資源描述:
《Fortigate防火墻安全配置基線》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1、Fortigate防火墻安全配置基線Fortigate防火墻安全配置基線第19頁共20頁Fortigate防火墻安全配置基線版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注:1.若此文檔需要日后更新,請創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。第19頁共20頁Fortigate防火墻安全配置基線目錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實施11.5例外條款1第2章帳號、口令管理與認(rèn)證授權(quán)22.1帳號管理*22.1.1用戶帳號管理*22.1.2刪除無關(guān)的帳號*22.1.3帳戶登錄超時*32.1.4帳戶密碼錯誤自動鎖定*42.2口令52.2.1口
2、令復(fù)雜度52.3授權(quán)62.3.1遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議6第3章日志安全要求73.1日志服務(wù)器73.1.1啟用日志服務(wù)器73.1.2配置遠(yuǎn)程日志服務(wù)器73.2告警配置要求83.2.1配置對防火墻本身的攻擊或內(nèi)部錯誤告警83.2.2配置DOS和DDOS攻擊告警93.2.3配置掃描攻擊檢測告警*93.3安全策略配置要求103.3.1訪問規(guī)則列表最后一條必須是拒絕一切流量103.3.2配置訪問規(guī)則應(yīng)盡可能縮小范圍113.3.3VPN用戶按照訪問權(quán)限進(jìn)行分組*113.3.4配置NAT地址轉(zhuǎn)換*123.3.5關(guān)閉僅開啟必要服務(wù)133.3.6禁止使用any?toanyall允許規(guī)則133.4攻擊防
3、護(hù)配置要求143.4.1配置應(yīng)用層攻擊防護(hù)*143.4.2配置網(wǎng)絡(luò)掃描攻擊防護(hù)*153.4.3限制ping包大小*153.4.4啟用對帶選項的IP包及畸形IP包的檢測16第4章IP協(xié)議安全要求174.1管理IP限制174.1.1管理IP限制17第19頁共20頁Fortigate防火墻安全配置基線第5章SNMP安全185.1SNMP管理185.1.1使用SNMPV2或以上版本185.2SNMP訪問控制195.2.1SNMP訪問控制19第6章評審與修訂20第19頁共20頁Fortigate防火墻安全配置基線第1章概述1.1目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Fortigate防火墻的安全配置。
4、1.2適用范圍本配置標(biāo)準(zhǔn)的使用者包括:網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3適用版本Fortigate防火墻。1.4實施1.5例外條款第19頁共20頁Fortigate防火墻安全配置基線第1章帳號、口令管理與認(rèn)證授權(quán)1.1帳號管理*1.1.1用戶帳號管理*安全基線項目名稱用戶帳號管理安全基線要求項安全基線編號SBL-FortiFW-02-01-01安全基線項說明應(yīng)按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設(shè)備間通信使用的帳號共享。檢測操作步驟1、參考配置操作使用命令showsystemadmin查看是否有多余帳戶2、補(bǔ)充說明無?;€符合性判定依據(jù)1、判定條件用配置
5、中沒有的用戶名去登錄,結(jié)果是不能登錄2、參考檢測操作showsystemadmin刪除帳戶:Configsystemadmindelete3、補(bǔ)充說明無。備注需要手工判定檢測。1.1.2刪除無關(guān)的帳號*安全基線項目名稱無關(guān)的帳號安全基線要求項第19頁共20頁Fortigate防火墻安全配置基線安全基線編號SBL-FortiFW-02-01-02安全基線項說明應(yīng)刪除或鎖定與設(shè)備運行、維護(hù)等工作無關(guān)的帳號。檢測操作步驟1.參考配置操作usrobjdel2.補(bǔ)充操作說明使用usrobjlistadmin顯示帳戶信息。基線符合性判定依據(jù)3.判定條件配置中用戶信息被
6、刪除。4.檢測操作查看配置。5.補(bǔ)充說明無。備注需要手工判定檢測,無關(guān)帳戶更多屬于管理層面,需要人為確認(rèn)。1.1.1帳戶登錄超時*安全基線項目名稱帳戶登錄超時安全基線要求項安全基線編號SBL-FortiFW-02-01-03安全基線項說明配置定時帳戶自動登出,空閑5分鐘自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟1、參考配置操作設(shè)置超時時間為5分鐘configsystemglobalsetadmintimeout52、補(bǔ)充說明無?;€符合性判定依據(jù)1.判定條件在超出設(shè)定時間后,用戶自動登出設(shè)備。第19頁共20頁Fortigate防火墻安全配置基線1.參考檢測操作showsys
7、temglobal2.補(bǔ)充說明無。備注需要手工檢查1.1.1帳戶密碼錯誤自動鎖定*安全基線項目名稱帳戶密碼錯誤自動鎖定安全基線要求項安全基線編號SBL-FortiFW-02-01-04安全基線項說明在10次嘗試登錄失敗后鎖定帳戶,不允許登錄。解鎖時間設(shè)置為300秒檢測操作步驟1、參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次setadmin-lockout-threshold10setadmintimeout1setadmin-locko