返回
Fortigate防火墙安全配置规范.pdf

Fortigate防火墙安全配置规范.pdf

ID:50144477

大小:351.34 KB

页数:9页

时间:2020-03-06

Fortigate防火墙安全配置规范.pdf_第1页
Fortigate防火墙安全配置规范.pdf_第2页
Fortigate防火墙安全配置规范.pdf_第3页
Fortigate防火墙安全配置规范.pdf_第4页
Fortigate防火墙安全配置规范.pdf_第5页
资源描述:

《Fortigate防火墙安全配置规范.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Fortigate防火墙安全配置规范Fortigate防火墙安全配置规范1.概述1.1.目的本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。1.2.范围本标准适用于XXXX使用的Fortigate60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。Page1of8Fortigate防火墙安全配置规范2.设备基本设置2.1.配置设备名称制定一个全网统一的名称规范,以便管理。2.2.配置设备时钟建议采用NTPserver同步全网设备时钟。如果没有时钟服务器,则手

2、工设置,注意做HA的两台设备的时钟要一致。2.3.设置Admin口令缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。2.4.设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。2.5.用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份

3、认证。单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。2.6.设备管理权限设置为每个设备接口设置访问权限,如下表所示:Page2of8Fortigate防火墙安全配置规范接口名称允许的访问方式Port1Ping/HTTPS/SSHPort2Ping/HTTPS/SSHPort3Ping/HTTPS/SSHPort4HA心跳线,不提供管理方式Port5(保留)Port6(保留)且只允许内网的可信主机管理Fortinet设备。2.7.管理会话超时管理会话空闲超时不要太长,缺省5分钟是合适的。2.8.SNMP设置设置SNMPCommu

4、nity值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。2.9.系统日志设置系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图所示:Page3of8Fortigate防火墙安全配置规范Page4of8Fortigate防火墙安全配置规范2.10.Update策略的设置如果Fortigate设备不连接互联网,升级需要网络管理员手工完成。

5、在设备采购完成后,即可根据合同号和设备序列号,到fortinet网站注册,定期下载病毒库和IPS特征库,选择没有业务量的时间段升级,避免因升级对业务造成影响。2.11.配置文件的备份设备配置发生变更后(包括最初部署时,和以后添加或删除策略时),就要及时做配置备份。备份文件/文件夹的命名:设备名称_日期,如TJ_FG300A01_20050718。在HACLUSTER情况下,只需备份primaryunit即可。2.12.安装后记录安装后建议保存以下文档:•一份解释FortiGate周边设备拓扑的文档•一份文档解释:–FG运行模式,接口相关参数,路由定义–防火

6、墙/VPN的策略解释–保护内容表的服务启用情况–防火墙的注册信息–FortiCare/FortiGuard服务包扩展•一份运行状态文档–CPU/MEM利用率,并发会话数–建立一周或一个月的基本运行状态文档Page5of8Fortigate防火墙安全配置规范3.防火墙设置3.1.防火墙设置注意事项•策略中尽量不用all作源/目的地址。•尽可能不用FQDN地址,FortiGate自己发起DNS查询影响性能。•策略中尽可能不用ANY作协议/服务。•确有必要才启用流量日志,流量日志会影响系统性能。•每条策略加上注释,比如谁是请求者和授权者等。•如果可能不要用端口范

7、围作服务,认证审核每个服务端口,避免留出漏洞。•尽量使用地址组及服务组,以减少策略条数,既能优化性能,也能便于管理。•定义VIP时要特别小心,VIP采用了ARP代理的方法,而且定义后马上生效。•最后一条是全deny的防火墙策略•防火墙策略尽量精确到单个IP地址、单个端口,这样既提高安全性,也能提高系统的性能和稳定性Page6of8Fortigate防火墙安全配置规范4.性能调整•FortiGate设备应该有足够的资源应对攻击–资源利用率最好不要超过65%(getsysperformancestatus)–在65%到85%是可以接受的,但超过后可能不稳定•只

8、开启用得着的管理服务,如果不用SSH或SNMP,就不要启用。•将用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。