H3C防火墙安全配置基线

H3C防火墙安全配置基线版本V2.0创建版本控制信息更新日期2012年4月更新人审批人备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录第 1 章概述 .01.1目的 .01.2适用范围 .01.3适用版本 .01.4实施 .01.5例外条款 .0第 2 章帐号管理、认证授权安全要求. . 12.1帐号管理 .12.1.1用户帐号分配 * .12.1.2删除无关的帐号 * .22.1.3帐户登录超时 * .22.1.4帐户密码错误自动锁定 * .32.2口令 .42.2.1口令复杂度要求 .42.3授权 .52.3.1远程维护的设备使用加密协议.5第 3 章日志及配置安全要求 .63.1日志安全 .63.1.1记录用户对设备的操作 .63.1.2开启记录 NAT日志 * .63.1.3开启记录 VPN日志 * .73.1.4配置记录拒绝和丢弃报文规则的日志 .83.2告警配置要求 .83.2.1配置对防火墙本身的攻击或内部错误告警 .83.2.2配置 TCP/IP 协议网络层异常报文攻击告警 .93.2.3配置 DOS和 DDOS攻击告警 .103.2.4配置关键字内容过滤功能告警 * .113.3安全策略配置要求 .123.3.1访问规则列表最后一条必须是拒绝一切流量 .123.3.2配置访问规则应尽可能缩小范围 .133.3.3VPN用户按照访问权限进行分组 * .133.3.4配置 NAT地址转换 * .143.3.5隐藏防火墙字符管理界面的bannner 信息 .153.3.6避免从内网主机直接访问外网的规则 * .153.3.7关闭非必要服务 .163.4攻击防护配置要求 .173.4.1拒绝常见漏洞所对应端口或者服务的访问 .173.4.2防火墙各逻辑接口配置开启防源地址欺骗功能.18第 4 章IP 协议安全要求. 194.1功能配置 .194.1.1使用 SNMP V2c或者 V3 以上的版本对防火墙远程管理 .19第 5章其他安全要求 .215.1其他安全配置 .215.1.1外网口地址关闭对 ping 包的回应 * .215.1.2对防火墙的管理地址做源地址限制 .21第 6章评审与修订 .23第1章 概述1.1 目的本文档旨在指导系统管理人员进行H3C防火墙的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本H3C防火墙。1.4 实施1.5 例外条款第 2章 帐号管理、认证授权安全要求2.1 帐号管理用户帐号分配 *安全基线项用户帐号分配安全基线要求项目名称安全基线编SBL-H3C-02-01-01号安全基线项不同等级管理员分配不同帐号，避免帐号混用。说明检测操作步1.参考配置操作骤#基线符合性判定依据local-user user1password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3service-type telnet#local-user user2password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 2service-type telnet#2. 补充操作说明无。1. 判定条件用配置中没有的用户名去登录，结果是不能登录。2. 检测操作display current-configuration#local-user user1password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3service-type telnet#local-user user2password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 2service-type telnet#3. 补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。删除无关的帐号*安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注无关的帐号安全基线要求项SBL- H3C-02-01-02应删除或锁定与设备运行、维护等工作无关的帐号。1. 参考配置操作H3C undo local-user user12. 补充操作说明无1. 判定条件配置中用户信息被删除。2. 检测操作 display current-configuration3. 补充说明无。建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。帐户登录超时 *安全基线项帐户登录超时安全基线要求项目名称安全基线编SBL- H3C -02-01-03号安全基线项配置定时帐户自动登出，空闲5 分钟自动登出。登出后用户需再次登录才能说明进入系统。检测操作步骤1、 参考配置操作设置超时时间为5 分钟2、补充说明无。基线符合性1.判定条件判定依据在超出设定时间后，用户自动登出设备。2. 参考检测操作3. 补充说明无。备注需要手工检查。帐户密码错误自动锁定*安全基线项帐户密码错误自动锁定安全基线要求项目名称安全基线编SBL-H3C-02-01-04号安全基线项在 10 次尝试登录失败后锁定帐户，不允许登录。说明解锁时间设置为 300 秒检测操作步1、 参考配置操作骤10 次设置尝试失败锁定次数为2、补充说明无。基线符合性1.判定条件判定依据超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2. 参考检测操作3. 补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令口令复杂度要求安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注口令复杂度要求安全基线要求项SBL- H3C -02-02-01防火墙管理员帐号口令长度至少8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5 次以内不得设置相同的口令。密码应至少每90 天进行更换。1. 参考配置操作H3Clocal-user adminH3C-luser-huaweiservice-type telnet level 3 H3C-luser-huaweipassword cipher Aq1!Sw22. 补充操作说明无1. 判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2. 检测操作此项无法通过配置实现，建议通过管理实现。3. 补充说明无。2.3 授权远程维护的设备使用加密协议安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据远程维护使用加密协议安全基线要求项SBL-H3C-02-03-01对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者 WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP 。1. 参考配置操作登陆设备web 配置页面， 在“设备管理” - “服务管理” 下选择 ssh 、https方式登陆设备。配置针对SSH登陆用户IP 地址的限定：#acl number 3000rule 0 permit ip sourceip addresswildcard#user-interface vty 0 4acl 3000 inboundprotocol inboundssh#2.补充操作说明无1.判定条件查看防火墙是否启用了ssh、 https服务；针对SSH登陆用户进行IP 地址限定。2. 检测操作通过 ssh 、 https方式登陆设备进行检测。3. 补充说明无。备注第 3章 日志及配置安全要求3.1 日志安全记录用户对设备的操作安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据用户对设备记录安全基线要求项SBL-H3C-03-01-01配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。1参考配置操作H3C info-center enable2补充操作说明设备默认开启日志功能，记录在设备的logbuffer中。1. 判定条件检查配置中的logbuffer相关配置。2. 检测操作 display logbuffer备注开启记录NAT日志 *安全基线项开启记录NAT日志安全基线要求项目名称安全基线编SBL-H3C-03-01-02号安全基线项开启记录NAT日志，记录转换前后IP 地址的对应关系。说明检测操作步1参考配置操作骤H3C userlog flow export version 3H3C userlog flow export hostlog server ip address log serverport2补充操作说明防火墙自身不记录 NAT日志信息， 需要配置专门的日志服务器， 防火墙将 NAT日志信息发送到专门的日志服务器。基线符合性1. 判定条件判定依据检查配置中的 NAT日志相关配置；2. 检测操作 display userlog export备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。开启记录VPN日志 *安全基线项开启记录VPN日志安全基线要求项目名称安全基线编SBL-H3C-03-01-03号安全基线项开启记录VPN日志，记录VPN访问登陆、退出等信息。说明检测操作步1参考配置操作骤H3C info-center enable 2补充操作说明设备默认会记录 VPN日志，不需要额外配置。基线符合性1. 判定条件判定依据检查配置中的日志相关配置2. 检测操作 display logbuffer display trapbuffer备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。配置记录拒绝和丢弃报文规则的日志安全基线项配置记录拒绝和丢弃报文规则的日志安全基线要求项目名称安全基线编SBL-H3C-03-01-04号安全基线项配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。说明检测操作步1参考配置操作骤设备默认记录，不需要额外配置；2补充操作说明无基线符合性使用 display trapbuffer检查判定依据备注3.2 告警配置要求配置对防火墙本身的攻击或内部错误告警安全基线项配置对防火墙本身的攻击或内部错误告警安全基线要求项目名称安全基线编SBL-H3C-03-02-01号安全基线项配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。说明检测操作步1参考配置操作骤无需配置，设备默认开启；2补充操作说明基线符合性1. 判定条件判定依据通过查看设备的 trapbuffer信息；2. 检测操作 display trapbuffer备注配置 TCP/IP 协议网络层异常报文攻击告警安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据配置 TCP/IP 协议网络层异常报文攻击告警安全基线要求项SBL-H3C-03-02-02配置告警功能， 报告网络流量中对 TCP/IP 协议网络层异常报文攻击的相关告警。1参考配置操作登陆防火墙web 配置页面，在“攻击防范”-“报文异常检测”选择所需的针对异常攻击报文的检测。2补充操作说明无1. 判定条件检查防火墙攻击防范配置；2. 检测操作登陆防火墙web 页面，在“攻击防范”-“入侵检测统计”中查看攻击防范的效果；备注配置 DOS和 DDOS攻击告警安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据配置 DOS和 DDOS攻击防护功能安全基线要求项SBL-H3C-03-02-03配置 DOS和 DDOS攻击防护功能。对 DOS和 DDOS攻击告警。维护人员应根据网络环境调整 DDOS的攻击告警的参数。1 参考配置操作登陆防火墙web 配置页面，在“攻击防范”-“流量异常检测”中，选择需要防范的攻击类型。2补充操作说明1. 判定条件检查防火墙攻击防范配置；2. 检测操作登陆防火墙web 页面，在“攻击防范”-“入侵检测统计”中查看攻击防范的效果；备注配置关键字内容过滤功能告警*安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据配置关键字内容过滤功能告警安全基线要求项SBL-H3C-03-02-04配置关键字内容过滤功能， 在 HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。针对关键字过滤是应用层过滤机制，对系统性能有一定影响。 针对 HTTP协议内容访问的网站关键字段， 包含暴力、淫秽、 违法等类型。可添加内容库实现。1参考配置操作登陆防火墙web 配置页面，在“应用控制”-“内容过滤” ，根据需求选择关键字、 URL主机名、文件名等方式进行过滤。2补充操作说明1. 判定条件检查防火墙“应用控制”配置；2. 检测操作登陆防火墙web 页面配置，在“应用控制”-“内容过滤” -“统计信息”中查看过滤功能实施效果。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3 安全策略配置要求访问规则列表最后一条必须是拒绝一切流量安全基线项 访问规则列表最后一条必须是拒绝一切流量安全基线要求项目名称安全基线编SBL-H3C-03-03-01号安全基线项防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。说明检测操作步1参考配置操作骤#acl number 3001rule 0 permit ip destinationip address maskrule 1 deny ip#2补充操作说明无基线符合性1.判定条件判定依据ACL 设置检查配置中的2. 检测操作 display acl number 3001备注配置访问规则应尽可能缩小范围安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注配置访问规则应尽可能缩小范围安全基线要求项SBL-H3C-03-03-02在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。1 参考配置操作登陆防火墙web配置页面，在“防火墙”-“安全策略” -“域间策略”中增加访问规则，需要填写的内容是：源域、目的域、源IP 地址、目的IP 地址、服务（访问的协议和端口）、过滤动作（ permitor deny）、时间段。2补充操作说明1. 判定条件检查防火墙 “域间策略” 配置，域间策略详细到协议、端口、具体的 IP 地址；2. 检测操作无；用户按照访问权限进行分组*安全基线项 VPN用户按照访问权限进行分组安全基线要求项目名称安全基线编SBL-H3C-03-03-03号安全基线项对于 VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中说明对该组的访问权限进行严格限制。检测操作步1参考配置操作骤基线符合性判定依据备注#local-uservpnuserpassword cipherpasswordservice-type ppp0-3authorization-attribute level/ 设定用户的访问权限#domain system /对 VPN用户采用本地验证authentication ppp localip pool 1ip pool address range#l2tp enable /启用 L2TP 服务#interfacevirtual-template1 /配置虚模板 Virtual-Template的相关信息ip addressipaddress maskppp authentication-mode chap domain system remote address pool 1#l2tp-group 1 / 设置一个 L2TP 组，指定接收呼叫的虚拟接口模板 allow l2tp virtual-template 1#2补充操作说明1. 判定条件检查配置中用户设置：2. 检测操作使用 display local-user检查根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。配置 NAT地址转换 *安全基线项配置 NAT地址转换安全基线要求项目名称安全基线编SBL-H3C-03-03-04号安全基线项配置 NAT地址转换，对互联网隐藏内网主机的实际地址。说明检测操作步1参考配置操作骤#acl number 3001#interface GigabitEthernet0/0port link-mode routenat outbound 3001#2补充操作说明基线符合性1. 判定条件判定依据配置中有 nat 或者 static的内容2. 检测操作display nat备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。隐藏防火墙字符管理界面的bannner 信息安全基线项隐藏防火墙字符管理界面的bannner 信息安全基线要求项目名称安全基线编SBL-H3C-03-03-05号安全基线项隐藏防火墙字符管理界面的bannner 信息。说明检测操作步1参考配置操作骤H3C undo copyright-info enable 2补充操作说明基线符合性1. 判定条件判定依据登陆设备后，字符管理页面消失；2. 检测操作telnet 登陆到设备，字符管理页面消失；备注避免从内网主机直接访问外网的规则*安全基线项 避免从内网主机直接访问外网的规则安全基线要求项目名称安全基线编SBL-H3C-03-03-06号安全基线项应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开说明启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。检测操作步1参考配置操作骤参考 3.3.2 配置，在防火墙上可以配置代理服务器与外网互访的规则；2补充操作说明基线符合性1. 判定条件判定依据检查防火墙“域间策略” ，配置了针对代理服务器到外网的访问规则；2. 检测操作备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。关闭非必要服务安全基线项关闭非必要服务安全基线要求项目名称安全基线编SBL-H3C-03-03-07号安全基线项防火墙设备必须关闭非必要服务。说明检测操作步1参考配置操作骤登陆防火墙 web 配置页面，在“设备管理” - “服务管理”中关闭非必要的服务，比如 http 、 telnet 、 ftp等。2补充操作说明基线符合性1. 判定条件判定依据检查配置中是否关闭对应服务2. 检测操作备注3.4 攻击防护配置要求拒绝常见漏洞所对应端口或者服务的访问安全基线项目名称安全基线编号安全基线项说明检测操作步骤拒绝常见漏洞所对应端口或者服务的访问安全基线要求项SBL-H3C-03-04-01配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。1参考配置操作#acl number 3001rule 0 deny tcp destination-port eq 135rule 1 deny tcp destination-port eq 136rule 2 deny tcp destination-port eq 138rule 3 deny tcp destination-port eq 4444rule 4 deny tcp destination-port eq 389rule 5 deny tcp destination-port eq 445rule 6 deny tcp destination-port eq 4899rule 7 deny tcp destination-port eq 6588rule 8 deny tcp destination-port eq 1978rule 9 deny tcp destination-port eq 593rule 10 deny tcp destination-port eq 3389rule 11 deny tcp destination-port eq 137rule 12 deny tcp destination-port eq talkrule 13 deny tcp destination-port eq 139rule 14 deny tcp destination-port eq 2745rule 15 deny tcp destination-port eq 1080rule 16 deny tcp destination-port eq 6129rule 17 deny tcp destination-port eq 3127rule 18 deny tcp destination-port eq 3128rule 19 deny tcp destination-port eq 5800rule 20 deny tcp destination-port eq 6667rule 21 deny tcp destination-port eq 1025rule 22 deny tcp destination-port eq 5554rule 23 deny tcp destination-port eq 1068rule 24 deny tcp destination-port eq 9995rule 25 deny tcp destination-port eq 539rule 26 deny udp destination-port eq 539基线符合性判定依据备注rule 27 deny udp destination-port eq 1434rule 28 deny udp destination-port eq 593rule 29 permit ip#2补充操作说明应根据实际情况调整。1. 判定条件检查配置文件2. 检测操作使用命令display acl number 3001防火墙各逻辑接口配置开启防源地址欺骗功能安全基线项防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项目名称安全基线编SBL-H3C-03-04-02号安全基线项对于防火墙各逻辑接口配置开启防源地址欺骗功能。说明检测操作步1参考配置操作骤登陆防火墙 web 配置页面，在“攻击防范” -“URPF检查”中使能防源地址欺骗功能。2补充操作说明基线符合性1. 判定条件判定依据检查配置中是否有URPF功能；2. 检测操作备注第 4章 IP 协议安全要求4.1 功能配置使用 SNMP V2c或者 V3 以上的版本对防火墙远程管理安全基线项使用 SNMPV2C或者 V3 以上的版本对防火墙远程管理安全基线要求项目名称安全基线编SBL-H3C-04-01-01号安全基线项使用 SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名说明(Community Name) 和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写） 。检测操作步1参考配置操作骤#snmp-agent /打开 SNMP功能snmp-agent community readstring/配置只读团体字snmp-agent community writestring/配置读写团体字snmp-agent sys-info versionv2c |v3/配置设备支持 SNMP版本snmp-agent target-host trap address udp-domainip address paramssecuritynamestring/配置 trap 信息发送的目的地址snmp-agent trap sourceip address/配置 trap 信息发送的源地址#2补充操作说明基线符合性1. 判定条件判定依据检查配置中 snmp相关内容2. 检测操作使用 display snmp statistics备注第 5章 其他安全要求5.1 其他安全配置外网口地址关闭对ping 包的回应 *安全基线项外网口地址关闭对 ping 包的回应安全基线要求项目名称安全基线编SBL-H3C-05-01-01号安全基线项对于外网口地址，关闭对ping 包的回应。建议通过VPN隧道获得内网地址，说明从内网口进行远程管理。如网管系统需要开放，可不考虑。检测操作步1参考配置操作骤在防火墙“域间策略”中增加一条禁止对外网口地址ping 的策略；2补充操作说明基线符合性1. 判定条件判定依据检查安全策略中是否有禁止对外网口地址ping的策略；2. 检测操作ping 外网口地址，不能ping通；备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。对防火墙的管理地址做源地址限制安全基线项 对防火墙的管理地址做源地址限制安全基线要求项目名称安全基线编SBL-H3C-05-01-02号安全基线项对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可说明以在防火墙管理口的接入设备上设置ACL检测操作步1参考配置操作骤#acl number 3002#基线符合性判定依据备注user-interface vty 0 4acl 3002 inboundprotocol inboundssh|telnet#2补充操作说明无1. 判定条件检查用户界面视图下配置了访问控制列表，限定通过ssh 或 telnet访问设备的 IP 地址；2. 检测操作使用 display current-configuration第 6章 评审与修订