中国移动NETSCREEN防火墙安全配置规范.doc

《中国移动NETSCREEN防火墙安全配置规范.doc》由会员分享，可在线阅读，更多相关《中国移动NETSCREEN防火墙安全配置规范.doc（27页珍藏版）》请在三一办公上搜索。

1、中国移动NETSCREEN防火墙安全配置规范安全配置规范Specification for NETSCREEN FireWall Configuration Used in China Mobile版本号：. -实施-发布中国移动通信有限公司网络部1概述31.1适用范围31.2内部适用性说明31.3外部引用说明41.4术语和定义51.5符号和缩略语52NETSCREEN防火墙设备安全配置要求52.1直接引用通用规范的配置要求52.2日志配置要求112.3告警配置要求142.4安全策略配置要求182.5攻击防护配置要求232.6设备其它安全要求243编制历史25附录26前言为了贯彻安全三同步的要

2、求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准明确了NETSCREEN防火墙的配置要求。本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。本标准起草单位：中国移动通信有限公司网路部、中国移动通信集团上海、江苏有限公司。本标准解

3、释单位：同提出单位。本标准主要起草人：刘金根、石磊、程晓鸣、周智、曹一生。1 概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的NETSCREEN防火墙。本规范明确了NETSCREEN防火墙安全配置方面的基本要求。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的NETSCREEN防火墙安全配置要求。以下分项列出本规范对通用规范设备配置要求的修订情况：设备通用安全配置要求编号采纳意见备注安全要求-设备-通用-配置-1-可选完全采纳安全要求-设备-通用-配置-2-可选完全采纳安全要求-设备-通用-配置-3-

4、可选不采纳防火墙无法在远程登陆时通过切换用户提升权限安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5不采纳防火墙硬件不能实现安全要求-设备-通用-配置-6-可选不采纳对应不采纳“安全要求-设备-通用-功能-6”安全要求-设备-通用-配置-7-可选不采纳防火墙硬件不能实现安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选完全采纳安

5、全要求-设备-通用-配置-20-可选完全采纳安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-27-可选完全采纳本规范新增的安全配置要求，如下：安全要求-设备-NETSCREEN防火墙-配置-1安全要求-设备-NETSCREEN防火墙-配置-2安全要求-设备-NETSCREEN防火墙-配置-3安全要求-设备-NETSCREEN防火墙-配置-4安全要求-设备-NETSCREEN防火墙-配置-5安全要求-设备-NETSCREEN防火墙-配置-6安全要求-设备-NETSCREEN防火墙-配置-7安全要求-设备-NETSCREEN防火墙-配置-8安全要求-设备-NETSCREE

6、N防火墙-配置-9安全要求-设备-NETSCREEN防火墙-配置-10-可选安全要求-设备-NETSCREEN防火墙-配置-11-可选安全要求-设备-NETSCREEN防火墙-配置-12-可选安全要求-设备-NETSCREEN防火墙-配置-13-可选安全要求-设备-NETSCREEN防火墙-配置-14安全要求-设备-NETSCREEN防火墙-配置-15安全要求-设备-NETSCREEN防火墙-配置-16安全要求-设备-NETSCREEN防火墙-配置-17安全要求-设备-NETSCREEN防火墙-配置-18安全要求-设备-NETSCREEN防火墙-配置-19安全要求-设备-NETSCREEN防火

7、墙-配置-20安全要求-设备-NETSCREEN防火墙-配置-22安全要求-设备-NETSCREEN防火墙-配置-23安全要求-设备-NETSCREEN防火墙-配置-24安全要求-设备-NETSCREEN防火墙-配置-25安全要求-设备-NETSCREEN防火墙-配置-26-可选安全要求-设备-NETSCREEN防火墙-配置-27-可选安全要求-设备-NETSCREEN防火墙-配置-28-可选本规范还针对直接引用通用规范的配置要求，给出了在NETSCREEN防火墙上的具体配置方法和检测方法。1.3 外部引用说明下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有

8、的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。1QB-中国移动设备通用安全功能和配置规范1.0版中国移动通信有限公司2QB-中国移动防火墙功能和配置规范1.0版中国移动通信有限公司3Network Security Checklist-firewall Version 7 Release 1.2DOD1.4 术语和定义下列术语、定义和缩略语适用于本标准：词语解释Firewall 防火墙1.5 符号和缩略语缩写英文描述中文描述2 NETSCREEN防火墙设备安全配置要求2.

9、1 直接引用通用规范的配置要求编号：安全要求-设备-通用-配置-1-可选要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1参考配置操作新建用户：NetScreen- set admin user user1 password user123NetScreen- set admin user user2 password user123NetScreen- save2补充操作说明检测方法1.判定条件I. 配置文件存在多帐号2.检测操作查看配置：NetScreen- get configset admin user user1 password

10、nEJ/NqrIDN/EcWxGmsdBB2AtkNKBvnset admin user user2 password nDbuCtrzCciDck8NosFBHaOt02BnYn编号：安全要求-设备-通用-配置-2-可选要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1参考配置操作删除用户：NetScreen- unset admin user user1NetScreen- save2补充操作说明检测方法1.判定条件I. 网络管理员确认所有帐号与设备运行、维护等工作有关2.检测操作查看配置：NetScreen- get configset admin user user2 p

11、assword nDbuCtrzCciDck8NosFBHaOt02BnYn编号：安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1参考配置操作通过外部radius认证服务器来满足口令的要求NetScreen-set auth-server radius1 type radiusNetScreen-set auth-server radius1 account-type auth l2tp xauthNetScreen-set auth-server radius1 server-name

12、10.20.1.100 NetScreen-set auth-server radius1 forced-timeout 60NetScreen-set auth-server radius1 timeout 30NetScreen-set auth-server radius1 radius port 4500NetScreen-set auth-server radius1 radius timeout 4NetScreen-set auth-server radius1 radius secret A56htYY97klNetScreen-save2补充操作说明检测方法1.判定条件2.检

13、测操作查看配置：NetScreen- get auth-server编号：安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1参考配置操作NetScreen- set admin user user1 password user123 privilege allNetScreen- set admin user user2 password user123 privilege read-onlyNetScreen- save2补充操作说明检测方法1.判定条件2.检测操作查看配置：NetScreen- get config set ad

14、min user user1 password nEJ/NqrIDN/EcWxGmsdBB2AtkNKBvn privilege allset admin user user2 password nDbuCtrzCciDck8NosFBHaOt02BnYn privilege read-only编号：安全要求-设备-通用-配置-12要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1参考配置操作记录常规（包括由 admin 发起的配置更改）及更高级别的日志NetScreen- set log mo

15、dule system level notificationNetScreen- save2补充操作说明检测方法1.判定条件记录了相关日志信息2.检测操作查看日志：NetScreen- get event level notificationTotal event entries = 1629Date Time Module Level Type Description2009-12-23 19:48:17 system notif 00002 Admin user operator logged out for Web(http) management (port 80) from 116.

16、237.66.132:1541编号：安全要求-设备-通用-配置-13-可选要求内容设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。操作指南1参考配置操作记录常规（包括由 admin 发起的配置更改）及更高级别的日志NetScreen- set log module system level notificationNetScreen- save2补充操作说明检测方法1.判定条件记录了相关日志信息2.检测操作查看日

17、志：NetScreen- get event level notification编号：安全要求-设备-通用-配置-14-可选要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1参考配置操作记录常规（包括由 admin 发起的配置更改）及更高级别的日志NetScreen- set log module system level notificationNetScreen- save 2补充操作说明检测方法1.判定条件记录了相关日志信息2.检测操作查看日志：NetScreen- get event level notificationTotal event entries = 16

18、29Date Time Module Level Type Description2009-12-11 14:11:44 system notif 00513 The physical state of interface v1-trust has changed to Up编号：安全要求-设备-通用-配置-16-可选要求内容对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1参考配置操作NetScreen- set policy id 9 from V1-Untr

19、ust to V1-Trust Any 211.152.33.150 1710 permit log NetScreen- set policy id 7 from V1-Untrust to V1-Trust Any 211.152.33.0 8005 permit log NetScreen- save2补充操作说明检测方法1.判定条件2.检测操作查看配置：NetScreen- get policy allTotal regular policies 9, Default deny. ID From To Src-address Dst-address Service Action Sta

20、te ASTLCB 9 V1-Untr V1-Trust Any 211.152.33. 1710 Permit enabled -X-X 7 V1-Untr V1-Trust Any 211.152.33. 8005 Permit enabled -X-X编号：安全要求-设备-通用-配置-17-可选要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。操作指南1参考配置操作NetScreen- set ssh enableNetScreen- set ssh version v2NetScreen- save2补充操作说明检测方法1.判定条件I. 远程访问使用ssh方式

21、2.检测操作查看配置：NetScreen- get ssh SSH V2 is activeSSH is enabled编号：安全要求-设备-通用-配置-19-可选要求内容对于具备字符交互界面的设备，应配置定时账户自动登出。操作指南1参考配置操作NetScreen- set CLI idle-timeout 1 NetScreen- save2补充操作说明Idle timeout set to 1 minute检测方法1.判定条件I. 超时登录自动退出2.检测操作查看配置：NetScreen- get config 编号：安全要求-设备-通用-配置-20-可选要求内容对于具备图形界面（含WEB

22、界面）的设备，应配置定时自动屏幕锁定。操作指南1参考配置操作NetScreen-set admin auth timeout 3NetScreen-set auth-server Local timeout 3NetScreen-save2补充操作说明检测方法1.判定条件I. 超时登录自动退出2.检测操作查看配置：NetScreen- get config set admin auth timeout 0set auth-server Local timeout 30 编号：安全要求-设备-通用-配置-27-可选要求内容对于具备consol口的设备，应配置consol口密码保护功能。操作指南1

23、参考配置操作修改默认口令Netscreen/NetscreenNetScreen- set admin user Netscreen password werw112j2 NetScreen- save2补充操作说明检测方法1.判定条件I. Consol口登录需要口令2.检测操作查看配置：NetScreen- get config 2.2 日志配置要求编号：安全要求-设备-NETSCREEN防火墙-配置-1要求内容开启记录NAT日志，记录转换前后IP地址的对应关系。操作指南1参考配置操作记录常规（包括由 admin 发起的配置更改）及更高级别的日志NetScreen- set log modu

24、le system level notificationNetScreen- save 2补充操作说明检测方法1.判定条件记录了相关日志信息2.检测操作查看配置：NetScreen- get config 编号：安全要求-设备-NETSCREEN防火墙-配置-2要求内容开启记录VPN日志，记录VPN访问登陆、退出等信息。操作指南1参考配置操作记录常规（包括由 admin 发起的配置更改）及更高级别的日志NetScreen- set log module system level notificationNetScreen- save 2补充操作说明检测方法1.判定条件记录了相关日志信息2.检测

25、操作查看配置：NetScreen- get config 编号：安全要求-设备-NETSCREEN防火墙-配置-3要求内容配置记录流量日志，记录通过防火墙的网络连接的信息。操作指南1参考配置操作对允许通过防火墙的策略启用记录选项允许由 Untrust 区段内任何地址发往 DMZ 区段内名为web1 的 Web 服务器的 Telnet 流量，并记录日志NetScreen- set policy from untrust to dmz any web1 telnet permit log NetScreen- save 2补充操作说明检测方法1.判定条件记录了相关日志信息2.检测操作查看配置：Ne

26、tScreen- get config 编号：安全要求-设备-NETSCREEN防火墙-配置-2要求内容配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。操作指南1参考配置操作对拒绝的策略启用记录选项：拒绝由 Untrust 区段内任何地址发往 DMZ 区段内名为web1 的 Web 服务器的 Telnet 流量，并记录日志NetScreen- set policy from untrust to dmz any web1 telnet deny log NetScreen- save启用 self 日志NetScreen-set firewall log-self2补充操作说明检测方法1.判定

27、条件记录了相关日志信息2.检测操作查看配置：NetScreen- get config 编号：安全要求-设备-NETSCREEN防火墙-配置-2要求内容配置日志容量告警阈值，在日志数达到日志容量的75%时产生告警。操作指南1参考配置操作通过 TCP 将事件和流量日志发送到系统日志服务器：1.1.1.1，端口号1514。将安全级别和设备级别都设置为 Local0。 NetScreen- set syslog config 1.1.1.1 port 1514NetScreen- set syslog config 1.1.1.1 log allNetScreen- set syslog confi

28、g 1.1.1.1 facilities local0 local0NetScreen- set syslog config 1.1.1.1 transport tcpNetScreen- set syslog enableNetScreen- save 2补充操作说明通过外部日志器来满足容量的要求检测方法1.判定条件2.检测操作查看配置：NetScreen- get config 编号：安全要求-设备-NETSCREEN防火墙-配置-2要求内容配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统

29、。操作指南1参考配置操作记录常规（包括由 admin 发起的配置更改）及更高级别的日志NetScreen- set log module system level notificationNetScreen- save通过 TCP 将事件和流量日志发送到系统日志服务器：1.1.1.1，端口号1514。将安全级别和设备级别都设置为 Local0。 NetScreen- set syslog config 1.1.1.1 port 1514NetScreen- set syslog config 1.1.1.1 log allNetScreen- set syslog config 1.1.1.1

30、 facilities local0 local0NetScreen- set syslog config 1.1.1.1 transport tcpNetScreen- set syslog enableNetScreen- save2补充操作说明检测方法1.判定条件记录了相关日志信息2.检测操作查看配置：NetScreen- get config 2.3 告警配置要求 编号：安全要求-设备-NETSCREEN防火墙-配置-7要求内容配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。操作指南1参考配置操作NetScreen-set zone untrust screen alar

31、m-without-dropNetScreen- set zone trust screen alarm-without-dropNetScreen- save2补充操作说明检测方法1.判定条件I. 查看告警记录2.检测操作查看配置信息NetScreen- get config编号：安全要求-设备-NETSCREEN防火墙-配置-8要求内容配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。操作指南1参考配置操作NetScreen-set zone untrust screen alarm-without-dropNetScreen-set zone untrust s

32、creen ip-record-routeNetScreen- set zone untrust screen ip-security-optNetScreen- set zone untrust screen ip-timestamp-optNetScreen- save2补充操作说明检测方法1.判定条件I. 查看告警记录2.检测操作查看配置信息NetScreen- get configset zone untrust screen alarm-without-dropset zone untrust screen ip-record-routeset zone untrust screen

33、 ip-security-optset zone untrust screen ip-timestamp-opt编号：安全要求-设备-NETSCREEN防火墙-配置-9要求内容配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警。操作指南1参考配置操作NetScreen-set zone untrust screen alarm-without-dropNetScreen-set zone untrust screen ip-record-routeNetScreen- set zone untrust screen ip-security-optNetScreen- s

34、et zone untrust screen ip-timestamp-optNetScreen- save2补充操作说明检测方法1.判定条件I. 查看告警记录2.检测操作进入Netscreen防火墙的操作系统WebUI界面选择菜单Security Screening Screen，在Zone选项中选择Untrust 编号：安全要求-设备-NETSCREEN防火墙-配置-10-可选要求内容配置DOS和DDOS攻击防护功能。对DOS和DDOS攻击告警。维护人员应根据网络环境调整DDOS的攻击告警的参数。操作指南1参考配置操作基于源的会话限制，将基于源的会话限值设置为可能的最低值: 1个会话。对于

35、 Trust区段，将源会话数最大限值设置为 80个并发会话。NetScreen-set zone dmz screen limit-session source-ip-based 1NetScreen-set zone dmz screen limit-session source-ip-basedNetScreen-set zone trust screen limit-session source-ip-based 80NetScreen-set zone trust screen limit-session source-ip-basedNetScreen-save基于目标的会话限制，将

36、新会话限值设置为 4000 个并发会话。NetScreen-set zone untrust screen limit-session destination-ip-based 4000NetScreen-set zone untrust screen limit-session destination-ip-basedNetScreen-save主动加速超时会话，设置主动加速超时过程当会话表充满 80% 以上的容量 ( 高位临界值) 时，安全设备将所有会话的超时时间减少 40 秒，并开始对最早的会话进行主动加速超时，直到会话表中的会话数目小于 70% 的容量 ( 低位临界值)。NetScre

37、en-set flow aging low-watermark 70NetScreen-set flow aging high-watermark 80NetScreen-set flow aging early-ageout 4NetScreen-save2补充操作说明检测方法1.判定条件I. 查看告警记录2.检测操作查看配置信息NetScreen-get config编号：安全要求-设备-NETSCREEN防火墙-配置-11-可选要求内容配置扫描攻击检测功能。对网络和主机扫描探测行为告警。维护人员应根据网络环境调整扫描攻击告警的参数。操作指南1参考配置操作封锁在特定的安全区段内始发的 IP

38、 地址扫描：NetScreen-set zone zone screen ip-sweep threshold numberNetScreen-set zone zone screen ip-sweepNetScreen-save封锁在特定的安全区段内始发的端口扫描：NetScreen-set zone zone screen port-scan threshold numberNetScreen-set zone zone screen port-scanNetScreen-save2补充操作说明threshold缺省值是 5000 微秒。检测方法1.判定条件I. 查看告警记录2.检测操作查

39、看配置信息NetScreen-get config编号：安全要求-设备-NETSCREEN防火墙-配置-12-可选要求内容配置关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。操作指南1参考配置操作URL过滤NetScreen-set zone untrust screen mal-url perl scripts/perl.exe 14NetScreen-set zone untrust screen mal-url cmf cgi-bin/phf 11NetScreen-set zone untrust screen mal-url dll 21

40、0.1.1.5/msadcs.dll 18NetScreen-set zone untrust reassembly-for-algNetScreen-save垃圾邮件过滤NetScreen-set anti-spam profile ns-profileNetScreen-set policy from untrust to trust any mail-server SMTP permit log anti-spamns-profileNetScreen-save2补充操作说明检测方法1.判定条件I. 包含以上条件的被过滤2.检测操作查看配置文件NetScreen-get config编号

41、：安全要求-设备-NETSCREEN防火墙-配置-13-可选要求内容配置病毒防护选项，对蠕虫等病毒传播时的攻击流量进行过滤。操作指南1参考配置操作基本的流行病毒扫描NetScreen-set av scan-mgr pattern-type itwNetScreen-save扩展的扫描NetScreen-set av scan-mgr pattern-type extendedNetScreen-save2补充操作说明内嵌扫描引擎是 Juniper-Kaspersky 扫描引擎检测方法1.判定条件2.检测操作查看配置：NetScreen- get configset av scan-mgr p

42、attern-type itwset av scan-mgr pattern-type extended2.4 安全策略配置要求编号：安全要求-设备-NETSCREEN防火墙-配置-14要求内容防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。操作指南1参考配置操作NetScreen- set policy id 9 from V1-Untrust to V1-Trust Any 211.152.33.150 1710 permit logNetScreen- set policy id 100 from V1-Untrust to V1-Trust any any any denyNe

43、tScreen- save2补充操作说明检测方法1.判定条件2.检测操作查看配置：NetScreen- get policy allTotal regular policies 9, Default deny. ID From To Src-address Dst-address Service Action State ASTLCB 9 V1-Untr V1-Trust Any 211.152.33. 1710 Permit enabled -X-X100 V1-Untr V1-Trust Any Any Any Deny enabled -X-X编号：安全要求-设备-NETSCREEN防火墙-配置-15要求内容