Fortigate防火墙安全配置基线.doc

《Fortigate防火墙安全配置基线.doc》由会员分享，可在线阅读，更多相关《Fortigate防火墙安全配置基线.doc（33页珍藏版）》请在三一办公上搜索。

1、Fortigate防火墙安全配置基线中国移动通信有限公司 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章帐号、口令管理及认证授权22.1帐号管理*22.1.1用户帐号管理*22.1.2删除无关的帐号*22.1.3帐户登录超时*32.1.4帐户密码错误自动锁定*42.2口令52.2.1口令复杂度52.3授权62.3.1远程维护的设备使用加密协议6第3章日志安全要求73.1日

2、志服务器73.1.1启用日志服务器73.1.2配置远程日志服务器73.2告警配置要求83.2.1配置对防火墙本身的攻击或内部错误告警83.2.2配置DOS和DDOS攻击告警93.2.3配置扫描攻击检测告警*93.3安全策略配置要求103.3.1访问规则列表最后一条必须是拒绝一切流量103.3.2配置访问规则应尽可能缩小范围113.3.3VPN用户按照访问权限进行分组*113.3.4配置NAT地址转换*123.3.5关闭仅开启必要服务133.3.6禁止使用anyto anyall允许规则133.4攻击防护配置要求143.4.1配置应用层攻击防护*143.4.2配置网络扫描攻击防护*153.4.3

3、限制ping包大小*153.4.4启用对带选项的IP包及畸形IP包的检测16第4章IP协议安全要求174.1管理IP限制174.1.1管理IP限制17第5章SNMP安全185.1SNMP管理185.1.1使用SNMPV2或以上版本185.2SNMP访问控制195.2.1SNMP访问控制19第6章评审及修订20第1章 概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的Fortigate防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Fortigate防火墙的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范

4、围包括：中国移动总部和各省公司信息化部门维护管理的Fortigate防火墙。1.3 适用版本Fortigate防火墙。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号、口令管理及认证授权2.1 帐号管理*2.1.1 用户帐号管理*安全基线项目名称用户帐号管理安全基线要求项安全基线编号SBL-FortiFW-02-01-01 安全基线项说明 应按照用户分配

5、帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。检测操作步骤1、 参考配置操作使用命令 show system admin 查看是否有多余帐户2、补充说明无。基线符合性判定依据1、 判定条件用配置中没有的用户名去登录，结果是不能登录2、 参考检测操作show system admin删除帐户:Config system admindelete 3、 补充说明无。备注需要手工判定检测。2.1.2 删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-FortiFW-02-01-02安全基线项说明 应删除或锁定及设备运行、维护等工作无关的帐号。检测操作步

6、骤1. 参考配置操作usrobj del 2. 补充操作说明使用usrobj list admin显示帐户信息。基线符合性判定依据3. 判定条件配置中用户信息被删除。4. 检测操作查看配置。5. 补充说明无。备注需要手工判定检测，无关帐户更多属于管理层面，需要人为确认。2.1.3 帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL-FortiFW-02-01-03 安全基线项说明 配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、 参考配置操作设置超时时间为5分钟config system globalset admintime

7、out 52、补充说明无。基线符合性判定依据1. 判定条件在超出设定时间后，用户自动登出设备。2. 参考检测操作show system global3. 补充说明无。备注需要手工检查2.1.4 帐户密码错误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-FortiFW-02-01-04安全基线项说明 在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒检测操作步骤1、 参考配置操作设置尝试失败锁定次数为10次set admin-lockout-threshold 10set admintimeout 1set admin-lockout-durat

8、ion 3002、补充说明无。基线符合性判定依据1. 判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2. 参考检测操作show system global3. 补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度安全基线项目名称口令复杂度安全基线要求项安全基线编号SBL-FortiFW-02-02-01 安全基线项说明 防火墙的帐号密码必须符合密码复杂度要求，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作

9、步骤1、 参考配置操作config system password-policyset status enableset apply-to admin-password ipsec-preshared-keyset change-4-characters enableset expire 90set minimum-length 8set must-contain lower-case-letter Upper-case-letter non-alphanumeric numberend2、补充说明密码长度要求8位，大小写字母和特殊字符混合，密码超时时间90天。基线符合性判定依据1、 判定条件

10、Show system password-policy2、 参考检测操作3、 补充说明无。备注2.3 授权2.3.1 远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编号SBL-FortiFW-02-03-01 安全基线项说明 对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP。检测操作步骤1. 参考配置操作系统默认支持ssh及WEB SSL两种加密管理方式，查看及增加管理IP操作如下：查看管理IPadminhost list增加管理IPadminhost add 2. 补充操作说明基线

11、符合性判定依据1. 判定条件只支持ssh及Web SSL管理，对于非允许的ip地址不能登陆。2. 检测操作使用非允许的ip地址登陆。 3. 补充说明无。备注第3章 日志安全要求3.1 日志服务器3.1.1 启用日志服务器安全基线项目名称启用日志服务器安全基线要求项安全基线编号SBL-FortiFW-03-01-01 安全基线项说明 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤1. 参考配置操作config log syslogd settingset status enableend2

12、. 补充操作说明基线符合性判定依据1. 判定条件是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。2. 参考检测操作Show log syslogd setting3. 补充说明无。备注3.1.2 配置远程日志服务器安全基线项目名称配置远程日志服务器安全基线要求项安全基线编号SBL-FortiFW-03-01-02安全基线项说明 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤1参考配置操作config log syslogd settingset status enabl

13、eset server XXX.XXX.XXX.XXXset port XXXend2补充操作说明无。基线符合性判定依据1. 判定条件是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。2. 参考检测操作Show log syslogd setting3. 补充说明无。备注3.2 告警配置要求3.2.1 配置对防火墙本身的攻击或内部错误告警安全基线项目名称配置对防火墙本身的攻击或内部错误告警安全基线要求项安全基线编号SBL-FortiFW-03-02-01 安全基线项说明 设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。检测操作步骤1.

14、 参考配置操作参考日志配置模块基线符合性判定依据1. 判定条件查看防火墙是否生成相应告警2. 检测操作查看防火墙是否生成相应告警3. 补充说明无。备注3.2.2 配置DOS和DDOS攻击告警安全基线项目名称配置DOS和DDOS攻击防护功能安全基线要求项安全基线编号SBL-FortiFW-03-02-02 安全基线项说明 可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。检测操作步骤1. 参考配置操作2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配

15、置。3. 补充说明无。备注3.2.3 配置扫描攻击检测告警*安全基线项目名称配置扫描攻击检测告警安全基线要求项安全基线编号SBL-FortiFW-03-02-03安全基线项说明 可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警。检测操作步骤1. 参考配置操作检测是否开启此功能2. 补充操作说明无基线符合性判定依据1. 判定条件无 2. 检测操作无 3. 补充说明无。备注需手工判定。3.3 安全策略配置要求3.3.1 访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后一条必须是拒绝一切

16、流量安全基线要求项安全基线编号SBL-FortiFW-03-03-01安全基线项说明 所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。检测操作步骤1. 参考配置操作设备默认最后一条为拒绝所有其他。2. 补充操作说明设备也支持主动建立禁止一切的策略。基线符合性判定依据1. 判定条件无。2. 检测操作查看策略配置及测试访问。3. 补充说明无。备注3.3.2 配置访问规则应尽可能缩小范围安全基线项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-FortiFW-03-03-02安全基线项说明 在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围

17、。检测操作步骤1. 参考配置操作根据实际访问需求，缩小地址范围。需要禁止any to any all和any all和服务为all的规则。2. 补充操作说明我们在防火墙上可以定义不同范围的地址对象，在策略中进行引用即可。如下命令用来建立不同范围的地址对象，供策略引用。基线符合性判定依据1. 判定条件无。2. 检测操作根据实际访问需求，测试是否达到要求；查看配置。3. 补充说明无。备注3.3.3 VPN用户按照访问权限进行分组*安全基线项目名称VPN用户按照访问权限进行分组安全基线要求项安全基线编号SBL-FortiFW-03-03-03安全基线项说明 对于VPN用户，必须按照其访问权限不同而进

18、行分组，并在访问控制规则中对该组的访问权限进行严格限制。检测操作步骤1. 参考配置操作policy add options toname2. 补充操作说明设备部分支持此项功能。基线符合性判定依据1. 判定条件无。2. 检测操作按照需求访问进行检测。3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.4 配置NAT地址转换*安全基线项目名称配置NAT地址转换安全基线要求项安全基线编号SBL-FortiFW-03-03-04安全基线项说明 配置NAT，对公网隐藏局域网主机的实际地址。检测操作步骤1. 参考配置操作检测是否启用NAT功能。2. 补充操作说明无基线

19、符合性判定依据1. 判定条件无。2. 检测操作从外网用NAT地址访问内网的IP3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.5 关闭仅开启必要服务安全基线项目名称仅开启必要服务安全基线要求项安全基线编号SBL- FortiFW -03-03-05安全基线项说明 防火墙设备必须仅开启必要服务。及生产无关的服务端口不能开放规则。检测操作步骤1. 参考配置操作policy add options toname2. 补充操作说明无基线符合性判定依据1. 判定条件无。2. 检测操作查看策略，检查是否有不必要的服务Policy list3. 补充说明无。备注3.

20、3.6 禁止使用anyto anyall允许规则安全基线项目名称尽量不允许使用anyto any安全基线要求项安全基线编号SBL- FortiFW -03-03-06安全基线项说明 防火墙策略配置时不允许使用anyto any all允许规则，对于从防火墙内部到外部的访问也应指定策略; 应定期的对防火墙策略进行检查和梳理检测操作步骤1. 参考配置操作查看访问控制策略policy list配置防火墙策略policy add options toname2. 补充操作说明无基线符合性判定依据1. 判定条件无2. 检测操作policy list3. 补充说明无。备注3.4 攻击防护配置要求3.4.1

21、 配置应用层攻击防护*安全基线项目名称配置应用层攻击防护安全基线要求项安全基线编号SBL-FortiFW-03-04-01安全基线项说明 建议采用防火墙自带的入侵检测模块对应用层攻击进行防护检测操作步骤1. 参考配置操作 enable level其中级别如下，建议采用默认级别10 - disable 1 - duplicate pass-policy matched packets, 2 - duplicate more pass-policy matched packets 3 - duplicate all packets2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将

22、此功能打开。2. 检测操作查看配置。3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.2 配置网络扫描攻击防护*安全基线项目名称配置网络扫描攻击防护安全基线要求项安全基线编号SBL-FortiFW-03-04-02安全基线项说明 建议采用防火墙自带的入侵检测模块对网络扫描攻击行为进行检测检测操作步骤1. 参考配置操作启用流探测功能模块： 选择启用即可2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.3 限制pin

23、g包大小*安全基线项目名称限制ping包大小安全基线要求项安全基线编号SBL-FortiFW-03-04-03安全基线项说明 限制ping包的大小，以及一段时间内同一主机发送的次数。检测操作步骤1. 参考配置操作2. 补充操作说明部分功能实现。基线符合性判定依据1. 判定条件无。2. 检测操作查看配置；需求测试。3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.4.4 启用对带选项的IP包及畸形IP包的检测安全基线项目名称启用对带选项的IP包及畸形IP包的检测安全基线要求项安全基线编号SBL-FortiFW-03-04-04安全基线项说明 启用对带选项的IP

24、包及畸形IP包的检测检测操作步骤1. 参考配置操作anti set frag on2. 补充操作说明无。基线符合性判定依据1. 判定条件查看是否已经将此功能打开。2. 检测操作查看配置。3. 补充说明无。备注第4章 IP协议安全要求4.1 管理IP限制4.1.1 管理IP限制安全基线项目名称管理IP限制安全基线要求项安全基线编号SBL-FortiFW-04-01-01 安全基线项说明 系统远程管理服务TELNET、SSH默认可以接受任何地址的连接，出于安全考虑，应该只允许特定地址访问。检测操作步骤1、参考配置操作Config system adminEdit Set trusthost1 XX

25、X.XXX.XXX.XXX XXX.XXX.XXX.XXXSet trusthost2 XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXSet trusthost3 127.0.0.1 255.255.255.2552、补充说明无。基线符合性判定依据1. 判定条件通过设定，成功过滤非法的访问。2. 参考检测操作Show system admin3. 补充说明无。备注第5章 SNMP安全5.1 SNMP管理5.1.1 使用SNMPV2或以上版本安全基线项目名称使用SNMPV2或V3版本安全基线要求项安全基线编号SBL-FortiFW-05-01-01 安全基线项说明 系统应配置为S

26、NMPV2或V3版本。检测操作步骤1、参考配置操作config system snmp communityedit set name SNMP_Com1set query-v1-status disableset trap-v1-status disableset query-v2c-status enableend2、补充说明 无。基线符合性判定依据1. 判定条件成功使能snmpv2c或V3版本。2. 参考检测操作Show system snmp community3. 补充说明无。备注5.2 SNMP访问控制5.2.1 SNMP访问控制安全基线项目名称SNMP访问控制安全基线要求项安全基线

27、编号SBL-FortiFW-05-02-01 安全基线项说明 设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。检测操作步骤1、参考配置操作config system snmp communityedit config hostsedit set interface internalset ip XXX.XXX.XXX.XXXendend2、补充说明无。基线符合性判定依据1. 判定条件通过设定acl来成功过滤特定的源才能进行访问。2. 参考检测操作Show system snmp community3. 补充说明无。备注第6章 评审及修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。