中国移动安氏防火墙安全配置规范V1.
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动安氏防火墙安全配
置规范
S p e c i f i c a t i o n f o r C o n f i g u r a t i o n
o f F i r e w a l l U s e d i n C h i n a M o b i l e
版本号:1.0.0
╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施
中国移动通信有限公司网络部
目录
1.范围 (1)
2.规范性引用文件 (1)
3.术语、定义和缩略语 (1)
4.防火墙功能和配置要求 (1)
4.1.引用说明 (1)
4.2.日志配置要求 (3)
4.3.告警配置要求 (3)
4.4.安全策略配置要求 (3)
4.5.攻击防护配置要求 (4)
4.6.虚拟防火墙配置要求 (4)
4.7.设备其他安全要求 (5)
5.编制历史 (5)
前言
为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准明确了安氏防火墙的配置要求。
本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。
本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司
本标准主要起草人:张瑾、赵强、来晓阳、周智、曹一生、陈敏时。
1.范围
本标准规定了安氏防火墙的配置要求,供内部和厂商共同使用;适用于通信网、业务系统和支撑系统的防火墙。
2.规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
表2-1
[1] QB-╳╳-╳╳╳-╳╳
╳╳《╳╳通用安全功能和配置
规范》
╳╳
[2] QB-╳╳-╳╳╳-╳╳
╳╳
《╳╳系统安全功能规范》╳╳
[3] QB-╳╳-╳╳╳-╳╳
╳╳
《╳╳安全功能规范》╳╳公司
[4] 《中国移动防火墙配置规
范》
3.术语、定义和缩略语
下列术语、定义和缩略语适用于本标准:
表3-1
词语解释
Firewall 防火墙
4.防火墙功能和配置要求
4.1.配置要求及引用说明
本要求主要采用引用《中国移动设备通用安全功能和配置规范》及《中国移动防火墙
配置规范》基本要求,和根据安氏防火墙所特有配置特性综合后形成,具体配置规范见下表。
编号内容采纳意见备注
安全要求-设备-防火墙-配置-1不同等级管理员分配不同账号,
完全采纳
避免账号混用。
安全要求-设备-防火墙-配置-2应删除或锁定与设备运行、维护
完全采纳
等工作无关的账号。
安全要求-设备-防火墙-配置-3防火墙管理员账号口令长度至
完全采纳支持部分功能
少8位,并包括数字、小写字
母、大写字母和特殊符号4类
中至少2类。
不采纳设备不支持安全要求-设备-防火墙-配置-4账户口令的生存期不长于90
天。
不采纳设备不支持安全要求-设备-防火墙-配置-5应配置设备,使用户不能重复使
用最近5次(含5次)内已使
用的口令。
不采纳设备不支持安全要求-设备-防火墙-配置-6应配置当用户连续认证失败次
数超过6次(不含6次),锁定
该用户使用的账号。
完全采纳
安全要求-设备-防火墙-配置-7在设备权限配置能力内,根据用
户的管理等级,配置其所需的最
小管理权限。
安全要求-设备-防火墙-配置-8 对于具备字符交互界面及图形
完全采纳
界面(含WEB界面)的设备,
应配置定时账户自动登出。
安全要求-设备-防火墙-配置-9 对于具备console口的设备,
不采纳设备不支持
应配置console口密码保护功
能。
完全采纳
安全要求-设备-防火墙-配置-10 对于防火墙远程管理的配置,必
须是基于加密的协议。如SSH
或者WEB SSL,如果只允许从
防火墙内部进行管理,应该限定
管理IP
完全采纳
安全要求-设备-防火墙-配置-11 在进行重大配置修改前,必须对
当前配置进行备份。
安全要求-设备-防火墙-配置-12 设备应配置日志功能,记录对与
完全采纳
防火墙设备自身相关的安全事
件。
完全采纳
安全要求-设备-防火墙-配置-13 设备应配置NAT日志记录功
能,记录转换前后IP地址的对
应关系。防火墙如果开启vpn
功能,应配置记录vpn日志记
录功能,记录vpn访问登陆、
退出等信息。
安全要求-设备-防火墙-配置-14 设备应配置流量日志记录功能,
完全采纳
记录防火墙拒绝,丢弃和接受的
报文
安全要求-设备-防火墙-配置-15 在防火墙设备的日志容量达到
不采纳设备不支持
75%时,防火墙可产生告警。
并且有专门的程序将日志导出
到专门的日志服务器。
安全要求-设备-防火墙-配置-16 防火墙管理员的操作必须被记
完全采纳
录日志,如登录信息,修改为管
理员组操作。帐号解锁等信息