防火墙设计规范.docxVIP

防火墙设计规范 　　篇一：防火墙管理规定 　　防火墙管理制度  　　一. 目的  　　规范防火墙系统的管理，保障集团防火墙系统的安全  　　二. 适用范围  　　本制度适用于集团范围内防火墙系统的建立、设置、操作、维护、监控、报警和处理过程。  　　三. 管理规定  　　(一） 职责定义  　　IT负责人：负责防火墙系统具体的方案设计、参数配置、维护、日常运作工作，以及负责防火墙系统的每周日志收集和统计。负责防火墙系统安全标准的制订、修改和审计、日志分析工作。负责制订防火墙系统的总体策略和需求  　　(二） 系统管理  　　1. 严禁私自安装、更改、拆离防火墙  　　2. IT必须定时对防火墙的物理连通性，流量大小，CPU利用率，安全规则的有效性等各种指标进行监控，发现问题及时处理  　　3. IT必须整理和维护配置语句解释文档，解释文档必须准确  　　4. IT必须整理和维护登记使用的Internet和DMZ区地址文档  　　5. IT必须建立各种地址的映射关系表，包括：内部地址和Internet地址的映射关系表；内部地址和DMZ区地址之间的映射关系表；DMZ区地址和Internet地址之间的映射关系表  　　6. IT必须定期分析防火墙日志  　　7. IT发现安全问题后，对有明确处理方式的问题按规定处理，对其他问题必须立即向主管和IT报告，然后再决定处理方式  　　8. 当防火墙的配置改变时，必须及时备份配置文件，并保存最近2次的配置文件  　　9. IT负责对防火墙日志进行分析，发现问题及时组织解决  　　(三） 防火墙配置原则  　　1. 防火墙上的访问通道遵循“缺省全部关闭，按需求开通的原则”，拒绝开启除明确许可的任何一种服务  　　2. 防火墙必须提供自动日志扫描的功能  　　3. 不允许从Internet访问公司内部除DMZ区的机器外的任何网络，仅允许从DMZ网点有限制的访问Internet  　　4. 防火墙的配置的更改应该依照流程申请、审批、执行  　　5. 限制具有防火墙管理权限的人员数量  　　6. 防火墙的安全日志要每天记录和每周分析  　　7. 防火墙应该开通对登陆到其上的用户认证、授权、审计的功能，保证用户的活动有记录。  　　8. 所有和外部网络有连接的内部网络上的系统必须经过防火墙的保护  　　9. 防火墙的登录密码必须有足够的健壮性，并且建立定期更新的制度  　　10. 防火墙启动VPN功能时，必须加密和认证  　　11. 公司的内部网络系统地址、配置和相关的系统设计信息（如：网络拓扑结构）严禁泄露  　　12. 任何和Internet有信息交流的机器都必须经过地址转换(NAT)才允许访问 Internet，同样Internet的机器要访问内部机器，也只能是其经过NAT转换后的IP地址。  　　13. 防火墙应及时升级，防火墙必须配置成能防止已知的各种攻击方式,如:tear-drop、syn-attack、ip-spoofing、ping-of-death、src-rout、land、icmp-flood udp-flood、port-scan、 　　addr-sweep、default-deny 、DOS攻击 　　14. 防火墙的外部接口必须关闭telnet、http，限制Ping 、sp等各种可管理协议，保证防火墙外部端口在Internet上不可被管理。内部的管理IP地址应该保密，且要严格限制可登陆到防火墙上进行配置活动的IP地址范围  　　15. 用户3次登陆防火墙失败，对该用户锁定  　　16. 防火墙上必须记录外部对内部或DMZ区的访问的时间、访问的目的地址、源地址、端口等信息  　　(四） 用户策略开通原则  　　1、防火墙所有的用户策略开通原则上由用户通过其上级领导同意，集团IT审核确认后方可开通。  　　2、用户策略必须明确申请人、使用目的、使用时限、需要开通的端口、策略开通方向，达不到以上要求的，不予以开通。  　　3、防火墙系统管理员有权利拒绝用户不安全的策略申请。  　　四．本制度归集团财务部解释  　　五．本制度从XX年1月1日起实施 　　篇二：防火墙安全管理规定 　　1 目的 Objective  　　规范防火墙系统的安全管理，保障公司防火墙系统的安全。  　　2 适用范围 Scope  　　本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理。  　　3 定义  　　DMZ（demilitarized zone）：中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的