安全产品配置优化操作规范VIP专享VIP免费

安全产品配置优化操作规范2020-06-08第1页,共59页安全产品配置优化操作规范（FW、LB、IPS&ACG）Version1.0杭州华三通信技术有限公司2014年8月安全产品配置优化操作规范2020-06-08第2页,共59页声明Copyright?2020杭州华三通信技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来，请务必在安全产品部署实施中重视本操作规范要求，保障设备在网运行效果及稳定性。本文档为保密文档，仅限H3C原厂工程师使用，对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类：必选项：设备部署时必须严按照必选项的规范要求执行。可选项：在客户无明确要求且不影响客户使用情况下，视具体组网环境可选部署。安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第3页,共59页安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第4页,共59页安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第5页,共59页FW-1、（必选）通过配置域间策略对防火墙本地实施保护应用说明：ComwareV5平台防火墙为便于用户登录管理设备，当前实现机制为默认所有安全区域都可以访问代表防火墙自身的Local区域。为避免无效报文、攻击流量冲击防火墙，要求必须配置到local区域的域间策略以对防火墙自身进行保护。在配置具体的域间策略时，应首先允许必要的管理、协议报文与防火墙本地交互，然后禁止其它流量与防火墙本地交互。自2014年7月起，新软件版本的ComwareV5平台防火墙进行了一次默认策略变更切换，将默认所有安全区域及Local区域之间的策略变更为全部禁止互访，以满足市场需求并加强安全性，详见请查询《H3C技术公告【2014】018号-关于H3CComwareV5平台防火墙变更默认域间策略转发规则的公告》。参考配置思路：1.配置允许网管计算机访问local区域的域间策略，允许包括HTTP、HTTPS、Telnet、SSH、SNMP、、PING等常见网管相关协议访问本地，域间策略源IP地址范围应做严格限制，避免非管理主机访问防火墙本地；2.配置允许防火墙与其它网络设备进行协议交互的域间策略，例如VRRP，OSPF，BGP、PING、IKE、L2TP，ESP等常见协议；3.确认其他网络设备是否有目的地址为防火墙本地的探测，例如NQA、BFD等，如有则必须补充允许其他设备探测报文到达防火墙本地的域间策略；4．配置域间策略时应尽量使用明确的源目的IP地址范围，减少使用“any_address”等方式的粗放管理型配置，比如Trust区域的实际规划IP范围为192.168.1.1/24，Untrust区域为Internet，则配置域间策略时应将Trust区域源IP地址范围配置为192.168.1.0/0.0.0.255子网地址对象，使策略更加合理精确，阻断可能出现的源地址欺骗报文经防火墙转发。5.最后配置各安全区域至Local区域的全部禁止策略，避免防火墙因接收到达本地的无效报文过多而影响CPU性能，最终实现对防火墙自身的安全保护。综合以上原则，在防火墙Web管理界面中的配置示例如下图所示：安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第6页,共59页FW-2、（必选）防火墙ALG功能配置优化应用说明：防火墙ALG（ApplicationLevelGateway，应用层网关）特性主要完成对应用层报文的处理。当应用层数据中包含IP地址时，ALG可以对该地址进行处理，以保证后续该地址对应的连接能够正确建立。ALG的工作包括：解析数据报文载荷中的IP地址信息，并根据需要对其进行NAT（NetworkAddressTranslation，网络地址转换）处理；提取数据通道信息，为后续的会话连接建立数据通道。这里的数据通道通常指相对于用户认证的控制连接而言的数据连接；在防火墙上，安全策略通常只允许特定的端口通过，对于需要动态开放端口的协议，即使没有NAT也必须启用ALG才能合格证业务正常处理，例如FTP协议；另有些属于功能型ALG，专为实现某种功能而存在，例如DNSALG，需要视实际环境决定是否需要开启。参考配置思路：当防火墙做二层转发部署时，除FTP协议外，推荐关闭其他所有ALG功能。当防火墙做三层转发部署时，以下为...