中国移动安氏防火墙安全配置规范V1.0

《中国移动安氏防火墙安全配置规范V1.0》由会员分享，可在线阅读，更多相关《中国移动安氏防火墙安全配置规范V1.0（41页珍藏版）》请在装配图网上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date中国移动安氏防火墙安全配置规范V1.0中国移动安氏防火墙安全配置规范V1.0中国移动安氏防火墙安全配置规范Specification for Configuration of Firewall Used in China Mobile 版本号：1.0.0-实施-发布 中国移动通信有限公司网络部-目录1.范围12.规范性引用文件13.术语、定义和缩略语14.防火墙功能和

2、配置要求14.1.引用说明14.2.日志配置要求34.3.告警配置要求34.4.安全策略配置要求34.5.攻击防护配置要求44.6.虚拟防火墙配置要求44.7.设备其他安全要求55.编制历史5前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准明确了安氏防火墙的配置要

3、求。本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司本标准主要起草人： 张瑾、赵强、来晓阳、周智、曹一生、陈敏时。1. 范围本标准规定了安氏防火墙的配置要求，供内部和厂商共同使用；适用于通信网、业务系统和支撑系统的防火墙。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日

4、期的引用文件，其最新版本适用于本标准。表2-11QB-通用安全功能和配置规范有限公司2QB-系统安全功能规范有限公司3QB-安全功能规范公司4中国移动防火墙配置规范3. 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：表3-1词语解释Firewall 防火墙4. 防火墙功能和配置要求4.1. 配置要求及引用说明本要求主要采用引用中国移动设备通用安全功能和配置规范及中国移动防火墙配置规范基本要求，和根据安氏防火墙所特有配置特性综合后形成，具体配置规范见下表。编号内容采纳意见备注安全要求-设备-防火墙-配置-1不同等级管理员分配不同账号，避免账号混用。完全采纳安全要求-设备-防火墙-配置-2

5、应删除或锁定与设备运行、维护等工作无关的账号。完全采纳安全要求-设备-防火墙-配置-3防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。完全采纳支持部分功能安全要求-设备-防火墙-配置-4账户口令的生存期不长于90天。不采纳设备不支持安全要求-设备-防火墙-配置-5应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。不采纳设备不支持安全要求-设备-防火墙-配置-6应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。不采纳设备不支持安全要求-设备-防火墙-配置-7在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理

6、权限。完全采纳安全要求-设备-防火墙-配置-8对于具备字符交互界面及图形界面（含WEB界面）的设备，应配置定时账户自动登出。完全采纳安全要求-设备-防火墙-配置-9对于具备console口的设备，应配置console口密码保护功能。不采纳设备不支持安全要求-设备-防火墙-配置-10对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP完全采纳安全要求-设备-防火墙-配置-11在进行重大配置修改前，必须对当前配置进行备份。完全采纳安全要求-设备-防火墙-配置-12设备应配置日志功能，记录对与防火墙设备自身相关的安全事件。完全采纳

7、安全要求-设备-防火墙-配置-13设备应配置NAT日志记录功能，记录转换前后IP地址的对应关系。防火墙如果开启vpn功能，应配置记录vpn日志记录功能，记录vpn访问登陆、退出等信息。完全采纳安全要求-设备-防火墙-配置-14设备应配置流量日志记录功能，记录防火墙拒绝，丢弃和接受的报文完全采纳安全要求-设备-防火墙-配置-15在防火墙设备的日志容量达到75%时，防火墙可产生告警。并且有专门的程序将日志导出到专门的日志服务器。不采纳设备不支持安全要求-设备-防火墙-配置-16防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。帐号解锁等信息完全采纳安全要求-设备-防火墙-配置-17

8、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。完全采纳安全要求-设备-防火墙-配置-18设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。建议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台处理。完全采纳安全要求-设备-防火墙-配置-19设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。完全采纳安全要求-设备-防火墙-配置-20告警信息应被保留，直到被确认为止.部分采纳安全要求-设备-防火墙-配置-21设备应配置告警功能，报告网络流

9、量中对TCP/IP应用层协议异常进行攻击的相关告警，对每一个告警项是否告警可由用户配置。完全采纳 安全要求-设备-防火墙-配置-22可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。完全采纳，可参考安全要求-设备-防火墙-配置-44安全要求-设备-防火墙-配置-23可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警。完全采纳，可参考安全要求-设备-防火墙-配置-43安全要求-设备-防火墙-配置-24如防火墙具

10、备关键字内容过滤功能，可打开该功能，在HTTP，SMTP，POP3等协议中对用户设定的关键字进行过滤。不予采纳，此功能在安氏的UTM设备中予以提供安全要求-设备-防火墙-配置-25如防火墙具备网络病毒防护功能。可打开病毒防护，对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块，需要在安全策略配置中首先关注对常见病毒流量的端口的封堵完全采纳，可参考安全要求-设备-防火墙-配置-41安全要求-设备-防火墙-配置-26对于防火墙的一些关键操作事件、配置更改、严重告警事件等，建议通过邮件等方式通知系统管理员完全采纳安全要求-设备-防火墙-配置-27防火墙应根据业务需要，配置基于源IP地址、通信协议

11、TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。完全采纳安全要求-设备-防火墙-配置-28所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。完全采纳安全要求-设备-防火墙-配置-29在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。完全采纳安全要求-设备-防火墙-配置-30对于访问规则的排列，应当遵从范围由小到大的排列规则。应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。完全采纳安全要求-设备-防火墙-配置-31在进行重大配置修改前，必须对当前配置进行备份。完全采纳安全要求-设备-防

12、火墙-配置-32对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。完全采纳安全要求-设备-防火墙-配置-33访问规则必须按照一定的规则进行分组。完全采纳安全要求-设备-防火墙-配置-34配置NAT，对公网隐藏局域网主机的实际地址。完全采纳安全要求-设备-防火墙-配置-35隐藏防火墙字符管理界面的bannner信息完全采纳安全要求-设备-防火墙-配置-36应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。完全采纳安全要求-设备-防火墙-配置-37防

13、火墙设备必须关闭非必要服务。完全采纳安全要求-设备-防火墙-配置-38防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护，需要及时更新版本或者撤换。完全采纳安全要求-设备-防火墙-配置-39防火墙设备必须首先确保承载防火墙系统的底层操作系统安全。完全采纳安全要求-设备-防火墙-配置-40防火墙策略配置时尽量不允许使用anyto any，对于从防火墙内部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理完全采纳安全要求-设备-防火墙-配置-41对于常见病毒及系统漏洞对应端口，应当进行端口的关闭配置。完全采纳安全

14、要求-设备-防火墙-配置-42采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进行防护完全采纳安全要求-设备-防火墙-配置-43建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描攻击行为进行检测完全采纳安全要求-设备-防火墙-配置-44打开防DDOS攻击功能。完全采纳安全要求-设备-防火墙-配置-45限制ping包的大小，以及一段时间内同一主机发送的次数。完全采纳安全要求-设备-防火墙-配置-46启用对带选项的IP包及畸形IP包的检测完全采纳安全要求-设备-防火墙-配置-47对于防火墙各逻辑接口需要开启防源地址欺骗功能。完全采纳安全要求-设备-防火墙-配置-48对于有固

15、定模式串的攻击，在应急时可开启基于正则表达式的模式匹配的功能。不采纳设备不支持安全要求-设备-防火墙-配置-49回环地址（lookback address）一般用于本机的IPC通讯，防火墙必须阻断含有回环地址(lookback address)的流量。完全采纳安全要求-设备-防火墙-配置-50防火墙异构部署要求。在防火墙策略设置上，外层(如DMZ区外侧）防火墙侧重实施粗粒度访问控制；内层防火墙(如DMZ区内侧）侧重针对特定系统施细粒度访问控制，并且应增强防火墙相关日志审计及入侵检测功能设置。完全采纳安全要求-设备-防火墙-配置-51防火墙须支持双机配置完全采纳安全要求-设备-防火墙-配置-52

16、防火墙须支持透明模式及路由模式配置要求完全采纳4.2. 管理配置要求编号：安全要求-设备-防火墙-配置-1要求内容不同等级管理员分配不同账号，避免账号混用。操作指南1. 参考配置操作usrobj passwdp admin NNtEDJuo3qa28usrobj passwdp guest fyRW3nLH7ywPlusrobj addadminp passwd 2. 补充操作说明前两个用户为系统默认建立的帐号。检测方法3. 判定条件用配置中没有的用户名去登录，结果是不能登录。4. 检测操作在图形界面登陆5. 补充说明无。编号：安全要求-设备-防火墙-配置-2要求内容应删除或锁定与设备运行、维

17、护等工作无关的账号。操作指南1. 参考配置操作usrobj del 2. 补充操作说明使用usrobj list admin显示帐户信息。检测方法3. 判定条件配置中用户信息被删除。4. 检测操作查看配置。5. 补充说明无。编号：安全要求-设备-防火墙-配置-3要求内容防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1. 参考配置操作usrobj addadminp 回车，输入密码。2. 补充操作说明口令字符不完全符合要求。检测方法3. 判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。4. 检测操作实验性建立帐户信息。5.

18、 补充说明无。编号：安全要求-设备-防火墙-配置-4要求内容账户口令的生存期不长于90天。操作指南1. 参考配置操作设备无此功能。2. 补充操作说明无。检测方法3. 判定条件设备无此功能。4. 检测操作无。5. 补充说明无。编号：安全要求-设备-防火墙-配置-5要求内容应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1. 参考配置操作设备无此功能。2. 补充操作说明无。检测方法3. 判定条件无。4. 检测操作无。 5. 补充说明无。编号：安全要求-设备-防火墙-配置-6要求内容应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1. 参考配置

19、操作设备无此功能。2. 补充操作说明无。检测方法3. 判定条件无。4. 检测操作无。 5. 补充说明无。编号：安全要求-设备-防火墙-配置-7要求内容在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。操作指南1. 参考配置操作usrobj addadmin usrobj authorize 2. 补充操作说明对于管理员不同权限设置，可以定义不同管理员的访问模块以及相应权限。module包括：system(系统), net（网络）,svc（服务）,usr（用户）,time（时间）,nat（NAT）,policy（策略）,vpn（VPN）,smartpro（流探测）,log（日志

20、）,other（其它）。r|w|x代表不同管理权限，r代表只读,w读写,x无权限。检测方法3. 判定条件不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外的模块。4. 检测操作不同用户登陆，尝试访问不同的模块。5. 补充说明无。编号：安全要求-设备-防火墙-配置-8要求内容对于具备字符交互界面及图形界面（含WEB界面）的设备，应配置定时账户自动登出。操作指南1. 参考配置操作该设备自动设定。2. 补充操作说明无。检测方法3. 判定条件停止操作一段时间，查看是否已经自动登出。4. 检测操作无。5. 补充说明无。 编号：安全要求-设备-防火墙-配置-9要求内容对于具备console口的设备

21、，应配置console口密码保护功能。操作指南1. 参考配置操作该设备无此功能。2. 补充操作说明无。检测方法3. 判定条件无。4. 检测操作无。5. 补充说明无。编号：安全要求-设备-防火墙-配置-10要求内容对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP操作指南1. 参考配置操作系统默认支持ssh及WEB SSL两种加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhost list增加管理IPadminhost add 2. 补充操作说明检测方法3. 判定条件只支持ssh及Web SSL管理，对于非

22、允许的ip地址不能登陆。4. 检测操作使用非允许的ip地址登陆。 5. 补充说明无。编号：安全要求-设备-防火墙-配置-11要求内容在进行重大配置修改前，必须对当前配置进行备份。操作指南1、参考配置操作ruleconfig save 2、补充操作说明当前，LinkTrust Firewall 提供5 个预选位置供管理员保存当前配置，分别编号为1、2、3、4、5， 编号0 代表当前的配置。检测方法1. 判定条件查看是否有前期的配置备份。2. 检测操作查看备份配置。3. 补充说明无。4.3. 日志及告警配置要求编号：安全要求-设备-防火墙-配置-12至配置-15要求内容设备应配置日志功能，记录对与

23、设备相关的安全事件。日志记录的事件类型包括NAT、流量、管理员登陆及操作等。操作指南1. 参考配置操作log policy add 2. 补充操作说明设备只支持纪录部分关键操作。：系统 （以字母a 表示）NAT （以字母n 表示）包过滤 （以字母f 表示）连接状态 （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec 协议（以字母I 表示）流探测（以字母i 表示） ：指日志处理方式，mbys

24、e 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。检测方法3. 判定条件在设备上正确纪录了日志信息。4. 检测操作查看日志模块。5. 补充说明无。编号：安全要求-设备-防火墙-配置-16至配置-17要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1. 参考配置操作log policy add 2. 补充操作说明：系统 （以字母a 表示）NAT （以字母n 表示）包过滤 （以字母f 表示）连接状态 （以字母c 表示）

25、HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec 协议（以字母I 表示）流探测（以字母i 表示） ：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。检测方法3. 判定条件在设备上正确纪录了日志信息。4. 检测操作查看日志模块。5. 补充说明无。 编号：安全要求-设备-防火墙-配置-18要求内容设备配

26、置远程日志功能，将需要重点关注的日志内容传输到日志服务器。建议将Warning级别（4级）以上日志传送到志服务器和统一的安全管理平台处理。操作指南1. 参考配置操作loghost add log policy add 其中 0:EMERGENCY 1:ALERT 2:CRITICAL 3:ERROR 4:WARNING 5:NOTICE 6:INFO 7:DEBUG2. 补充操作说明可以设置发送的日志服务器IP地址。检测方法3. 判定条件日志服务器上是否接收到了正确的日志信息。4. 检测操作在日志服务器上查看信息。5. 补充说明无。编号：安全要求-设备-防火墙-配置-19要求内容设备应具备向管

27、理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。操作指南1. 参考配置操作参考日志配置模块，如下：log policy add 2. 补充操作说明设备只支持纪录部分关键操作。：系统 （以字母a 表示）NAT （以字母n 表示）包过滤 （以字母f 表示）连接状态 （以字母c 表示）HTTP 代理（以字母H 表示）TELNET 代理（以字母T 表示）SMTP 代理（以字母S 表示）POP3 代理（以字母O 表示）事前认证（以字母R 表示）双机热备（以字母h 表示）VPN PPP 协议（以字母P 表示）VPN IPSec 协议（以字母I 表示）流探测（以字母i 表示）

28、：指日志处理方式，mbyse 分别指发送本地一、发送本地二日志、外发syslog 主机、外发snmp trap 主机、email 告警等，用户可根据需要选择。检测方法3. 判定条件查看防火墙是否生成相应告警4. 检测操作查看防火墙是否生成相应告警5. 补充说明无。编号：安全要求-设备-防火墙-配置-20要求内容告警信息应被保留，直到被确认为止.操作指南1. 参考配置操作无2. 补充操作说明无检测方法3. 判定条件 4. 检测操作无 5. 补充说明无。编号：安全要求-设备-防火墙-配置-21要求内容设备应配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警，对每一个告警项是

29、否告警可由用户配置。操作指南1. 参考配置操作可参考安全要求-设备-防火墙-配置-462. 补充操作说明无检测方法3. 判定条件无 4. 检测操作无5. 补充说明无。编号：安全要求-设备-防火墙-配置-22要求内容可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。操作指南1. 参考配置操作可参考“安全要求-设备-防火墙-配置-41”2. 补充操作说明无 检测方法3. 判定条件无 4. 检测操作无 5. 补充说明无。编号：安全要求-设备-防火墙-配置-23要求内容可打开扫描攻击检测功能。对扫描探测告

30、警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警。操作指南1. 参考配置操作可参考“安全要求-设备-防火墙-配置-43”2. 补充操作说明无检测方法3. 判定条件无 4. 检测操作无 5. 补充说明无。编号：安全要求-设备-防火墙-配置-24要求内容如防火墙具备关键字内容过滤功能，可打开该功能，在HTTP，SMTP，POP3等协议中对用户设定的关键字进行过滤。操作指南1. 参考配置操作防火墙无此项功能，安氏的UTM具备此项功能2. 补充操作说明 无检测方法3. 判定条件无 4. 检测操作无 5. 补充说明无。编号：安全要求-设备-防火墙-

31、配置-25要求内容如防火墙具备网络病毒防护功能。可打开病毒防护，对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块，需要在安全策略配置中首先关注对常见病毒流量的端口的封堵。操作指南1. 参考配置操作可参考“安全要求-设备-防火墙-配置-41”2. 补充操作说明 无检测方法3. 判定条件无 4. 检测操作无 5. 补充说明无。编号：安全要求-设备-防火墙-配置-26要求内容对于防火墙的一些关键操作事件、配置更改、严重告警事件等，建议通过邮件等方式通知系统管理员操作指南1. 参考配置操作启用邮件通知设置mailalarm enable设置邮件服务器mailalarm server userna

32、me设置邮件发送参数mailalarm sendreceive 2. 补充操作说明无检测方法3. 判定条件设置后看能否接到告警邮件通知4. 检测操作查看邮件通知设置mailalarm list5. 补充说明无。4.4. 安全策略配置要求编号：安全要求-设备-防火墙-配置-27要求内容防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1. 参考配置操作policy add options toname2. 补充操作说明参数说明：service 服务的名称netfrom 源网络对象netto 目的网络对象

33、act pass：通过block：阻止retureset ：阻止，并发回一个RESET 包retuicmp ： 阻止， 并发回一个ICMP 包(code=3,type=指定值)auth ：授权并指定授权策略options D:如果是TCP 的服务，启用拒绝synflood 攻击服务d:log disabled 表示对匹配该policy 的包不记日志f：fastpath 快速路径i:icmpfilter 只有对于icmp 服务的策略规则此选项才有意义，表示符合该策略的包使用防火墙内核级icmp 代理l: log enabled 表示对匹配该policy 的包记录日志s: 启用流探测功能t: 符合

34、该策略的包复制到IDS 网口T:时间限制（如果选T，后必需跟toname 参数；否则无需输入toname 参数）检测方法3. 判定条件查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。4. 检测操作使用不同的流量进行测试。5. 补充说明无。编号：安全要求-设备-防火墙-配置-28要求内容所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。操作指南1. 参考配置操作设备默认最后一条为拒绝所有其他。2. 补充操作说明设备也支持主动建立禁止一切的策略。检测方法3. 判定条件无。4. 检测操作查看策略配置及测试访问。5. 补充说明无。编号：安全要求-设备-防火墙-配置-29要求内容在配置访

35、问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。操作指南1. 参考配置操作根据实际访问需求，缩小地址范围。2. 补充操作说明我们在防火墙上可以定义不同范围的地址对象，在策略中进行引用即可。如下命令用来建立不同范围的地址对象，供策略引用。netobj hostadd netobj add netobj addstd netobj addipr netobj addifr netobj addznr 检测方法3. 判定条件无。4. 检测操作根据实际访问需求，测试是否达到要求；查看配置。5. 补充说明无。编号：安全要求-设备-防火墙-配置-30要求内容对于访问规则的排列，

36、应当遵从范围由小到大的排列规则。应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。操作指南1. 参考配置操作policy add options toname2. 补充操作说明无。检测方法3. 判定条件检查访问规则的排列。4. 检测操作按照需求访问进行检测。5. 补充说明无。编号：安全要求-设备-防火墙-配置-31要求内容在进行重大配置修改前，必须对当前配置进行备份。操作指南1. 参考配置操作参考配置编号：安全要求-设备-防火墙-配置-112. 补充操作说明无。检测方法3. 判定条件无4. 检测操作无5. 补充说明无。编号：安全要求-设备-防火墙-配置-32要求

37、内容对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。操作指南1. 参考配置操作vpn dialupuser add ip/maskpolicy add options toname2. 补充操作说明设备部分支持此项功能。检测方法3. 判定条件无。4. 检测操作按照需求访问进行检测。5. 补充说明无。编号：安全要求-设备-防火墙-配置-33要求内容访问规则必须按照一定的规则进行分组。操作指南1. 参考配置操作policy add options toname2. 补充操作说明按照访问的需求进行分组排列。检测方法3. 判定条件无。4. 检测操作查看

38、配置；访问测试。5. 补充说明无。编号：安全要求-设备-防火墙-配置-34要求内容配置NAT，对公网隐藏局域网主机的实际地址。操作指南1. 参考配置操作nat11 add interface2. 补充操作说明无检测方法3. 判定条件无。4. 检测操作从外网用NAT地址访问内网的IP5. 补充说明无。编号：安全要求-设备-防火墙-配置-35要求内容隐藏防火墙字符管理界面的bannner信息。操作指南1. 参考配置操作设备不支持此功能2. 补充操作说明无检测方法3. 判定条件无。4. 检测操作无5. 补充说明无。编号：安全要求-设备-防火墙-配置-36要求内容应用代理服务器，将从内网到外网的访问流

39、量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。操作指南1. 参考配置操作policy add options toname2. 补充操作说明按照访问的需求进行分组排列。检测方法3. 判定条件无。4. 检测操作查看配置；访问测试。5. 补充说明无。编号：安全要求-设备-防火墙-配置-37要求内容防火墙设备必须关闭非必要服务。操作指南1. 参考配置操作policy add options toname2. 补充操作说明无检测方法3. 判定条件无。4. 检测操作查看策略，检查是否有不必要的服务Policy list5. 补充说明无。

40、编号：安全要求-设备-防火墙-配置-38要求内容防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护，需要及时更新版本或者撤换。操作指南1. 参考配置操作无2. 补充操作说明无检测方法3. 判定条件定期查看防火墙版本4. 检测操作无5. 补充说明无。编号：安全要求-设备-防火墙-配置-39要求内容防火墙设备必须首先确保承载防火墙系统的底层操作系统安全。操作指南1. 参考配置操作policy add options toname2. 补充操作说明按照访问的需求进行分组排列。检测方法3. 判定条件无。4. 检测操作查看配置；访

41、问测试。5. 补充说明无。编号：安全要求-设备-防火墙-配置-40要求内容防火墙策略配置时尽量不允许使用anyto any，对于从防火墙内部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理操作指南1. 参考配置操作查看访问控制策略policy list配置防火墙策略policy add options toname2. 补充操作说明无检测方法3. 判定条件无4. 检测操作policy list5. 补充说明无。4.5. 攻击防护配置要求n 常见蠕虫病毒及系统漏洞的端口号防护编号：安全要求-设备-防火墙-配置-41要求内容对于常见病毒及系统漏洞的端口号应当进行端口的关闭配置。操作指

42、南1. 参考配置操作policy add pptp_user options2. 补充操作说明常用病毒端口号网络可以获取。检测方法3. 判定条件是否已经将常用病毒端口关闭。4. 检测操作查看访问控制策略。5. 补充说明无。n 防护应用层攻击的配置建议编号：安全要求-设备-防火墙-配置-42要求内容建议采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进行防护操作指南1. 参考配置操作smartpro enable level其中级别如下，建议采用默认级别10 - disable 1 - duplicate pass-policy matched packets, 2 - duplic

43、ate more pass-policy matched packets 3 - duplicate all packets2. 补充操作说明无。检测方法3. 判定条件查看是否已经将此功能打开。4. 检测操作查看配置。5. 补充说明无。n 对于网络扫描攻击检测的配置建议编号：安全要求-设备-防火墙-配置-43要求内容建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描攻击行为进行检测操作指南1. 参考配置操作启用流探测功能模块：smartpro enable level其中级别如下，建议采用默认级别10 - disable 1 - duplicate pass-policy matc

44、hed packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets通过WEB管理界面选择需要检测的扫描攻击行为的list，如下图：选择启用即可2. 补充操作说明无。检测方法3. 判定条件查看是否已经将此功能打开。4. 检测操作查看配置。5. 补充说明无。n 对于DDOS攻击的防护配置建议编号：安全要求-设备-防火墙-配置-44要求内容打开防DDOS攻击功能。操作指南1. 参考配置操作antidos set synflood antidos set land onantidos set smu

45、rf onanti set frag onantidos set icmpmax antidos set udpmax blockshortip onblockipoptions on2. 补充操作说明无。检测方法3. 判定条件查看是否已经将此功能打开。4. 检测操作查看配置。5. 补充说明无。n 防护协议异常攻击的配置建议编号：安全要求-设备-防火墙-配置-45要求内容限制ping包的大小，以及一段时间内同一主机发送的次数。操作指南1. 参考配置操作antidos set icmpmax 2. 补充操作说明部分功能实现。检测方法3. 判定条件无。4. 检测操作查看配置；需求测试。5. 补充说

46、明无。编号：安全要求-设备-防火墙-配置-46要求内容启用对带选项的IP包及畸形IP包的检测操作指南1. 参考配置操作anti set frag on2. 补充操作说明无。检测方法3. 判定条件查看是否已经将此功能打开。4. 检测操作查看配置。5. 补充说明无。编号：安全要求-设备-防火墙-配置-47要求内容对于各端口要开启防欺骗功能。操作指南1. 参考配置操作参考配置建议编号：安全要求-设备-防火墙-配置-442. 补充操作说明无。检测方法3. 判定条件查看防欺骗功能是否打开。4. 检测操作无。5. 补充说明无。编号：安全要求-设备-防火墙-配置-48要求内容对于有固定模式串的攻击，在应急时

47、可开启基于正则表达式的模式匹配的功能。操作指南1. 参考配置操作无。设备不支持。2. 补充操作说明无。检测方法3. 判定条件无4. 检测操作无。5. 补充说明无。编号：安全要求-设备-防火墙-配置-49要求内容回环地址（lookback address）一般用于本机的IPC通讯，防火墙必须阻断含有回环地址(lookback address)的流量。操作指南1. 参考配置操作设备默认支持此功能。2. 补充操作说明无。检测方法3. 判定条件无4. 检测操作无。5. 补充说明无。4.6. 设备其他安全要求编号：安全要求-设备-防火墙-配置-50要求内容防火墙异构部署要求。在防火墙策略设置上，外层(如

48、DMZ区外侧）防火墙侧重实施粗粒度访问控制；内层防火墙(如DMZ区内侧）侧重针对特定系统施细粒度访问控制，并且应增强防火墙相关日志审计及入侵检测功能设置。操作指南1. 参考配置操作参考相应的日志审计、策略及防火墙攻击防护相关配置。2. 补充操作说明无检测方法3. 判定条件无4. 检测操作查看异构防火墙各自的配置情况5. 补充说明无编号：安全要求-设备-防火墙-配置-51要求内容防火墙须支持双机配置操作指南1. 参考配置操作启用HA双机主备功能ha enable配置网口虚拟IP地址ha 配置链路检测接口ha attach|detach 配置心跳线接口ha set heartbeat-interf

49、ace 配置同步规则ha syncrules push|push1|push2|pull|pull1|pull22. 补充操作说明无检测方法3. 判定条件查看ha配置并主动进行切换，看防火墙能否切换成功4. 检测操作查看ha配置ha list5. 补充说明1) 目前系统不支持状态同步，防火墙切换后原有连接会中断2) 网桥内接口，VLAN接口不能用户HA心跳口编号：安全要求-设备-防火墙-配置-52要求内容防火墙须支持透明模式及路由模式配置要求操作指南1. 参考配置操作启用或禁用网桥配置brconfig enabledisable 配置网桥接口brconfig attach 2. 补充操作说明无检测方法3. 判定条件无4. 检测操作查看网桥配置brconfig list5. 补充说明1) 加入网桥的接口必须先加入layer2/layer3类型的安全域中2) 只包含一个接口的网桥是不可用的 5. 编制历史版本号更新时间主要内容或重大修改1.0.02008-07-131.0.0版本