H3C防火墙安全配置基线_计算机-网络信息安全.pdf

《H3C防火墙安全配置基线_计算机-网络信息安全.pdf》由会员分享，可在线阅读，更多相关《H3C防火墙安全配置基线_计算机-网络信息安全.pdf（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-.可修编.H3C 防火墙平安配置基线 版本 版本控制信息 更新日期 更新人 审批人 V2.0 创立 2012 年 4 月 -.可修编.备注：1.假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。目 录 第 1 章概述 1 1.1 目的 1 1.2 适用围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第 2 章管理、认证授权平安要求 2 2.1 管理 2 2.1.1用户分配*2 2.1.2删除无关的*3 2.1.3登录超时*3 2.1.4密码错误自动锁定*4 2.2 口令 5 2.2.1口令复杂度要求 5 2.3 授权 6 2.3.1远程维护的设备

2、使用加密协议 6 第 3 章日志及配置平安要求 7 3.1 日志平安 7 3.1.1记录用户对设备的操作 7 3.1.2开启记录 NAT 日志*7 3.1.3开启记录 VPN 日志*8 3.1.4配置记录拒绝和丢弃报文规那么的日志 9 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表

3、最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.3.2 告警配置要求 9 3.2.1配置对防火墙本身的攻击或部错误告警 9 3.2.2配置 TCP/IP 协议网络层异常报文攻击告警 10 3.2.3配置 DOS 和 DDOS 攻击告警 11 3.2.4配置关键字容过滤功能告警*12 3.3 平安策略配置要求 13 3.3.1访问规那么列表最后一条必须是拒绝一切流量 13 3.3.2配置访

4、问规那么应尽可能缩小围 14 3.3.3VPN用户按照访问权限进展分组*14 3.3.4配置 NAT 地址转换*15 3.3.5隐藏防火墙字符管理界面的 bannner信息 16 3.3.6防止从网主机直接访问外网的规那么*17 3.3.7关闭非必要效劳 17 3.4 攻击防护配置要求 18 3.4.1拒绝常见漏洞所对应端口或者效劳的访问 18 3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能 19 第 4 章 IP 协议平安要求 20 4.1 功能配置 20 4.1.1使用 SNMP V2c 或者 V3 以上的版本对防火墙远程管理 20 第 5 章其他平安要求 21 5.1 其他平安配置

5、21 5.1.1外网口地址关闭对 ping包的回应*21 5.1.2对防火墙的管理地址做源地址限制 22 第 6 章评审与修订 22 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应

6、端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.第 1章 概述 1.1 目的 本文档旨在指导系统管理人员进展 H3C 防火墙的平安配置。1.2 适用围 本配置标准的使用者包括：网络管理员、网络平安管理员、网络监控人员。1.3 适用版本 H3C 防火墙。1.4 实施 1.5 例外条款 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么

7、的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.第 2章 管理、认证授权平安要求 2.1 管理 2.1.1 用户分配*平安基线工程名称 用户分配平安基线要求项 平安基线编号 SBL-H3C-02-01-01 平安基线项说明 不同等级管

8、理员分配不同，防止混用。检测操作步骤 1.参考配置操作#local-user user1 password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3 service-type telnet#local-user user2 password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 2 service-type telnet#2.补充操作说明 无。基线符合性判定依据 1.判定条件 用配置中没有的用户名去登录，结果是不能登录。2.检测操作 displ

9、ay current-configuration#local-user user1 password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3 service-type telnet 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策

10、略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.#local-user user2 password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level2 service-type telnet#3.补充说明 无。备注 有些防火墙系统本身就携带三种不同权限的，需要手工检查。2.1.2 删除无关的*平安基

11、线工程名称 无关的平安基线要求项 平安基线编号 SBL-H3C-02-01-02 平安基线项说明 应删除或锁定与设备运行、维护等工作无关的。检测操作步骤 1.参考配置操作 H3C undo local-user user1 2.补充操作说明 无 基线符合性判定依据 1.判定条件 配置中用户信息被删除。2.检测操作 display current-configuration 3.补充说明 无。备注 建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3 登录超时*平安基线工程名称 登录超时平安基线要求项 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例

12、外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.平安基线编号 SBL-H3C-02-01-03 平安基线

13、项说明 配置定时自动登出，空闲 5 分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤 1、参考配置操作 设置超时时间为 5 分钟 2、补充说明 无。基线符合性判定依据 1.判定条件 在超出设定时间后，用户自动登出设备。2.参考检测操作 3.补充说明 无。备注 需要手工检查。2.1.4 密码错误自动锁定*平安基线工程名称 密码错误自动锁定平安基线要求项 平安基线编号 SBL-H3C-02-01-04 平安基线项说明 在 10 次尝试登录失败后锁定，不允许登录。解锁时间设置为 300 秒 检测操作步骤 1、参考配置操作 设置尝试失败锁定次数为 10 次 2、补充说明 无。基线符合性判定

14、依据 1.判定条件 超出重试次数后锁定，不允许登录，解锁时间到达后可以登录。立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能

15、第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.2.参考检测操作 3.补充说明 无。备注 注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令 2.2.1 口令复杂度要求 平安基线工程名称 口令复杂度要求平安基线要求项 平安基线编号 SBL-H3C-02-02-01 平安基线项说明 防火墙管理员口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次 以不得设置一样的口令。密码应至少每 90 天 进展更换。检测操作步骤 1.参考配置操作 H3Clocal-user admin

16、 H3C-luser-huaweiservice-type telnet level 3 H3C-luser-huaweipassword cipher Aq1!Sw2 2.补充操作说明 无 基线符合性判定依据 1.判定条件 该级别的密码设置由管理员进展密码的生成，设备本身无此强制功能。2.检测操作 此项无法通过配置实现，建议通过管理实现。3.补充说明 无。备注 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配

17、置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.2.3 授权 2.3.1 远程维护的设备使用加密协议 平安基线工程名称 远程维护使用加密协议平安基线要求项 平安基线编号 SBL-H3C-02-03-01 平安基线项说明 对于防火墙远程管理的配置，必须是基于加密

18、的协议。如 SSH 或者 WEBSSL，如果只允许从防火墙部进展管理，应该限定管理 IP。检测操作步骤 1.参考配置操作 登陆设备 web 配置页面，在“设备管理-“效劳管理下选择 ssh、s方式登陆设备。配置针对 SSH 登陆用户 IP 地址的限定：#acl number 3000 rule 0 permit ip source ip addresswildcard#user-interface vty 0 4 acl 3000 inbound protocol inbound ssh#2.补充操作说明 无 基线符合性判定依据 1.判定条件 查看防火墙是否启用了 ssh、s 效劳；针对 SS

19、H 登陆用户进展 IP 地址限立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防

20、火墙远程管理第章其平安要求其平安配置外网-.可修编.定。2.检测操作 通过 ssh、s 方式登陆设备进展检测。3.补充说明 无。备注 第 3章 日志及配置平安要求 3.1 日志平安 3.1.1 记录用户对设备的操作 平安基线工程名称 用户对设备记录平安基线要求项 平安基线编号 SBL-H3C-03-01-01 平安基线项说明 配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的平安管控系统。检测操作步骤 1参考配置操作 H3C info-center enable 2补充操作说明 设备默认开启日志功能，记录在设备

21、的 logbuffer 中。基线符合性判定依据 1.判定条件 检查配置中的 logbuffer 相关配置。2.检测操作 display logbuffer 备注 3.1.2 开启记录 NAT 日志*平安基线工开启记录 NAT 日志平安基线要求项 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问

22、规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.程名称 平安基线编号 SBL-H3C-03-01-02 平安基线项说明 开启记录 NAT 日志，记录转换前后 IP 地址的对应关系。检测操作步骤 1参考配置操作 H3C userlog flow export version 3 H3C userlog flow export host log server ip addressl

23、og server port 2补充操作说明 防火墙自身不记录 NAT 日志信息，需要配置专门的日志效劳器，防火墙将NAT 日志信息发送到专门的日志效劳器。基线符合性判定依据 1.判定条件 检查配置中的 NAT 日志相关配置；2.检测操作 display userlog export 备注 根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。3.1.3 开启记录 VPN 日志*平安基线工程名称 开启记录 VPN 日志平安基线要求项 平安基线编号 SBL-H3C-03-01-03 平安基线项说明 开启记录 VPN 日志，记录 VPN 访问登陆、退出等信息。检测操作步骤 1参考配置操作

24、H3C info-center enable 2补充操作说明 设备默认会记录 VPN 日志，不需要额外配置。基线符合性判定依据 1.判定条件 检查配置中的日志相关配置 2.检测操作 display logbuffer display trapbuffer 备注 根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网

25、络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.3.1.4 配置记录拒绝和丢弃报文规那么的日志 平安基线工程名称 配置记录拒绝和丢弃报文规那么的日志平安基线要求项 平安基线编号 SBL-H3C-03-01-04 平安基线项说明 配置防火墙规那么，记录防火墙拒绝和丢弃报文的日志。检测操作步骤 1参考配置

26、操作 设备默认记录，不需要额外配置；2补充操作说明 无 基线符合性判定依据 使用 display trapbuffer 检查 备注 3.2 告警配置要求 3.2.1 配置对防火墙本身的攻击或部错误告警 平安基线工程名称 配置对防火墙本身的攻击或部错误告警平安基线要求项 平安基线编号 SBL-H3C-03-02-01 平安基线项说明 配置告警功能，报告对防火墙本身的攻击或者防火墙的系统部错误。检测操作步骤 1参考配置操作 无需配置，设备默认开启；2补充操作说明 基线符合性判定依据 1.判定条件 通过查看设备的 trapbuffer 信息；2.检测操作 display trapbuffer 备注

27、立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平

28、安配置外网-.可修编.3.2.2 配置 TCP/IP 协议网络层异常报文攻击告警 平安基线工程名称 配置 TCP/IP 协议网络层异常报文攻击告警平安基线要求项 平安基线编号 SBL-H3C-03-02-02 平安基线项说明 配置告警功能，报告网络流量中对 TCP/IP 协议网络层异常报文攻击的相关告警。检测操作步骤 1参考配置操作 登陆防火墙 web 配置页面，在“攻击防-“报文异常检测选择所需的针对异常攻击报文的检测。2补充操作说明 无 基线符合性判定依据 1.判定条件 检查防火墙攻击防配置；2.检测操作 登陆防火墙 web 页面，在“攻击防-“入侵检测统计中查看攻击防的效果；立人填写版本

29、控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-

30、.可修编.备注 3.2.3 配置 DOS 和 DDOS 攻击告警 平安基线工程名称 配置 DOS 和 DDOS 攻击防护功能平安基线要求项 平安基线编号 SBL-H3C-03-02-03 平安基线项说明 配置 DOS 和 DDOS 攻击防护功能。对 DOS 和 DDOS 攻击告警。维护人员应根据网络环境调整 DDOS 的攻击告警的参数。检测操作步骤 1 参考配置操作 登陆防火墙 web 配置页面，在“攻击防-“流量异常检测中，选择需要防的攻击类型。2补充操作说明 基线符合性判定依据 1.判定条件 检查防火墙攻击防配置；立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施

31、例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.2.检测操作 登陆防火墙 web 页面，在“攻击防-“

32、入侵检测统计中查看攻击防的效果；备注 3.2.4 配置关键字容过滤功能告警*平安基线工程名称 配置关键字容过滤功能告警平安基线要求项 平安基线编号 SBL-H3C-03-02-04 平安基线项说明 配置关键字容过滤功能，在，SMTP，POP3 等应用协议流量过滤包含有设定的关键字的报文。针对关键字过滤是应用层过滤机制，对系统性能有一定影响。针对 协议容访问的关键字段，包含暴力、淫秽、等类型。可添加容库实现。检测操作步骤 1参考配置操作 登陆防火墙 web 配置页面，在“应用控制-“容过滤，根据需求选择关键字、URL 主机名、文件名等方式进展过滤。2补充操作说明 立人填写版本控制表格否那么删除版

33、本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.基线符合性

34、判定依据 1.判定条件 检查防火墙“应用控制配置；2.检测操作 登陆防火墙 web 页面配置，在“应用控制-“容过滤-“统计信息中查看过滤功能实施效果。备注 根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。3.3 平安策略配置要求 3.3.1 访问规那么列表最后一条必须是拒绝一切流量 平安基线工程名称 访问规那么列表最后一条必须是拒绝一切流量平安基线要求项 平安基线编号 SBL-H3C-03-03-01 平安基线项说明 防火墙在配置访问规那么列表时，最后一条必须是拒绝一切流量。检测操作步骤 1参考配置操作#acl number 3001 rule 0 permit ip dest

35、ination ip addressmask rule 1 deny ip#2补充操作说明 无 基线符合性判定依据 1.判定条件 检查配置中的 ACL 设置 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配

36、置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.2.检测操作 display acl number 3001 备注 3.3.2 配置访问规那么应尽可能缩小围 平安基线工程名称 配置访问规那么应尽可能缩小围平安基线要求项 平安基线编号 SBL-H3C-03-03-02 平安基线项说明 在配置访问规那么时，源地址，目的地址，效劳或端口的围必须以实际访问需求为前提，尽可能的缩小围。制止源到目的全部允许规那么。制止目的地址及效劳全允许规那么，制止全效劳访问规那么。检测操作

37、步骤 1 参考配置操作 登陆防火墙 web 配置页面，在“防火墙-“平安策略-“域间策略中增加访问规那么，需要填写的容是：源域、目的域、源 IP 地址、目的 IP地址、效劳访问的协议和端口、过滤动作 permit or deny、时间段。2补充操作说明 基线符合性判定依据 1.判定条件 检查防火墙“域间策略配置，域间策略详细到协议、端口、具体的 IP 地址；2.检测操作 无；备注 3.3.3 VPN 用户按照访问权限进展分组*平安基线工程名称 VPN 用户按照访问权限进展分组平安基线要求项 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安

38、要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.平安基线编号 SBL-H3C-03-03-03 平安基线项说明 对于 VPN 用户

39、，必须按照其访问权限不同而进展分组，并在访问控制规那么中对该组的访问权限进展严格限制。检测操作步骤 1参考配置操作#local-user vpnuser password cipher password service-type ppp authorization-attribute level 0-3/设定用户的访问权限#domain system/对 VPN 用户采用本地验证 authentication ppp local ip pool 1 ip pool address range#l2tp enable/启用 L2TP 效劳#interface virtual-template 1

40、/配置虚模板 Virtual-Template的相关信息 ip addressipaddress mask ppp authentication-mode chap domain system remote address pool 1#l2tp-group 1/设置一个 L2TP 组，指定接收呼叫的虚拟接口模板 allow l2tp virtual-template 1#2补充操作说明 基线符合性判定依据 1.判定条件 检查配置中用户设置：2.检测操作 使用 display local-user 检查 备注 根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。3.3.4 配置 NA

41、T 地址转换*平安基线工程名称 配置 NAT 地址转换平安基线要求项 平安基线编号 SBL-H3C-03-03-04 平安基线项 配置 NAT 地址转换，对互联网隐藏网主机的实际地址。立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那

42、么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.说明 检测操作步骤 1参考配置操作#acl number 3001 rule 0 permit ip destination 10.4.125.65 0 rule 1 permit ip destination 10.4.125.66 0#interface GigabitEthernet0/0 port link-mode route nat outbound 3001#2补充操作说明 基

43、线符合性判定依据 1.判定条件 配置中有 nat 或者 static 的容 2.检测操作 display nat 备注 根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。3.3.5 隐藏防火墙字符管理界面的 bannner 信息 平安基线工程名称 隐藏防火墙字符管理界面的 bannner 信息平安基线要求项 平安基线编号 SBL-H3C-03-03-05 平安基线项说明 隐藏防火墙字符管理界面的 bannner 信息。检测操作步骤 1参考配置操作 H3C undo copyright-info enable 2补充操作说明 基线符合性判定依据 1.判定条件 登陆设备后，字符管理页面

44、消失；2.检测操作 telnet 登陆到设备，字符管理页面消失；备注 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协

45、议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.3.3.6 防止从网主机直接访问外网的规那么*平安基线工程名称 防止从网主机直接访问外网的规那么平安基线要求项 平安基线编号 SBL-H3C-03-03-06 平安基线项说明 应用代理效劳器，将从网到外网的访问流量通过代理效劳器。防火墙只开启代理效劳器到外部网络的访问规那么，防止在防火墙上配置从网的主机直接到外网的访问规那么。检测操作步骤 1参考配置操作 参考 3.3.2配置，在防火墙上可以配置代理效劳器与外网互访的规那么；2补充操作说明 基线符合性判定依据 1.判定条件 检查防火墙“域间策略，配置了针

46、对代理效劳器到外网的访问规那么；2.检测操作 备注 根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。3.3.7 关闭非必要效劳 平安基线工程名称 关闭非必要效劳平安基线要求项 平安基线编号 SBL-H3C-03-03-07 平安基线项说明 防火墙设备必须关闭非必要效劳。检测操作步骤 1参考配置操作 登陆防火墙 web 配置页面，在“设备管理-“效劳管理中关闭非必要的效劳，比方、telnet、ftp 等。立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程

47、维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.2补充操作说明 基线符合性判定依据 1.判定条件 检查配置中是否关闭对应效劳 2.检测操作 备注 3.4 攻击防护配置要求 3.4.1 拒绝常见漏洞所对应端口

48、或者效劳的访问 平安基线工程名称 拒绝常见漏洞所对应端口或者效劳的访问平安基线要求项 平安基线编号 SBL-H3C-03-04-01 平安基线项说明 配置访问控制规那么，拒绝对防火墙保护的系统中常见漏洞所对应端口或者效劳的访问。检测操作步骤 1参考配置操作#acl number 3001 rule 0 deny tcp destination-port eq 135 rule 1 deny tcp destination-port eq 136 rule 2 deny tcp destination-port eq 138 rule 3 deny tcp destination-port eq

49、 4444 rule 4 deny tcp destination-port eq 389 rule 5 deny tcp destination-port eq 445 rule 6 deny tcp destination-port eq 4899 立人填写版本控制表格否那么删除版本控制表格目录第章概述目的适用围适用版本实施例外条款第章管理认证授权平安要求管理用户分配删除无关的登录超时密码错误自动锁定口令口令复杂度要求授权远程维护的设备使用加密协议 那么的日志可修编告警配置要求配置对防火墙本身的攻击或部错误告警配置协议网络层异常报文攻击告警配置和攻击告警配置关键字容过滤功能告警平安策略配置

50、要求访问规那么列表最后一条必须是拒绝一切流量配置访问规那么应 网的规那么关闭非必要效劳攻击防护配置要求拒绝常见漏洞所对应端口或者效劳的访问防火墙各逻辑接口配置开启防源地址欺骗功能第章协议平安要求功能配置使用或者以上的版本对防火墙远程管理第章其平安要求其平安配置外网-.可修编.rule 7 deny tcp destination-port eq 6588 rule 8 deny tcp destination-port eq 1978 rule 9 deny tcp destination-port eq 593 rule 10 deny tcp destination-port eq 338