fortigate防火墙安全配置规范.pdf

Fortigate 防火墙安全配置规范 Fortigate 防火墙安全配置规范 1. 概述 1.1. 目的 本规范明确了 Fortigate 防火墙安全配置方面的基本要求。为了提高 Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX 使用的 Fortigate 60 防火墙的整体安全配置，针对不同型 号详细的配置操作可以和产品用户手册中的相关内容相对应。 Page 1 of 8 Fortigate 防火墙安全配置规范 2. 设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范，以便管理。 2.2. 配置设备时钟 建议采用 NTP server 同步全网设备时钟。如果没有时钟服务器，则手工设置， 注意做 HA 的两台设备的时钟要一致。 2.3. 设置Admin 口令 缺省情况下，admin 的口令为空，需要设置一个口令。密码长度不少于 8 个字 符，且密码复杂。 2.4. 设置LCD 口令 从设备前面板的 LCD 可以设置各接口 IP 地址、设备模式等。需要设置口令， 只允许管理员修改。密码长度不少于 8 个字符，且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激 活的防火墙策略、IPSEC 扩展认证等）的管理，注意和防火墙管理员用于区分。用 户可以直接在 fortigate 上添加，或者使用 RADIUS 、LDAP 服务器上的用户数据库 实现用户身份认证。 单个用户需要归并为用户组，防火墙策略、IPSEC 扩展认证都是和用户组关联 的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限，如下表所示： Page 2 of 8 Fortigate 防火墙安全配置规范 接口名称 允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA 心跳线，不提供管理方式 Port5 （保留） Port6 （保留） 且只允许内网的可信主机管理 Fortinet 设备。 2.7. 管理会话超时 管理会话空闲超时不要太长，缺省 5 分钟是合适的。 2.8. SNMP 设置 设置 SNMP Community 值和 TrapHost 的 IP 。监控接口状态及接口流量、监控 CPU/Memory 等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据，系统日志功能是设 备有效管理维护的基础。在启用日志功能前首先要做日志配置，包括日志保存的位 置（fortigate 内存、syslog 服务器等）、需要激活日志功能的安全模块等。如下图 所示： Page 3 of 8 Fortigate 防火墙安全配置规范