中国移动安氏防火墙安全配置规范V1.
中国移动Windows操作系统安全配置规范(正式下发版)
2008-01-01实施2007-12-18发布中国移动WINDOWS操作系统安全配置规范Specification for Windows OS Configuration Used in China Mobile版本号:1.0.0中国移动通信集团公司发布目录1 概述 11.1 适用范围 11.2 内部适用性说明 11.3 外部引用说明 21.4 术语和定义 31.5 符号和缩略语 32 WINDOWS设备安全配置要求3 2.1 账号管理、认证授权 32.1.1 账号 42.1.2 口令 52.1.3 授权 72.2 日志配置操作 112.3 IP协议安全配置操作 172.4 设备其他配置操作 202.4.1 屏幕保护 202.4.2 共享文件夹及访问权限 21 2.4.3 补丁管理 222.4.4 防病毒管理 232.4.5 Windows服务 242.4.6 启动项 25前言本标准由中国移动通信有限公司网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:中国移动通信有限公司网络部。
本标准解释单位:同提出单位。
本标准主要起草人:中国移动通信集团浙江公司朱国萃 139********中国移动集团公司陈敏时 139********概述适用范围本规范所指的设备为Windows系统设备。
本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。
在未特别说明的情况下,均适用于所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003以及各版本中的Sever、Professional版本。
内部适用性说明配置要求说明外部引用说明《中国移动通用安全功能和配置规范》术语和定义符号和缩略语WINDOWS设备安全配置要求本规范从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四个方面提出安全要求。
reference中国移动通信集团网络设备安全配置规范-思25页word文档
密级:内部文档编号:项目代号:附件九中国移动通信集团网络设备安全配置规范思科PIX分册版本:草稿二零零三年十一月中国移动通信公司福建移动通信公司版本控制目录第一部分概述和介绍 (5)1 概述 (5)1.1 项目背景 (5)1.2 项目目标 (5)1.3 参考资料 (5)2 适用的软件版本 (6)第二部分设备的安全机制 (7)第三部分设备安全配置建议 (9)1 网管及认证问题 (9)1.1 访问管理 (9)1.1.1 telnet服务的配置 (10)1.1.2 SSH配置 (11)1.2 帐号和密码管理 (12)1.3 帐号认证和授权 (13)1.3.1 AAA认证 (13)1.4 snmp协议 (14)2 安全审计 (16)3 设备IOS升级方法 (17)3.1 前期准备 (18)3.1.1 软件的获取 (18)3.1.2 制定升级计划 (18)3.1.3 设置FTP服务器 (18)3.1.4 数据备份 (19)3.1.5 注意事项 (20)3.2 升级操作 (20)3.2.1 升级IOS或装载补丁 (20)3.3 应急保障措施 (21)3.3.1 设置防火墙 (21)3.3.2 PC设置(TFTP服务器设置) (21)3.3.3 上传旧的软件 (22)3.3.4 重启路由器 (22)3.3.5 恢复配置 (22)4 特定的安全配置 (22)4.1 其他特定的安全配置 (22)4.1.1 禁止未使用或空闲的端口 (22)4.1.2 banner的设置要求 (23)4.1.3 源地址路由限制 (23)第一部分概述和介绍1概述本文档对中国移动网络思科防火墙-pix安全配置标准进行描述,规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分,在规范中针对设备的六大安全规范主题进行描述,除了提供详细的安全配置标准外,同时考虑设备型号和适用网络层次的不同,并对实际配置过程中应注意的问题进行详细描述。
中国移动安氏防火墙安全系统配置要求规范V1.0
中国移动安氏防火墙安全配置规范S p e c i f i c a t i o n f o r C o n f i g u r a t i o no f F i r e w a l l U s e d i n C h i n a M o b i l e版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1.围 (1)2.规性引用文件 (1)3.术语、定义和缩略语 (1)4.防火墙功能和配置要求 (1)4.1.引用说明 (1)4.2.日志配置要求 (3)4.3.告警配置要求 (3)4.4.安全策略配置要求 (3)4.5.攻击防护配置要求 (4)4.6.虚拟防火墙配置要求 (4)4.7.设备其他安全要求 (5)5.编制历史 (5)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
组织部分省公司编制了中国移动设备安全功能和配置系列规。
本系列规可作为编制设备技术规、设备入网测试规,工程验收手册,局数据模板等文档的依据。
本规是该系列规之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规的编制基础。
本标准明确了安氏防火墙的配置要求。
本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。
本标准起草单位:中国移动通信网络部、中国移动通信集团、本标准主要起草人:瑾、强、来晓阳、周智、一生、敏时。
1.围本标准规定了安氏防火墙的配置要求,供部和厂商共同使用;适用于通信网、业务系统和支撑系统的防火墙。
2.规性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
中国移动设备通用安全功能和配置规范
中国移动设备通用安全功能和配置规范S p e c i f i c a t i o n f o r G e n e r a lS e c u r i t y F u n c t i o n a n dC o n f i g u r a t i o n o fD e v i c e s U s e d版本号:2.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1. 范围 (1)2. 规范性引用文件 (1)2.1. 内部引用 (1)2.2. 外部引用 (1)3. 术语、定义和缩略语 (1)4. 设备安全要求框架 (2)4.1. 背景 (2)4.2. 设备安全要求框架说明 (2)4.3. 本框架内各规范的使用原则 (3)4.4. 设备安全要求编号原则 (3)5. 设备通用安全功能和配置要求 (4)5.1. 账号管理及认证授权要求 (4)5.1.1. 账号安全要求 (4)5.1.2. 口令安全要求 (5)5.1.3. 授权安全要求 (6)5.2. 日志安全要求 (6)5.2.1. 功能要求: (6)5.2.2. 配置要求: (7)5.3. IP协议安全要求 (7)5.3.1. 功能要求: (7)5.3.2. 配置要求: (8)5.4. 设备其他安全要求 (8)5.4.1. 功能要求: (8)5.4.2. 配置要求: (8)6. 编制历史 (8)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面,提出了28项基本安全功能要求和19项基本安全配置要求。
内部网络防火墙配置规范
内部网络防火墙配置规范1. 概述2. 配置基本原则2.1 最小权限原则内部网络防火墙的配置应以最小权限原则为基础,即仅允许必要的网络流量通过,并阻止所有未经授权的请求。
2.2 分层防御原则内部网络防火墙应根据不同的安全需求划分多个安全区域,每个安全区域都有相应的安全策略和访问控制规则。
还可以将内部网络划分为内外两个区域,以增强网络的安全性。
2.3 定期审查和更新3. 防火墙配置规范3.1 防火墙规则管理所有的防火墙规则必须有明确的目的和描述,并经过审批后才能添加或修改。
防火墙规则的优先级应根据具体需求进行适当的设置,以确保流量的正确处理顺序。
禁止使用过于宽松的默认规则,应该为每个安全区域设置特定的规则。
3.2 访问控制策略内部网络防火墙应实施严格的访问控制策略,允许仅必要的服务和端口通过。
禁止使用不必要的服务和端口。
根据安全需求,可以设置双向通信或单向通信的访问控制策略。
3.3 内外网通信控制内网向外网的通信必须经过许可,可以根据需求设置不同的出站规则,禁止内部网络未经授权向外部发送数据。
外网向内网的通信必须经过严格的审查和授权,可以设置具体的入站规则,保护内部网络的安全。
3.4 审计和日志记录内部防火墙应开启审计和日志记录功能,记录所有的网络流量和事件。
日志应包括源IP地质、目的IP地质、应用程序、动作等信息。
日志记录应定期审查,快速发现潜在的安全威胁,并采取相应的应对措施。
4. 配置管理和维护为了确保内部网络防火墙的可靠性和安全性,应对其进行适当的配置管理和维护。
4.1 配置备份与恢复定期对内部网络防火墙的配置进行备份,并将备份文件存放在安全的地方。
备份频率根据具体要求进行设置。
在发生配置错误或设备故障时,能够快速恢复到可用状态。
4.2 定期安全审计对内部网络防火墙的配置进行定期安全审计,检查是否存在配置错误、漏洞和异常活动。
安全审计应由专业的安全团队进行,并及时修复和处理审计结果中的问题。
中国移动设备通用安全功能和配置规范V
目录2.规范性引用文件.........................................................................................................................2.1.内部引用.........................................................................................................................2.2.外部引用.........................................................................................................................3.术语、定义和缩略语.................................................................................................................4.设备安全要求框架.....................................................................................................................4.1.背景.................................................................................................................................4.2.设备安全要求框架说明.................................................................................................4.3.本框架内各规范的使用原则.........................................................................................4.4.设备安全要求编号原则.................................................................................................5.设备通用安全功能和配置要求.................................................................................................5.1.账号管理及认证授权要求.............................................................................................账号安全要求.....................................................................................................口令安全要求.....................................................................................................授权安全要求.....................................................................................................5.2.日志安全要求.................................................................................................................功能要求:.........................................................................................................配置要求:.........................................................................................................5.3.IP协议安全要求 ............................................................................................................功能要求:.........................................................................................................配置要求:.........................................................................................................5.4.设备其他安全要求.........................................................................................................功能要求:.........................................................................................................配置要求:.........................................................................................................6.编制历史.....................................................................................................................................前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
《防火墙配置规范》课件
防火墙的安全策略配置规范
安全区域划分
根据网络环境,合理划分 安全区域,并设置相应的 访问控制策略。
流量管理策略
对网络流量进行合理管控 ,限制恶意流量和异常行 为,保障网络正常运行。
漏洞与补丁管理
定期检测和修复防火墙漏 洞,及时更新补丁,提高 设备安全性。
03
防火墙的部署与实施
防火墙的部署方式
路由模式
《防火墙配置规范》PPT 课件
• 防火墙概述 • 防火墙配置规范 • 防火墙的部署与实施 • 防火墙的维护与管理 • 防火墙配置规范的应用与发展
01
防火墙概述
防火墙的定义
防火墙是指一种将内部网和公众访问网 (如Internet)分开的方法,它实际上 是一种建立在现代通信网络技术和信息 安全技术基础上的应用性安全技术,隔
。
02
防火墙配置规范
防火墙的硬件配置规范
防火墙设备型号选择
防火墙物理环境要求
根据企业规模、网络架构和安全需求 ,选择合适的防火墙设备型号,确保 具备足够的处理能力和端口密度。
提供适宜的温湿度环境,确保设备散 热良好,同时具备防尘、防潮、防雷 等防护措施。
防火墙冗余设计
为保证网络的高可用性,应采用冗余 设计,包括电源冗余、风扇冗余和模 块冗余等。
02
制定防火墙应急响应计划,明确应急响应流程和责任人,确保
在紧急情况下能够快速响应和处理。
故障恢复与备份
03
对防火墙进行定期备份,以便在出现故障时能够快速恢复,减
少对业务的影响。
05
防火墙配置规范的应用与发展
防火墙配置规范在企业中的应用
保护企业网络安全
通过制定和实施防火墙配置规范,企业可以有效防止外部攻击和 内部数据泄露,保护核心业务和客户数据的安全。
IBM—中国移动Checkpoint防火墙安全配置手册V0.1
密级:文档编号:项目代号:中国移动Checkpoint防火墙安全配置手册Version *.*中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录1 综述 (5)2 Checkpoint的几种典型配置 (6)2.1 checkpoint 初始化配置过程: (6)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (18)3 Checkpoint防火墙自身加固 (34)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。
同时也提供了Checkpoint防火墙自身的安全加固建议,防止针对防火墙的直接攻击。
通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
2Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程:在安装完Checkpoint软件之后,需要在命令行使用cpconfig命令来完成Checkpoint的配置。
如下图所示,SSH连接到防火墙,在命令行中输入以下命令:IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...(显示Checkpoint License版权信息,敲回车继续,敲q可直接跳过该License提示信息)Do you accept all the terms of this license agreement (y/n) ?y(输入y同意该版权声明)Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式,Firewall-1/VPN-1主要包括三个模块:GUI:用户看到的图形化界面,用于配置安全策略,上面并不存储任何防火墙安全策略和对象,安装于一台PC机上;Management:存储为防火墙定义的各种安全策略和对象;Enforcement Module:起过滤数据包作用的过滤模块,它只与Managerment通信,其上的安全策略由管理模块下载;以上三个选项中如果Management与Enforcement Module安装于同一台设备上,则选择(1),如果Management与Enforcement Module分别安装于不同的设备上,则选择(2)或(3)。
中国移动设备通用安全系统功能和配置要求规范V2.0.0
中国移动设备通用安全功能和配置规范S p e c i f i c a t i o n f o r G e n e r a lS e c u r i t y F u n c t i o n a n dC o n f i g u r a t i o n o fD e v i c e s U s e d版本号:2.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1. 范围 (1)2. 规范性引用文件 (1)2.1. 内部引用 (1)2.2. 外部引用 (1)3. 术语、定义和缩略语 (1)4. 设备安全要求框架 (2)4.1. 背景 (2)4.2. 设备安全要求框架说明 (2)4.3. 本框架内各规范的使用原则 (3)4.4. 设备安全要求编号原则 (3)5. 设备通用安全功能和配置要求 (4)5.1. 账号管理及认证授权要求 (4)5.1.1. 账号安全要求 (4)5.1.2. 口令安全要求 (5)5.1.3. 授权安全要求 (6)5.2. 日志安全要求 (6)5.2.1. 功能要求: (6)5.2.2. 配置要求: (7)5.3. IP协议安全要求 (7)5.3.1. 功能要求: (7)5.3.2. 配置要求: (8)5.4. 设备其他安全要求 (8)5.4.1. 功能要求: (8)5.4.2. 配置要求: (8)6. 编制历史 (8)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面,提出了28项基本安全功能要求和19项基本安全配置要求。
中国移动Checkpoint防火墙安全配置手册V0.1.doc
密级:文档编号:项目代号:中国移动Checkpoint防火墙安全配置手册Version *.*中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:Firewall 版本控制分发控制目录1 综述 (5)2 Checkpoint的几种典型配置 (6)2.1 checkpoint 初始化配置过程: (6)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (18)3 Checkpoint防火墙自身加固 (34)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。
同时也提供了Checkpoint防火墙自身的安全加固建议,防止针对防火墙的直接攻击。
通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
2Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程:在安装完Checkpoint软件之后,需要在命令行使用cpconfig命令来完成Checkpoint的配置。
如下图所示,SSH连接到防火墙,在命令行中输入以下命令:IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...(显示Checkpoint License版权信息,敲回车继续,敲q可直接跳过该License提示信息)Do you accept all the terms of this license agreement (y/n) ?y(输入y同意该版权声明)Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式,Firewall-1/VPN-1主要包括三个模块:GUI:用户看到的图形化界面,用于配置安全策略,上面并不存储任何防火墙安全策略和对象,安装于一台PC机上;Management:存储为防火墙定义的各种安全策略和对象;Enforcement Module:起过滤数据包作用的过滤模块,它只与Managerment通信,其上的安全策略由管理模块下载;以上三个选项中如果Management与Enforcement Module安装于同一台设备上,则选择(1),如果Management与Enforcement Module分别安装于不同的设备上,则选择(2)或(3)。
中国移动操作系统安全功能规范v2.0
中国移动操作系统安全功能规范S p e c i f i c a t i o n f o r O p e r a t i o n S y s t e mF u n c t i o n U s e d i n C h i n a M o b i l e版本号:2.0.0X X X X-X X-X X发布X X X X-X X-X X实施中国移动通信有限公司网络部目录1概述 (1)1.1适用围 (1)1.2部适用性说明 (1)外部引用说明 (2)1.3术语和定义 (2)1.4符号和缩略语 (2)2设备安全要求框架 (3)2.1账号管理、认证授权要求 (3)2.1.1账号 (3)2.1.2口令 (4)2.1.3授权 (4)2.2日志功能要求 (4)2.3IP协议安全功能要求 (5)2.3.1IP协议安全功能要求 (5)2.4操作系统其他安全功能要求 (5)3编制历史 (6)4编制人联系方式 (6)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
组织部分省公司编制了中国移动设备安全功能和配置系列规。
本系列规可作为编制设备技术规、设备入网测试规,工程验收手册,局数据模板等文档的依据。
本规是该系列规之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规的编制基础。
本标准起草单位:中国移动通信网络部、中国移动通信集团公司。
本标准解释单位:同提出单位。
本标准主要起草人:来晓阳、董锋、敏时、周智、一生。
1概述1.1适用围本规适用于中国移动通信网、业务系统和支撑系统的各类运行通用或专用操作系统的设备。
本规明确了操作系统在安全功能方面的基本要求。
本规可作为编制相关设备入网测试规等文档的参考。
1.2部适用性说明本本规是在《中国移动设备通用设备安全功能和配置规》(以下简称《通用规》)各项设备功能要求的基础上,提出的操作系统安全功能要求。
防火墙配置规范
2.地址转换方式
防火墙映射地址建议采用DIP的转换方式而非MIP的 转换方式。
防火墙地址转换
2.地址转换方式
防火墙地址转换采用一一对应的方式,区域一的同一IP地址映 射到另一区域时的映射地址保持不变,例如Trust域的地址A经过防 火墙映射到Untrust域为A1, Untrust 域的B经过防火墙映射到 Trust域为B1 A访问B时: 在防火墙Trust域A访问B1,经过防火墙映射后在Untrust域 变为A1访问B; B同时需要访问A时: 在防火墙Untrust域B访问A1,经过防火墙映射后在Untrust 域为B1访问A,此时的A1和B1需与A访问B时防火墙转换的A1 和B1地址相同
2. 规则尽量简单清晰
规则力求简单清晰,在满足业务需求的情况下,规 则尽量简单,避免出现策略互相重叠、包容甚至冲突的情 况,同时可以通过增加注释、使用策略组等方式增加清晰 度;
3. 策略次序安排
按照业务的重要性,策略由前往后。
防火墙地址转换
1.地址转换
通过防火墙进行不同安全区域的隔离,数据在经过 防火墙后必须进行地址转换。
外联区网络部署规范
谢谢!
防火墙地址转换
2.地址转换方式
防火墙本身安全
1. 拒绝非安全域访问
不允许非安全域主机访问防火墙
2. 设置授信地址
允许哪些位于安全域的主机来访问防火墙,对防火 墙进行操作
外联区网络部署规范
1. 外联第三方 2. 外联交换机及路由器配置思路 3. 外联防火墙配置 4. DMZ交换机 5. 内联防火墙 6. 生产/管理接入 7. 测试接入
防火墙端口使用
1. 主备防火墙连接端口
防火墙在主备模式时,互联端口使用最后一个可用端 口;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动安氏防火墙安全配置规范S p e c i f i c a t i o n f o r C o n f i g u r a t i o no f F i r e w a l l U s e d i n C h i n a M o b i l e版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4.防火墙功能和配置要求 (1)4.1.引用说明 (1)4.2.日志配置要求 (3)4.3.告警配置要求 (3)4.4.安全策略配置要求 (3)4.5.攻击防护配置要求 (4)4.6.虚拟防火墙配置要求 (4)4.7.设备其他安全要求 (5)5.编制历史 (5)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准明确了安氏防火墙的配置要求。
本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。
本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司本标准主要起草人:张瑾、赵强、来晓阳、周智、曹一生、陈敏时。
1.范围本标准规定了安氏防火墙的配置要求,供内部和厂商共同使用;适用于通信网、业务系统和支撑系统的防火墙。
2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
表2-1[1] QB-╳╳-╳╳╳-╳╳╳╳《╳╳通用安全功能和配置规范》╳╳[2] QB-╳╳-╳╳╳-╳╳╳╳《╳╳系统安全功能规范》╳╳[3] QB-╳╳-╳╳╳-╳╳╳╳《╳╳安全功能规范》╳╳公司[4] 《中国移动防火墙配置规范》3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准:表3-1词语解释Firewall 防火墙4.防火墙功能和配置要求4.1.配置要求及引用说明本要求主要采用引用《中国移动设备通用安全功能和配置规范》及《中国移动防火墙配置规范》基本要求,和根据安氏防火墙所特有配置特性综合后形成,具体配置规范见下表。
编号内容采纳意见备注安全要求-设备-防火墙-配置-1不同等级管理员分配不同账号,完全采纳避免账号混用。
安全要求-设备-防火墙-配置-2应删除或锁定与设备运行、维护完全采纳等工作无关的账号。
安全要求-设备-防火墙-配置-3防火墙管理员账号口令长度至完全采纳支持部分功能少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
不采纳设备不支持安全要求-设备-防火墙-配置-4账户口令的生存期不长于90天。
不采纳设备不支持安全要求-设备-防火墙-配置-5应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
不采纳设备不支持安全要求-设备-防火墙-配置-6应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
完全采纳安全要求-设备-防火墙-配置-7在设备权限配置能力内,根据用户的管理等级,配置其所需的最小管理权限。
安全要求-设备-防火墙-配置-8 对于具备字符交互界面及图形完全采纳界面(含WEB界面)的设备,应配置定时账户自动登出。
安全要求-设备-防火墙-配置-9 对于具备console口的设备,不采纳设备不支持应配置console口密码保护功能。
完全采纳安全要求-设备-防火墙-配置-10 对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH或者WEB SSL,如果只允许从防火墙内部进行管理,应该限定管理IP完全采纳安全要求-设备-防火墙-配置-11 在进行重大配置修改前,必须对当前配置进行备份。
安全要求-设备-防火墙-配置-12 设备应配置日志功能,记录对与完全采纳防火墙设备自身相关的安全事件。
完全采纳安全要求-设备-防火墙-配置-13 设备应配置NAT日志记录功能,记录转换前后IP地址的对应关系。
防火墙如果开启vpn功能,应配置记录vpn日志记录功能,记录vpn访问登陆、退出等信息。
安全要求-设备-防火墙-配置-14 设备应配置流量日志记录功能,完全采纳记录防火墙拒绝,丢弃和接受的报文安全要求-设备-防火墙-配置-15 在防火墙设备的日志容量达到不采纳设备不支持75%时,防火墙可产生告警。
并且有专门的程序将日志导出到专门的日志服务器。
安全要求-设备-防火墙-配置-16 防火墙管理员的操作必须被记完全采纳录日志,如登录信息,修改为管理员组操作。
帐号解锁等信息完全采纳安全要求-设备-防火墙-配置-17设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
完全采纳安全要求-设备-防火墙-配置-18 设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
建议将Warning级别(4级)以上日志传送到志服务器和统一的安全管理平台处理。
完全采纳安全要求-设备-防火墙-配置-19 设备应具备向管理员告警的功能,配置告警功能,报告对防火墙本身的攻击或者防火墙的系统严重错误。
部分采纳安全要求-设备-防火墙-配置-20告警信息应被保留,直到被确认为止.安全要求-设备-防火墙-配置-21 设备应配置告警功能,报告网络完全采纳流量中对TCP/IP应用层协议异常进行攻击的相关告警,对每一个告警项是否告警可由用户配置。
安全要求-设备-防火墙-配置-22 可打开DOS和DDOS攻击防护功能。
对攻击告警。
DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。
维护人员可通过设置白名单方式屏蔽部分告警。
完全采纳,可参考安全要求-设备-防火墙-配置-44安全要求-设备-防火墙-配置-23 可打开扫描攻击检测功能。
对扫描探测告警。
扫描攻击告警的参数可由维护人员根据网络环境进行调整。
维护人员可通过设置白名单方式屏蔽部分网络扫描告警。
完全采纳,可参考安全要求-设备-防火墙-配置-43安全要求-设备-防火墙-配置-24 如防火墙具备关键字内容过滤功能,可打开该功能,在HTTP,SMTP,POP3等协议中对用户设定的关键字进行过滤。
不予采纳,此功能在安氏的UTM设备中予以提供安全要求-设备-防火墙-配置-25 如防火墙具备网络病毒防护功能。
可打开病毒防护,对蠕虫等病毒传播时的攻击流量进行过滤。
如不具备相关模块,需要在安全策略配置中首先关注对常见病毒流量的端口的封堵完全采纳,可参考安全要求-设备-防火墙-配置-41完全采纳安全要求-设备-防火墙-配置-26 对于防火墙的一些关键操作事件、配置更改、严重告警事件等,建议通过邮件等方式通知系统管理员完全采纳安全要求-设备-防火墙-配置-27 防火墙应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
完全采纳安全要求-设备-防火墙-配置-28 所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。
安全要求-设备-防火墙-配置-29 在配置访问规则时,源地址和目完全采纳的地址的范围必须以实际访问需求为前提,尽可能的缩小范围。
完全采纳安全要求-设备-防火墙-配置-30 对于访问规则的排列,应当遵从范围由小到大的排列规则。
应根据实际网络流量,保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。
完全采纳安全要求-设备-防火墙-配置-31 在进行重大配置修改前,必须对当前配置进行备份。
完全采纳安全要求-设备-防火墙-配置-32 对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
完全采纳安全要求-设备-防火墙-配置-33 访问规则必须按照一定的规则进行分组。
完全采纳安全要求-设备-防火墙-配置-34 配置NAT,对公网隐藏局域网主机的实际地址。
完全采纳安全要求-设备-防火墙-配置-35 隐藏防火墙字符管理界面的bannner信息完全采纳安全要求-设备-防火墙-配置-36 应用代理服务器,将从内网到外网的访问流量通过代理服务器。
防火墙只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从内网的主机直接到外网的访问规则。
完全采纳安全要求-设备-防火墙-配置-37 防火墙设备必须关闭非必要服务。
完全采纳安全要求-设备-防火墙-配置-38 防火墙的系统和软件版本必须处于厂家维护期,并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。
如防火墙系统厂家已不再维护,需要及时更新版本或者撤换。
完全采纳安全要求-设备-防火墙-配置-39 防火墙设备必须首先确保承载防火墙系统的底层操作系统安全。
完全采纳安全要求-设备-防火墙-配置-40 防火墙策略配置时尽量不允许使用any to any,对于从防火墙内部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理完全采纳安全要求-设备-防火墙-配置-41 对于常见病毒及系统漏洞对应端口,应当进行端口的关闭配置。
安全要求-设备-防火墙-配置-42 采用安氏防火墙自带的完全采纳smartpro入侵检测模块对应用层攻击进行防护完全采纳安全要求-设备-防火墙-配置-43 建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描攻击行为进行检测安全要求-设备-防火墙-配置-44 打开防DDOS攻击功能。
完全采纳完全采纳安全要求-设备-防火墙-配置-45 限制ping包的大小,以及一段时间内同一主机发送的次数。
安全要求-设备-防火墙-配置-46 启用对带选项的IP包及畸形IP完全采纳包的检测完全采纳安全要求-设备-防火墙-配置-47 对于防火墙各逻辑接口需要开启防源地址欺骗功能。
不采纳设备不支持安全要求-设备-防火墙-配置-48 对于有固定模式串的攻击,在应急时可开启基于正则表达式的模式匹配的功能。
完全采纳安全要求-设备-防火墙-配置-49 回环地址(lookback address)一般用于本机的IPC通讯,防火墙必须阻断含有回环地址(lookback address)的流量。
安全要求-设备-防火墙-配置-50 防火墙异构部署要求。
在防火墙完全采纳策略设置上,外层(如DMZ区外侧)防火墙侧重实施粗粒度访问控制;内层防火墙(如DMZ区内侧)侧重针对特定系统施细粒度访问控制,并且应增强防火墙相关日志审计及入侵检测功能设置。