中国移动防火墙功能和配置规范V1.0.doc

中国移动通信企业标准QB-中国移动防火墙功能和配置规范Specification for Configuration of Firewall Used in China Mobile 版本号：1.0.0-实施-发布中国移动通信有限公司 发布目录1.范围12.规范性引用文件13.术语、定义和缩略语14.防火墙功能要求14.1.引用说明14.2.防火墙路由模式功能规范24.3.日志功能要求24.4.攻击防护和告警功能要求31.7.设备其他安全功能要求41.8.虚拟防火墙功能要求42.防火墙配置要求42.1.引用说明42.2.日志配置要求52.3.告警配置要求52.4.安全策略配置要求62.5.攻击防护配置要求72.6.设备其他安全要求73.编制历史7附录8前言本标准明确了防火墙的功能和配置要求。本标准主要包括防火墙基本功能、日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。本标准起草单位：中国移动通信集团江苏有限公司本标准主要起草人：来晓阳，石磊1. 范围本标准规定了防火墙的功能配置要求，供中国移动内部和厂商共同使用；适用于中国移动通信网、业务系统和支撑系统的防火墙。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。表2-11QB-中国移动设备通用安全功能和配置规范1.0版中国移动通信有限公司2QB-中国移动操作系统安全功能规范1.0版中国移动通信有限公司3QB-中国移动路由器安全功能规范1.0版中国移动通信有限公司4Network Security Checklist-firewall Version 7 Release 1.2DOD3. 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：表3-1词语解释Firewall 防火墙4. 防火墙功能要求4.1. 引用说明由于防火墙设备的特殊性，本规范不采纳中国移动设备通用设备安全功能和配置规范中功能要求的情况如下：编号采纳意见补充说明安全要求-设备-通用-功能-6不采纳不具备用户不得重复使用其最近已用口令的功能。安全要求-设备-通用-功能-10-可选不采纳不建议用户可通过人机交互界面访问防火墙文件系统。安全要求-设备-通用-功能-11-可选不采纳防火墙设备本身一般无数据库安全要求-设备-通用-功能-18-可选不采纳防火墙设备一般为嵌入式系统，或者在Unix/Linux上进行封装和安全加固，对外开放的服务已经为最小集。无需进程与IP服务端口对应表。对于未提及的中国移动设备通用设备安全功能和配置规范中的功能要求，本规范完全采纳，详见附录。4.2. 防火墙路由模式功能规范由于防火墙可工作在路由模式，本规范引用中国移动路由器设备安全功能和配置规范中设备功能要求的情况如下：编号采纳意见补充说明安全要求-设备-路由器-功能-13完全采纳设备应支持关闭未使用的路由协议安全要求-设备-路由器-功能-14 完全采纳设备应支持路由协议（OSPF/ISIS/BGP等）认证,认证字以不可逆密文方式存放。安全要求-设备-路由器-功能-15完全采纳设备应支持路由策略和路由过滤功能。4.3. 日志功能要求编号内容安全要求-设备-防火墙-功能-1防火墙应具备记录NAT日志功能，记录转换前后IP地址的对应关系。安全要求-设备-防火墙-功能-2防火墙应具备记录VPN日志功能，记录VPN访问登陆、退出等信息。安全要求-设备-防火墙-功能-3防火墙应具备流量日志记录功能，记录通过防火墙的网络连接。安全要求-设备-防火墙-功能-4防火墙应具备规则配置功能,记录防火墙接受，拒绝和丢弃报文的日志。安全要求-设备-防火墙-功能-5防火墙应具备日志容量告警功能，在日志数达到指定阈值时产生告警。安全要求-设备-防火墙-功能-6防火墙应具备管理员操作日志审计功能，有将操作日志发送到相关的安全管控系统的接口。4.4. 攻击防护和告警功能要求编号内容安全要求-设备-防火墙-功能-7防火墙应具备向管理员发送告警的功能。告警方式除控制台和syslog输出外，还应包含邮件，短消息等多种方式。安全要求-设备-防火墙-功能-8防火墙必须能够对防火墙的系统内部错误和针对防火墙的攻击进行告警。并阻断针对防火墙本身的攻击。安全要求-设备-防火墙-功能-9防火墙必须能够对TCP/IP协议网络层和应用层的协议异常进行告警，并丢弃异常报文。安全要求-设备-防火墙-功能-10防火墙必须具备对DOS和DDOS攻击告警功能，能够阻断攻击。DDOS的攻击告警的参数应可由管理员根据实际网络情况设置。安全要求-设备-防火墙-功能-11防火墙必须具备扫描攻击检测和告警功能。并阻断后续扫描流量。扫描的检测和告警的参数应可由管理员根据实际网络情况设置。安全要求-设备-防火墙-功能-12防火墙必须具备关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。安全要求-设备-防火墙-功能-13-可选防火墙必须具备病毒防护功能，对蠕虫等病毒传播时的攻击流量进行过滤。安全要求-设备-防火墙-功能-14-可选防火墙逻辑接口上具备防源地址欺骗功能。4.5. 访问控制功能要求编号内容安全要求-设备-防火墙-功能-15防火墙系统可根据源目的地址，源目的端口，网络服务等设置访问控制策略。对通过防火墙的报文，根据策略采取通过，拒绝，丢弃，记录日志等相应操作。安全要求-设备-防火墙-功能-16防火墙必须具备对VPN拨入用户的进行访问控制的功能。安全要求-设备-防火墙-功能-17防火墙必须具备对访问控制规则分组的功能。安全要求-设备-防火墙-功能-18-可选防火墙应具备检测所下发的访问控制规则集当中，策略间存在逻辑冲突的功能。4.6. 设备其他安全功能要求编号内容安全要求-设备-防火墙-功能-15防火墙系统必须保证底层操作系统的安全安全要求-设备-防火墙-功能-16防火墙必须支持SNMP 协议V3及以上的版本。安全要求-设备-防火墙-功能-17防火墙必须具备限制远程管理源地址的功能。4.7. 虚拟防火墙功能要求编号内容安全要求-设备-防火墙-功能-18-可选可划分成多个虚拟防火墙系统，每个虚拟系统都是一个唯一的安全域，拥有其自己的管理员进行管理，管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口。5. 防火墙配置要求5.1. 引用说明由于防火墙设备的特殊性，本规范不采纳中国移动设备通用设备安全功能和配置规范中配置要求的情况如下：编号采纳意见补充说明安全要求-设备-通用-配置-3-可选不采纳防火墙无法在远程登陆时通过切换用户提升权限 安全要求-设备-通用-配置-6-可选不采纳对应不采纳“安全要求-设备-通用-功能-6”对于未提及的中国移动设备通用设备安全功能和配置规范中的配置要求，本规范完全采纳，详见附录。5.2. 日志配置要求编号内容安全要求-设备-防火墙-配置-1开启记录NAT日志，记录转换前后IP地址的对应关系。安全要求-设备-防火墙-配置-2开启记录VPN日志，记录VPN访问登陆、退出等信息。安全要求-设备-防火墙-配置-3配置记录流量日志，记录通过防火墙的网络连接的信息。安全要求-设备-防火墙-配置-4配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。安全要求-设备-防火墙-配置-5配置日志容量告警阈值，在日志数达到日志容量的75%时产生告警。安全要求-设备-防火墙-配置-6配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。5.3. 告警配置要求编号内容安全要求-设备-防火墙-配置-7配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。安全要求-设备-防火墙-配置-8配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。安全要求-设备-防火墙-配置-9配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警。安全要求-设备-防火墙-配置-10-可选配置DOS和DDOS攻击防护功能。对DOS和DDOS攻击告警。维护人员应根据网络环境调整DDOS的攻击告警的参数。安全要求-设备-防火墙-配置-11-可选配置扫描攻击检测功能。对网络和主机扫描探测行为告警。维护人员应根据网络环境调整扫描攻击告警的参数。安全要求-设备-防火墙-配置-12-可选配置关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。安全要求-设备-防火墙-配置-13-可选配置病毒防护选项，对蠕虫等病毒传播时的攻击流量进行过滤。5.4. 安全策略配置要求编号内容安全要求-设备-防火墙-配置-14防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。安全要求-设备-防火墙-配置-15在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。安全要求-设备-防火墙-配置-16对于访问规则的排列，应当遵从范围由小到大的排列规则。安全要求-设备-防火墙-配置-17对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。安全要求-设备-防火墙-配置-18访问规则必须按照一定的规则进行分组。安全要求-设备-防火墙-配置-19配置NAT地址转换，对互联网隐藏内网主机的实际地址。安全要求-设备-防火墙-配置-20隐藏防火墙字符管理界面的bannner信息。安全要求-设备-防火墙-配置-21应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。安全要求-设备-防火墙-配置-22防火墙设备必须关闭非必要服务。安全要求-设备-防火墙-配置-23防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护，需要及时更新版本或者撤换。5.5. 攻击防护配置要求编号内容安全要求-设备-防火墙-配置-24配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。 安全要求-设备-防火墙-配置-25对于防火墙各逻辑接口配置开启防源地址欺骗功能。5.6. 设备其他安全要求编号内容安全要求-设备-防火墙-配置-26-可选对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。如网管系统需要开放，可不考虑。安全要求-设备-防火墙-配置-27-可选使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。安全要求-设备-防火墙-配置-28-可选对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置ACL6. 编制历史版本号更新时间主要内容或重大修改1.0.02008-02-130.9.9版本1.0.12008-10-091.0.0版本 评审并修改附录本规范引用中国移动设备通用设备安全功能和配置规范中设备配置要求的情况如下：编号采纳意见补充说明安全要求-设备-通用-配置-1-可选完全采纳应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。安全要求-设备-通用-配置-2-可选完全采纳应删除或锁定与设备运行、维护等工作无关的账号。安全要求-设备-通用-配置-4完全采纳对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。安全要求-设备-通用-配置-5完全采纳对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。安全要求-设备-通用-配置-7-可选完全采纳对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。安全要求-设备-通用-配置-9完全采纳在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。安全要求-设备-通用-配置-12完全采纳设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。安全要求-设备-通用-配置-13-可选完全采纳设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。安全要求-设备-通用-配置-14-可选完全采纳设备应配置日志功能，记录对与设备相关的安全事件。安全要求-设备-通用-配置-16-可选完全采纳对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。安全要求-设备-通用-配置-17-可选完全采纳对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。安全要求-设备-通用-配置-19-可选完全采纳对于具备字符交互界面的设备，应配置定时账户自动登出。安全要求-设备-通用-配置-20-可选完全采纳对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。安全要求-设备-通用-配置-24-可选完全采纳设备应配置日志功能，记录对与设备相关的安全事件。安全要求-设备-通用-配置-27-可选完全采纳对于具备consol口的设备，应配置consol口密码保护功能。本规范引用中国移动设备通用设备安全功能和配置规范中设备功能要求的情况如下：编号采纳意见内容安全要求-设备-通用-功能-1 完全采纳支持按用户分配账号。安全要求-设备-通用-功能-2 完全采纳与设备运行、维护等工作无关的账号，应能够删除或锁定。安全要求-设备-通用-功能-3完全采纳设备应能够限制允许远程登录的账号。安全要求-设备-通用-功能-4 完全采纳对于采用静态口令认证技术的设备，应支持数字、小写字母、大写字母和特殊符号4类字符构成的口令。应支持配置口令复杂度。在配置了复杂度后，设备自动拒绝用户设置不符合复杂度要求的口令。安全要求-设备-通用-功能-5完全采纳对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能。在配置了口令生存期后，设备在口令超过生存期的用户登录时，应提示并强迫该用户设置新口令。安全要求-设备-通用-功能-7完全采纳对于采用静态口令认证技术的设备，应支持配置用户连续认证失败次数上限。当用户连续认证失败次数超过上限时，设备自动锁定该用户账号。必须由其他账号，通常为具有管理员权限的账号，才可以解除该账号锁定。安全要求-设备-通用-功能-9-可选完全采纳设备应支持对不同用户授予不同权限。安全要求-设备-通用-功能-12完全采纳设备日志应支持对用户登录/登出进行记录。记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。安全要求-设备-通用-功能-13-可选完全采纳设备日志应支持记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。安全要求-设备-通用-功能-14-可选完全采纳设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。安全要求-设备-通用-功能-15-可选完全采纳对于具备TCP/UDP协议功能的设备，应支持列出当前开放端口列表以及设备和其他设备连接情况。安全要求-设备-通用-功能-16-可选完全采纳对于具备TCP/UDP协议功能的设备，应支持配置基于源IP地址、目的IP地址、通信协议类型（如TCP、UDP、ICMP）、源端口、目的端口的流量过滤。安全要求-设备-通用-功能-17-可选完全采纳对于通过IP协议进行远程维护的设备，设备应支持使用SSH等加密协议。安全要求-设备-通用-功能-19-可选完全采纳对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。安全要求-设备-通用-功能-20-可选完全采纳对于具备图形界面（含WEB界面）的设备，应支持手动和定时自动屏幕锁定。锁屏后需再次进行身份认证后才能解除屏幕锁定。安全要求-设备-通用-功能-21完全采纳对于采用静态口令认证技术的设备，必须支持口令修改，口令修改后不影响设备中业务的正常使用。安全要求-设备-通用-功能-22完全采纳对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。安全要求-设备-通用-功能-24完全采纳设备日志应支持记录与设备相关的安全事件。安全要求-设备-通用-功能-26-可选完全采纳设备应具备通过补丁升级消除软件安全漏洞的能力。安全要求-设备-通用-功能-27-可选完全采纳对于具备consol口的设备，应配置consol口密码保护功能。