H3C 防火墙安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012 年 4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。第 1 章概述1.1 目的 1.2 适用范围 1.3 适用版本 1.4 实施 1.5 例外条款 第 2 章帐号管理、认证授权安全要求 2.1 帐号管理 2.1.1 用户帐号分配 * 2.1.2 删除无关的帐号 2.1.3 帐户登录超時 2.1.4 帐户密码错误自动锁定 2.2 口令 2.2.1 口令复杂度要求 2.3 授权 2.3.1 远程维护的设备使用加密协 第 3 章日志及配置安全要求 3.1 日志安全 3.1.1 记录用户对设备的操柞 3.1.2 开启记录 NAT 日志 * 3.1.3 开启记录 V PN 日志 * 3.1.4 配置记录拒绝和丢弃报文规则的日 3.2 告警配置要求 3.2.1 配置对防火墙本身的攻击或内部错误告 3.2.2 配置 TCP/IP 协议网络层异常报文攻击告 3.2.3 配置 DOS 和 DDOS 攻击告警 3.2.4 配置关键字内容过滤功能告警 3.3 安全策略配置要求 3.3.1 访问规则列表最后一条必须是拒绝一切流 3.3.2 配置访问规则应尽可能缩小范 3.3.3 VPN 用户按照访问权限进行分组 3.3.4 配置 NAT 地址转换 3.3.5 隐藏防火墙字符管理界面的) annner 信息 3.3.6 避免从内网主机直接访问外网的规则 3.3.7 关闭非必要服务 3.4 攻击防护配置要求 3.4.1 拒绝常见漏洞所对应端口或者服务的访 3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功 第 4 章 IP 协议安全要求 4.1 功能配置 4.1.1 使用 SNMPV2c 或者 V3 以上的版本对防火墙远程管眶 第 5 章其他安全要求 5.1 其他安全配置 5.1.1 外网口地址关闭对 ping 包的回应 * 5.1.2 对防火墙的管理地址做源地址限 第 6 章评审与修订 第 1 章概述1.1 目的本文档旨在指导系统管理人员进行 H3C 防火墙的安全配置。1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员1.3 适用版本H3C 防火墙。1.4 实施1.5 例外条款第 2 章帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-H3C-02-01-01安全基线项说明不同等级管理员分配不同帐号,避免帐号混用。检测操作步骤1.参考配置操作#local-useruserlpasswordcipherW@FS0R(5:L'LK8RI6$H@XA!!authorization-attributelevel3service—typetelnet#local-...
