安氏防火墙安全配置基线检查指导文件

安氏防火墙安全配置基线安氏防火墙安全配置基线目录第1章 基本安全配置 31.1账号管理 31.1.1共享账户检查 31.2口令要求 41.2.1口令复杂度配置要求 41.3日志审计 51.3.1日志时间NTP配置 51.3.2日志完备性配置要求 71.4安全防护 81.4.1缺省访问控制策略 81.4.2访问控制策略要求 91.4.3过滤常见已知攻击 101.4.4攻击防御策略 111.5设备管理 131.5.1定期软件版本升级 131.5.2关闭外网口PING回应 14第2章 增强安全需求 152.1SNMP服务管理配置 152.2管理地址限制登录 16基本安全配置1.1账号管理1.1.1共享账户检查安全基线项目名称共享账户检查安全基线编号安氏FW-01安全基线项说明防火墙设备维护建议按照用户分配账号，避免不同用户间共享账号。共享账号带来管理和操作记录无法对应到各个用户使用者，以造成审计和记录不便，存在安全风险。检测操作步骤1.参考配置操作使用admin账户登录防火墙；菜单中选择【系统】>【防火墙管理】，显示所有管理员信息。如下图所示。加固方法防火墙支持多级用户管理。系统缺省管理帐号admin仍为超级用户，具有最高的管理权限；系统缺省管理帐号guest则归为普通用户，其权限由admin规定；其它认证用户和管理用户的权限也由admin规定。未避免共享帐户和实现帐户权限分离，应除超级用户以外，还要添加普通用户和审计用户。在对象－＞用户－＞用户对象，进入用户对象浏览界面点击[新增]按钮，进入用户对象新增界面：基线符合性判定依据1.判定条件是否存在共享账户情况。1.参考检测操作输出所有用户后，确认是否有共享账户情况。等级保护基本要求网络安全：7）网络设备防护（G3），h)应实现设备特权用户的权限分离。现状检查结果□符合□不符合整改结果备注1.2口令要求1.2.1口令复杂度配置要求安全基线项目名称口令复杂度配置要求安全基线编号安氏FW-02安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1.参考配置操作安氏防火墙设备本身仅提供密码长度要求功能，不提供口令复杂度校验功能，该配置项作为安全管理配置要求。如需要进行强制校验，可通过第三方设备实现。下为设备口令编辑界面。基线符合性判定依据1.判定条件检查现有口令是否满足口令复杂度。等级保护基本要求网络安全：7）网络设备防护（G3），a)应对登录网络设备的用户进行身份鉴别。网络安全：7）网络设备防护（G3），e）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；现状检查结果□符合□不符合整改结果备注1.3日志审计1.3.1日志时间NTP配置安全基线项目名称日志时间NTP配置安全基线编号安氏FW-03安全基线项说明开启NTP服务，保证日志功能记录的时间的准确性。检测操作步骤1.参考配置操作选择【系统】>【日期/时间】，进入时间/日期配置界面界面。基线符合性判定依据1.判定条件系统可以通过NTP获得正确的时间。2.参考检测操作检查NTP配置。加固方法进入：系统－＞日期/时间，点击“网络时间同步”标签，进入网络时间同步配置界面，启用网络时间同步。选择“网络时间服务器”标签，进入网络时间服务器配置界面：添加ntp服务器地址。等级保护基本要求6.2.1．2.网络安全：7）网络设备防护，m)应建立网络设备的时钟同步机制；（F3）现状检查结果□符合□不符合整改结果备注1.3.2日志完备性配置要求安全基线项目名称日志完备性配置要求安全基线编号安氏FW-04安全基线项说明防火墙设备作为网络边界防护设备，定期检查各类日志能较好了解网络边界安全情况和发现设备隐患。设备应配置日志功能，记录的日志类型应包括：用户登录类日志；用户操作类日志；以及安全日志等。要求日志记录内容完整。检测操作步骤1.参考配置操作用户登录日志和操作类日志系统默认记录；访问控制策略的日志记录信息需要按照实际需要进行配置；对于重点服务器、重点区域的访问控制策略需要配置日志记录。基线符合性判定依据1.判定条件查看日志记录是否正常。2.参考检测操作进入：日志/统计－＞日志列表，进入系统日志浏览界面，防火墙内存中保存的系统日志信息（以及配置了日志策略的模块日志信息）将分栏显示出来。加固方法进入：日志/统计－＞日志策略，进入日志策略浏览界面，在日志策略浏览界面，点击界面中[新增]按钮，进入日志策略新增界面，对日志进行配置根据实际需求进行设置：等级保护基本要求网络安全：3）安全审计（G3），a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；网络安全：3）安全审计（G3），b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；网络安全：3）安全审计（G3），c)应能够根据记录数据进行分析，并生成审计报表；网络安全：3）安全审计（G3），d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等，保存时间不少于半年。现状检查结果□符合□不符合整改结果备注1.4安全防护1.4.1缺省访问控制策略安全基线项目名称缺省访问控制策略安全基线编号安氏FW-05安全基线项说明防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。检测操作步骤1.参考配置操作策略规则包含一个唯一标识的策略规则序号、防火墙用于匹配数据包的各项属性(如：源网络、目的网络、服务，多端口防火墙还涉及网络对象所属的安全域及接口)、防火墙对匹配数据包的访问控制属性（如：通过、拒绝、授权动作以及本地认证方式的选择）、时间控制属性、入侵检测属性、防火墙自身行为的属性（如：记录、不记录）、对此规则的使能属性，即定义了该策略规则后，可以通过禁止选项，使该规则不生效。还可定制是否启用IDS、anti-synflood、流探测或快速路径等功能。基线符合性判定依据1.判定条件执行一条不匹配所有当前策略的访问，查看访问效果是否为拒绝。等级保护基本要求网络安全：2）访问控制（G3），a)应在网络边界部署访问控制设备，启用访问控制功能。网络安全：2）访问控制，i)网络设备应按最小安全访问原则设置访问控制权限。（F3）现状检查结果□符合□不符合整改结果备注1.4.2访问控制策略要求安全基线项目名称访问控制策略检查安全基线编号安氏FW-06安全基线项说明防火墙访问控制规则是其核心作用所在。配置要求在在配置访问控制规则时，源地址，目的地址，服务或端口的范围必须以实际业务需求为前提，尽可能的缩小范围；配置要求访问控制规则必须按照一定的规则进行分组。检测操作步骤1.参考配置操作无实际配置参考，作为配置管理需求。基线符合性判定依据1.判定条件查看检查目标的访问控制规则列表，查看是否分组；是否存在规则不严格的情况。等级保护基本要求网络安全：2）访问控制（G3），a)应在网络边界部署访问控制设备，启用访问控制功能。网络安全：2）访问控制（G3），b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。现状检查结果□符合□不符合整改结果备注1.4.3过滤常见已知攻击安全基线项目名称过滤常见已知攻击安全基线编号安氏FW-07安全基线项说明位于网络边界的防火墙，配置访问控制规则，过滤常见已知攻击数据包，例如TCP1434端口（防止SQLslammer蠕虫），TCP135端口、TCP139端口、TCP445TCP（防止蠕虫病毒利用Windows共享传播）等常见端口。检测操作步骤进入：流探测－＞选项，即可进入流探测选项配置界面，，见图基线符合性判定依据1.判定条件查看安全策略，是否存在针对常见见蠕虫或病毒利用端口显示拒绝策略。加固方法进入：流探测－＞特征码，进入攻击特征码浏览配置界面：；防火墙能检测scan、dns、ftp、smtp、finger、netbios、telnet、apache、web-iis、backdoor、DDoS、DoS、snmp、rpc等多类攻击。等级保护基本要求网络安全：2）访问控制（G3），a)应在网络边界部署访问控制设备，启用访问控制功能。网络安全：2）访问控制（G3），b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。网络安全：2）访问控制（G3），c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；现状检查结果□符合□不符合整改结果备注1.4.4攻击防御策略安全基线项目名称攻击防御策略安全基线编号安氏FW-08安全基线项说明安氏防火墙提供攻击防御功能。检测操作步骤1.参考配置操作安氏防火墙针对DDOS的防御除抗DoS选项外，防火墙还支持TCP协议策略级的antisynflood功能。在新增策略规则时，可定制是否启用anti-synflood模块。进入：系统－＞Anti-Dos。如下图。策略－＞策略设置，进入策略设置见面，点击新增，进入新增策略规则界面，对安全策略进行设置；进入：流探测－＞特征码，进入攻击特征码浏览配置界面：；基线符合性判定依据1.判定条件查看是否启用对应策略。等级保护基本要求网络安全：5）入侵防范（G3），a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。网络安全：5）入侵防范（G3），b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。现状检查结果□符合□不符合整改结果备注1.5设备管理1.5.1定期软件版本升级安全基线项目名称系统与软件版本升级安全基线编号安氏FW-09安全基线项说明防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护，需要及时更新版本或者撤换。检测操作步骤1.参考配置操作系统升级能力是安全产品的一个重要功能，可以方便地使系统获得最新的特性和能力。进入：系统－＞内核更新基线符合性判定依据1.判定条件查看防火墙版本当前版本是否更新或者补丁是否齐全。等级保护基本要求6．2.1.2网络安全：7）网络设备防护，l)应定期检验网络设备软件版本信息，避免使用软件版本中出现安全隐患；（F3）现状检查结果□符合□不符合整改结果备注1.5.2关闭外网口PING回应安全基线项目名称关闭外网口PING回应安全基线编号安氏FW-10安全基线项说明对于防火墙的外网口地址，关闭对ping包的回应。检测操作步骤1.参考配置操作进入：网络－＞接口，进入默认的物理接口配置界面，进行配置防火墙系统中的各网卡地址。基线符合性判定依据1.判定条件 从外网口Ping防火墙外网地址，提示Requesttimedout。 参考操作指南，查看是否配置。加固方法进入：网络－＞接口，进入默认的物理接口配置界面，在相应的网口所在的行中，点击修改图标，进入接口修改界面：等级保护基本要求网络安全：2）访问控制（G3），b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。网络安全：7）网络设备防护，k)对网络设备系统自带的的服务端口进行梳理，关掉不必要的系统服务端口，并建立相应的端口开放审批制度；（F3）现状检查结果□符合□不符合整改结果备注增强安全需求2.1SNMP服务管理配置安全基线项目名称SNMP服务管理配置安全基线编号安氏FW-11安全基线项说明当使用SNMP服务进行防火墙状态收集和远程管理时，需要对SNMP服务进行配置。使用SNMPV2c以上版本收集防火墙信息；如需远程管理，需使用SNMPV3以上的版本。修改SNMP默认的共同体名(Community字符串)和用户名（V3可选），要求只读Community字符串和读写Community字符串不同。检测操作步骤1.参考配置操作进入：日志/统计－＞设置，进入系统默认的SNMPTrap的配置界面，进行设置。基线符合性判定依据1.判定条件查看是否启用对应策略。