HC防火墙安全配置基线

H C防火墙安全配置基线 Document number：PBGCG-0857-BTDO-0089-PTT1998

H3C防火墙安全配置基线

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表

格。

目录

第1章概述

1.1 目的

本文档旨在指导系统管理人员进行H3C防火墙的安全配置。

1.2 适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本

H3C防火墙。

1.4 实施

1.5 例外条款

第2章帐号管理、认证授权安全要求2.1 帐号管理

2.1.1用户帐号分配*

2.1.2删除无关的帐号*

2.1.3帐户登录超时*

2.1.4帐户密码错误自动锁定*

2.2 口令

2.2.1口令复杂度要求

3. 补充说明

无。

备注

2.3 授权

2.3.1远程维护的设备使用加密协议

安全基线

项目名称

远程维护使用加密协议安全基线要求项

安全基线

编号

SBL-H3C-02-03-01

安全基线项说明对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理IP。

检测操作步骤1. 参考配置操作

登陆设备web配置页面，在“设备管理”----“服务管理”下选择ssh、https方式登陆设备。

配置针对SSH登陆用户IP地址的限定：

#

acl number 3000

rule 0 permit ip source [ip address][wildcard] #

user-interface vty 0 4

acl 3000 inbound

protocol inbound ssh

第3章日志及配置安全要求3.1 日志安全

3.1.1记录用户对设备的操作

3.1.2开启记录NAT日志*

3.1.3开启记录VPN日志*

3.1.4配置记录拒绝和丢弃报文规则的日志

3.2 告警配置要求

3.2.1配置对防火墙本身的攻击或内部错误告警

基线符合

性判定依

据

1.判定条件

通过查看设备的trapbuffer信息；

2.检测操作

display trapbuffer

备注

3.2.2配置TCP/IP协议网络层异常报文攻击告警

安全基线

项目名称

配置TCP/IP协议网络层异常报文攻击告警安全基线要求项

安全基线

编号

SBL-H3C-03-02-02

安全基线

项说明

配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻

击的相关告警。

检测操作

步骤

1．参考配置操作

登陆防火墙web配置页面，在“攻击防范”----“报文异常检测”选择所

需的针对异常攻击报文的检测。

2．补充操作说明

无

基线符合

性判定依

据

1.判定条件

检查防火墙攻击防范配置；

2.检测操作

登陆防火墙web页面，在“攻击防范”----“入侵检测统计”中查看攻击

防范的效果；

备注

3.2.3配置DOS和DDOS攻击告警

安全基线

项目名称

配置DOS和DDOS攻击防护功能安全基线要求项

安全基线

编号

SBL-H3C-03-02-03

安全基线

项说明

配置DOS和DDOS攻击防护功能。对DOS和DDOS攻击告警。

维护人员应根据网络环境调整DDOS的攻击告警的参数。

检测操作

步骤

1．参考配置操作

登陆防火墙web配置页面，在“攻击防范”----“流量异常检测”中，选

择需要防范的攻击类型。

2．补充操作说明

基线符合

性判定依

据

1.判定条件

检查防火墙攻击防范配置；

2.检测操作

登陆防火墙web页面，在“攻击防范”----“入侵检测统计”中查看攻击

防范的效果；

备注

3.2.4配置关键字内容过滤功能告警*

安全基线

项目名称

配置关键字内容过滤功能告警安全基线要求项

安全基线

编号

SBL-H3C-03-02-04

安全基线

项说明

配置关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流

量过滤包含有设定的关键字的报文。针对关键字过滤是应用层过

滤机制，对系统性能有一定影响。针对HTTP协议内容访问的网

站关键字段，包含暴力、淫秽、违法等类型。可添加内容库实

现。

检测操作

步骤

1．参考配置操作

登陆防火墙web配置页面，在“应用控制”----“内容过滤”，根据需求

选择关键字、URL主机名、文件名等方式进行过滤。

2．补充操作说明

基线符合

性判定依

据

1.判定条件

检查防火墙“应用控制”配置；

2.检测操作