管理制度-安全产品配置优化操作规范 精品.docx

《管理制度-安全产品配置优化操作规范 精品.docx》由会员分享，可在线阅读，更多相关《管理制度-安全产品配置优化操作规范 精品.docx（66页珍藏版）》请在第一文库网上搜索。

1、安全产品配置优化操作规范（FW、LB、IPS&ACG）Version 1.0杭州华三通信技术有限公司20XX年8月声明Copyright 2022杭州华三通信技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来，请务必在安全产品部署实施中重视本操作规范要求，保障设备在网运行效果及稳定性。本文档为保密文档，仅限H3C原厂工程师使用，对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类：l 必选项：设备部署时必须严按照必选项的规范要求执行。

2、l 可选项：在客户无明确要求且不影响客户使用情况下，视具体组网环境可选部署。声明2FW-1、（必选）通过配置域间策略对防火墙本地实施保护5FW-2、（必选）防火墙ALG功能配置优化6FW-3、（必选）防火墙双机组网环境NAT与VRRP联动7FW-4、（必选）配置ACL时慎用Deny any规则8FW-5、（必选）防火墙使用独立物理端口做双机热备口8FW-6、（必选）配置NTP保持防火墙时钟正确同步9FW-7、（必选）采用二进制格式输出Userlog日志9FW-8、（必选）SSL VPN采用IP接入方式配置资源11FW-9、（必选）DNS协议应用层老化时间配置优化11FW-10、（必选）防火墙不

3、启用QoS功能12FW-11、（必选）防火墙地址对象范围地址配置优化12FW-12、（必选）部分型号防火墙业务端口选择建议12FW-13、（必选）禁用会话加速功能13FW-14、（必选）禁用ACL加速功能14FW-15、（必选）禁用域间策略加速功能14FW-16、（必选）禁止通过ACL方式实现远程管理访问控制15FW-17、（必选）禁止使用弱口令15FW-18、（必选）禁止使用动态链路聚合模式16FW-19、（必选）IPSec VPN模板策略配置优化16FW-20、（必选）合理修改三层业务口TCP MSS参数17FW-21、（可选）利用域间策略对防火墙实施路由环路保护18FW-22、（可选）虚

4、拟分片重组功能配置优化18FW-23、（可选）会话表项老化时间参数配置优化19FW-24、（可选）报文异常检测功能配置优化20FW-25、（可选）流量异常检测功能配置优化21FW-26、（可选）双机热备会话同步组网中避免业务流量非对称路径转发23FW-27、（可选）采用逐流转发模式24LB-1、（必选）Outbound链路负载均衡优先通过ACL方式进行虚服务配置26LB-2、（必选）Outbound链路负载均衡不启用就近性27LB-3、（必选）服务器负载均衡虚服务IP不响应ARP请求限制的解决方法28LB-4、（必选）采用二进制格式输出Userlog日志29LB-5、（必选）关于实服务故障处理

5、方式的配置选择30LB-6、（必选）配置NTP保持时钟正确同步32LB-7、（必选）RADIUS业务与强制负载均衡特性配置优化33LB-8、（必选）使用独立物理端口做双机热备口34LB-9、（必选）配置ACL时慎用Deny any规则35LB-10、（必选）不启用QoS功能35LB-11、（必选）不启用攻击防范功能36LB-12、（必选）禁用ACL加速功能36LB-13、（可选）业务端口添加安全区域属性36LB-14、（可选）双机热备会话同步组网避免业务流量非对称路径转发38LB-15、（可选）优先采用四层负载均衡模式满足客户配置需求39LB-16、（可选）采用逐流转发模式40IPS&ACG-

6、1、（必选）配置IPS攻击防范策略时必须先手工调整策略规则42IPS&ACG-2、（必选）配置IPS病毒防范策略时必须先手工调整策略规则47IPS&ACG-3、（必选）定期检查IPS/ACG特征库版本是否正常更新48IPS&ACG-4、（必选）通过NTPACSEI保持IPS/ACG时钟同步正确49IPS&ACG-5、（必选）部署IPS/ACG MQC引流内外安全域须为不同Vlan51IPS&ACG-6、（必选）部署IPS/ACG插卡MQC引流时避免二层报文风暴53IPS&ACG-7、（必选）正则表达式URL过滤规则的配置优化54IPS&ACG-8、（必选）带宽管理P2P限流规则配置优化54IP

7、S&ACG-9、（必选）ACG通道带宽管理功能针对DNS业务流量进行保障55IPS&ACG-10、（可选）部署专用日志主机配合IPS/ACG实现安全事件审计56IPS&ACG-11、（可选）ACG流日志配置优化58IPS&ACG-12、（可选）不启用IPS DDoS攻击防范策略59FW-1、（必选）通过配置域间策略对防火墙本地实施保护应用说明：ware V5平台防火墙为便于用户登录管理设备，当前实现机制为默认所有安全区域都可以访问代表防火墙自身的Local区域。为避免无效报文、攻击流量冲击防火墙，要求必须配置到local区域的域间策略以对防火墙自身进行保护。在配置具体的域间策略时，应首先允许必

8、要的管理、协议报文与防火墙本地交互，然后禁止其它流量与防火墙本地交互。自20XX年7月起，新软件版本的ware V5平台防火墙进行了一次默认策略变更切换，将默认所有安全区域及Local区域之间的策略变更为全部禁止互访，以满足市场需求并加强安全性，详见请查询H3C 技术公告【20XX】018号-关于H3C ware V5平台防火墙变更默认域间策略转发规则的公告。参考配置思路：1.配置允许网管计算机访问local区域的域间策略，允许包括HTTP、HTTPS、Telnet、SSH、SNMP、FTP、TFTP、PING等常见网管相关协议访问本地，域间策略源IP地址范围应做严格限制，避免非管理主机访问防

9、火墙本地；2.配置允许防火墙与其它网络设备进行协议交互的域间策略，例如VRRP，OSPF，BGP、PING、IKE、L2TP，ESP等常见协议； 3.确认其他网络设备是否有目的地址为防火墙本地的探测，例如NQA、BFD等，如有则必须补充允许其他设备探测报文到达防火墙本地的域间策略；4配置域间策略时应尽量使用明确的源目的IP地址范围，减少使用“any_address”等方式的粗放管理型配置，比如Trust区域的实际规划IP范围为192.168.1.1/24，Untrust区域为Internet，则配置域间策略时应将Trust区域源IP地址范围配置为 192.168.1.0/0.0.0.255子网

10、地址对象，使策略更加合理精确，阻断可能出现的源地址欺骗报文经防火墙转发。5.最后配置各安全区域至Local区域的全部禁止策略，避免防火墙因接收到达本地的无效报文过多而影响CPU性能，最终实现对防火墙自身的安全保护。综合以上原则，在防火墙Web管理界面中的配置示例如下图所示：FW-2、（必选）防火墙ALG功能配置优化应用说明：防火墙ALG（Application Level Gateway，应用层网关）特性主要完成对应用层报文的处理。当应用层数据中包含IP地址时，ALG可以对该地址进行处理，以保证后续该地址对应的连接能够正确建立。ALG的工作包括：解析数据报文载荷中的IP地址信息，并根据需要对其

11、进行NAT（Network Address Translation，网络地址转换）处理；提取数据通道信息，为后续的会话连接建立数据通道。这里的数据通道通常指相对于用户认证的控制连接而言的数据连接；在防火墙上，安全策略通常只允许特定的端口通过，对于需要动态开放端口的协议，即使没有NAT也必须启用ALG才能合格证业务正常处理，例如FTP协议；另有些属于功能型ALG，专为实现某种功能而存在，例如DNS ALG，需要视实际环境决定是否需要开启。参考配置思路：当防火墙做二层转发部署时，除FTP协议外，推荐关闭其他所有ALG功能。当防火墙做三层转发部署时，以下为H3C防火墙应用的ALG推荐配置，建议只开启

12、FTP和RTSP，关闭其他ALG功能。DNS关闭要实现相关需求可打开，一般不使用FTP打开GTP关闭有些特殊局点需要开启H.323关闭使用H.323协议的应用需要开启，一般不使用。ILS关闭MSN关闭不使用。NBT关闭PPTP关闭有PPTP业务从防火墙透传,需要开启，一般不使用。QQ关闭不使用。RTSP打开SCCP关闭SIP关闭SQLNET关闭仅适配老版本Oracle，一般不使用。TFTP关闭FW-3、（必选）防火墙双机组网环境NAT与VRRP联动应用说明：ware V5防火墙在双机组网场景中，当两台设备使用相同的NAT Outbound地址池、NAT Server、NAT Static的Gl

13、obal地址，且与接口主IP地址在同一网段时，需要在NAT命令后跟track vrrp vrid配置，避免因主机和备机共享相同地址而出现ARP冲突。参考配置思路：以下为防火墙某外网端口配置示例：interface GigabitEthernet0/2 port link-mode route nat outbound static track vrrp 1 nat outbound 3002 address-group 10 track vrrp 1 nat outbound 3001 track vrrp 1 nat server protocol tcp global 10.0.0.100

14、 inside 172.16.0.100 track vrrp 1 ip address 10.0.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.0.254 vrrp vrid 1 priority 110FW-4、（必选）配置ACL时慎用Deny any规则应用说明：ware V5平台防火墙的ACL主要用于软件对业务或管理流量的识别与分类，并不直接用于报文的允许或阻断动作。在配置防火墙各软件模块功能参数时，常常需要使用ACL，此时应注意配置ACL规则时仅需匹配需要识别的具体流量即可，无须在所有规则最后配置一条Deny any，这样可以在很大程度上

15、减少防火墙的无谓性能消耗。参考配置思路：例如，在配置NAT转换策略时，需要通过ACL限制仅允许内网10.0.0.0/16网段的用户做出方向源地址转换，引用至NAT命令，如下列所示ACL 3001是正确的配置方式，而ACL 3002是错误的配置方式。#acl number 3001/正确的ACL配置方式示例 rule 10 permit ip source 10.0.0.0 0.0.255.255#acl number 3002/错误的ACL配置方式示例 rule 10 permit ip source 10.0.0.0 0.0.255.255 rule 20 deny ip/该条规则将引起不必要的性能消耗#FW-5、（必选）防火墙使用独立物理端口做双机热备口应用说明：ware V5