01 01 安全基线项安全基线项 说明说明 不同等级管理员分配不同账号 避免账号混用 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 usrobj passwdp admin NNtEDJuo3qa28 usrobj passwdp guest fyRW3nLH7ywPl usrobj addadminp passwd 2 补充操作说明补充操作说明 前两个用户为系统默认建立的帐号 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 用配置中没有的用户名去登录 结果是不能登录 2 检测操作检测操作 在图形界面登陆 3 补充说明补充说明 无 备注备注 有些防火墙系统本身就携带三种不同权限的账号 需要手工检查 2 1 2 删除无关的账号删除无关的账号 安全基线项安全基线项 目名称目名称 无关的账号安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 02 01 02 安氏防火墙安全配置基线 中国移动集团公司第 3 页 共 33 页 安全基线项安全基线项 说明说明 应删除或锁定与设备运行 维护等工作无关的账号 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 usrobj del 2 补充操作说明补充操作说明 使用 usrobj list admin 显示帐户信息 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置中用户信息被删除 2 检测操作检测操作 查看配置 3 补充说明补充说明 无 备注备注 建议手工抽查系统 无关账户更多属于管理层面 需要人为确认 2 1 3 帐户登录超时帐户登录超时 安全基线项安全基线项 目名称目名称 帐户登录超时安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 02 01 03 安全基线项安全基线项 说明说明 配置定时帐户自动登出 空闲 5 分钟自动登出 登出后用户需再次登录才能 进入系统 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置超时时间为 5 分钟 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 在超出设定时间后 用户自动登出设备 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 安氏防火墙安全配置基线 中国移动集团公司第 4 页 共 33 页 无 备注备注 需要手工检查 2 1 4 帐户密码错误自动锁定帐户密码错误自动锁定 安全基线项安全基线项 目名称目名称 帐户密码错误自动锁定安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 02 01 04 安全基线项安全基线项 说明说明 在 10 次尝试登录失败后锁定帐户 不允许登录 解锁时间设置为 300 秒 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置尝试失败锁定次数为 10 次 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 超出重试次数后帐号锁定 不允许登录 解锁时间到达后可以登录 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 无 备注备注 需要手工检查注意 此项设置会影响性能 建议设置后对访问此设备做源地 址做限制 需要手工检查 2 2 口令口令 2 2 1 口令复杂度要求口令复杂度要求 安全基线项安全基线项 目名称目名称 口令复杂度要求安全基线要求项 安氏防火墙安全配置基线 中国移动集团公司第 5 页 共 33 页 安全基线编安全基线编 号号 SBL LinkTrustFW 02 02 01 安全基线项安全基线项 说明说明 防火墙管理员账号口令长度至少 8 位 并包括数字 小写字母 大写字母 和特殊符号四类中至少两类 且 5 次次以内不得设置相同的口令 密码应至少 每 90 天天进行更换 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 usrobj addadminp 回车 输入密码 2 补充操作说明补充操作说明 口令字符不完全符合要求 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 该级别的密码设置由管理员进行密码的生成 设备本身无此强制功能 2 检测操作检测操作 实验性建立帐户信息 3 补充说明补充说明 无 备注备注 2 3 授权授权 2 3 1 远程维护的设备使用加密协议远程维护的设备使用加密协议 安全基线项安全基线项 目名称目名称 远程维护使用加密协议安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 02 03 01 安全基线项安全基线项 说明说明 对于防火墙远程管理的配置 必须是基于加密的协议 如 SSH 或者 WEB SSL 如果只允许从防火墙内部进行管理 应该限定管理 IP 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 系统默认支持 ssh 及 WEB SSL 两种加密管理方式 查看及增加管理 IP 操 作如下 查看管理 IP 安氏防火墙安全配置基线 中国移动集团公司第 6 页 共 33 页 adminhost list 增加管理 IP adminhost add 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 只支持 ssh 及 Web SSL 管理 对于非允许的 ip 地址不能登陆 2 检测操作检测操作 使用非允许的 ip 地址登陆 3 补充说明补充说明 无 备注备注 第第 3 章章日志及配置安全要求日志及配置安全要求 3 1 日志安全日志安全 3 1 1 对用户登录进行记录对用户登录进行记录 安全基线项安全基线项 目名称目名称 用户登录进行记录安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 log policy add 2 补充操作说明补充操作说明 系统 以字母 a 表示 NAT 以字母 n 表示 包过滤 以字母 f 表示 连接状态 以字母 c 表示 HTTP 代理 以字母 H 表示 TELNET 代理 以字母 T 表示 安氏防火墙安全配置基线 中国移动集团公司第 7 页 共 33 页 SMTP 代理 以字母 S 表示 POP3 代理 以字母 O 表示 事前认证 以字母 R 表示 双机热备 以字母 h 表示 VPN PPP 协议 以字母 P 表示 VPN IPSec 协议 以字母 I 表示 流探测 以字母 i 表示 指日志处理方式 mbyse 分别指发送本地一 发送本地二 日志 外发 syslog 主机 外发 snmp trap 主机 email 告警等 用户可根 据需要选择 基线符合性基线符合性 判定依据判定依据 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 备注备注 3 1 2 记录与设备相关的安全事件记录与设备相关的安全事件 安全基线项安全基线项 目名称目名称 记录与设备相关安全事件安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 01 02 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 log policy add 2 补充操作说明补充操作说明 系统 以字母 a 表示 NAT 以字母 n 表示 包过滤 以字母 f 表示 连接状态 以字母 c 表示 HTTP 代理 以字母 H 表示 TELNET 代理 以字母 T 表示 SMTP 代理 以字母 S 表示 POP3 代理 以字母 O 表示 事前认证 以字母 R 表示 双机热备 以字母 h 表示 VPN PPP 协议 以字母 P 表示 VPN IPSec 协议 以字母 I 表示 流探测 以字母 i 表示 指日志处理方式 mbyse 分别指发送本地一 发送本地二 安氏防火墙安全配置基线 中国移动集团公司第 8 页 共 33 页 日志 外发 syslog 主机 外发 snmp trap 主机 email 告警等 用户可根 据需要选择 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 在设备上正确纪录了日志信息 2 检测操作检测操作 查看日志模块 3 补充说明补充说明 无 备注备注 3 1 3 配置设备远程日志功能配置设备远程日志功能 安全基线项安全基线项 目名称目名称 配置设备远程日志功能安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 01 03 安全基线项安全基线项 说明说明 设备配置远程日志功能 将需要重点关注的日志内容传输到日志服务器 建 议将 Warning 级别 4 级 以上日志传送到志服务器和统一的安全管理平台 处理 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 loghost add 设备 log policy add 其中 0 EMERGENCY 1 ALERT 2 CRITICAL 3 ERROR 4 WARNING 5 NOTICE 6 INFO 7 DEBUG 2 补充操作说明补充操作说明 可以设置发送的日志服务器 IP 地址 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 日志服务器上是否接收到了正确的日志信息 安氏防火墙安全配置基线 中国移动集团公司第 9 页 共 33 页 2 检测操作检测操作 在日志服务器上查看信息 3 补充说明补充说明 无 备注备注 3 2 告警配置要求告警配置要求 3 2 1 配置对防火墙本身的攻击或内部错误告警配置对防火墙本身的攻击或内部错误告警 安全基线项安全基线项 目名称目名称 配置对防火墙本身的攻击或内部错误告警安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 02 01 安全基线项安全基线项 说明说明 设备应具备向管理员告警的功能 配置告警功能 报告对防火墙本身的攻击 或者防火墙的系统严重错误 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 参考日志配置模块 如下 log policy add 2 补充操作说明补充操作说明 设备只支持纪录部分关键操作 系统 以字母 a 表示 NAT 以字母 n 表示 包过滤 以字母 f 表示 连接状态 以字母 c 表示 HTTP 代理 以字母 H 表示 TELNET 代理 以字母 T 表示 SMTP 代理 以字母 S 表示 POP3 代理 以字母 O 表示 事前认证 以字母 R 表示 双机热备 以字母 h 表示 VPN PPP 协议 以字母 P 表示 VPN IPSec 协议 以字母 I 表示 流探测 以字母 i 表示 安氏防火墙安全配置基线 中国移动集团公司第 10 页 共 33 页 指日志处理方式 mbyse 分别指发送本地一 发送本地二 日志 外发 syslog 主机 外发 snmp trap 主机 email 告警等 用户可根 据需要选择 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看防火墙是否生成相应告警 2 检测操作检测操作 查看防火墙是否生成相应告警 3 补充说明补充说明 无 备注备注 3 2 2 配置配置 DOS 和和 DDOS 攻击告警攻击告警 安全基线项安全基线项 目名称目名称 配置 DOS 和 DDOS 攻击防护功能安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 02 02 安全基线项安全基线项 说明说明 可打开 DOS 和 DDOS 攻击防护功能 对攻击告警 DDOS 的攻击告警的 参数可由维护人员根据网络环境进行调整 维护人员可通过设置白名单方式 屏蔽部分告警 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 antidos set synflood antidos set land on antidos set smurf on anti set frag on antidos set icmpmax antidos set udpmax blockshortip on blockipoptions on 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 3 判定条件判定条件 安氏防火墙安全配置基线 中国移动集团公司第 11 页 共 33 页 查看是否已经将此功能打开 4 检测操作检测操作 查看配置 5 补充说明补充说明 无 备注备注 3 2 3 配置扫描攻击检测告警配置扫描攻击检测告警 安全基线项安全基线项 目名称目名称 配置扫描攻击检测告警安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 02 03 安全基线项安全基线项 说明说明 可打开扫描攻击检测功能 对扫描探测告警 扫描攻击告警的参数可由维护 人员根据网络环境进行调整 维护人员可通过设置白名单方式屏蔽部分网络 扫描告警 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 可参考 安全要求 设备 防火墙 配置 43 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 无 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 3 安全策略配置要求安全策略配置要求 3 3 1 访问规则列表最后一条必须是拒绝一切流量访问规则列表最后一条必须是拒绝一切流量 安全基线项安全基线项 访问规则列表最后一条必须是拒绝一切流量安全基线要求项 安氏防火墙安全配置基线 中国移动集团公司第 12 页 共 33 页 目名称目名称 安全基线编安全基线编 号号 SBL LinkTrustFW 03 03 01 安全基线项安全基线项 说明说明 所有防火墙在配置访问规则时 最后一条必须是拒绝一切流量 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 设备默认最后一条为拒绝所有其他 2 补充操作说明补充操作说明 设备也支持主动建立禁止一切的策略 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 查看策略配置及测试访问 3 补充说明补充说明 无 备注备注 3 3 2 配置访问规则应尽可能缩小范围配置访问规则应尽可能缩小范围 安全基线项安全基线项 目名称目名称 配置访问规则应尽可能缩小范围安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 03 02 安全基线项安全基线项 说明说明 在配置访问规则时 源地址和目的地址的范围必须以实际访问需求为前提 尽可能的缩小范围 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 根据实际访问需求 缩小地址范围 需要禁止 any to any all 和 any all 和服务为 all 的规则 2 补充操作说明补充操作说明 我们在防火墙上可以定义不同范围的地址对象 在策略中进行引用即可 如下命令用来建立不同范围的地址对象 供策略引用 netobj hostadd netobj add netobj addstd 安氏防火墙安全配置基线 中国移动集团公司第 13 页 共 33 页 netobj addipr netobj addifr netobj addznr 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 根据实际访问需求 测试是否达到要求 查看配置 3 补充说明补充说明 无 备注备注 3 3 3 VPN 用户按照访问权限进行分组用户按照访问权限进行分组 安全基线项安全基线项 目名称目名称 VPN 用户按照访问权限进行分组安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 03 03 安全基线项安全基线项 说明说明 对于 VPN 用户 必须按照其访问权限不同而进行分组 并在访问控制规则 中对该组的访问权限进行严格限制 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 vpn dialupuser add ip mask policy add options toname 2 补充操作说明补充操作说明 设备部分支持此项功能 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 按照需求访问进行检测 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 安氏防火墙安全配置基线 中国移动集团公司第 14 页 共 33 页 3 3 4 配置配置 NAT 地址转换地址转换 安全基线项安全基线项 目名称目名称 配置 NAT 地址转换安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 03 04 安全基线项安全基线项 说明说明 配置 NAT 对公网隐藏局域网主机的实际地址 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 nat11 add interface 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 从外网用 NAT 地址访问内网的 IP 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 3 5 关闭仅开启必要服务关闭仅开启必要服务 安全基线项安全基线项 目名称目名称 仅开启必要服务安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 03 05 安全基线项安全基线项 说明说明 防火墙设备必须仅开启必要服务 与生产无关的服务端口不能开放规则 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 policy add options toname 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 安氏防火墙安全配置基线 中国移动集团公司第 15 页 共 33 页 2 检测操作检测操作 查看策略 检查是否有不必要的服务查看策略 检查是否有不必要的服务 Policy list 3 补充说明补充说明 无 备注备注 3 3 6 禁止使用禁止使用 any to anyall 允许规则允许规则 安全基线项安全基线项 目名称目名称 尽量不允许使用 any to any 安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 03 06 安全基线项安全基线项 说明说明 防火墙策略配置时不允许使用 any to any all 允许规则 对于从防火墙内部到 外部的访问也应指定策略 应定期的对防火墙策略进行检查和梳理 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 查看访问控制策略 policy list 配置防火墙策略 policy add options toname 2 补充操作说明补充操作说明 无无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无无 2 检测操作检测操作 policy list 3 补充说明补充说明 无 备注备注 安氏防火墙安全配置基线 中国移动集团公司第 16 页 共 33 页 3 4 攻击防护配置要求攻击防护配置要求 3 4 1 配置应用层攻击防护配置应用层攻击防护 安全基线项安全基线项 目名称目名称 配置应用层攻击防护安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 04 01 安全基线项安全基线项 说明说明 建议采用安氏防火墙自带的 smartpro 入侵检测模块对应用层攻击进行防护 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 smartpro enable level 其中级别如下 建议采用默认级别 1 0 disable 1 duplicate pass policy matched packets 2 duplicate more pass policy matched packets 3 duplicate all packets 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否已经将此功能打开 2 检测操作检测操作 查看配置 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 4 2 配置网络扫描攻击防护配置网络扫描攻击防护 安全基线项安全基线项 目名称目名称 配置网络扫描攻击防护安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 04 02 安全基线项安全基线项 说明说明 建议采用安氏防火墙自带的 smartpro 入侵检测模块对网络扫描攻击行为进 行检测 安氏防火墙安全配置基线 中国移动集团公司第 17 页 共 33 页 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 启用流探测功能模块 smartpro enable level 其中级别如下 建议采用默认级别 1 0 disable 1 duplicate pass policy matched packets 2 duplicate more pass policy matched packets 3 duplicate all packets 通过 WEB 管理界面选择需要检测的扫描攻击行为的 list 如下图 选择启用即可 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否已经将此功能打开 2 检测操作检测操作 查看配置 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 4 3 限制限制 ping 包大小包大小 安全基线项安全基线项 目名称目名称 限制 ping 包大小安全基线要求项 安全基线编安全基线编 SBL LinkTrustFW 03 04 03 安氏防火墙安全配置基线 中国移动集团公司第 18 页 共 33 页 号号 安全基线项安全基线项 说明说明 限制 ping 包的大小 以及一段时间内同一主机发送的次数 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 antidos set icmpmax 2 补充操作说明补充操作说明 部分功能实现 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无 2 检测操作检测操作 查看配置 需求测试 3 补充说明补充说明 无 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 4 4 启用对带选项的启用对带选项的 IP 包及畸形包及畸形 IP 包的检测包的检测 安全基线项安全基线项 目名称目名称 启用对带选项的 IP 包及畸形 IP 包的检测安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 04 04 安全基线项安全基线项 说明说明 启用对带选项的 IP 包及畸形 IP 包的检测 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 anti set frag on 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否已经将此功能打开 2 检测操作检测操作 查看配置 3 补充说明补充说明 无 安氏防火墙安全配置基线 中国移动集团公司第 19 页 共 33 页 备注备注 3 4 5 防火墙各逻辑接口配置开启防源地址欺骗功能防火墙各逻辑接口配置开启防源地址欺骗功能 安全基线项安全基线项 目名称目名称 防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项 安全基线编安全基线编 号号 SBL LinkTrustFW 03 04 05 安全基线项安全基线项 说明说明 防火墙须支持透明模式及路由模式配置要求 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 启用或禁用网桥配置 brconfig enabledisable 配置网桥接口 brconfig attach 2 补充操作说明补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 无无 2 检测操作检测操作 查看网桥配置 brconfig list 3 补充说明补充说明