安全产品配置优化操作规范2020-06-08第1页,共59页安全产品配置优化操作规范(FW、LB、IPS&ACG)Version1.0杭州华三通信技术有限公司2014年8月安全产品配置优化操作规范2020-06-08第2页,共59页声明Copyright?2020杭州华三通信技术有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来,请务必在安全产品部署实施中重视本操作规范要求,保障设备在网运行效果及稳定性。本文档为保密文档,仅限H3C原厂工程师使用,对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类:必选项:设备部署时必须严按照必选项的规范要求执行。可选项:在客户无明确要求且不影响客户使用情况下,视具体组网环境可选部署。安全产品配置优化操作规范2020-06-08H3C机密,未经许可不得扩散第3页,共59页安全产品配置优化操作规范2020-06-08H3C机密,未经许可不得扩散第4页,共59页安全产品配置优化操作规范2020-06-08H3C机密,未经许可不得扩散第5页,共59页FW-1、(必选)通过配置域间策略对防火墙本地实施保护应用说明:ComwareV5平台防火墙为便于用户登录管理设备,当前实现机制为默认所有安全区域都可以访问代表防火墙自身的Local区域。为避免无效报文、攻击流量冲击防火墙,要求必须配置到local区域的域间策略以对防火墙自身进行保护。在配置具体的域间策略时,应首先允许必要的管理、协议报文与防火墙本地交互,然后禁止其它流量与防火墙本地交互。自2014年7月起,新软件版本的ComwareV5平台防火墙进行了一次默认策略变更切换,将默认所有安全区域及Local区域之间的策略变更为全部禁止互访,以满足市场需求并加强安全性,详见请查询《H3C技术公告【2014】018号-关于H3CComwareV5平台防火墙变更默认域间策略转发规则的公告》。参考配置思路:1.配置允许网管计算机访问local区域的域间策略,允许包括HTTP、HTTPS、Telnet、SSH、SNMP、、PING等常见网管相关协议访问本地,域间策略源IP地址范围应做严格限制,避免非管理主机访问防火墙本地;2.配置允许防火墙与其它网络设备进行协议交互的域间策略,例如VRRP,OSPF,BGP、PING、IKE、L2TP,ESP等常见协议;3.确认其他网络设备是否有目的地址为防火墙本地的探测,例如NQA、BFD等,如有则必须补充允许其他设备探测报文到达防火墙本地的域间策略;4.配置域间策略时应尽量使用明确的源目的IP地址范围,减少使用“any_address”等方式的粗放管理型配置,比如Trust区域的实际规划IP范围为192.168.1.1/24,Untrust区域为Internet,则配置域间策略时应将Trust区域源IP地址范围配置为192.168.1.0/0.0.0.255子网地址对象,使策略更加合理精确,阻断可能出现的源地址欺骗报文经防火墙转发。5.最后配置各安全区域至Local区域的全部禁止策略,避免防火墙因接收到达本地的无效报文过多而影响CPU性能,最终实现对防火墙自身的安全保护。综合以上原则,在防火墙Web管理界面中的配置示例如下图所示:安全产品配置优化操作规范2020-06-08H3C机密,未经许可不得扩散第6页,共59页FW-2、(必选)防火墙ALG功能配置优化应用说明:防火墙ALG(ApplicationLevelGateway,应用层网关)特性主要完成对应用层报文的处理。当应用层数据中包含IP地址时,ALG可以对该地址进行处理,以保证后续该地址对应的连接能够正确建立。ALG的工作包括:解析数据报文载荷中的IP地址信息,并根据需要对其进行NAT(NetworkAddressTranslation,网络地址转换)处理;提取数据通道信息,为后续的会话连接建立数据通道。这里的数据通道通常指相对于用户认证的控制连接而言的数据连接;在防火墙上,安全策略通常只允许特定的端口通过,对于需要动态开放端口的协议,即使没有NAT也必须启用ALG才能合格证业务正常处理,例如FTP协议;另有些属于功能型ALG,专为实现某种功能而存在,例如DNSALG,需要视实际环境决定是否需要开启。参考配置思路:当防火墙做二层转发部署时,除FTP协议外,推荐关闭其他所有ALG功能。当防火墙做三层转发部署时,以下为...
