NetScreen防火墙安全配置基线.doc

NetScreen 防火墙安全配置基线 中国移动集团公司第 1 页 共 31 页 NetScreenNetScreen 防火墙安全配置基线防火墙安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 NetScreen 防火墙安全配置基线 中国移动集团公司第 2 页 共 31 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2 0创建2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 NetScreen 防火墙安全配置基线 中国移动集团公司第 3 页 共 31 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理 认证授权安全要求账号管理 认证授权安全要求 2 2 1账号管理 2 2 1 1用户账号分配 2 2 1 2删除无关的账号 2 2 1 3帐户登录超时 3 2 1 4帐户密码错误自动锁定 4 2 2口令 4 2 2 1静态口令以密文形式存放 4 2 3授权 5 2 3 1用IP协议进行远程维护的设备使用SSH等加密协议 5 第第 3 章章日志及配置安全要求日志及配置安全要求 6 3 1日志安全 6 3 1 1对用户登录进行记录 6 3 1 2记录用户对设备的操作 7 3 1 3记录与设备相关的安全事件 7 3 1 4开启记录NAT日志 8 3 1 5开启记录VPN日志 9 3 1 6配置记录流量日志 9 3 1 7配置记录拒绝和丢弃报文规则的日志 10 3 1 8配置记录防火墙管理员操作日志 10 3 2告警配置要求 11 3 2 1配置对防火墙本身的攻击或内部错误告警 11 3 2 2配置TCP IP协议网络层异常报文攻击告警 12 3 2 3配置DOS和DDOS攻击告警 13 3 2 4配置关键字内容过滤功能告警 13 3 3安全策略配置要求 14 3 3 1访问规则列表最后一条必须是拒绝一切流量 14 3 3 2配置访问规则应尽可能缩小范围 15 3 3 3VPN用户按照访问权限进行分组 16 3 3 4访问规则进行分组 17 3 3 5配置NAT地址转换 18 3 3 6隐藏防火墙字符管理界面的bannner信息 18 3 3 7关闭非必要服务 19 3 3 8防火墙各逻辑接口配置开启防源地址欺骗功能 19 NetScreen 防火墙安全配置基线 中国移动集团公司第 4 页 共 31 页 第第 4 章章IP 协议安全要求协议安全要求 21 4 1IP 协议 21 4 1 1过滤所有和业务不相关的流量 21 4 2功能配置 22 4 2 1使用SNMP V2或V3的版本对防火墙远程管理 22 第第 5 章章其他安全要求其他安全要求 23 5 1其他安全配置 23 5 1 1配置consol口密码保护功能 23 5 1 2图形界面应配置自动锁屏 23 5 1 3外网口地址关闭对ping包的回应 24 5 1 4对防火墙的管理地址做源地址限制 24 第第 6 章章评审与修订评审与修订 26 NetScreen 防火墙安全配置基线 中国移动集团公司第 1 页 共 31 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 NetScreen 防火墙应当遵循的设 备安全性设置标准 本文档旨在指导系统管理人员进行 NetScreen 防火墙的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 NetScreen 防火墙 1 3 适用版本适用版本 NetScreen 防火墙 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 NetScreen 防火墙安全配置基线 中国移动集团公司第 2 页 共 31 页 第第 2 章章账号管理 认证授权安全要求账号管理 认证授权安全要求 2 1 账号管理账号管理 2 1 1 用户账号分配用户账号分配 安全基线项安全基线项 目名称目名称 用户账号分配安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 02 01 01 安全基线项安全基线项 说明说明 应按照用户分配账号 避免不同用户间共享账号 避免用户账号和设备间通 信使用的账号共享 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 新建用户 NetScreen set admin user user1 password user123 NetScreen set admin user user2 password user123 NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 配置文件存在多帐号 2 检测操作检测操作 查看配置 NetScreen get config set admin user user1 password nEJ NqrIDN EcWxGmsdBB2AtkNKBvn set admin user user2 password nDbuCtrzCciDck8NosFBHaOt02BnYn 备注备注 需要手工检测 2 1 2 删除无关的账号删除无关的账号 安全基线项安全基线项 目名称目名称 无关的账号安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 02 01 02 安全基线项安全基线项应删除或锁定与设备运行 维护等工作无关的账号 NetScreen 防火墙安全配置基线 中国移动集团公司第 3 页 共 31 页 说明说明 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 删除用户 NetScreen unset admin user user1 NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 网络管理员确认所有帐号与设备运行 维护等工作有关 2 检测操作检测操作 查看配置 NetScreen get config set admin user user2 password nDbuCtrzCciDck8NosFBHaOt02BnYn 备注备注 需要手工检测 2 1 3 帐户登录超时帐户登录超时 安全基线项安全基线项 目名称目名称 帐户登录超时安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 02 01 03 安全基线项安全基线项 说明说明 配置定时帐户自动登出 空闲 5 分钟自动登出 登出后用户需再次登录才能 进入系统 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置超时时间为 5 分钟 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 在超出设定时间后 用户自动登出设备 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 NetScreen 防火墙安全配置基线 中国移动集团公司第 4 页 共 31 页 无 备注备注 需要手工检查 2 1 4 帐户密码错误自动锁定帐户密码错误自动锁定 安全基线项安全基线项 目名称目名称 帐户密码错误自动锁定安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 02 01 04 安全基线项安全基线项 说明说明 在 10 次尝试登录失败后锁定帐户 不允许登录 解锁时间设置为 300 秒 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置尝试失败锁定次数为 10 次 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 超出重试次数后帐号锁定 不允许登录 解锁时间到达后可以登录 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 无 备注备注 注意 此项设置会影响性能 建议设置后对访问此设备做源地址做限制 需要手工检查 需要手工检查 2 2 口令口令 2 2 1 静态口令以密文形式存放静态口令以密文形式存放 安全基线项安全基线项 目名称目名称 静态口令安全基线要求项 NetScreen 防火墙安全配置基线 中国移动集团公司第 5 页 共 31 页 安全基线编安全基线编 号号 SBL NetScreen 02 02 01 安全基线项安全基线项 说明说明 防火墙管理员账号口令长度至少 8 位 并包括数字 小写字母 大写字母 和特殊符号四类中至少两类 且 5 次次以内不得设置相同的口令 密码应至少 每 90 天天进行更换 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 通过外部 radius 认证服务器来满足口令的要求 NetScreen set auth server radius1 type radius NetScreen set auth server radius1 account type auth l2tp xauth NetScreen set auth server radius1 server name 10 20 1 100 NetScreen set auth server radius1 forced timeout 60 NetScreen set auth server radius1 timeout 90 NetScreen set auth server radius1 radius port 4500 NetScreen set auth server radius1 radius timeout 5 NetScreen set auth server radius1 radius secret A56htYY97kl NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 查看配置 NetScreen get auth server 备注备注 2 3 授权授权 2 3 1 用用 IP 协议进行远程维护的设备使用协议进行远程维护的设备使用 SSH 等加密协议等加密协议 安全基线项安全基线项 目名称目名称 IP 协议进行远程维护的设备安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 02 03 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set ssh enable NetScreen set ssh version v2 NetScreen save 2 补充操作说明 补充操作说明 NetScreen 防火墙安全配置基线 中国移动集团公司第 6 页 共 31 页 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 远程访问使用 ssh 方式 2 检测操作检测操作 查看配置 NetScreen get ssh SSH V2 is active SSH is enabled 备注备注 第第 3 章章日志及配置安全要求日志及配置安全要求 3 1 日志安全日志安全 3 1 1 对用户登录进行记录对用户登录进行记录 安全基线项安全基线项 目名称目名称 用户登录进行记录安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 记录常规 包括由 admin 发起的配置更改 及更高级别的日志 NetScreen set log module system level notification NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 记录了相关日志信息 2 检测操作检测操作 查看日志 NetScreen get event level notification Total event entries 1629 Date Time Module Level Type Description NetScreen 防火墙安全配置基线 中国移动集团公司第 7 页 共 31 页 2009 12 23 19 48 17 system notif 00002 Admin user operator logged out for Web http management port 80 from 116 237 66 132 1541 备注备注 3 1 2 记录用户对设备的操作记录用户对设备的操作 安全基线项安全基线项 目名称目名称 用户对设备记录安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 01 02 安全基线项安全基线项 说明说明 设备应配置日志功能 记录用户对设备的操作 包括但不限于以下内容 账 号创建 删除和权限修改 口令修改 读取和修改设备配置 读取和修改业 务用户的话费数据 身份数据 涉及通信隐私数据 记录需要包含用户账号 操作时间 操作内容以及操作结果 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 记录常规 包括由 admin 发起的配置更改 及更高级别的日志 NetScreen set log module system level notification NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 记录了相关日志信息 2 检测操作检测操作 查看日志 NetScreen get event level notification 备注备注 3 1 3 记录与设备相关的安全事件记录与设备相关的安全事件 安全基线项安全基线项 目名称目名称 记录与设备相关安全事件安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 01 03 安全基线项安全基线项 说明说明 设备应配置日志功能 记录对与设备相关的安全事件 检测操作步检测操作步1 参考配置操作 参考配置操作 NetScreen 防火墙安全配置基线 中国移动集团公司第 8 页 共 31 页 骤骤记录常规 包括由 admin 发起的配置更改 及更高级别的日志 NetScreen set log module system level notification NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 记录了相关日志信息 2 检测操作检测操作 查看日志 NetScreen get event level notification Total event entries 1629 Date Time Module Level Type Description 2009 12 11 14 11 44 system notif 00513 The physical state of interface v1 trust has changed to Up 备注备注 3 1 4 开启记录开启记录 NAT 日志日志 安全基线项安全基线项 目名称目名称 开启记录 NAT 日志安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 01 04 安全基线项安全基线项 说明说明 开启记录 NAT 日志 记录转换前后 IP 地址的对应关系 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 记录常规 包括由 admin 发起的配置更改 及更高级别的日志 NetScreen set log module system level notification NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 记录了相关日志信息 2 检测操作检测操作 查看配置 NetScreen get config 备注备注 NetScreen 防火墙安全配置基线 中国移动集团公司第 9 页 共 31 页 3 1 5 开启记录开启记录 VPN 日志日志 安全基线项安全基线项 目名称目名称 开启记录 VPN 日志安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 01 05 安全基线项安全基线项 说明说明 开启记录 VPN 日志 记录 VPN 访问登陆 退出等信息 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 记录常规 包括由 admin 发起的配置更改 及更高级别的日志 NetScreen set log module system level notification NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 记录了相关日志信息 2 检测操作检测操作 查看配置 NetScreen get config 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 1 6 配置记录流量日志配置记录流量日志 安全基线项安全基线项 目名称目名称 配置记录流量日志安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 01 06 安全基线项安全基线项 说明说明 配置记录流量日志 记录通过防火墙的网络连接的信息 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 对允许通过防火墙的策略启用记录选项 允许由 Untrust 区段内任何地址发往 DMZ 区段内名为 web1 的 Web 服务 器的 Telnet 流量 并记录日志 NetScreen set policy from untrust to dmz any web1 telnet permit log NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 NetScreen 防火墙安全配置基线 中国移动集团公司第 10 页 共 31 页 记录了相关日志信息 2 检测操作检测操作 查看配置 NetScreen get config 备注备注 3 1 7 配置记录拒绝和丢弃报文规则的日志配置记录拒绝和丢弃报文规则的日志 安全基线项安全基线项 目名称目名称 配置记录拒绝和丢弃报文规则的日志安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 01 07 安全基线项安全基线项 说明说明 配置防火墙规则 记录防火墙拒绝和丢弃报文的日志 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 对拒绝的策略启用记录选项 拒绝由 Untrust 区段内任何地址发往 DMZ 区段内名为 web1 的 Web 服务 器的 Telnet 流量 并记录日志 NetScreen set policy from untrust to dmz any web1 telnet deny log NetScreen save 启用 self 日志 NetScreen set firewall log self 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 记录了相关日志信息 2 检测操作检测操作 查看配置 NetScreen get config 备注备注 3 1 8 配置记录防火墙管理员操作日志配置记录防火墙管理员操作日志 安全基线项安全基线项 目名称目名称 配置记录防火墙管理员操作日志安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 01 08 安全基线项安全基线项配置记录防火墙管理员操作日志 如管理员登录 修改管理员组操作 帐号 NetScreen 防火墙安全配置基线 中国移动集团公司第 11 页 共 31 页 说明说明 解锁等信息 配置防火墙将相关的操作日志送往操作日志审计系统或者其他 相关的安全管控系统 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 记录常规 包括由 admin 发起的配置更改 及更高级别的日志 NetScreen set log module system level notification NetScreen save 通过 TCP 将事件和流量日志发送到系统日志服务器 1 1 1 1 端口号 1514 将安全级别和设备级别都设置为 Local0 NetScreen set syslog config 1 1 1 1 port 1514 NetScreen set syslog config 1 1 1 1 log all NetScreen set syslog config 1 1 1 1 facilities local0 local0 NetScreen set syslog config 1 1 1 1 transport tcp NetScreen set syslog enable NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 记录了相关日志信息 2 检测操作检测操作 查看配置 NetScreen get config 备注备注 3 2 告警配置要求告警配置要求 3 2 1 配置对防火墙本身的攻击或内部错误告警配置对防火墙本身的攻击或内部错误告警 安全基线项安全基线项 目名称目名称 配置对防火墙本身的攻击或内部错误告警安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 02 01 安全基线项安全基线项 说明说明 配置告警功能 报告对防火墙本身的攻击或者防火墙的系统内部错误 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set zone untrust screen alarm without drop NetScreen set zone trust screen alarm without drop NetScreen save 2 补充操作说明 补充操作说明 NetScreen 防火墙安全配置基线 中国移动集团公司第 12 页 共 31 页 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 查看告警记录 2 检测操作检测操作 查看配置信息 NetScreen get config 备注备注 3 2 2 配置配置 TCP IP 协议网络层异常报文攻击告警协议网络层异常报文攻击告警 安全基线项安全基线项 目名称目名称 配置 TCP IP 协议网络层异常报文攻击告警安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 02 02 安全基线项安全基线项 说明说明 配置告警功能 报告网络流量中对 TCP IP 协议网络层异常报文攻击的相关 告警 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set zone untrust screen alarm without drop NetScreen set zone untrust screen ip record route NetScreen set zone untrust screen ip security opt NetScreen set zone untrust screen ip timestamp opt NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 查看告警记录 2 检测操作检测操作 查看配置信息 NetScreen get config set zone untrust screen alarm without drop set zone untrust screen ip record route set zone untrust screen ip security opt set zone untrust screen ip timestamp opt 备注备注 NetScreen 防火墙安全配置基线 中国移动集团公司第 13 页 共 31 页 3 2 3 配置配置 DOS 和和 DDOS 攻击告警攻击告警 安全基线项安全基线项 目名称目名称 配置 DOS 和 DDOS 攻击防护功能安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 02 03 安全基线项安全基线项 说明说明 配置 DOS 和 DDOS 攻击防护功能 对 DOS 和 DDOS 攻击告警 维护人员 应根据网络环境调整 DDOS 的攻击告警的参数 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 基于源的会话限制 将基于源的会话限值设置为可能的最低值 1 个会话 对于 Trust 区段 将源会话数最大限值设置为 80 个并发会话 NetScreen set zone dmz screen limit session source ip based 1 NetScreen set zone dmz screen limit session source ip based NetScreen set zone trust screen limit session source ip based 80 NetScreen set zone trust screen limit session source ip based NetScreen save 基于目标的会话限制 将新会话限值设置为 4000 个并发会话 NetScreen set zone untrust screen limit session destination ip based 4000 NetScreen set zone untrust screen limit session destination ip based NetScreen save 主动加速超时会话 设置主动加速超时过程当会话表充满 80 以上的容量 高位临界值 时 安全设备将所有会话的超时时间减少 40 秒 并开始对 最早的会话进行主动加速超时 直到会话表中的会话数目小于 70 的容量 低位临界值 NetScreen set flow aging low watermark 70 NetScreen set flow aging high watermark 80 NetScreen set flow aging early ageout 4 NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 查看告警记录 2 检测操作检测操作 查看配置信息 NetScreen get config 备注备注 3 2 4 配置关键字内容过滤功能告警配置关键字内容过滤功能告警 安全基线项安全基线项 目名称目名称 配置关键字内容过滤功能告警安全基线要求项 NetScreen 防火墙安全配置基线 中国移动集团公司第 14 页 共 31 页 安全基线编安全基线编 号号 SBL NetScreen 03 02 04 安全基线项安全基线项 说明说明 配置关键字内容过滤功能 在 HTTP SMTP POP3 等应用协议流量过滤包 含有设定的关键字的报文 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 URL 过滤 NetScreen set zone untrust screen mal url perl scripts perl exe 14 NetScreen set zone untrust screen mal url cmf cgi bin phf 11 NetScreen set zone untrust screen mal url dll 210 1 1 5 msadcs dll 18 NetScreen set zone untrust reassembly for alg NetScreen save 垃圾邮件过滤 NetScreen set anti spam profile ns profile NetScreen set policy from untrust to trust any mail server SMTP permit log anti spam ns profile NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 包含以上条件的被过滤 2 检测操作检测操作 查看配置文件 NetScreen get config 备注备注 3 3 安全策略配置要求安全策略配置要求 3 3 1 访问规则列表最后一条必须是拒绝一切流量访问规则列表最后一条必须是拒绝一切流量 安全基线项安全基线项 目名称目名称 访问规则列表最后一条必须是拒绝一切流量安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 03 01 安全基线项安全基线项 说明说明 防火墙在配置访问规则列表时 最后一条必须是拒绝一切流量 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set policy id 9 from V1 Untrust to V1 Trust Any 211 152 33 150 1710 permit log NetScreen 防火墙安全配置基线 中国移动集团公司第 15 页 共 31 页 NetScreen set policy id 100 from V1 Untrust to V1 Trust any any any deny NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 查看配置 NetScreen get policy all Total regular policies 9 Default deny ID From To Src address Dst address Service Action State ASTLCB 9 V1 Untr V1 Trust Any 211 152 33 1710 Permit enabled X X 100 V1 Untr V1 Trust Any Any Any Deny enabled X X 备注备注 3 3 2 配置访问规则应尽可能缩小范围配置访问规则应尽可能缩小范围 安全基线项安全基线项 目名称目名称 配置访问规则应尽可能缩小范围安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 03 02 安全基线项安全基线项 说明说明 在配置访问规则时 源地址 目的地址 服务或端口的范围必须以实际访问 需求为前提 尽可能的缩小范围 需要禁止 any to any all 和 any all 和服务 为 all 的规则 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set policy id 9 from V1 Untrust to V1 Trust Any 211 152 33 150 1710 permit log NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 配置文件中访问规则源于实际需求 2 检测操作检测操作 查看配置 NetScreen get policy all Total regular policies 9 Default deny NetScreen 防火墙安全配置基线 中国移动集团公司第 16 页 共 31 页 ID From To Src address Dst address Service Action State ASTLCB 9 V1 Untr V1 Trust Any 211 152 33 1710 Permit enabled X X 备注备注 3 3 3 VPN 用户按照访问权限进行分组用户按照访问权限进行分组 安全基线项安全基线项 目名称目名称 VPN 用户按照访问权限进行分组安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 03 03 安全基线项安全基线项 说明说明 对于 VPN 用户 必须按照其访问权限不同而进行分组 并在访问控制规则 中对该组的访问权限进行严格限制 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set user adam type l2tp NetScreen set user adam password AJbioJ15 NetScreen set user group fs location local NetScreen set user group fs user adam NetScreen set ippool global 10 10 2 100 10 10 2 180 NetScreen set l2tp default ippool global NetScreen set l2tp default auth server Local NetScreen set l2tp default ppp auth chap NetScreen set l2tp default dns1 1 1 1 2 NetScreen set l2tp default dns2 1 1 1 3 NetScreen set l2tp sales corp outgoing interface ethernet3 NetScreen set l2tp sales corp auth server Local user group fs NetScreen set vrouter trust vr route 0 0 0 0 0 interface ethernet3 gateway 1 1 1 250 NetScreen set policy top from untrust to trust Dial Up VPN any any tunnel l2tp sales corp NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 查看配置 NetScreen get config 查看有关 L2TP 的配置 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 NetScreen 防火墙安全配置基线 中国移动集团公司第 17 页 共 31 页 3 3 4 访问规则进行分组访问规则进行分组 安全基线项安全基线项 目名称目名称 访问规则进行分组安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 03 04 安全基线项安全基线项 说明说明 访问规则必须按照一定的规则进行分组 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set group service grp NetScreen set group service grp add smtp NetScreen set group service grp add pop3 NetScreen set address trust host1 10 1 1 11 32 NetScreen set address trust host2 10 1 1 12 32 NetScreen set group address trust adp add host1 NetScreen set group address trust adp add host2 NetScreen set address dmz oda4 1 2 1 10 32 NetScreen set address dmz oda5 1 2 1 20 32 NetScreen set group address dmz oda add oda4 NetScreen set group address dmz oda add oda5 NetScreen set policy id 10 from trust to dmz adp oda grp permit log NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 按组对规则进行了划分 2 检测操作检测操作 查看配置 NetScreen get config set address Trust 10 1 1 11 32 10 1 1 12 32 set address DMZ 1 2 1 10 32 1 2 1 20 32 set group address Trust adp set group address DMZ oda set group service grp set group service grp add smtp set group service grp add pop3 set policy id 10 from trust to dmz adp oda grp permit log 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 NetScreen 防火墙安全配置基线 中国移动集团公司第 18 页 共 31 页 3 3 5 配置配置 NAT 地址转换地址转换 安全基线项安全基线项 目名称目名称 配置 NAT 地址转换安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 03 05 安全基线项安全基线项 说明说明 配置 NAT 地址转换 对互联网隐藏内网主机的实际地址 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set interface ethernet1 zone trust NetScreen set interface ethernet1 ip 10 1 1 1 24 NetScreen set interface ethernet1 nat NetScreen set interface ethernet3 zone untrust NetScreen set interface ethernet3 ip 1 1 1 1 24 NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 查看配置 NetScreen get config 备注备注 3 3 6 隐藏防火墙字符管理界面的隐藏防火墙字符管理界面的 bannner 信息信息 安全基线项安全基线项 目名称目名称 隐藏防火墙字符管理界面的 bannner 信息安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 03 07 安全基线项安全基线项 说明说明 隐藏防火墙字符管理界面的 bannner 信息 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set admin auth banner telnet login think twice before you do NetScreen set admin auth banner console login think twice before you do NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 NetScreen 防火墙安全配置基线 中国移动集团公司第 19 页 共 31 页 I 登录后 Banner 信息发生变化 2 检测操作检测操作 查看配置信息 NetScreen set admin auth banner telnet login think twice before you do set admin auth banner console login think twice before you do 备注备注 3 3 7 关闭非必要服务关闭非必要服务 安全基线项安全基线项 目名称目名称 关闭非必要服务安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 03 08 安全基线项安全基线项 说明说明 防火墙设备必须关闭非必要服务 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 NetScreen set service ftp disable 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 不能使用 ftp 服务 2 检测操作检测操作 NetScreen get config 备注备注 需要手工检查 3 3 8 防火墙各逻辑接口配置开启防源地址欺骗功能防火墙各逻辑接口配置开启防源地址欺骗功能 安全基线项安全基线项 目名称目名称 防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项 安全基线编安全基线编 号号 SBL NetScreen 03 03 08 安全基线项安全基线项 说明说明 对于防火墙各逻辑接口配置开启防源地址欺骗功能 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 针对 Untrust 区段开启 IP 欺骗攻击监视的功能 NetScreen set zone untrust screen alarm without drop NetScreen 防火墙安全配置基线 中国移动集团公司第 20 页 共 31 页 NetScreen set zone untrust screen ip spoofing NetScreen save 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 查看防火墙配置 NetScreen get config set zone untrust screen alarm without drop set zone untrust screen ip spoofing 备注备注 NetScreen 防火墙安全配置基线 中国移动集团公司第 21 页 共 31 页 第第 4 章章IP 协议安全要求协议安全要求 4 1 IP 协议协议 4