fortigate防火墙安全配置基线.docVIP

Fortigate防火墙安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月  版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 TOC \o 1-3 \h \z \u 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 帐号、口令管理与认证授权 2 2.1 帐号管理* 2 2.1.1 用户帐号管理* 2 2.1.2 删除无关的帐号* 2 2.1.3 帐户登录超时* 3 2.1.4 帐户密码错误自动锁定* 4 2.2 口令 5 2.2.1 口令复杂度 5 2.3 授权 6 2.3.1 远程维护的设备使用加密协议 6 第3章 日志安全要求 7 3.1 日志服务器 7 3.1.1 启用日志服务器 7 3.1.2 配置远程日志服务器 7 3.2 告警配置要求 8 3.2.1 配置对防火墙本身的攻击或内部错误告警 8 3.2.2 配置DOS和DDOS攻击告警 9 3.2.3 配置扫描攻击检测告警* 9 3.3 安全策略配置要求 10 3.3.1 访问规则列表最后一条必须是拒绝一切流量 10 3.3.2 配置访问规则应尽可能缩小范围 11 3.3.3 VPN用户按照访问权限进行分组* 11 3.3.4 配置NAT地址转换* 12 3.3.5 关闭仅开启必要服务 13 3.3.6 禁止使用any?to anyall允许规则 13 3.4 攻击防护配置要求 14 3.4.1 配置应用层攻击防护* 14 3.4.2 配置网络扫描攻击防护* 15 3.4.3 限制ping包大小* 15 3.4.4 启用对带选项的IP包及畸形IP包的检测 16 第4章 IP协议安全要求 17 4.1 管理IP限制 17 4.1.1 管理IP限制 17 第5章 SNMP安全 18 5.1 SNMP管理 18 5.1.1 使用SNMPV2或以上版本 18 5.2 SNMP访问控制 19 5.2.1 SNMP访问控制 19 第6章 评审与修订 20 概述 目的 本文档规定了中国移动管理信息系统部所维护管理的Fortigate防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Fortigate防火墙的安全配置。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Fortigate防火墙。 适用版本 Fortigate防火墙。 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。 帐号、口令管理与认证授权 帐号管理* 用户帐号管理* 安全基线项目名称 用户帐号管理安全基线要求项 安全基线编号 SBL-FortiFW-02-01-01 安全基线项说明 应按照用户分配帐号。 避免不同用户间共享帐号。 避免用户帐号和设备间通信使用的帐号共享。 检测操作步骤 参考配置操作 使用命令 show system admin 查看是否有多余帐户 2、补充说明 无。 基线符合性判定依据 判定条件 用配置中没有的用户名去登录，结果是不能登录 参考检测操作 show system admin 删除帐户: Config system admin delete name_str 补充说明 无。 备注 需要手工判定检测。 删除无关的帐号* 安全基线项目名称 无关的帐号安全基线要求项 安全基线编号 SBL-FortiFW-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。 检测操作步骤 参考配置操作 usrobj del name 补充操作说明 使用usrobj list admin显示帐户信息。 基线符合性判定依据 判定条件 配置中用户信息被删除。 检测操作 查看配置。 补充说明 无。 备注 需要手工判定检测，无关帐户更多属于管理层面，需要人为确认。 帐户登录超时* 安全基线项目名称 帐户登录超时安全基线要求项 安全基线编号 SBL-FortiFW-02