H3C防火墙安全配置基线.docx

? ?下载可编辑. . .下载可编辑. H3C防火墙安全配置基线 版本 版本控制信息 | 更新日期 更新人 审批人 V2.0 创建 2012年4月 备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 . .下载可编辑. 目录 TOC \o 1-5 \h \z \o Current Document 第1章概述 1 \o Current Document 目的 1 \o Current Document 适用范围 1 \o Current Document 适用版本 1 \o Current Document 实施 1 \o Current Document 例外条款 1 \o Current Document 第2章 帐号管理、认证授权安全要求 2 \o Current Document 帐号管理 2 \o Current Document 用户帐号分配* 2 \o Current Document 删除无关的帐号* 3 \o Current Document 帐户登录超时* 3 \o Current Document 帐户密码错误自动锁定* 4 \o Current Document 口令 5 \o Current Document 口令复杂度要求 5 \o Current Document 授权 6 \o Current Document 远程维护的设备使用加密协议 6 \o Current Document 第3章 日志及配置安全要求 7 \o Current Document 日志安全 7 \o Current Document 记录用户对设备的操作 7 开启记录NAT日志* 7 \o Current Document 开启记录 VPN日志* 8 \o Current Document 配置记录拒绝和丢弃报文规则的日志 9 \o Current Document 告警配置要求 9 \o Current Document 配置对防火墙本身的攻击或内部错误告警 9 \o Current Document 配置TCP/IP协议网络层异常报文攻击告警 10 配置DOS^ DDO攻击告警 11 \o Current Document 配置关键字内容过滤功能告警* 12 \o Current Document 安全策略配置要求 13 \o Current Document 访问规则列表最后一条必须是拒绝一切流量 13 \o Current Document 配置访问规则应尽可能缩小范围 14 \o Current Document VPN用户按照访问权限进行分组* 14 \o Current Document 配置NAT地址转换* 15 \o Current Document 隐藏防火墙字符管理界面的 bannner信息 16 \o Current Document 避免从内网主机直接访问外网的规则* 16 \o Current Document 关闭非必要服务 17 \o Current Document 攻击防护配置要求 18 \o Current Document 拒绝常见漏洞所对应端口或者服务的访问 18 \o Current Document 防火墙各逻辑接口配置开启防源地址欺骗功能 19 \o Current Document 第4章 IP协议安全要求 20 功能配置 20 使用SNMP V2或者V3以上的版本对防火墙远程管理 20 第5 第5章 其他安全要求 22 TOC \o 1-5 \h \z \o Current Document 其他安全配置 22 \o Current Document 外网口地址关闭对 ping包的回应* 22 \o Current Document 对防火墙的管理地址做源地址限制 22 第6 第6章评审与修订 24 第1章概述 1.1目的 本文档旨在指导系统管理人员进行 H3C防火墙的安全配置。 1.2适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 1.3适用版本 H3C防火墙。 1.4实施 1.5例外条款 第2章帐号管理、认证授权安全要求 2.1帐号管理 2.1.1用户帐号分配 安全基线项 目名称 用户帐号分配安全基线要求项 安全基线编 号 SBL-H3C-02-01-01 安全基线项 说明 不冋等级管理员分配不冋帐号，避免帐号混用。 检测