HC防火墙安全配置基线
华为防火墙操作手册UGS6330
华为防火墙操作手册UGS6330
华为防火墙默认的用户名是admin,密码:Admin@123,第一次登录后,要求更改密码,密码要求有大小写英文字母和特殊符号,更改密码后会要求重新登录,然后才能进入配置界面
进入配置界面
1、编辑内网接口,内网接口IP配置为192.168.124.1
255.255.252.0,对应核心交换机里面配置的几个VLAN,注意内网接口的安全区域选择trust
配置内网接口
内网接口允许https和ping
2、编辑外网接口,填写运营商提供的IP地址,注意外网接口的安全区域选择untrust,为方便管理员在外网远程管理防火墙,勾选启用访问管理和https
允许管理员在外网配置防火墙
3、新建一条策略路由,下一跳地址填写宽带运营商提供的网关地址
新建策略路由
新建策略路由,下一跳地址是运营商的网关
4、新建一条安全策略,允许trust到untrust的访问,即允许内网所有设备连接internet
允许访问外网
经过以上步骤,内网计算机等联网设备就能正常上网了。
5、根据客户要求VLAN125禁止上外网,那么我们要做一条相应的安全策略,并且这条策略一定要放到刚才这条安全策略的上面!
禁止VLAN125上网
6、有几台服务器,软件供应商要在外网通过远程桌面的形式调试,我们需要在防火墙上做NAT策略
开放服务器3389端口,允许在外网远程桌面。
华为交换机安全配置基线
华为交换机安全配置基线(Version 1.0)2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全(可选) (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。
HC防火墙配置命令
华为H3C防火墙配置命令2009-03-28 09:28:26标签:华为H3C防火墙配置H3CF100S配置初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。
建筑内防火墙设置的一般规定
建筑内防火墙设置的一般规定英文词条名:1 防火墙应直接设置在基础上或钢筋混凝土的框架上。
防火墙应截断燃烧体或难燃烧体的屋顶结构,且应高出非燃烧体屋面不小于40CM,高出燃烧体或难燃烧体屋面不小于50CM。
当建筑物的屋盖为耐火极限不低于H的非燃烧体时、高层工业建筑屋盖为耐火极限不低于1H的非燃烧体时,防火墙(包括纵向防火墙)可砌至屋面基层的底部,不高出屋面。
2 防火墙中心距天窗端面的水平距离小于4M,且天窗端面为燃烧体时,应采取防止火势蔓延的设施。
3 建筑物的外墙如为难燃烧体时,防火墙应突出难燃烧体墙的外表面40CM;防火带的宽度,从防火墙中心线起每侧不应小于2M。
4 防火墙内不应设置排气道,民用建筑如必须设置时,其两侧的墙身截面厚度均不应小于12CM。
防火墙上不应开门窗洞口,如必须开设时,应采用甲级防火门窗,并应能自行关闭。
可燃气体和甲、乙、丙类液体管道不应穿过防火墙。
其他管道如必须穿过时,应用非燃烧材料将缝隙紧密填塞。
5 建筑物内的防火墙不应设在转角处。
如设在转角附近,内转角两侧上的门窗洞口之间最近的水平距离不应小于4M。
紧靠防火墙两侧的门窗洞口之间最近的水平距离不应小于2M,如装有耐火极限不低于H的非燃烧体固定窗扇的采光窗(包括转角墙上的窗洞),可不受距离的限制。
6 设计防火墙时,应考虑防火墙一侧的屋架、梁、楼板等受到火灾的影响而破坏时,不致使防火墙倒塌。
防火墙防火墙是由不燃烧材料构成的,为减小或避免建筑、结构、设备遭受热辐射危害和防止火灾蔓延,设置的竖向分隔体或直接设置在建筑物基础上或钢筋混凝土框架上具有耐火性的墙。
防火墙是防火分区的主要建筑构件。
通常防火墙有内防火墙、外防火墙和室外独立墙几种类型。
防火墙的耐火极限、燃烧性能、设置部位和构造应符合下列要求:1.防火墙应为不燃烧体,其耐火极限目前《建规》的规定为 4h,《高规》的规定为3h。
2.防火墙应直接砌筑在基础上或钢筋混凝土框架上,当防火墙一侧的屋架、梁和楼板等因火灾影响而破坏时,不至使防火墙倒塌。
华为设备(交换机)安全配置基线
华为设备(交换机)安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误!未定义书签。
2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
Huawei防火墙安全配置基线
Huawei防火墙安全配置基线XXXXXX备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。
智慧HW数通基础第十章防火墙配置
第十章防火墙及配置.1防火墙介绍现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口。
因此防火墙不但可以保护内部网络在 Internet 中的安全,同时还可以保护若干主机在一个内部网络中的安全。
在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。
而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行互相的访问。
.2网络安全技术.2.1网络安全技术介绍网络安全介绍Quidway 系列路由器提供一个全面的网络安全解决方案,包括用户验证、授权、数据保护等。
Quidway系列路由器所采用的安全技术主要包括:IP地址的一种访问控制验证-对用户进行验证、授权、计费的技术技术-提供一种安全“私有连接”的技术在路由器中,包过滤技术是实现防火墙的最重要的手段。
.2.2IP 包过滤技术介绍IP包过滤介绍对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
而实现包过滤的核心技术是访问控制列表。
包过滤技术主要是设定一定的规则,控制数据包。
路由器会根据设定的规则和数据包的包头信息比较,来决定是否允许这个数据包通过。
实现包过滤技术最核心内容就是访问控制列表。
.2.3 访问控制列表为什么要用访问控制列表?拒绝某些不希望的访问。
访问控制列表具有区分数据包的能力。
用户可以通过 Internet 和外部网络进行联系,网络管理员都面临着一个问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行的访问。
为了达到这样的效果,我们需要有一定的规则来定义哪些数据包是“合法”的(或者是可以允许访问),哪些是“非法”的(或者是禁止访问)。
这些规则就是访问控制列表。
访问控制列表(续)为什么要用访问控制列表?(续)访问控制列表按照数据包的特点,规定了一些规则。
Windows操作系统安全防护基线配置要求
可能会使日志量猛增。
编号:OS-Windows-日志-03
要求内容:设置日志容量和覆盖规则,保证日志存储
操作指南:
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置;
日志文件大小:可根据需要制定。
超过上限时的处理方式(建议日志记录天数不小于90天)
检测方法:
开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式。
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
判定条件:
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
三、
编号:OS-Windows-口令-01
要求内容:密码长度最少8位,密码复杂度至少包含以下四种类别的字符中的三种:
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
阿拉伯数字0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”。
检测方法:
检测方法:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”;查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。
判定条件:
“关闭系统”设置为“只指派给Administrators组”;
HC防火墙产品培训ComwareV
15
防火墙时间同步(2)
ACSEI方式时间同步:
交换机需要使能ACSEI Server
如果防火墙10GE接口是二层接口,须permit接口所在PVID,并在 10GE接口下使能acsei-client
先进的硬件架构:多核多线程 良好的易用性:CLI、Web 全面的安全防护:L2-L7安全防护 丰富的NAT特性:NAT、ALG 完善的VPN功能:GRE、L2TP、IPSec 领先的虚拟化技术:虚拟防火墙 高可靠性:VRRP、双机热备 集中统一管理:Log、SNMP、FWM
10
目录
V5 防火墙产品介绍 V5 防火墙基本配置管理 V5 防火墙转发方式介绍 V5 防火墙安全特性简介 V5 防火墙基本维护
Web管理方式
缺省情况下防火墙的第一个接口已经加入管理 区域,默认IP地址是192.168.0.1/24,默认用 户名和密码是h3c/h3c
13
CLI管理方式
方式一:通过Console口登录,进行除安全特性外的配置。
方式二:通过Telnet或者SSH登录,缺省情况下Telnet和SSH 服务是关闭的。
H3C 防火墙产品培训(Comware V5)
ISSUE 1.0
日期:2011.08 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
引入
H3C Comware V5平台防火墙采用H3C公司最新的 硬件平台和体系架构,是H3C公司面向大中型企业和 运营商用户开发的新一代防火墙设备。
课程标
方式三:插卡类FW还可以通过OAP方式登录,需要先在插卡上 配置aux口登录相关参数,然后通过oap connect slot x (IRF 下: oap connect chassis 1 slot x)登录插卡,按 CTRL+K 退出插卡。
华为防火墙配置使用手册
华为防火墙配置使用手册摘要:一、华为防火墙配置概述二、华为防火墙基本配置1.登录华为防火墙2.配置管理IP地址3.配置接口地址4.配置路由5.配置访问控制列表(ACL)三、高级配置1.配置NAT2.配置DHCP3.配置防火墙策略4.配置安全策略5.配置入侵检测和防御四、故障排除与维护1.常见故障排除2.防火墙性能优化3.安全策略调整4.系统升级与维护五、总结正文:华为防火墙配置使用手册华为防火墙是一款高性能的网络防火墙,能够有效保护企业网络免受各种网络攻击。
本文将详细介绍华为防火墙的配置使用方法。
一、华为防火墙配置概述华为防火墙配置主要包括基本配置和高级配置两部分。
基本配置包括管理IP地址、接口地址、路由等设置;高级配置包括NAT、DHCP、防火墙策略等设置。
二、华为防火墙基本配置1.登录华为防火墙使用Console口或Telnet方式登录华为防火墙。
2.配置管理IP地址进入系统视图,设置管理IP地址。
例如:```[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1255.255.255.0```3.配置接口地址进入接口视图,设置接口地址。
例如:```[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.2255.255.255.0```4.配置路由设置路由表,使防火墙能够进行路由转发。
例如:```[Huawei-ip route-table]ip route 192.168.1.0 24 192.168.1.2```5.配置访问控制列表(ACL)设置ACL,以限制网络流量。
例如:```[Huawei-GigabitEthernet0/0/0]acl number 2000[Huawei-GigabitEthernet0/0/0]acl 2000 rule 0 permit ip source 192.168.1.1 0```三、高级配置1.配置NAT设置NAT地址转换,使内部网络设备能够访问外部网络。
Windows操作系统安全防护基线配置要求
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,也就是微软所说的“团体名称”。
判定条件:
community strings已改,不是默认的“public”。
要求内容:在保证业务可用性的前提下,经过分析测试后,可以选择更新使用最新版本的补丁;
操作指南:
例如截止到2010年最新版本:Windows XP的Service Pack为SP3。
Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。
检测方法:
进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。
五、
编号:OS-Windows-防护软件-01
要求内容:启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围
判定条件:
缺省账户Administrator名称已更改。Guest帐号已停用。
二、
编号:OS-Windows-授权-01
要求内容:本地、远端系统强制关机只指派给Administrators组
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”;“从远端系统强制关机”设置为“只指派给Administrators组”。
补充说明:
可能会使日志量猛增。
H3C网络设备安全配置基线检查指导文件
H3C网络设备安全配置基线目录第1章基本安全配置 (3)2.1帐号管理 (3)2.1.1 用户账号分配 (3)2.1.2 配置默认级别 (4)2.2口令 (5)2.2.1 密码认证登录 (5)2.2.2 设置访问级密码 (6)2.2.3 加密口令 (7)2.3日志安全 (9)2.3.1 配置远程日志服务器 (9)2.4IP协议 (10)2.4.1使用SSH加密管理 (10)2.4.2系统远程管理服务只允许特定地址访问 (11)2.5SNMP安全 (12)2.5.1修改SNMP默认通行字 (12)2.5.2使用SNMPV2或以上版本 (13)2.5.3SNMP访问控制 (14)2.6其他安全配置 (15)2.6.1关闭未使用的端口 (15)2.6.2帐号登录超时 (16)2.6.3关闭不需要的服务 (17)第2章增强安全配置 (18)3.1安全防护 (18)3.1.1启用URPF功能 (18)第1章基本安全配置2.1帐号管理2.1.1 用户账号分配2.1.2 配置默认级别2.2 口令2.2.1 密码认证登录2.2.2 设置访问级密码2.2.3 加密口令2.3 日志安全2.3.1 配置远程日志服务器2.4IP 协议2.4.1使用SSH加密管理2.4.2系统远程管理服务只允许特定地址访问2.5SNMP安全2.5.1修改SNMP默认通行字2.5.2使用SNMPV2或以上版本2.5.3SNMP访问控制2.6其他安全配置2.6.1关闭未使用的端口2.6.2帐号登录超时2.6.3关闭不需要的服务第2章增强安全配置3.1安全防护3.1.1启用URPF功能。
Huawei防火墙安全配置基线
Huawei防⽕墙安全配置基线Huawei防⽕墙安全配置基线XXXXXX备注:1.若此⽂档需要⽇后更新,请创建⼈填写版本控制表格,否则删除版本控制表格。
⽬录第1章概述 (1)1.1⽬的 (1)1.2适⽤范围 (1)1.3适⽤版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1⽤户帐号分配* (2)2.1.2删除⽆关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误⾃动锁定* (4)2.2⼝令 (5)2.2.1⼝令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使⽤加密协议 (5)第3章⽇志及配置安全要求 (7)3.1⽇志安全 (7)3.1.1记录⽤户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT⽇志 (8)3.1.4配置记录流量⽇志 (9)3.1.5配置⽇志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防⽕墙本⾝的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议⽹络层异常报⽂攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后⼀条必须是拒绝⼀切流量 (12)3.3.2配置访问规则应尽可能缩⼩范围 (13)3.3.3访问规则进⾏分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防⽕墙字符管理界⾯的bannner信息 (15)3.3.6关闭⾮必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端⼝或者服务的访问 (16)3.4.2防⽕墙各逻辑接⼝配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包⼤⼩* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使⽤SNMP V2或V3版本对防⽕墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外⽹⼝地址关闭对ping包的回应 (21)5.1.2对防⽕墙的管理地址做源地址限制 (21)5.1.3配置consol⼝密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 ⽬的本⽂档规定了XXXXXX管理信息系统部所维护管理的Huawei防⽕墙应当遵循的设备安全性设置标准,本⽂档旨在指导系统管理⼈员进⾏Huawei防⽕墙的安全配置。
华为设备(交换机)安全配置基线
华为设备(交换机)安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误!未定义书签。
2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
防火墙的安全策略基线
防火墙的安全策略基线
防火墙的安全策略基线主要包括以下几个方面:
1. 包过滤:这是防火墙安全策略的基础,主要是根据数据包的源地址、目标地址、端口号等信息来判断是否允许该数据包通过。
根据防火墙的配置,可以允许或拒绝来自特定IP地址、子网或主机的所有通信。
2. 代理服务:防火墙可以作为代理服务器,对内网和外网之间的通信进行转发。
通过代理服务,防火墙可以控制内网用户对外网的访问,并可以对访问行为进行记录和审计。
3. 加密和身份验证:防火墙可以提供加密和身份验证功能,保证数据传输的安全性。
通过加密,可以保证数据在传输过程中不会被窃取或篡改;通过身份验证,可以保证只有授权用户才能访问网络资源。
4. 访问控制:防火墙可以基于用户的身份和访问权限进行控制,例如限制特定用户访问某些网站或使用某些应用程序。
5. 日志和审计:防火墙可以记录所有通过的数据包和访问行为,以便进行日志和审计。
通过对日志的分析,可以发现潜在的安全威胁和异常行为。
在建立防火墙的安全策略基线时,需要综合考虑网络的安全需求、业务需求以及风险评估结果等因素,制定合理的安全策略。
同时,还需要定期对防火墙的安全策略进行检查和更新,以应对网络威胁的变化。
windows云服务器基线检查标准
windows云服务器基线检查标准
在Windows云服务器的基线检查中,主要包括以下标准:
1. 防火墙配置:需要检查防火墙是否启用,并确保其配置正确。
具体来说,需要进入“控制面板”-“网络连接”-“本地连接”,然后进入“Internet 协议(TCP/IP)->属性”-“高级->TCP/IP设置”。
在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
2. 安全更新和补丁:需要检查是否已安装最新的安全更新和补丁,以防止已知的漏洞被利用。
3. 安全设置:需要检查操作系统的安全设置是否符合最佳实践和安全标准。
这包括密码策略、用户权限、账户锁定策略等设置的合理性。
4. 日志审计:需要检查系统的日志记录和审计设置是否正常,以及是否有异常的登录尝试或安全事件。
请注意,这些标准可能会根据具体的云服务提供商和其特定的安全要求有所不同。
在实际操作中,请根据具体情况和具体环境进行操作。
安全运维配置基线检查
访问控制列表(ACL)
根据业务需求,合理配置文件和目录的访问控 制列表,限制用户对系统资源的访问。
远程访问控制
对于远程访问,应采用加密协议(如SSH),并限制远程登录的权限和时间。
安全审计与日志管理
审计策略配置
启用操作系统的审计功能,记录用户登录、操作等关 键事件,以便后续分析和追溯。
日志保存与备份
网络访问控制
限制数据库的网络访问,只允许必要 的IP地址和端口进行连接,防止未经
授权的远程访问。
数据库安全审计与日志管理
审计策略配置
启用数据库审计功能,记录所有对数据库的访问和 操作,以便后续分析和追溯。
日志保留与备份
定期备份和保留数据库日志,确保日志的完整性和 可恢复性。
日志分析与告警
对数据库日志进行分析,及时发现异常行为和潜在 威胁,并触发告警通知相关人员。
设备备份与恢复
定期对网络设备进行备份,确保在设备故障或数据丢失时能够及时恢 复。
07
应用系统安全配置基线检查
应用系统身份鉴别与访问控制
身份鉴别机制
应用系统应具备完善的身份鉴别机制,包括用户名/密码、数字证书、动态口令等多种 鉴别方式,确保用户身份的真实性和合法性。
访问控制策略
根据用户角色和权限,实施严格的访问控制策略,防止未经授权的访问和操作,确保应 用系统的安全性和数据的保密性。
02
03
安全漏洞管理
及时关注操作系统厂商发布的安全漏 洞信息,对存在漏洞的系统进行修补 和升级。
05
数据库安全配置基线检查
数据库访问控制
访问权限管理
确保只有授权用户能够访问数据库, 采用最小权限原则,避免权限滥用。
身份验证机制
HCSecPathF系列防火墙配置教程
H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address[ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }password取消配置的口令 undo super password [ level user-level ]缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H C防火墙安全配置基线 Document number:PBGCG-0857-BTDO-0089-PTT1998
H3C防火墙安全配置基线
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表
格。
目录
第1章概述
1.1 目的
本文档旨在指导系统管理人员进行H3C防火墙的安全配置。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3 适用版本
H3C防火墙。
1.4 实施
1.5 例外条款
第2章帐号管理、认证授权安全要求2.1 帐号管理
2.1.1用户帐号分配*
2.1.2删除无关的帐号*
2.1.3帐户登录超时*
2.1.4帐户密码错误自动锁定*
2.2 口令
2.2.1口令复杂度要求
3. 补充说明
无。
备注
2.3 授权
2.3.1远程维护的设备使用加密协议
安全基线
项目名称
远程维护使用加密协议安全基线要求项
安全基线
编号
SBL-H3C-02-03-01
安全基线项说明对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH或者WEB SSL,如果只允许从防火墙内部进行管理,应该限定管理IP。
检测操作步骤1. 参考配置操作
登陆设备web配置页面,在“设备管理”----“服务管理”下选择ssh、https方式登陆设备。
配置针对SSH登陆用户IP地址的限定:
#
acl number 3000
rule 0 permit ip source [ip address][wildcard] #
user-interface vty 0 4
acl 3000 inbound
protocol inbound ssh
第3章日志及配置安全要求3.1 日志安全
3.1.1记录用户对设备的操作
3.1.2开启记录NAT日志*
3.1.3开启记录VPN日志*
3.1.4配置记录拒绝和丢弃报文规则的日志
3.2 告警配置要求
3.2.1配置对防火墙本身的攻击或内部错误告警
基线符合
性判定依
据
1.判定条件
通过查看设备的trapbuffer信息;
2.检测操作
<H3C> display trapbuffer
备注
3.2.2配置TCP/IP协议网络层异常报文攻击告警
安全基线
项目名称
配置TCP/IP协议网络层异常报文攻击告警安全基线要求项
安全基线
编号
SBL-H3C-03-02-02
安全基线
项说明
配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻
击的相关告警。
检测操作
步骤
1.参考配置操作
登陆防火墙web配置页面,在“攻击防范”----“报文异常检测”选择所
需的针对异常攻击报文的检测。
2.补充操作说明
无
基线符合
性判定依
据
1.判定条件
检查防火墙攻击防范配置;
2.检测操作
登陆防火墙web页面,在“攻击防范”----“入侵检测统计”中查看攻击
防范的效果;
备注
3.2.3配置DOS和DDOS攻击告警
安全基线
项目名称
配置DOS和DDOS攻击防护功能安全基线要求项
安全基线
编号
SBL-H3C-03-02-03
安全基线
项说明
配置DOS和DDOS攻击防护功能。
对DOS和DDOS攻击告警。
维护人员应根据网络环境调整DDOS的攻击告警的参数。
检测操作
步骤
1.参考配置操作
登陆防火墙web配置页面,在“攻击防范”----“流量异常检测”中,选
择需要防范的攻击类型。
2.补充操作说明
基线符合
性判定依
据
1.判定条件
检查防火墙攻击防范配置;
2.检测操作
登陆防火墙web页面,在“攻击防范”----“入侵检测统计”中查看攻击
防范的效果;
备注
3.2.4配置关键字内容过滤功能告警*
安全基线
项目名称
配置关键字内容过滤功能告警安全基线要求项
安全基线
编号
SBL-H3C-03-02-04
安全基线
项说明
配置关键字内容过滤功能,在HTTP,SMTP,POP3等应用协议流
量过滤包含有设定的关键字的报文。
针对关键字过滤是应用层过
滤机制,对系统性能有一定影响。
针对HTTP协议内容访问的网
站关键字段,包含暴力、淫秽、违法等类型。
可添加内容库实
现。
检测操作
步骤
1.参考配置操作
登陆防火墙web配置页面,在“应用控制”----“内容过滤”,根据需求
选择关键字、URL主机名、文件名等方式进行过滤。
2.补充操作说明
基线符合
性判定依
据
1.判定条件
检查防火墙“应用控制”配置;
2.检测操作
登陆防火墙web页面配置,在“应用控制”----“内容过滤”----“统计信
息”中查看过滤功能实施效果。
备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.3 安全策略配置要求
3.3.1访问规则列表最后一条必须是拒绝一切流量
安全基线
项目名称
访问规则列表最后一条必须是拒绝一切流量安全基线要求项
安全基线
编号
SBL-H3C-03-03-01
安全基线
项说明
防火墙在配置访问规则列表时,最后一条必须是拒绝一切流量。
检测操作
步骤
1.参考配置操作
#
acl number 3001
rule 0 permit ip destination [ip address] [mask]
rule 1 deny ip
#
2.补充操作说明
无
基线符合
性判定依
据
1.判定条件
检查配置中的 ACL 设置
2.检测操作
<H3C> display acl number 3001
备注
3.3.2配置访问规则应尽可能缩小范围
安全基线
项目名称
配置访问规则应尽可能缩小范围安全基线要求项
安全基线
编号
SBL-H3C-03-03-02
安全基线
项说明
在配置访问规则时,源地址,目的地址,服务或端口的范围必须
以实际访问需求为前提,尽可能的缩小范围。
禁止源到目的全部
允许规则。
禁止目的地址及服务全允许规则,禁止全服务访问规
则。
检测操作
步骤
1.参考配置操作
登陆防火墙web配置页面,在“防火墙”----“安全策略”----“域间策略”中增加访问规则,需要填写的内容是:源域、目的域、源IP
地址、目的IP地址、服务(访问的协议和端口)、过滤动作
(permit or deny)、时间段。
2.补充操作说明
基线符合
性判定依
据
1.判定条件
检查防火墙“域间策略”配置,域间策略详细到协议、端口、具体的
IP地址;
2.检测操作
无;
备注
3.3.3VPN用户按照访问权限进行分组*
安全基线
项目名称
VPN用户按照访问权限进行分组安全基线要求项
安全基线SBL-H3C-03-03-03
3.3.4配置NAT地址转换*
3.3.5隐藏防火墙字符管理界面的bannner信息
3.3.6避免从内网主机直接访问外网的规则*
项。
3.3.7关闭非必要服务
安全基线
项目名称
关闭非必要服务安全基线要求项
安全基线
编号
SBL-H3C-03-03-07
安全基线
项说明
防火墙设备必须关闭非必要服务。
检测操作步骤1.参考配置操作
登陆防火墙web配置页面,在“设备管理”----“服务管理”中关闭非必要的服务,比如http、telnet、ftp等。
2.补充操作说明
基线符合性判定依
据1.判定条件
检查配置中是否关闭对应服务2.检测操作
备注
3.4 攻击防护配置要求
3.4.1拒绝常见漏洞所对应端口或者服务的访问
基线符合性判定依
据1.判定条件
检查配置文件
2.检测操作
使用命令display acl number 3001
备注
3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能
安全基线
项目名称
防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项
安全基线
编号
SBL-H3C-03-04-02
安全基线
项说明
对于防火墙各逻辑接口配置开启防源地址欺骗功能。
检测操作步骤1.参考配置操作
登陆防火墙web配置页面,在“攻击防范”----“URPF检查”中使能防源地址欺骗功能。
2.补充操作说明
基线符合性判定依
据1.判定条件
检查配置中是否有URPF功能;
2.检测操作
备注
第4章IP协议安全要求
4.1 功能配置
4.1.1使用SNMP V2c或者V3以上的版本对防火墙远程管
理
第5章其他安全要求
5.1 其他安全配置
5.1.1外网口地址关闭对ping包的回应*
5.1.2对防火墙的管理地址做源地址限制
第6章评审与修订。