安氏防火墙安全配置基线

安氏防火墙安全配置基线中国移动通信有限公司管理信息系统部

2012年04月

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

第1章概述 (1)

1.1 目的 (1)

1.2 适用范围 (1)

1.3 适用版本 (1)

1.4 实施 (1)

1.5 例外条款 (1)

第2章账号管理、认证授权安全要求 (2)

2.1 账号管理 (2)

2.1.1 用户账号分配* (2)

2.1.2 删除无关的账号* (2)

2.1.3 帐户登录超时* (3)

2.1.4 帐户密码错误自动锁定 * (4)

2.2 口令 (4)

2.2.1 口令复杂度要求 (4)

2.3 授权 (5)

2.3.1 远程维护的设备使用加密协议 (5)

第3章日志及配置安全要求 (6)

3.1 日志安全 (6)

3.1.1 对用户登录进行记录 (6)

3.1.2 记录与设备相关的安全事件 (7)

3.1.3 配置设备远程日志功能 (8)

3.2 告警配置要求 (9)

3.2.1 配置对防火墙本身的攻击或内部错误告警 (9)

3.2.2 配置DOS和DDOS攻击告警 (10)

3.2.3 配置扫描攻击检测告警* (11)

3.3 安全策略配置要求 (11)

3.3.1 访问规则列表最后一条必须是拒绝一切流量 (11)

3.3.2 配置访问规则应尽可能缩小范围 (12)

3.3.3 VPN用户按照访问权限进行分组* (13)

3.3.4 配置NAT地址转换* (14)

3.3.5 关闭仅开启必要服务 (14)

3.3.6 禁止使用any to anyall允许规则 (15)

3.4 攻击防护配置要求 (16)

3.4.1 配置应用层攻击防护* (16)

3.4.2 配置网络扫描攻击防护* (16)

3.4.3 限制ping包大小* (17)

3.4.4 启用对带选项的IP包及畸形IP包的检测 (18)

3.4.5 防火墙各逻辑接口配置开启防源地址欺骗功能 (19)

第4章IP协议安全要求 (20)

4.1 IP 协议 (20)

4.1.1 使用SNMP V2或者V3以上的版本对防火墙远程管理 (20)

第5章其他安全要求 (21)

5.1 其他安全配置 (21)

5.1.1 配置定时账户自动登出 (21)

5.1.2 配置consol 口密码保护功能 (21)

第6章评审与修订 (23)

第1章概述

1.1目的

本文档规定了中国移动管理信息系统部所维护管理的安氏防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行安氏防火墙的安全配置。

1.2适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的安氏防火墙。

1.3适用版本

安氏防火墙。

1.4实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若

有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章账号管理、认证授权安全要求2.1账号管理

2.1.1用户账号分配*

2.1.2删除无关的账号*