欢迎来到天天文库
浏览记录
ID:48342418
大小:201.41 KB
页数:24页
时间:2019-10-26
《Fortigate防火墙安全配置基线概述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、Fortigate防火墙安全配置基线Fortigate防火墙安全配置基线第19页共20页Fortigate防火墙安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。第19页共20页Fortigate防火墙安全配置基线目录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章帐号、口令管理与认证授权22.1帐号管理*22.1.1用户帐号管理*22.1.2删除无关的
2、帐号*22.1.3帐户登录超时*32.1.4帐户密码错误自动锁定*42.2口令52.2.1口令复杂度52.3授权62.3.1远程维护的设备使用加密协议6第3章日志安全要求73.1日志服务器73.1.1启用日志服务器73.1.2配置远程日志服务器73.2告警配置要求83.2.1配置对防火墙本身的攻击或内部错误告警83.2.2配置DOS和DDOS攻击告警93.2.3配置扫描攻击检测告警*93.3安全策略配置要求103.3.1访问规则列表最后一条必须是拒绝一切流量103.3.2配置访问规则应尽可能缩小范
3、围113.3.3VPN用户按照访问权限进行分组*113.3.4配置NAT地址转换*123.3.5关闭仅开启必要服务133.3.6禁止使用any toanyall允许规则133.4攻击防护配置要求143.4.1配置应用层攻击防护*143.4.2配置网络扫描攻击防护*153.4.3限制ping包大小*153.4.4启用对带选项的IP包及畸形IP包的检测16第4章IP协议安全要求174.1管理IP限制174.1.1管理IP限制17第19页共20页Fortigate防火墙安全配置基线第5章SNMP安全18
4、5.1SNMP管理185.1.1使用SNMPV2或以上版本185.2SNMP访问控制195.2.1SNMP访问控制19第6章评审与修订20第19页共20页Fortigate防火墙安全配置基线第1章概述1.1目的本文档旨在指导系统管理人员进行Fortigate防火墙的安全配置。1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。1.3适用版本Fortigate防火墙。1.4实施1.5例外条款第19页共20页Fortigate防火墙安全配置基线第1章帐号、口令管理与认证授权
5、1.1帐号管理*1.1.1用户帐号管理*安全基线项目名称用户帐号管理安全基线要求项安全基线编号SBL-FortiFW-02-01-01安全基线项说明应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。检测操作步骤1、参考配置操作使用命令showsystemadmin查看是否有多余帐户2、补充说明无。基线符合性判定依据1、判定条件用配置中没有的用户名去登录,结果是不能登录2、参考检测操作showsystemadmin删除帐户:Configsystemadmindele
6、te3、补充说明无。备注需要手工判定检测。1.1.2删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项第19页共20页Fortigate防火墙安全配置基线安全基线编号SBL-FortiFW-02-01-02安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1.参考配置操作usrobjdel2.补充操作说明使用usrobjlistadmin显示帐户信息。基线符合性判定依据3.判定条件配置中用户信息被删除。4.检测操作查看配置。5.补充说明无
7、。备注需要手工判定检测,无关帐户更多属于管理层面,需要人为确认。1.1.1帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL-FortiFW-02-01-03安全基线项说明配置定时帐户自动登出,空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作设置超时时间为5分钟configsystemglobalsetadmintimeout52、补充说明无。基线符合性判定依据1.判定条件在超出设定时间后,用户自动登出设备。第19页共20页Fortigat
8、e防火墙安全配置基线1.参考检测操作showsystemglobal2.补充说明无。备注需要手工检查1.1.1帐户密码错误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-FortiFW-02-01-04安全基线项说明在10次尝试登录失败后锁定帐户,不允许登录。解锁时间设置为300秒检测操作步骤1、参考配置操作设置尝试失败锁定次数为10次setadmin-lockout-threshold10setadmintimeout1setadmin-locko
此文档下载收益归作者所有