安全产品配置优化操作规范VIP免费

安全产品配置优化操作规范安全产品配置优化操作规范（FW、LB、IPS&ACG）Version1.0杭州华三通信技术有限公司2014年8月2024-12-17第1页,共61页安全产品配置优化操作规范声明Copyright©2024杭州华三通信技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来，请务必在安全产品部署实施中重视本操作规范要求，保障设备在网运行效果及稳定性。本文档为保密文档，仅限H3C原厂工程师使用，对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类：必选项：设备部署时必须严按照必选项的规范要求执行。可选项：在客户无明确要求且不影响客户使用情况下，视具体组网环境可选部署。2024-12-17第2页,共61页第3页共61页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共61页声明..........................................................................................................................................2FW-1、（必选）通过配置域间策略对防火墙本地实施保护......................................5FW-2、（必选）防火墙ALG功能配置优化................................................................6FW-3、（必选）防火墙双机组网环境NAT与VRRP联动.........................................7FW-4、（必选）配置ACL时慎用Denyany规则.......................................................8FW-5、（必选）防火墙使用独立物理端口做双机热备口..........................................8FW-6、（必选）配置NTP保持防火墙时钟正确同步.................................................9FW-7、（必选）采用二进制格式输出Userlog日志....................................................9FW-8、（必选）SSLVPN采用IP接入方式配置资源..............................................11FW-9、（必选）DNS协议应用层老化时间配置优化...............................................11FW-10、（必选）防火墙不启用QoS功能.................................................................12FW-11、（必选）防火墙地址对象范围地址配置优化..............................................12FW-12、（必选）部分型号防火墙业务端口选择建议..............................................12FW-13、（必选）禁用会话加速功能..........................................................................13FW-14、（必选）禁用ACL加速功能........................................................................14FW-15、（必选）禁用域间策略加速功能..................................................................14FW-16、（必选）禁止通过ACL方式实现远程管理访问控制................................15FW-17、（必选）禁止使用弱口令..............................................................................15FW-18、（必选）禁止使用动态链路聚合模式..........................................................16FW-19、（必选）IPSecVPN模板策略配置优化.......................................................16FW-20、（必选）合理修改三层业务口TCPMSS参数............................................17FW-21、（可选）利用域间策略对防火墙实施路由环路保护..................................18FW-22、（可选）虚拟分片重组功能配置优化..........................................................18FW-23、（可选）会话表项老化时间参数配置优化..................................................19FW-24、（可选）报文异常检测功能配置优化..........................................................20FW-25、（可选）流量异常检测功能配置优化..........................................................21FW...