中国移动华为防火墙安全配置规范.doc

《中国移动华为防火墙安全配置规范.doc》由会员分享，可在线阅读，更多相关《中国移动华为防火墙安全配置规范.doc（20页珍藏版）》请在三一办公上搜索。

1、 中国移动华为防火墙配置规范Specification for HUAWEI Firewall Configuration Used in China Mobile 版本号：1.0.0-实施-发布中国移动通信有限公司网络部目录1.范围12.规范性引用文件13.术语、定义和缩略语14.防火墙功能和配置要求14.1.引用说明14.2.日志配置要求44.3.告警配置要求64.4.安全策略配置要求94.5.攻击防护配置要求134.6.虚拟防火墙配置要求144.7.设备其他安全要求145.编制历史17前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置

2、要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准明确了华为防火墙的配置要求。本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团重庆、江苏有限公司。本标准解释单位：同提出单位。本标准主要起草人：韩治宁、石磊、来晓阳、周智、曹一生。1. 范围本标准规

3、定了华为防火墙的配置要求，供中国移动内部和厂商共同使用；适用于中国移动通信网、业务系统和支撑系统的防火墙。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。表2-11QB-中国移动设备通用安全功能和配置规范中国移动通信有限公司2QB-中国移动操作系统安全功能规范中国移动通信有限公司3QB-中国移动路由器安全功能规范中国移动通信有限公司4Network Security Ch

4、ecklist-firewall Version 7 Release 1.2DOD3. 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：表3-1词语解释Firewall 防火墙4. 防火墙功能和配置要求4.1. 引用说明本规范引用中国移动设备通用设备安全功能和配置规范中设备配置要求的情况如下：编号采纳意见补充说明安全要求-设备-通用-配置-1-可选完全采纳安全要求-设备-通用-配置-1-可选安全要求-设备-通用-配置-2-可选完全采纳安全要求-设备-通用-配置-3-可选不采纳安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选完

5、全采纳安全要求-设备-通用-配置-7-可选完全采纳安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选完全采纳安全要求-设备-通用-配置-20-可选完全采纳安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-27-可选完全采纳编号采纳意见补充说明安全要求-设备-通用-功能-1 完全采纳安全要求-设备-通用-功能-2 完全采纳安全

6、要求-设备-通用-功能-3部分采纳具备限制远程登录帐号功能的防火墙在不同厂家的具体产品的配置规范中说明安全要求-设备-通用-功能-4 部分采纳在具体产品配置规范中明确口令复杂度配置要求安全要求-设备-通用-功能-5部分采纳在具体产品配置规范中明确口令生存周期配置安全要求-设备-通用-功能-6不采纳安全要求-设备-通用-功能-7部分采纳锁定帐号设置由具体产品配置规范中明确安全要求-设备-通用-功能-9-可选部分采纳由具体产品配置规范中明确安全要求-设备-通用-功能-10-可选部分采纳由具体产品配置规范中明确安全要求-设备-通用-功能-11-可选不采纳安全要求-设备-通用-功能-12完全采纳安全要

7、求-设备-通用-功能-13-可选完全采纳安全要求-设备-通用-功能-14-可选完全采纳安全要求-设备-通用-功能-15-可选完全采纳安全要求-设备-通用-功能-16-可选完全采纳安全要求-设备-通用-功能-17-可选完全采纳安全要求-设备-通用-功能-18-可选不采纳安全要求-设备-通用-功能-19-可选完全采纳安全要求-设备-通用-功能-20-可选完全采纳安全要求-设备-通用-功能-21完全采纳安全要求-设备-通用-功能-22完全采纳安全要求-设备-通用-功能-24完全采纳安全要求-设备-通用-功能-26-可选部分采纳安全要求-设备-通用-功能-27-可选完全采纳本规范引用中国移动路由器设备

8、安全功能和配置规范中设备配置要求的情况如下：编号采纳意见补充说明安全要求-设备-路由器-功能-13完全采纳安全要求-设备-路由器-功能-14 完全采纳安全要求-设备-路由器-功能-15部分采纳在具体产品配置规范中明确路由策略和路由过滤功能4.2. 日志配置要求编号内容安全要求-设备-防火墙-配置-1设备应配置日志功能，记录对与防火墙设备自身相关的安全事件。1、参考配置操作info-center enable2、补充操作说明在系统模式下进行操作。1. 判定条件在日志缓存上正确记录了日志信息。2. 检测操作display logbuffer3. 补充说明无。安全要求-设备-防火墙-配置-2设备应配

9、置NAT日志纪录功能，记录转换前后IP地址的对应关系。防火墙如果开启vpn功能，应配置记录vpn日志记录功能，记录vpn访问登陆、退出等信息。1、参考配置操作Session log enable acl-number 2000 outboundFirewalll session log-type binary host 1 192.168.0.1 9002 2、补充操作说明Session log enable acl-numeber在域间配置Firewall session log-type binary 在全局模式下配置, 需要指明是第几个host，同时还要指定端口号1. 判定条件在日志服务

10、器上正确记录了日志信息。2. 补充说明无。安全要求-设备-防火墙-配置-3设备应配置流量日志纪录功能 1、参考配置操作Session log enable acl-number 2000 outboundFirewalll session log-type binary host 1 192.168.0.1 9002 2、补充操作说明Session log enable acl-numeber在域间配置Firewall session log-type binary 在全局模式下配置1. 判定条件在日志服务器上正确记录了日志信息。2. 补充说明无。安全要求-设备-防火墙-配置-4在防火墙设备的

11、日志容量达到75%时，防火墙可产生告警。并且有专门的程序将日志导出到专门的日志服务器。1、参考配置操作Session log enable acl-number 2000 outboundFirewalll session log-type binary host 1 192.168.0.1 90022、补充操作说明Session log enable acl-numeber在域间配置Firewall session log-type binary 在全局模式下配置1. 判定条件在日志服务器上正确记录了日志信息。2. 补充说明无日志容量告警，但可以将日志记录到日志服务器。安全要求-设备-防火墙

12、-配置-5防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。帐号解锁等信息1、参考配置操作info-center enable2、补充操作说明在系统模式下进行操作。4. 判定条件在日志缓存上正确记录了日志信息。5. 检测操作display logbuffer6. 补充说明无。4.3. 告警配置要求编号内容安全要求-设备-防火墙-配置-6设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。安全要求-设备-防火墙-配置-7-可选告警信息应被保留，直到被确认为止.安全要求-设备-防火墙-配置-8设备应配置告警功能，报告网络流量中对TCP/IP协

13、议网络层异常报文攻击的相关告警。对每一个告警项是否告警可由用户配置。安全要求-设备-防火墙-配置-9-可选设备应配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警，对每一个告警项是否告警可由用户配置。安全要求-设备-防火墙-配置-10-可选可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。1、参考配置操作Eudemon firewall zone dmzEudemon-zone-dmz add interface GigabitEthernet 1/0/0# 使能DMZ 域

14、入方向的IP 统计功能。Eudemon firewall zone dmzEudemon-zone-dmz statistic enable ip inzone# 打开SYN Flood 攻击防范功能全局开关。Eudemon-zone-trust quitEudemon firewall defend syn-flood enable# 配置对服务器10.110.1.1 进行SYN Flood 攻击防范，配置SYN 包的最大连接速率为500 包/秒，手工启动TCP 代理。Eudemon firewall defend syn-flood ip 10.110.1.1 max-rate 500 t

15、cp-proxy on2、补充操作说明statistic enable ip inzone E8000E无单方向域统计功能，E1000和E1000E有此功能1. 判定条件SYN Flood被阻止2. 补充说明该项功能需要基于强大的系统性能。防火墙在状态检测时，由于需要对数据包的内容进行检查，甚至上升到应用层的检查（判断访问的内容），因此，不管是否打开DDOS功能，DDOS攻击时都会使系统利用率大幅上升，甚至系统不可用。该项标准是为了实现对DDOS攻击的阻挡和记录，建议，基于目前防火墙的性能和工作模式，可以采用专业的抗DDOS攻击系统来完成这个工作，或者在核心网络启用netflow，由统一的采集

16、系统记录并告警。安全要求-设备-防火墙-配置-11-可选可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警。1、参考配置操作# 使能untrust 域出方向的IP 统计功能。Eudemon firewall zone untrustEudemon-zone-untrust statistic enable ip outzone# 配置地址扫描攻击检测，配置最大扫描速率为1000 包/秒，加入黑名单时间为5 分钟。Eudemon-zone-untrust quitEudemon firewall defen

17、d ip-sweep max-rate 1000Eudemon firewall defend ip-sweep blacklist-timeout 5Eudemon firewall defend ip-sweep enable 2、补充操作说明statistic enable ip inzone E8000E无单方向域统计功能，E1000和E1000E有此功能1. 判定条件扫描攻击被阻止2. 补充说明无安全要求-设备-防火墙-配置-12-可选如防火墙具备关键字内容过滤功能，可打开该功能，在HTTP，SMTP，POP3等协议中对用户设定的关键字进行过滤。安全要求-设备-防火墙-配置-13-可

18、选如防火墙具备网络病毒防护功能。可打开病毒防护，对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块，需要在安全策略配置中首先关注对常见病毒流量的端口的封堵1、参考配置操作acl number 3001 rule 5 deny tcp destination-port eq 4444 rule 10 deny udp destination-port eq tftp rule 15 deny tcp destination-port eq 135 rule 20 deny udp destination-port eq 135 rule 25 deny udp destination-por

19、t eq netbios-ns rule 30 deny udp destination-port eq netbios-dgm rule 35 deny tcp destination-port eq 139 rule 40 deny udp destination-port eq netbios-ssn rule 45 deny tcp destination-port eq 445 rule 50 deny udp destination-port eq 445 rule 55 deny udp destination-port eq 593 rule 60 deny tcp desti

20、nation-port eq 593 rule 65 deny tcp destination-port eq 5554 2、补充操作说明无1. 判定条件相关病毒端口无法访问2. 补充说明无4.4. 安全策略配置要求编号内容安全要求-设备-防火墙-14-配置所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。1、参考配置操作acl number 3500 description used trust untrust inbound rule 3 permit tcp destination-port eq ftp-data rule 4 permit tcp destination-por

21、t eq ftp rule 5 deny ip 2、补充操作说明无1. 判定条件除被允许的业务外，其它流量被阻止2. 补充说明无安全要求-设备-防火墙-15-配置在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。1、参考配置操作acl number 3500 description used trust untrust inbound rule 3 permit tcp destination-port eq ftp-data rule 4 permit tcp destination-port eq ftp rule 5 deny ip 2、补充操作说明无1

22、. 判定条件除被允许的业务外，其它流量被阻止2. 补充说明无安全要求-设备-防火墙-16-配置对于访问规则的排列，应当遵从范围由小到大的排列规则。应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。1、参考配置操作acl number 3500 description used trust untrust inbound rule 3 permit tcp destination-port eq ftp-data rule 4 permit tcp destination-port eq ftp rule 5 deny ip 2、补充操作说明无1. 判定条件除被允

23、许的业务外，其它流量被阻止2. 补充说明无安全要求-设备-防火墙-17-配置在进行重大配置修改前，必须对当前配置进行备份。1、参考配置操作save 2、补充操作说明无1. 判定条件配置文件被保存到flash或是硬盘上2. 补充说明无安全要求-设备-防火墙-18-配置对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。安全要求-设备-防火墙-19-配置访问规则必须按照一定的规则进行分组。安全要求-设备-防火墙-20-配置配置NAT，对公网隐藏局域网主机的实际地址。1、参考配置操作# 配置地址池和访问控制列表。Eudemon nat address-g

24、roup 1 202.169.10.2 202.169.10.6Eudemon acl number 2001Eudemon-acl-basic-2001 rule 0 permit source 10.110.10.0 0.0.0.255Eudemon-acl-basic-2001 rule 1 deny source 10.110.0.0 0.0.255.255Eudemon quit# 将访问控制列表和地址池关联，允许10.110.10.0/24 网段报文进行地址转换（注意：为能够地址复用，不使用no-pat 参数）。Eudemon firewall interzone trust un

25、trustEudemon-interzone-trust-untrust nat outbound 2001 address-group 12、补充操作说明NAT模式并不是绝对的，NAT对网络资源的消耗大于透明模式，并且，1对1的NAT，维护人员需要管理两个地址段的信息（私网和公网），增加了管理难度，如果是动态映射，更需要记录地址映射的对应关系，也增加了难度。其实透明模式和NAT模式一样，都是打开公网地址的某端口让外网访问，不管是NAT还是透明模式，只要主机的这个端口存在漏洞，被入侵的概率是一样的，NAT模式反而加大了防火墙的负荷（当然，除了老版本的PIX防火墙以外，它只支持NAT模式）。建议

26、，在不需要内部通信的情况下，不用NAT，而用透明模式。比如放在公网上的web服务器（不需要与内部系统进行信息交互的情况），甚至是用户的自服务器（用户通过公网登录修改个人信息，密码等。而此服务器也通过公网地址和数据库交互信息，数据库防火墙只开放该以服务器为源地址的某个数据业务访问权限。否则该服务器一旦被入侵，黑客就可以直接访问内部设备）1. 判定条件可以正常通过NAT访问外部网络2. 补充说明无安全要求-设备-防火墙-21-配置隐藏防火墙字符管理界面的bannner信息1、参考配置操作header shell information fChina-mobilef2、补充操作说明把管理界面的ban

27、ner改为China-mobile1. 判定条件登录是可以看到China-mobile的banner2. 补充说明无安全要求-设备-防火墙-22-配置应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。安全要求-设备-防火墙-23-配置防火墙设备必须关闭非必要服务。1、参考配置操作Undo ftp server 2、补充操作说明其它服务可采用undo方式关闭1. 判定条件无法访问防火墙的FTP2. 补充说明无安全要求-设备-防火墙-24-配置防火墙的系统和软件版本必须处于厂家维护期，并且维护人员

28、必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护，需要及时更新版本或者撤换。见版本升级指导4.5. 攻击防护配置要求编号内容安全要求-设备-防火墙-25-配置对于常见系统漏洞对应端口，应当进行端口的关闭配置。参考配置操作acl number 3001 rule 5 deny tcp destination-port eq 4444 rule 10 deny udp destination-port eq tftp rule 15 deny tcp destination-port eq 135 rule 20 deny udp destination-port eq 13

29、5 rule 25 deny udp destination-port eq netbios-ns rule 30 deny udp destination-port eq netbios-dgm rule 35 deny tcp destination-port eq 139 rule 40 deny udp destination-port eq netbios-ssn rule 45 deny tcp destination-port eq 445 rule 50 deny udp destination-port eq 445 rule 55 deny udp destination-

30、port eq 593 rule 60 deny tcp destination-port eq 593 rule 65 deny tcp destination-port eq 5554 2、补充操作说明无1. 判定条件相关病毒端口无法访问2. 补充说明无安全要求-设备-防火墙-26-配置限制ICMP包的大小，以及一段时间内同一IP地址主机发送ICMPECHO Request报文的次数。安全要求-设备-防火墙-27-配置对于防火墙各逻辑接口需要开启防源地址欺骗功能。安全要求-设备-防火墙-28-配置-可选对于有固定模式串的攻击，在应急时可开启基于正则表达式的模式匹配的功能。安全要求-设备-防

31、火墙-29-配置回环地址（lookback address）一般用于本机的IPC通讯，防火墙必须阻断含有回环地址(lookback address)的流量。不支持4.6. 虚拟防火墙配置要求编号内容安全要求-设备-防火墙-30-配置-可选可划分成多个虚拟防火墙系统，每个虚拟系统都是一个唯一的安全域，拥有其自己的管理员进行管理，管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口。4.7. 设备其他安全要求编号内容安全要求-设备-防火墙-31-配置-可选对于外网口地址，关闭对ping包的

32、回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。如网管系统需要开放，可不考虑。1、参考配置操作acl number 3500 rule 3 deny icmp rule 4 permit ip 2、补充操作说明需在untrust区域至Local区域入方向使用ACL安全要求-设备-防火墙-32-配置-可选使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。1、参考配置操作snmp-agent sys-info version V3# 配置团体名和访问权限。Eude

33、mon snmp-agent community read publicEudemon snmp-agent community write private# 配置管理员标识、联系方法以及防火墙物理位置。Eudemon snmp-agent sys-info contact Mr.Wang-Tel:3306Eudemon snmp-agent sys-info location telephone-closet,3rd-floor# 允许向网管工作站（NMS）129.102.149.23 发送Trap 报文，使用的团体名为public。Eudemon snmp-agent trap enabl

34、eEudemon snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public 2、补充操作说明无1. 判定条件网管可以正常管理2. 补充说明无安全要求-设备-防火墙-33-配置-可选对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置ACL1、参考配置操作配置Telnet 登录用户名/口令。Eudemon aaaEudemon-aaa local-user telnetuser password simp

35、le te!netuser12Eudemon-aaa local-user telnetuser service-type telnet本地AAA 认证，及Telnet 登录认证（即VTY 虚拟线认证）。Eudemon-aaa authentication-scheme telnetuserEudemon-aaa-authen-telnetuser authentication-mode local radiusEudemon-aaa-authen-telnetuser quitEudemon-aaa quitEudemon user-interface vty 0 4Eudemon-ui-v

36、ty0-4 authentication-mode aaa配置ACL 规则，并在Untrust 和Local 区域间入方向应用ACL 规则。Eudemon acl number 3101Eudemon-acl-adv-3101 rule permit tcp source 30.3.3.3 0 destination 10.1.1.1 0Eudemon-acl-adv-3101 quitEudemon firewall interzone untrust localEudemon-interzone-local-untrust packet-filter 3101 inbound2、补充操作说

37、明无1. 判定条件对于不在ACL允许范围内的IP地址，无法登录2. 补充说明无安全要求-设备-防火墙-34-配置-可选在已经部署4A系统的环境中，可以对防火墙帐户进行4A的认证和审计。1、参考配置操作# 配置RADIUS 服务器模板。Eudemon radius-server template shiva# 配置RADIUS 主认证服务器和端口。Eudemon-radius-shiva radius-server authentication 129.7.66.66 1812# 配置RADIUS 服务器密钥、重传次数。Eudemon-radius-shiva radius-server sha

38、red-key my-secretEudemon-radius-shiva radius-server retransmit 2# 进入AAA 视图。Eudemon aaa# 配置认证方案，认证方法为先radius 后none。Eudemonaaa authentication-scheme r-nEudemon-aaa-authen-l-r authentication-mode radius none# 配置huawei 域，在域下采用r-n 认证方案、缺省的计费方案（不计费），shiva 的radius 模板。Eudemon-aaa domain defaultEudemon-aaa-domain-default authentication-scheme r-nEudemon-aaa-domain-default radius-server shiva2、补充操作说明无3. 判定条件在Radius在认证无法通过，则用户无法登录4. 补充说明无5. 编制历史版本号更新时间主要内容或重大修改1.0.02008-02-131.0.0版本