H3C防火墙安全配置基线.docVIP

版本 版本控制信息 更新日期 更新人 审批人 V2.0 创立 2021年4月 备注： 假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。 目 录 TOC \o 1-3 \h \z \u 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 1 1.5 例外条款 1 第2章 2 2.1 2 * 2 * 3 帐户登录超时* 3 * 4 2.2 5 5 2.3 授权 6 6 第3章 日志及配置平安要求 7 3.1 日志平安 7 记录用户对设备的操作 7 开启记录NAT日志* 7 开启记录VPN日志* 8 配置记录拒绝和丢弃报文规那么的日志 8 3.2 告警配置要求 9 9 配置TCP/IP协议网络层异常报文攻击告警 9 配置DOS和DDOS攻击告警 10 配置关键字内容过滤功能告警* 12 3.3 平安策略配置要求 13 访问规那么列表最后一条必须是拒绝一切流量 13 配置访问规那么应尽可能缩小范围 13 VPN用户按照访问权限进行分组* 14 配置NAT地址转换* 15 隐藏防火墙字符管理界面的bannner信息 16 防止从内网主机直接访问外网的规那么* 16 关闭非必要效劳 17 3.4 攻击防护配置要求 17 拒绝常见漏洞所对应端口或者效劳的访问 17 防火墙各逻辑接口配置开启防源地址欺骗功能 19 第4章 IP协议平安要求 19 4.1 功能配置 19 使用SNMP V2c或者V3以上的版本对防火墙远程管理 19 第5章 其他平安要求 22 5.1 其他平安配置 22 外网口地址关闭对ping包的回应* 22 对防火墙的管理地址做源地址限制 22 第6章 评审与修订 24 概述 目的 本文档旨在指导系统管理人员进行H3C防火墙的平安配置。 适用范围 本配置标准的使用者包括：网络管理员、网络平安管理员、网络监控人员。 适用版本 H3C防火墙。 例外条款 * 平安基线工程名称 SBL-H3C-02-01-01 平安基线项说明 检测操作步骤 参考配置操作 # local-user user1 password cipher W@FSOR(5:LLK8RI6$H@XA!! authorization-attribute level 3 service-type telnet # local-user user2 password cipher W@FSOR(5:LLK8RI6$H@XA!! authorization-attribute level 2 service-type telnet # 补充操作说明 无。 基线符合性判定依据 判定条件 用配置中没有的用户名去登录，结果是不能登录。 检测操作 H3Cdisplay current-configuration # local-user user1 password cipher W@FSOR(5:LLK8RI6$H@XA!! authorization-attribute level 3 service-type telnet # local-user user2 password cipher W@FSOR(5:LLK8RI6$H@XA!! authorization-attribute level 2 service-type telnet # 补充说明 无。 备注 删除无关的 平安基线工程名称 SBL- H3C-02-01-02 平安基线项说明 检测操作步骤 参考配置操作 [H3C] undo local-user user1 补充操作说明 无 基线符合性判定依据 判定条件 配置中用户信息被删除。 检测操作 H3C display current-configuration 补充说明 无。 备注 建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。 帐户登录超时* 平安基线工程名称 帐户登录超时平安基线要求项 SBL- H3C -02-01-03 平安基线项说明 配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。 检测操作步骤 参考配置操作 设置超时时间为5分钟 2、补充说明 无。 基线符合性判定依据 判定条件 在超出设定时间后，用户自动登出设备。 参考检测操作 补充说明 无。 备注 需要手工