安氏防火墙安全配置基线中国移动通信 XX 管理信息系统部2024 年 04 月版本版本控制信息更新日期更新人审批人V2.0创建2024 年 4 月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目 录第 1 章概述 11.1 目的 11.2 适用 X 围 11.3 适用版本 11.4 实施 11.5 例外条款 1第 2 章账号管理、认证授权安全要求 22.1 账号管理 2用户账号分配*2删除无关的账号*2XX 登录超时*3XX 密码错误自动锁定*42.2 口令 4口令复杂度要求 42.3 授权 5远程维护的设备使用加密协议 5第 3 章日志与配置安全要求 63.1 日志安全 6对用户登录进行记录 6记录与设备相关的安全事件 7配置设备远程日志功能 83.2 告警配置要求 9配置对防火墙本身的攻击或内部错误告警 9配置 DOS 和 DDOS 攻击告警 10配置扫描攻击检测告警*113.3 安全策略配置要求 11访问规则列表最后一条必须是拒绝一切流量 11配置访问规则应尽可能缩小 X 围 12VPN 用户根据访问权限进行分组*13配置 NAT 地址转换*13关闭仅开启必要服务 14禁止使用 any to anyall 允许规则 153.4 攻击防护配置要求 15配置应用层攻击防护*15配置网络扫描攻击防护*16限制 ping 包大小*17启用对带选项的 IP 包与畸形 IP 包的检测 18防火墙各逻辑接口配置开启防源地址欺骗功能 18第 4 章 IP 协议安全要求 194.1IP 协议 19使用 SNMP V2 或者 V3 以上的版本对防火墙远程管理 19第 5 章其他安全要求 215.1 其他安全配置 21配置定时账户自动登出 21配置 consol 口密码保护功能 21第 6 章评审与修订 23第1章 概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的安氏防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行安氏防火墙的安全配置。1.2 适用 X 围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。本配置标准适用的 X 围包括:中国移动总部和各省公司信息化部门维护管理的安氏防火墙。1.3 适用版本安氏防火墙。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应与时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信 XX 管理信息系统部进行审批备案。第2章 账号管理、认证授权...