目 录
1. 防火墙功能要求
1.1. 防火墙路由模式功能规范
1.2. 日志功能要求
1.3. 攻击防护和告警功能要求
1.4. 访问控制功能要求
1.5. 设备其他安全功能要求
1.6. 虚拟防火墙功能要求
2. 防火墙配置要求
2.1. 日志配置要求
2.2. 告警配置要求
2.3. 安全策略配置要求
2.4. 攻击防护配置要求
2.5. 设备其他安全要求
1. 防火墙功能要求
1.1. 防火墙路由模式功能规范
编号 | 采纳意见 | 补充说明 |
安全要求-设备-路由器-功能-13 | 完全采纳 | 设备应支持关闭未使用的路由协议 |
安全要求-设备-路由器-功能-14 | 完全采纳 | 设备应支持路由协议(OSPF/ISIS/BGP等)认证,认证字以不可逆密文方式存放。 |
安全要求-设备-路由器-功能-15 | 完全采纳 | 设备应支持路由策略和路由过滤功能。 |
1.2. 日志功能要求
编号 | 内容 |
安全要求-设备-防火墙-功能-1 | 防火墙应具备记录NAT日志功能,记录转换前后IP地址的对应关系。 |
安全要求-设备-防火墙-功能-2 | 防火墙应具备记录VPN日志功能,记录VPN访问登陆、退出等信息。 |
安全要求-设备-防火墙-功能-3 | 防火墙应具备流量日志记录功能,记录通过防火墙的网络连接。 |
安全要求-设备-防火墙-功能-4 | 防火墙应具备规则配置功能,记录防火墙接受,拒绝和丢弃报文的日志。 |
安全要求-设备-防火墙-功能-5 | 防火墙应具备日志容量告警功能,在日志数达到指定阈值时产生告警。 |
安全要求-设备-防火墙-功能-6 | 防火墙应具备管理员操作日志审计功能,有将操作日志发送到相关的安全管控系统的接口。 |
1.3. 攻击防护和告警功能要求
编号 | 内容 |
安全要求-设备-防火墙-功能-7 | 防火墙应具备向管理员发送告警的功能。告警方式除控制台和syslog输出外,还应包含邮件,短消息等多种方式。 |
安全要求-设备-防火墙-功能-8 | 防火墙必须能够对防火墙的系统内部错误和针对防火墙的攻击进行告警。并阻断针对防火墙本身的攻击。 |
安全要求-设备-防火墙-功能-9 | 防火墙必须能够对TCP/IP协议网络层和应用层的协议异常进行告警,并丢弃异常报文。 |
安全要求-设备-防火墙-功能-10 | 防火墙必须具备对DOS和DDOS攻击告警功能,能够阻断攻击。DDOS的攻击告警的参数应可由管理员根据实际网络情况设置。 |
安全要求-设备-防火墙-功能-11 | 防火墙必须具备扫描攻击检测和告警功能。并阻断后续扫描流量。扫描的检测和告警的参数应可由管理员根据实际网络情况设置。 |
安全要求-设备-防火墙-功能-12 | 防火墙必须具备关键字内容过滤功能,在HTTP,SMTP,POP3等应用协议流量过滤包含有设定的关键字的报文。 |
安全要求-设备-防火墙-功能-13-可选 | 防火墙必须具备病毒防护功能,对蠕虫等病毒传播时的攻击流量进行过滤。 |
安全要求-设备-防火墙-功能-14-可选 | 防火墙逻辑接口上具备防源地址欺骗功能。 |
1.4. 访问控制功能要求
编号 | 内容 |
安全要求-设备-防火墙-功能-15 | 防火墙系统可根据源目的地址,源目的端口,网络服务等设置访问控制策略。对通过防火墙的报文,根据策略采取通过,拒绝,丢弃,记录日志等相应操作。 |
安全要求-设备-防火墙-功能-16 | 防火墙必须具备对VPN拨入用户的进行访问控制的功能。 |
安全要求-设备-防火墙-功能-17 | 防火墙必须具备对访问控制规则分组的功能。 |
安全要求-设备-防火墙-功能-18-可选 | 防火墙应具备检测所下发的访问控制规则集当中,策略间存在逻辑冲突的功能。 |
1.5. 设备其他安全功能要求
编号 | 内容 |
安全要求-设备-防火墙-功能-15 | 防火墙系统必须保证底层操作系统的安全 |
安全要求-设备-防火墙-功能-16 | 防火墙必须支持SNMP 协议V3及以上的版本。 |
安全要求-设备-防火墙-功能-17 | 防火墙必须具备限制远程管理源地址的功能。 |
1.6. 虚拟防火墙功能要求
编号 | 内容 |
安全要求-设备-防火墙-功能-18-可选 | 可划分成多个虚拟防火墙系统,每个虚拟系统都是一个唯一的安全域,拥有其自己的管理员进行管理,管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口。 |
2. 防火墙配置要求
2.1. 日志配置要求
编号 | 内容 |
安全要求-设备-防火墙-配置-1 | 开启记录NAT日志,记录转换前后IP地址的对应关系。 |
安全要求-设备-防火墙-配置-2 | 开启记录VPN日志,记录VPN访问登陆、退出等信息。 |
安全要求-设备-防火墙-配置-3 | 配置记录流量日志,记录通过防火墙的网络连接的信息。 |
安全要求-设备-防火墙-配置-4 | 配置防火墙规则,记录防火墙拒绝和丢弃报文的日志。 |
安全要求-设备-防火墙-配置-5 | 配置日志容量告警阈值,在日志数达到日志容量的75%时产生告警。 |
安全要求-设备-防火墙-配置-6 | 配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。 |
2.2. 告警配置要求
编号 | 内容 |
安全要求-设备-防火墙-配置-7 | 配置告警功能,报告对防火墙本身的攻击或者防火墙的系统内部错误。 |
安全要求-设备-防火墙-配置-8 | 配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。 |
安全要求-设备-防火墙-配置-9 | 配置告警功能,报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警。 |
安全要求-设备-防火墙-配置-10-可选 | 配置DOS和DDOS攻击防护功能。对DOS和DDOS攻击告警。维护人员应根据网络环境调整DDOS的攻击告警的参数。 |
安全要求-设备-防火墙-配置-11-可选 | 配置扫描攻击检测功能。对网络和主机扫描探测行为告警。维护人员应根据网络环境调整扫描攻击告警的参数。 |
安全要求-设备-防火墙-配置-12-可选 | 配置关键字内容过滤功能,在HTTP,SMTP,POP3等应用协议流量过滤包含有设定的关键字的报文。 |
安全要求-设备-防火墙-配置-13-可选 | 配置病毒防护选项,对蠕虫等病毒传播时的攻击流量进行过滤。 |
2.3. 安全策略配置要求
编号 | 内容 |
安全要求-设备-防火墙-配置-14 | 防火墙在配置访问规则列表时,最后一条必须是拒绝一切流量。 |
安全要求-设备-防火墙-配置-15 | 在配置访问规则时,源地址,目的地址,服务或端口的范围必须以实际访问需求为前提,尽可能的缩小范围。 |
安全要求-设备-防火墙-配置-16 | 对于访问规则的排列,应当遵从范围由小到大的排列规则。 |
安全要求-设备-防火墙-配置-17 | 对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。 |
安全要求-设备-防火墙-配置-18 | 访问规则必须按照一定的规则进行分组。 |
安全要求-设备-防火墙-配置-19 | 配置NAT地址转换,对互联网隐藏内网主机的实际地址。 |
安全要求-设备-防火墙-配置-20 | 隐藏防火墙字符管理界面的bannner信息。 |
安全要求-设备-防火墙-配置-21 | 应用代理服务器,将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从内网的主机直接到外网的访问规则。 |
安全要求-设备-防火墙-配置-22 | 防火墙设备必须关闭非必要服务。 |
安全要求-设备-防火墙-配置-23 | 防火墙的系统和软件版本必须处于厂家维护期,并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护,需要及时更新版本或者撤换。 |
2.4. 攻击防护配置要求
编号 | 内容 |
安全要求-设备-防火墙-配置-24 | 配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。 |
安全要求-设备-防火墙-配置-25 | 对于防火墙各逻辑接口配置开启防源地址欺骗功能。 |
2.5. 设备其他安全要求
编号 | 内容 |
安全要求-设备-防火墙-配置-26-可选 | 对于外网口地址,关闭对ping包的回应。建议通过VPN隧道获得内网地址,从内网口进行远程管理。如网管系统需要开放,可不考虑。 |
安全要求-设备-防火墙-配置-27-可选 | 使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限(只读或者读写)。 |
安全要求-设备-防火墙-配置-28-可选 | 对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能,也可以在防火墙管理口的接入设备上设置ACL |
(来源:冷眼安全观)
.jpg)
发表评论