HC防火墙安全配置基线

格式：docx
大小：938.97 KB
文档页数：29

下载文档原格式

华为防火墙操作手册UGS6330

华为防火墙操作手册UGS6330
华为防火墙默认的用户名是admin，密码：Admin@123，第一次登录后，要求更改密码，密码要求有大小写英文字母和特殊符号，更改密码后会要求重新登录，然后才能进入配置界面
进入配置界面
1、编辑内网接口，内网接口IP配置为192.168.124.1
255.255.252.0，对应核心交换机里面配置的几个VLAN，注意内网接口的安全区域选择trust
配置内网接口
内网接口允许https和ping
2、编辑外网接口，填写运营商提供的IP地址，注意外网接口的安全区域选择untrust，为方便管理员在外网远程管理防火墙，勾选启用访问管理和https
允许管理员在外网配置防火墙
3、新建一条策略路由，下一跳地址填写宽带运营商提供的网关地址
新建策略路由
新建策略路由，下一跳地址是运营商的网关
4、新建一条安全策略，允许trust到untrust的访问，即允许内网所有设备连接internet
允许访问外网
经过以上步骤，内网计算机等联网设备就能正常上网了。

5、根据客户要求VLAN125禁止上外网，那么我们要做一条相应的安全策略，并且这条策略一定要放到刚才这条安全策略的上面！
禁止VLAN125上网
6、有几台服务器，软件供应商要在外网通过远程桌面的形式调试，我们需要在防火墙上做NAT策略
开放服务器3389端口，允许在外网远程桌面。

华为交换机安全配置基线

华为交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全（可选） (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

HC防火墙配置命令

华为H3C防火墙配置命令2009-03-28 09:28:26标签：华为H3C防火墙配置H3CF100S配置初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

建筑内防火墙设置的一般规定

建筑内防火墙设置的一般规定英文词条名：1 防火墙应直接设置在基础上或钢筋混凝土的框架上。

防火墙应截断燃烧体或难燃烧体的屋顶结构，且应高出非燃烧体屋面不小于40CM，高出燃烧体或难燃烧体屋面不小于50CM。

当建筑物的屋盖为耐火极限不低于Ｈ的非燃烧体时、高层工业建筑屋盖为耐火极限不低于1Ｈ的非燃烧体时，防火墙（包括纵向防火墙）可砌至屋面基层的底部，不高出屋面。

2 防火墙中心距天窗端面的水平距离小于4Ｍ，且天窗端面为燃烧体时，应采取防止火势蔓延的设施。

3 建筑物的外墙如为难燃烧体时，防火墙应突出难燃烧体墙的外表面40CM；防火带的宽度，从防火墙中心线起每侧不应小于2Ｍ。

4 防火墙内不应设置排气道，民用建筑如必须设置时，其两侧的墙身截面厚度均不应小于12CM。

防火墙上不应开门窗洞口，如必须开设时，应采用甲级防火门窗，并应能自行关闭。

可燃气体和甲、乙、丙类液体管道不应穿过防火墙。

其他管道如必须穿过时，应用非燃烧材料将缝隙紧密填塞。

5 建筑物内的防火墙不应设在转角处。

如设在转角附近，内转角两侧上的门窗洞口之间最近的水平距离不应小于4Ｍ。

紧靠防火墙两侧的门窗洞口之间最近的水平距离不应小于2Ｍ，如装有耐火极限不低于Ｈ的非燃烧体固定窗扇的采光窗（包括转角墙上的窗洞），可不受距离的限制。

6 设计防火墙时，应考虑防火墙一侧的屋架、梁、楼板等受到火灾的影响而破坏时，不致使防火墙倒塌。

防火墙防火墙是由不燃烧材料构成的，为减小或避免建筑、结构、设备遭受热辐射危害和防止火灾蔓延，设置的竖向分隔体或直接设置在建筑物基础上或钢筋混凝土框架上具有耐火性的墙。

防火墙是防火分区的主要建筑构件。

通常防火墙有内防火墙、外防火墙和室外独立墙几种类型。

防火墙的耐火极限、燃烧性能、设置部位和构造应符合下列要求：1．防火墙应为不燃烧体，其耐火极限目前《建规》的规定为 4h，《高规》的规定为3h。

2．防火墙应直接砌筑在基础上或钢筋混凝土框架上，当防火墙一侧的屋架、梁和楼板等因火灾影响而破坏时，不至使防火墙倒塌。

华为设备(交换机)安全配置基线

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

Huawei防火墙安全配置基线

Huawei防火墙安全配置基线XXXXXX备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。

智慧HW数通基础第十章防火墙配置

第十章防火墙及配置.1防火墙介绍现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口。

因此防火墙不但可以保护内部网络在 Internet 中的安全，同时还可以保护若干主机在一个内部网络中的安全。

在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。

而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。

.2网络安全技术.2.1网络安全技术介绍网络安全介绍Quidway 系列路由器提供一个全面的网络安全解决方案，包括用户验证、授权、数据保护等。

Quidway系列路由器所采用的安全技术主要包括：IP地址的一种访问控制验证－对用户进行验证、授权、计费的技术技术－提供一种安全“私有连接”的技术在路由器中，包过滤技术是实现防火墙的最重要的手段。

.2.2IP 包过滤技术介绍IP包过滤介绍对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。

而实现包过滤的核心技术是访问控制列表。

包过滤技术主要是设定一定的规则，控制数据包。

路由器会根据设定的规则和数据包的包头信息比较，来决定是否允许这个数据包通过。

实现包过滤技术最核心内容就是访问控制列表。

.2.3 访问控制列表为什么要用访问控制列表?拒绝某些不希望的访问。

访问控制列表具有区分数据包的能力。

用户可以通过 Internet 和外部网络进行联系，网络管理员都面临着一个问题，就是如何拒绝一些不希望的连接，同时又要保证合法用户进行的访问。

为了达到这样的效果，我们需要有一定的规则来定义哪些数据包是“合法”的（或者是可以允许访问），哪些是“非法”的（或者是禁止访问）。

这些规则就是访问控制列表。

访问控制列表（续）为什么要用访问控制列表？（续）访问控制列表按照数据包的特点，规定了一些规则。

Windows操作系统安全防护基线配置要求

补充说明：
可能会使日志量猛增。
编号：OS-Windows-日志-03
要求内容：设置日志容量和覆盖规则，保证日志存储
操作指南：
开始-运行-eventvwr
右键选择日志，属性，根据实际需求设置；
日志文件大小：可根据需要制定。
超过上限时的处理方式（建议日志记录天数不小于90天）
检测方法：
开始-运行-eventvwr，右键选择日志，属性，查看日志上限及超过上线时的处理方式。
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
判定条件：
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
三、
编号：OS-Windows-口令-01
要求内容：密码长度最少8位，密码复杂度至少包含以下四种类别的字符中的三种：
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
阿拉伯数字0, 1, 2, … 9
非字母数字字符，如标点符号，@, #, $, %, &, *等
操作指南：
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码必须符合复杂性要求”选择“已启动”。
检测方法：
检测方法：
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”；查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。
判定条件：
“关闭系统”设置为“只指派给Administrators组”；

HC防火墙产品培训ComwareV

交换机上配置： # [S7506E]ntp refclock-master 3
15
防火墙时间同步（2）
ACSEI方式时间同步:
交换机需要使能ACSEI Server
如果防火墙10GE接口是二层接口，须permit接口所在PVID，并在 10GE接口下使能acsei-client
先进的硬件架构：多核多线程良好的易用性：CLI、Web 全面的安全防护：L2-L7安全防护丰富的NAT特性：NAT、ALG 完善的VPN功能：GRE、L2TP、IPSec 领先的虚拟化技术：虚拟防火墙高可靠性：VRRP、双机热备集中统一管理：Log、SNMP、FWM
10
目录
V5 防火墙产品介绍 V5 防火墙基本配置管理 V5 防火墙转发方式介绍 V5 防火墙安全特性简介 V5 防火墙基本维护
Web管理方式
缺省情况下防火墙的第一个接口已经加入管理区域，默认IP地址是192.168.0.1/24，默认用户名和密码是h3c/h3c
13
CLI管理方式
方式一：通过Console口登录，进行除安全特性外的配置。
方式二：通过Telnet或者SSH登录，缺省情况下Telnet和SSH 服务是关闭的。
H3C 防火墙产品培训（Comware V5）
ISSUE 1.0
日期：2011.08 杭州华三通信技术有限公司版权所有，未经授权不得使用与传播
引入
H3C Comware V5平台防火墙采用H3C公司最新的硬件平台和体系架构，是H3C公司面向大中型企业和运营商用户开发的新一代防火墙设备。
课程标
方式三：插卡类FW还可以通过OAP方式登录，需要先在插卡上配置aux口登录相关参数，然后通过oap connect slot x （IRF 下： oap connect chassis 1 slot x）登录插卡，按 CTRL+K 退出插卡。

华为防火墙配置使用手册

华为防火墙配置使用手册摘要：一、华为防火墙配置概述二、华为防火墙基本配置1.登录华为防火墙2.配置管理IP地址3.配置接口地址4.配置路由5.配置访问控制列表（ACL）三、高级配置1.配置NAT2.配置DHCP3.配置防火墙策略4.配置安全策略5.配置入侵检测和防御四、故障排除与维护1.常见故障排除2.防火墙性能优化3.安全策略调整4.系统升级与维护五、总结正文：华为防火墙配置使用手册华为防火墙是一款高性能的网络防火墙，能够有效保护企业网络免受各种网络攻击。

本文将详细介绍华为防火墙的配置使用方法。

一、华为防火墙配置概述华为防火墙配置主要包括基本配置和高级配置两部分。

基本配置包括管理IP地址、接口地址、路由等设置；高级配置包括NAT、DHCP、防火墙策略等设置。

二、华为防火墙基本配置1.登录华为防火墙使用Console口或Telnet方式登录华为防火墙。

2.配置管理IP地址进入系统视图，设置管理IP地址。

例如：```[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1255.255.255.0```3.配置接口地址进入接口视图，设置接口地址。

例如：```[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.2255.255.255.0```4.配置路由设置路由表，使防火墙能够进行路由转发。

例如：```[Huawei-ip route-table]ip route 192.168.1.0 24 192.168.1.2```5.配置访问控制列表（ACL）设置ACL，以限制网络流量。

例如：```[Huawei-GigabitEthernet0/0/0]acl number 2000[Huawei-GigabitEthernet0/0/0]acl 2000 rule 0 permit ip source 192.168.1.1 0```三、高级配置1.配置NAT设置NAT地址转换，使内部网络设备能够访问外部网络。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

H C防火墙安全配置基线 Document number：PBGCG-0857-BTDO-0089-PTT1998
H3C防火墙安全配置基线
1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表
格。

目录
第1章概述
1.1 目的
本文档旨在指导系统管理人员进行H3C防火墙的安全配置。

1.2 适用范围
本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本
H3C防火墙。

1.4 实施
1.5 例外条款
第2章帐号管理、认证授权安全要求2.1 帐号管理
2.1.1用户帐号分配*
2.1.2删除无关的帐号*
2.1.3帐户登录超时*
2.1.4帐户密码错误自动锁定*
2.2 口令
2.2.1口令复杂度要求
3. 补充说明
无。

备注
2.3 授权
2.3.1远程维护的设备使用加密协议
安全基线
项目名称
远程维护使用加密协议安全基线要求项
安全基线
编号
SBL-H3C-02-03-01
安全基线项说明对于防火墙远程管理的配置，必须是基于加密的协议。

如SSH或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理IP。

检测操作步骤1. 参考配置操作
登陆设备web配置页面，在“设备管理”----“服务管理”下选择ssh、https方式登陆设备。

配置针对SSH登陆用户IP地址的限定：
#
acl number 3000
rule 0 permit ip source [ip address][wildcard] #
user-interface vty 0 4
acl 3000 inbound
protocol inbound ssh
第3章日志及配置安全要求3.1 日志安全
3.1.1记录用户对设备的操作
3.1.2开启记录NAT日志*
3.1.3开启记录VPN日志*
3.1.4配置记录拒绝和丢弃报文规则的日志
3.2 告警配置要求
3.2.1配置对防火墙本身的攻击或内部错误告警
基线符合
性判定依
据
1.判定条件
通过查看设备的trapbuffer信息；
2.检测操作
<H3C> display trapbuffer
备注
3.2.2配置TCP/IP协议网络层异常报文攻击告警
安全基线
项目名称
配置TCP/IP协议网络层异常报文攻击告警安全基线要求项
安全基线
编号
SBL-H3C-03-02-02
安全基线
项说明
配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻
击的相关告警。

检测操作
步骤
1．参考配置操作
登陆防火墙web配置页面，在“攻击防范”----“报文异常检测”选择所
需的针对异常攻击报文的检测。

2．补充操作说明
无
基线符合
性判定依
据
1.判定条件
检查防火墙攻击防范配置；
2.检测操作
登陆防火墙web页面，在“攻击防范”----“入侵检测统计”中查看攻击
防范的效果；
备注
3.2.3配置DOS和DDOS攻击告警
安全基线
项目名称
配置DOS和DDOS攻击防护功能安全基线要求项
安全基线
编号
SBL-H3C-03-02-03
安全基线
项说明
配置DOS和DDOS攻击防护功能。

对DOS和DDOS攻击告警。

维护人员应根据网络环境调整DDOS的攻击告警的参数。

检测操作
步骤
1．参考配置操作
登陆防火墙web配置页面，在“攻击防范”----“流量异常检测”中，选
择需要防范的攻击类型。

2．补充操作说明
基线符合
性判定依
据
1.判定条件
检查防火墙攻击防范配置；
2.检测操作
登陆防火墙web页面，在“攻击防范”----“入侵检测统计”中查看攻击
防范的效果；
备注
3.2.4配置关键字内容过滤功能告警*
安全基线
项目名称
配置关键字内容过滤功能告警安全基线要求项
安全基线
编号
SBL-H3C-03-02-04
安全基线
项说明
配置关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流
量过滤包含有设定的关键字的报文。

针对关键字过滤是应用层过
滤机制，对系统性能有一定影响。

针对HTTP协议内容访问的网
站关键字段，包含暴力、淫秽、违法等类型。

可添加内容库实
现。

检测操作
步骤
1．参考配置操作
登陆防火墙web配置页面，在“应用控制”----“内容过滤”，根据需求
选择关键字、URL主机名、文件名等方式进行过滤。

2．补充操作说明
基线符合
性判定依
据
1.判定条件
检查防火墙“应用控制”配置；
2.检测操作
登陆防火墙web页面配置，在“应用控制”----“内容过滤”----“统计信
息”中查看过滤功能实施效果。

备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.3 安全策略配置要求
3.3.1访问规则列表最后一条必须是拒绝一切流量
安全基线
项目名称
访问规则列表最后一条必须是拒绝一切流量安全基线要求项
安全基线
编号
SBL-H3C-03-03-01
安全基线
项说明
防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。

检测操作
步骤
1．参考配置操作
#
acl number 3001
rule 0 permit ip destination [ip address] [mask]
rule 1 deny ip
#
2．补充操作说明
无
基线符合
性判定依
据
1.判定条件
检查配置中的 ACL 设置
2.检测操作
<H3C> display acl number 3001
备注
3.3.2配置访问规则应尽可能缩小范围
安全基线
项目名称
配置访问规则应尽可能缩小范围安全基线要求项
安全基线
编号
SBL-H3C-03-03-02
安全基线
项说明
在配置访问规则时，源地址，目的地址，服务或端口的范围必须
以实际访问需求为前提，尽可能的缩小范围。

禁止源到目的全部
允许规则。

禁止目的地址及服务全允许规则，禁止全服务访问规
则。

检测操作
步骤
1．参考配置操作
登陆防火墙web配置页面，在“防火墙”----“安全策略”----“域间策略”中增加访问规则，需要填写的内容是：源域、目的域、源IP
地址、目的IP地址、服务（访问的协议和端口）、过滤动作
（permit or deny）、时间段。

2．补充操作说明
基线符合
性判定依
据
1.判定条件
检查防火墙“域间策略”配置，域间策略详细到协议、端口、具体的
IP地址；
2.检测操作
无；
备注
3.3.3VPN用户按照访问权限进行分组*
安全基线
项目名称
VPN用户按照访问权限进行分组安全基线要求项
安全基线SBL-H3C-03-03-03
3.3.4配置NAT地址转换*
3.3.5隐藏防火墙字符管理界面的bannner信息
3.3.6避免从内网主机直接访问外网的规则*
项。

3.3.7关闭非必要服务
安全基线
项目名称
关闭非必要服务安全基线要求项
安全基线
编号
SBL-H3C-03-03-07
安全基线
项说明
防火墙设备必须关闭非必要服务。

检测操作步骤1．参考配置操作
登陆防火墙web配置页面，在“设备管理”----“服务管理”中关闭非必要的服务，比如http、telnet、ftp等。

2．补充操作说明
基线符合性判定依
据1.判定条件
检查配置中是否关闭对应服务2.检测操作
备注
3.4 攻击防护配置要求
3.4.1拒绝常见漏洞所对应端口或者服务的访问
基线符合性判定依
据1.判定条件
检查配置文件
2.检测操作
使用命令display acl number 3001
备注
3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能
安全基线
项目名称
防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项
安全基线
编号
SBL-H3C-03-04-02
安全基线
项说明
对于防火墙各逻辑接口配置开启防源地址欺骗功能。

检测操作步骤1．参考配置操作
登陆防火墙web配置页面，在“攻击防范”----“URPF检查”中使能防源地址欺骗功能。

2．补充操作说明
基线符合性判定依
据1.判定条件
检查配置中是否有URPF功能；
2.检测操作
备注
第4章IP协议安全要求
4.1 功能配置
4.1.1使用SNMP V2c或者V3以上的版本对防火墙远程管
理
第5章其他安全要求
5.1 其他安全配置
5.1.1外网口地址关闭对ping包的回应*
5.1.2对防火墙的管理地址做源地址限制
第6章评审与修订。