Fortigate防火墙安全配置基线
Fortigate防火墙安全配置基线
中国移动通信有限公司 管理信息系统部
2012年 04月
中国移动集团公司 第 1 页 共 20 页
Fortigate防火墙安全配置基线
版本 V2.0 创建 版本控制信息 更新日期 2012年4月 更新人 审批人 备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司 第 2 页 共 20 页
Fortigate防火墙安全配置基线
目 录
第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5
目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1
第2章 帐号、口令管理与认证授权 ................................................................................................. 2 2.1
帐号管理* ............................................................................................................................... 2
用户帐号管理* ............................................................................................................... 2
2.1.2 删除无关的帐号* ........................................................................................................... 2 2.1.3 帐户登录超时* ............................................................................................................... 3 2.1.4 帐户密码错误自动锁定* ............................................................................................... 4 2.2 口令 ......................................................................................................................................... 5 2.2.1 口令复杂度 ..................................................................................................................... 5 2.3 授权 ......................................................................................................................................... 6 2.3.1 远程维护的设备使用加密协议 ..................................................................................... 6
第3章 日志安全要求 ......................................................................................................................... 7 3.1 3.1.1 3.1.2 3.2 3.2.1
日志服务器 ............................................................................................................................. 7 启用日志服务器 ................................................................................................................. 7 配置远程日志服务器 ......................................................................................................... 7 告警配置要求 ......................................................................................................................... 8
2.1.1
配置对防火墙本身的攻击或内部错误告警 ................................................................. 8 3.2.2 配置DOS和DDOS攻击告警 ....................................................................................... 9 3.2.3 配置扫描攻击检测告警* ............................................................................................... 9 3.3 安全策略配置要求 ............................................................................................................... 10 3.3.1 访问规则列表最后一条必须是拒绝一切流量 ........................................................... 10 3.3.2 配置访问规则应尽可能缩小范围 ............................................................................... 11 3.3.3 VPN用户按照访问权限进行分组* ................................................................................. 11 3.3.4 配置NAT地址转换* .................................................................................................... 12 3.3.5 关闭仅开启必要服务 ................................................................................................... 13 3.3.6 禁止使用any to anyall允许规则 ................................................................................ 13 3.4 攻击防护配置要求 ............................................................................................................... 14 3.4.1 配置应用层攻击防护* .................................................................................................. 14 3.4.2 配置网络扫描攻击防护* .............................................................................................. 15 3.4.3 限制ping包大小* ........................................................................................................ 15 3.4.4 启用对带选项的IP包及畸形IP包的检测 ................................................................ 16
第4章 4.1
IP协议安全要求 .............................................................................................................. 17 管理IP限制 .......................................................................................................................... 17
4.1.1 管理IP限制 ................................................................................................................. 17
第 3 页 共 20 页
中国移动集团公司