当前位置:文档之家 › 中国移动安氏防火墙安全系统配置要求规范V1.0

中国移动安氏防火墙安全系统配置要求规范V1.0

  • 格式:doc
  • 大小:1.18 MB
  • 文档页数:37

下载文档原格式

  / 37

合集下载

网络安全公司防火墙配置规范

网络安全公司防火墙配置规范

网络安全公司防火墙配置规范一、背景介绍随着互联网的迅猛发展,网络安全问题变得日益突出,网络安全公司承担着保护用户信息和企业机密的重要责任。

为了确保网络安全公司的网络环境安全稳定,防火墙的配置规范十分关键。

二、配置原则1. 安全性原则:以保障网络安全为最高优先级,防止未授权访问和恶意攻击。

2. 合规性原则:严格遵循国家相关法规、政策和行业标准,确保网络安全公司的合规性。

3. 灵活性原则:根据网络安全公司的实际需求,灵活配置防火墙策略,保证网络正常运行。

三、防火墙配置规范1. 访问控制策略1.1. 内部网络:限制内部网络对外的访问,只允许经过授权的主机和服务与外部网络进行通信。

1.2. 外部网络:严格控制外部网络对内部网络的访问,只开放必要的端口和协议。

1.3. DMZ区域:为暴露在公网上的服务器设立DMZ区域,限制与内部网络的通信,确保内部网络的安全。

2. 安全策略2.1. 用户认证和授权:限制访问网络的用户必须进行身份认证,并根据权限分配访问权限。

2.2. 内部网络和DMZ网络隔离:确保内部网络和DMZ网络之间的隔离,防止内部网络受到来自DMZ网络的攻击。

2.3. 内外网隔离:严格控制内外网之间的通信,只允许经过授权的主机和服务进行通信。

2.4. 恶意行为防护:配置内容过滤、入侵检测和抗DDoS等功能,防止恶意行为对网络安全公司造成危害。

3. 审计和日志管理3.1. 审计策略:配置防火墙进行审计记录,包括访问请求、拒绝请求、策略变更等操作。

3.2. 日志管理:配置日志管理系统,对防火墙产生的日志进行集中存储和定期备份,便于安全管理员进行日志分析和事件溯源。

3.3. 异常报警:设置异常报警机制,及时发现并响应异常事件,保障网络安全公司的运行稳定。

4. 更新和管理4.1. 定期更新防火墙固件和补丁,提供更好的安全性和稳定性。

4.2. 全面备份:定期对防火墙的配置文件、日志文件进行全面备份,防止数据丢失。

中国移动Windows操作系统安全配置规范(正式下发版)

中国移动Windows操作系统安全配置规范(正式下发版)

2008-01-01实施2007-12-18发布中国移动WINDOWS操作系统安全配置规范Specification for Windows OS Configuration Used in China Mobile版本号:1.0.0中国移动通信集团公司发布目录1 概述 11.1 适用范围 11.2 内部适用性说明 11.3 外部引用说明 21.4 术语和定义 31.5 符号和缩略语 32 WINDOWS设备安全配置要求3 2.1 账号管理、认证授权 32.1.1 账号 42.1.2 口令 52.1.3 授权 72.2 日志配置操作 112.3 IP协议安全配置操作 172.4 设备其他配置操作 202.4.1 屏幕保护 202.4.2 共享文件夹及访问权限 21 2.4.3 补丁管理 222.4.4 防病毒管理 232.4.5 Windows服务 242.4.6 启动项 25前言本标准由中国移动通信有限公司网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位:中国移动通信有限公司网络部。

本标准解释单位:同提出单位。

本标准主要起草人:中国移动通信集团浙江公司朱国萃 139********中国移动集团公司陈敏时 139********概述适用范围本规范所指的设备为Windows系统设备。

本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。

在未特别说明的情况下,均适用于所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003以及各版本中的Sever、Professional版本。

内部适用性说明配置要求说明外部引用说明《中国移动通用安全功能和配置规范》术语和定义符号和缩略语WINDOWS设备安全配置要求本规范从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四个方面提出安全要求。

中国移动安氏防火墙安全配置规范V1.

中国移动安氏防火墙安全配置规范V1.

中国移动安氏防火墙安全配置规范S p e c i f i c a t i o n f o r C o n f i g u r a t i o no f F i r e w a l l U s e d i n C h i n a M o b i l e版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4.防火墙功能和配置要求 (1)4.1.引用说明 (1)4.2.日志配置要求 (3)4.3.告警配置要求 (3)4.4.安全策略配置要求 (3)4.5.攻击防护配置要求 (4)4.6.虚拟防火墙配置要求 (4)4.7.设备其他安全要求 (5)5.编制历史 (5)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。

本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。

本标准明确了安氏防火墙的配置要求。

本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。

本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司本标准主要起草人:张瑾、赵强、来晓阳、周智、曹一生、陈敏时。

1.范围本标准规定了安氏防火墙的配置要求,供内部和厂商共同使用;适用于通信网、业务系统和支撑系统的防火墙。

2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

中国移动SOLARIS操作系统安全配置规范V2.0

中国移动SOLARIS操作系统安全配置规范V2.0

中国移动公司--S o l a r i s操作系统安全配置规范S p e c i f i c a t i o n f o r S o l a r i s O SC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号:2.0.0X X X X-X X-X X发布X X X X-X X-X X实施中国移动通信有限公司网络部目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2SOLARIS设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (3)2.1.2口令 (6)2.1.3授权 (11)2.2日志配置要求 (14)2.3IP协议安全配置要求 (18)2.3.1IP协议安全 (18)2.3.2路由协议安全 (22)2.4设备其他安全配置要求 (24)2.4.1屏幕保护 (24)2.4.2文件系统及访问权限 (25)2.4.3物理端口及EEPROM的口令设置 (26)2.4.4补丁管理 (27)2.4.5服务 (28)2.4.6内核调整 (31)2.4.7启动项 (32)3编制历史 (33)前言本为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。

本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。

本标准起草单位:中国移动通信有限公司网络部、中国移动集团重庆公司。

本标准解释单位:同提出单位。

本标准主要起草人:邓光艳、陈敏时、周智、曹一生。

1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用SOLARIS操作系统的设备。

中国移动设备通用安全功能和配置规范

中国移动设备通用安全功能和配置规范

中国移动设备通用安全功能和配置规范S p e c i f i c a t i o n f o r G e n e r a lS e c u r i t y F u n c t i o n a n dC o n f i g u r a t i o n o fD e v i c e s U s e d版本号:2.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1. 范围 (1)2. 规范性引用文件 (1)2.1. 内部引用 (1)2.2. 外部引用 (1)3. 术语、定义和缩略语 (1)4. 设备安全要求框架 (2)4.1. 背景 (2)4.2. 设备安全要求框架说明 (2)4.3. 本框架内各规范的使用原则 (3)4.4. 设备安全要求编号原则 (3)5. 设备通用安全功能和配置要求 (4)5.1. 账号管理及认证授权要求 (4)5.1.1. 账号安全要求 (4)5.1.2. 口令安全要求 (5)5.1.3. 授权安全要求 (6)5.2. 日志安全要求 (6)5.2.1. 功能要求: (6)5.2.2. 配置要求: (7)5.3. IP协议安全要求 (7)5.3.1. 功能要求: (7)5.3.2. 配置要求: (8)5.4. 设备其他安全要求 (8)5.4.1. 功能要求: (8)5.4.2. 配置要求: (8)6. 编制历史 (8)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。

本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。

本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面,提出了28项基本安全功能要求和19项基本安全配置要求。

内部网络防火墙配置规范

内部网络防火墙配置规范

内部网络防火墙配置规范1. 概述2. 配置基本原则2.1 最小权限原则内部网络防火墙的配置应以最小权限原则为基础,即仅允许必要的网络流量通过,并阻止所有未经授权的请求。

2.2 分层防御原则内部网络防火墙应根据不同的安全需求划分多个安全区域,每个安全区域都有相应的安全策略和访问控制规则。

还可以将内部网络划分为内外两个区域,以增强网络的安全性。

2.3 定期审查和更新3. 防火墙配置规范3.1 防火墙规则管理所有的防火墙规则必须有明确的目的和描述,并经过审批后才能添加或修改。

防火墙规则的优先级应根据具体需求进行适当的设置,以确保流量的正确处理顺序。

禁止使用过于宽松的默认规则,应该为每个安全区域设置特定的规则。

3.2 访问控制策略内部网络防火墙应实施严格的访问控制策略,允许仅必要的服务和端口通过。

禁止使用不必要的服务和端口。

根据安全需求,可以设置双向通信或单向通信的访问控制策略。

3.3 内外网通信控制内网向外网的通信必须经过许可,可以根据需求设置不同的出站规则,禁止内部网络未经授权向外部发送数据。

外网向内网的通信必须经过严格的审查和授权,可以设置具体的入站规则,保护内部网络的安全。

3.4 审计和日志记录内部防火墙应开启审计和日志记录功能,记录所有的网络流量和事件。

日志应包括源IP地质、目的IP地质、应用程序、动作等信息。

日志记录应定期审查,快速发现潜在的安全威胁,并采取相应的应对措施。

4. 配置管理和维护为了确保内部网络防火墙的可靠性和安全性,应对其进行适当的配置管理和维护。

4.1 配置备份与恢复定期对内部网络防火墙的配置进行备份,并将备份文件存放在安全的地方。

备份频率根据具体要求进行设置。

在发生配置错误或设备故障时,能够快速恢复到可用状态。

4.2 定期安全审计对内部网络防火墙的配置进行定期安全审计,检查是否存在配置错误、漏洞和异常活动。

安全审计应由专业的安全团队进行,并及时修复和处理审计结果中的问题。

《防火墙配置规范》课件


防火墙的安全策略配置规范
安全区域划分
根据网络环境,合理划分 安全区域,并设置相应的 访问控制策略。
流量管理策略
对网络流量进行合理管控 ,限制恶意流量和异常行 为,保障网络正常运行。
漏洞与补丁管理
定期检测和修复防火墙漏 洞,及时更新补丁,提高 设备安全性。
03
防火墙的部署与实施
防火墙的部署方式
路由模式
《防火墙配置规范》PPT 课件
• 防火墙概述 • 防火墙配置规范 • 防火墙的部署与实施 • 防火墙的维护与管理 • 防火墙配置规范的应用与发展
01
防火墙概述
防火墙的定义
防火墙是指一种将内部网和公众访问网 (如Internet)分开的方法,它实际上 是一种建立在现代通信网络技术和信息 安全技术基础上的应用性安全技术,隔

02
防火墙配置规范
防火墙的硬件配置规范
防火墙设备型号选择
防火墙物理环境要求
根据企业规模、网络架构和安全需求 ,选择合适的防火墙设备型号,确保 具备足够的处理能力和端口密度。
提供适宜的温湿度环境,确保设备散 热良好,同时具备防尘、防潮、防雷 等防护措施。
防火墙冗余设计
为保证网络的高可用性,应采用冗余 设计,包括电源冗余、风扇冗余和模 块冗余等。
02
制定防火墙应急响应计划,明确应急响应流程和责任人,确保
在紧急情况下能够快速响应和处理。
故障恢复与备份
03
对防火墙进行定期备份,以便在出现故障时能够快速恢复,减
少对业务的影响。
05
防火墙配置规范的应用与发展
防火墙配置规范在企业中的应用
保护企业网络安全
通过制定和实施防火墙配置规范,企业可以有效防止外部攻击和 内部数据泄露,保护核心业务和客户数据的安全。

中国移动设备通用安全系统功能和配置要求规范V2.0.0

中国移动设备通用安全功能和配置规范S p e c i f i c a t i o n f o r G e n e r a lS e c u r i t y F u n c t i o n a n dC o n f i g u r a t i o n o fD e v i c e s U s e d版本号:2.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1. 范围 (1)2. 规范性引用文件 (1)2.1. 内部引用 (1)2.2. 外部引用 (1)3. 术语、定义和缩略语 (1)4. 设备安全要求框架 (2)4.1. 背景 (2)4.2. 设备安全要求框架说明 (2)4.3. 本框架内各规范的使用原则 (3)4.4. 设备安全要求编号原则 (3)5. 设备通用安全功能和配置要求 (4)5.1. 账号管理及认证授权要求 (4)5.1.1. 账号安全要求 (4)5.1.2. 口令安全要求 (5)5.1.3. 授权安全要求 (6)5.2. 日志安全要求 (6)5.2.1. 功能要求: (6)5.2.2. 配置要求: (7)5.3. IP协议安全要求 (7)5.3.1. 功能要求: (7)5.3.2. 配置要求: (8)5.4. 设备其他安全要求 (8)5.4.1. 功能要求: (8)5.4.2. 配置要求: (8)6. 编制历史 (8)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。

本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。

本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面,提出了28项基本安全功能要求和19项基本安全配置要求。

中国移动Checkpoint防火墙安全配置手册V0.1.doc

密级:文档编号:项目代号:中国移动Checkpoint防火墙安全配置手册Version *.*中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:Firewall 版本控制分发控制目录1 综述 (5)2 Checkpoint的几种典型配置 (6)2.1 checkpoint 初始化配置过程: (6)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (18)3 Checkpoint防火墙自身加固 (34)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议,防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1 checkpoint 初始化配置过程:在安装完Checkpoint软件之后,需要在命令行使用cpconfig命令来完成Checkpoint的配置。

如下图所示,SSH连接到防火墙,在命令行中输入以下命令:IP350[admin]# cpconfigWelcome to Check Point Configuration Program=================================================Please read the following license agreement.Hit 'ENTER' to continue...(显示Checkpoint License版权信息,敲回车继续,敲q可直接跳过该License提示信息)Do you accept all the terms of this license agreement (y/n) ?y(输入y同意该版权声明)Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式,Firewall-1/VPN-1主要包括三个模块:GUI:用户看到的图形化界面,用于配置安全策略,上面并不存储任何防火墙安全策略和对象,安装于一台PC机上;Management:存储为防火墙定义的各种安全策略和对象;Enforcement Module:起过滤数据包作用的过滤模块,它只与Managerment通信,其上的安全策略由管理模块下载;以上三个选项中如果Management与Enforcement Module安装于同一台设备上,则选择(1),如果Management与Enforcement Module分别安装于不同的设备上,则选择(2)或(3)。

安氏防火墙安全配置基线

安氏防火墙安全配置基线备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章账号管理、认证授权安全要求 (2)2.1账号管理 (2)2.1.1用户账号分配* (2)2.1.2删除无关的账号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (4)2.2.1口令复杂度要求 (4)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (6)3.1日志安全 (6)3.1.1对用户登录进行记录 (6)3.1.2记录与设备相关的安全事件 (7)3.1.3配置设备远程日志功能 (8)3.2告警配置要求 (9)3.2.1配置对防火墙本身的攻击或内部错误告警 (9)3.2.2配置DOS和DDOS攻击告警 (10)3.2.3配置扫描攻击检测告警* (11)3.3安全策略配置要求 (11)3.3.1访问规则列表最后一条必须是拒绝一切流量 (11)3.3.2配置访问规则应尽可能缩小范围 (12)3.3.3VPN用户按照访问权限进行分组* (13)3.3.4配置NAT地址转换* (14)3.3.5关闭仅开启必要服务 (14)3.3.6禁止使用any to anyall允许规则 (15)3.4攻击防护配置要求 (16)3.4.1配置应用层攻击防护* (16)3.4.2配置网络扫描攻击防护* (16)3.4.3限制ping包大小* (17)3.4.4启用对带选项的IP包及畸形IP包的检测 (18)3.4.5防火墙各逻辑接口配置开启防源地址欺骗功能 (19)第4章IP协议安全要求 (20)4.1IP协议 (20)4.1.1使用SNMP V2或者V3以上的版本对防火墙远程管理 (20)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1配置定时账户自动登出 (21)5.1.2配置consol口密码保护功能 (21)第6章评审与修订 (23)第1章概述1.1 目的本文档旨在指导系统管理人员进行安氏防火墙的安全配置。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

中国移动安氏防火墙安全配置规范S p e c i f i c a t i o n f o r C o n f i g u r a t i o no f F i r e w a l l U s e d i n C h i n a M o b i l e版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1.围 (1)2.规性引用文件 (1)3.术语、定义和缩略语 (1)4.防火墙功能和配置要求 (1)4.1.引用说明 (1)4.2.日志配置要求 (3)4.3.告警配置要求 (3)4.4.安全策略配置要求 (3)4.5.攻击防护配置要求 (4)4.6.虚拟防火墙配置要求 (4)4.7.设备其他安全要求 (5)5.编制历史 (5)前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。

组织部分省公司编制了中国移动设备安全功能和配置系列规。

本系列规可作为编制设备技术规、设备入网测试规,工程验收手册,局数据模板等文档的依据。

本规是该系列规之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规的编制基础。

本标准明确了安氏防火墙的配置要求。

本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。

本标准起草单位:中国移动通信网络部、中国移动通信集团、本标准主要起草人:瑾、强、来晓阳、周智、一生、敏时。

1.围本标准规定了安氏防火墙的配置要求,供部和厂商共同使用;适用于通信网、业务系统和支撑系统的防火墙。

2.规性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件,其随后所有的修改单(不包括勘误的容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件,其最新版本适用于本标准。

表2-1[1] QB-╳╳-╳╳╳-╳╳╳╳《╳╳通用安全功能和配置规》╳╳[2] QB-╳╳-╳╳╳-╳╳╳╳《╳╳系统安全功能规》╳╳[3] QB-╳╳-╳╳╳-╳╳╳╳《╳╳安全功能规》╳╳公司[4] 《中国移动防火墙配置规》3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准:表3-1词语解释Firewall 防火墙4.防火墙功能和配置要求4.1.配置要求及引用说明本要求主要采用引用《中国移动设备通用安全功能和配置规》及《中国移动防火墙配置规》基本要求,和根据安氏防火墙所特有配置特性综合后形成,具体配置规见下表。

编号容采纳意见备注安全要求-设备-防火墙-配置-1不同等级管理员分配不同账号,避免账号混用。

完全采纳安全要求-设备-防火墙-配置-2应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳安全要求-设备-防火墙-配置-3防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

完全采纳支持部分功能安全要求-设备-防火墙-配置-4账户口令的生存期不长于90天。

不采纳设备不支持安全要求-设备-防火墙-配置-5应配置设备,使用户不能重复使用最近5次(含5次)已使用的口令。

不采纳设备不支持安全要求-设备-防火墙-配置-6应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。

不采纳设备不支持安全要求-设备-防火墙-配置-7在设备权限配置能力,根据用户的管理等级,配置其所需的最小管理权限。

完全采纳安全要求-设备-防火墙-配置-8 对于具备字符交互界面及图形界面(含WEB界面)的设备,应配置定时账户自动登出。

完全采纳安全要求-设备-防火墙-配置-9 对于具备console口的设备,应配置console口密码保护功能。

不采纳设备不支持安全要求-设备-防火墙-配置-10 对于防火墙远程管理的配置,必须是基于加密的协议。

如SSH或者WEB SSL,如果只允许从防火墙部进行管理,应该限定管理IP完全采纳安全要求-设备-防火墙-配置-11 在进行重大配置修改前,必须对当前配置进行备份。

完全采纳安全要求-设备-防火墙-配置-12 设备应配置日志功能,记录对与防火墙设备自身相关的安全事件。

完全采纳安全要求-设备-防火墙-配置-13设备应配置NAT日志记录功能,记录转换前后IP地址的对应关系。

防火墙如果开启vpn功能,应配置记录vpn日志记录功能,记录vpn访问登陆、退出等信息。

完全采纳安全要求-设备-防火墙-配置-14设备应配置流量日志记录功能,记录防火墙拒绝,丢弃和接受的报文完全采纳安全要求-设备-防火墙-配置-15 在防火墙设备的日志容量达到75%时,防火墙可产生告警。

并且有专门的程序将日志导出到专门的日志服务器。

不采纳设备不支持安全要求-设备-防火墙-配置-16 防火墙管理员的操作必须被记录日志,如登录信息,修改为管理员组操作。

解锁等信息完全采纳安全要求-设备-防火墙-配置-17设备应配置日志功能,对用户登录进行记录,记录容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。

完全采纳安全要求-设备-防火墙-配置-18 设备配置远程日志功能,将需要重点关注的日志容传输到日志服务器。

建议将Warning级别(4级)以上日志传送到志服务器和统一的安全管理平台处理。

完全采纳安全要求-设备-防火墙-配置-19 设备应具备向管理员告警的功能,配置告警功能,报告对防火墙本身的攻击或者防火墙的系统严重错误。

完全采纳安全要求-设备-防火墙-配置-20告警信息应被保留,直到被确认为止.部分采纳安全要求-设备-防火墙-配置-21 设备应配置告警功能,报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警,对每一个告警项是否告警可由用户配置。

完全采纳安全要求-设备-防火墙-配置-22 可打开DOS和DDOS攻击防护功能。

对攻击告警。

DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。

维护人员可通过设置白方式屏蔽部分告警。

完全采纳,可参考安全要求-设备-防火墙-配置-44安全要求-设备-防火墙-配置-23 可打开扫描攻击检测功能。

对扫描探测告警。

扫描攻击告警的参数可由维护人员根据网络环境进行调整。

维护人员可通过设置白方式屏蔽部分网络扫描告警。

完全采纳,可参考安全要求-设备-防火墙-配置-43安全要求-设备-防火墙-配置-24 如防火墙具备关键字容过滤功能,可打开该功能,在HTTP,不予采纳,此功能在安氏的UTMSMTP,POP3等协议中对用户设定的关键字进行过滤。

设备中予以提供安全要求-设备-防火墙-配置-25 如防火墙具备网络病毒防护功能。

可打开病毒防护,对蠕虫等病毒传播时的攻击流量进行过滤。

如不具备相关模块,需要在安全策略配置中首先关注对常见病毒流量的端口的封堵完全采纳,可参考安全要求-设备-防火墙-配置-41安全要求-设备-防火墙-配置-26 对于防火墙的一些关键操作事件、配置更改、严重告警事件等,建议通过等方式通知系统管理员完全采纳安全要求-设备-防火墙-配置-27 防火墙应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。

完全采纳安全要求-设备-防火墙-配置-28所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。

完全采纳安全要求-设备-防火墙-配置-29 在配置访问规则时,源地址和目的地址的围必须以实际访问需求为前提,尽可能的缩小围。

完全采纳安全要求-设备-防火墙-配置-30 对于访问规则的排列,应当遵从围由小到大的排列规则。

应根据实际网络流量,保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。

完全采纳安全要求-设备-防火墙-配置-31 在进行重大配置修改前,必须对当前配置进行备份。

完全采纳安全要求-设备-防火墙-配置-32 对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。

完全采纳安全要求-设备-防火墙-配置-33 访问规则必须按照一定的规则进行分组。

完全采纳安全要求-设备-防火墙-配置-34 配置NAT,对公网隐藏局域网主机的实际地址。

完全采纳安全要求-设备-防火墙-配置-35 隐藏防火墙字符管理界面的bannner信息完全采纳安全要求-设备-防火墙-配置-36 应用代理服务器,将从网到外网的访问流量通过代理服务器。

防火墙只开启代理服务器到外部网络的访问规则,避免在防火墙完全采纳上配置从网的主机直接到外网的访问规则。

安全要求-设备-防火墙-配置-37 防火墙设备必须关闭非必要服务。

完全采纳安全要求-设备-防火墙-配置-38 防火墙的系统和软件版本必须处于厂家维护期,并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。

如防火墙系统厂家已不再维护,需要及时更新版本或者撤换。

完全采纳安全要求-设备-防火墙-配置-39 防火墙设备必须首先确保承载防火墙系统的底层操作系统安全。

完全采纳安全要求-设备-防火墙-配置-40 防火墙策略配置时尽量不允许使用any to any,对于从防火墙部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理完全采纳安全要求-设备-防火墙-配置-41对于常见病毒及系统漏洞对应端口,应当进行端口的关闭配置。

完全采纳安全要求-设备-防火墙-配置-42采用安氏防火墙自带的smartpro入侵检测模块对应用层攻击进行防护完全采纳安全要求-设备-防火墙-配置-43建议采用安氏防火墙自带的smartpro入侵检测模块对网络扫描攻击行为进行检测完全采纳安全要求-设备-防火墙-配置-44打开防DDOS攻击功能。

完全采纳安全要求-设备-防火墙-配置-45限制ping包的大小,以及一段时间同一主机发送的次数。

完全采纳安全要求-设备-防火墙-配置-46启用对带选项的IP包及畸形IP包的检测完全采纳安全要求-设备-防火墙-配置-47对于防火墙各逻辑接口需要开启防源地址欺骗功能。

完全采纳安全要求-设备-防火墙-配置-48对于有固定模式串的攻击,在应不采纳设备不支持急时可开启基于正则表达式的模式匹配的功能。

安全要求-设备-防火墙-配置-49 回环地址(lookback address)一般用于本机的IPC通讯,防火墙必须阻断含有回环地址(lookback address)的流量。

完全采纳安全要求-设备-防火墙-配置-50防火墙异构部署要求。

在防火墙策略设置上,外层(如DMZ区外侧)防火墙侧重实施粗粒度访问控制;层防火墙(如DMZ区侧)侧重针对特定系统施细粒度访问控制,并且应增强防火墙相关日志审计及入侵检测功能设置。