中国移动防火墙策略管理办法.docVIP

中国移动防火墙策略管理办法（试行） 中国移动通信集团公司 二〇一一年七月  目 录 第一章 总则 3 第二章 制定防火墙策略的基本原则 3 第三章 防火墙配置管理 4 第四章 防火墙策略管理流程 5 第五章 安全域之间的防火墙策略管理 6 第六章 防火墙策略审核 7 第七章 附则 7 附件1： 防火墙策略基础数据表 8  总则 为做好网络访问控制，有效防范跨系统、跨安全域及跨省的安全风险扩散，加强网络边界防护，特制订本管理办法。 本办法适用于中国移动通信集团公司各部门，铁通公司，国际信息港建设中心、研究院、设计院、管理学院及各省、自治区、直辖市公司（以下简称：各省公司）。 本办法按照不同的场景，分别提出了防火墙策略配置应遵循的原则、流程，规范了防火墙策略的设置要求，是针对防火墙策略规划，部署及具体配置提出的指导性要求。 本办法用于规范防火墙访问控制策略的管理。网络设备的访问控制策略管理也要参照本办法要求执行。 制定防火墙策略的基本原则 防火墙策略设置应遵循“最小化”原则，根据系统内外部互联需求，建立细化到IP、端口、承载信息、信息敏感性等内容在内的网络连接信息表，并据此配置防火墙策略，禁止出现非业务需要的大段IP、连续端口开放的防火墙 在防火墙性能条件允许的情况下，应记录关键业务策略与NAT的日志。 应至少记录被拒绝的访问日志，即符合deny策略的相关log。 为确保防火墙自身安全，防火墙应关闭非必要的服务和服务端口。 防火墙应配置日志容量告警阈值，并能记录防火墙管理员的操作日志，防火墙应配置相关策略，定期导出日志，以供日后审核； 防火墙应记录攻击流量日志。 防火墙策略管理流程 各单位应建立防火墙策略的新建、变更、删除的细化流程，所有变更审批和授权审批与授权记录应予以归档留存； 原则上互联网用户只能访问外联DMZ区域的设备，不允许存在互联网用户直接能问到内部核心访问权限。 除数据网管、安全管控平台等因业务需要外，互联网边界防火墙从外内的方向仅允许业务应用端口，严禁开放维护管理和数据库服务端口 内网之间的边界防火墙对于维护管理、数据库服务端口仅允许配置点对点访问策略，严禁开放IP地址访问； 跨省访问的防火墙策略设置原则： 通过互联网进行跨省访问时，原则上应通过建立VPN来确保数据的私有性、安全性； 通过IP承载网跨省访问时，应根据业务类型，仅打开业务端口及需要通信的双方IP地址； 跨省的系统之间的策略应为点对点访问策略； 原则上跨省的远程维护操作策略（例如TELNET、RDP访问）应为临时策略，使用完毕后应立即关闭； 面向全集团内部员工开放的业务系统，其边界防火墙应只能开放访问业务端口。 防火墙策略审核 维护部门应定期对防火墙策略进行一次全面审核，频次不低于每半年一次，确保网络连接信息、防火墙策略与实际情况的一致性，确保防火墙策略公司安全要求。