安全产品配置优化操作规范安全产品配置优化操作规范(FW、LB、IPS&ACG)Version1.0杭州华三通信技术有限公司2014年8月2024-12-17第1页,共61页安全产品配置优化操作规范声明Copyright©2024杭州华三通信技术有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来,请务必在安全产品部署实施中重视本操作规范要求,保障设备在网运行效果及稳定性。本文档为保密文档,仅限H3C原厂工程师使用,对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类:必选项:设备部署时必须严按照必选项的规范要求执行。可选项:在客户无明确要求且不影响客户使用情况下,视具体组网环境可选部署。2024-12-17第2页,共61页第3页共61页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共61页声明..........................................................................................................................................2FW-1、(必选)通过配置域间策略对防火墙本地实施保护......................................5FW-2、(必选)防火墙ALG功能配置优化................................................................6FW-3、(必选)防火墙双机组网环境NAT与VRRP联动.........................................7FW-4、(必选)配置ACL时慎用Denyany规则.......................................................8FW-5、(必选)防火墙使用独立物理端口做双机热备口..........................................8FW-6、(必选)配置NTP保持防火墙时钟正确同步.................................................9FW-7、(必选)采用二进制格式输出Userlog日志....................................................9FW-8、(必选)SSLVPN采用IP接入方式配置资源..............................................11FW-9、(必选)DNS协议应用层老化时间配置优化...............................................11FW-10、(必选)防火墙不启用QoS功能.................................................................12FW-11、(必选)防火墙地址对象范围地址配置优化..............................................12FW-12、(必选)部分型号防火墙业务端口选择建议..............................................12FW-13、(必选)禁用会话加速功能..........................................................................13FW-14、(必选)禁用ACL加速功能........................................................................14FW-15、(必选)禁用域间策略加速功能..................................................................14FW-16、(必选)禁止通过ACL方式实现远程管理访问控制................................15FW-17、(必选)禁止使用弱口令..............................................................................15FW-18、(必选)禁止使用动态链路聚合模式..........................................................16FW-19、(必选)IPSecVPN模板策略配置优化.......................................................16FW-20、(必选)合理修改三层业务口TCPMSS参数............................................17FW-21、(可选)利用域间策略对防火墙实施路由环路保护..................................18FW-22、(可选)虚拟分片重组功能配置优化..........................................................18FW-23、(可选)会话表项老化时间参数配置优化..................................................19FW-24、(可选)报文异常检测功能配置优化..........................................................20FW-25、(可选)流量异常检测功能配置优化..........................................................21FW...
