H3C防火墙安全配置基线
备注：
1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录
第1章概述
1.1 目的
本文档旨在指导系统管理人员进行H3C防火墙的安全配置。

1.2 适用范围
本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本
H3C防火墙。

1.4 实施
1.5 例外条款
第2章帐号管理、认证授权安全要求2.1 帐号管理
2.1.1用户帐号分配*
2.1.2删除无关的帐号*
2.1.3帐户登录超时*
2.1.4帐户密码错误自动锁定*
2.2 口令
2.2.1口令复杂度要求
2.3 授权
2.3.1远程维护的设备使用加密协议
安全基线项
远程维护使用加密协议安全基线要求项
目名称
安全基线编
SBL-H3C-02-03-01
号
安全基线项
对于防火墙远程管理的配置，必须是基于加密的协议。

如SSH或者WEB 说明
SSL，如果只允许从防火墙内部进行管理，应该限定管理IP。

检测操作步
1. 参考配置操作
骤
登陆设备web配置页面，在“设备管理”----“服务管理”下选择ssh、https
方式登陆设备。

配置针对SSH登陆用户IP地址的限定：
#
acl number 3000
rule 0 permit ip source [ip address][wildcard]
#
user-interface vty 0 4
acl 3000 inbound
protocol inbound ssh
#
2. 补充操作说明
无
基线符合性
1. 判定条件
判定依据
查看防火墙是否启用了ssh、https服务；针对SSH登陆用户进行IP地址限
第3章日志及配置安全要求3.1 日志安全
3.1.1记录用户对设备的操作
3.1.2开启记录NAT日志*
3.1.3开启记录VPN日志*
3.1.4配置记录拒绝和丢弃报文规则的日志
3.2 告警配置要求
3.2.1配置对防火墙本身的攻击或内部错误告警
3.2.2配置TCP/IP协议网络层异常报文攻击告警
安全基线项
说明配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。

检测操作步
骤1．参考配置操作
登陆防火墙web配置页面，在“攻击防范”----“报文异常检测”选择所需的针对异常攻击报文的检测。

2．补充操作说明
无
基线符合性
判定依据
1.判定条件
检查防火墙攻击防范配置；
2.检测操作
登陆防火墙web页面，在“攻击防范”----“入侵检测统计”中查看攻击防范
的效果；
备注
3.2.3配置DOS和DDOS攻击告警
安全基线项配置DOS和DDOS攻击防护功能安全基线要求项
目名称
安全基线编
号
SBL-H3C-03-02-03
安全基线项
说明配置DOS和DDOS攻击防护功能。

对DOS和DDOS攻击告警。

维护人员应根据网络环境调整DDOS的攻击告警的参数。

检测操作步
骤1．参考配置操作
登陆防火墙web配置页面，在“攻击防范”----“流量异常检测”中，选择需要防范的攻击类型。

2．补充操作说明
基线符合性
判定依据
1.判定条件
检查防火墙攻击防范配置；
2.检测操作
登陆防火墙web页面，在“攻击防范”----“入侵检测统计”中查看攻击防范
的效果；
备注
3.2.4配置关键字内容过滤功能告警*
安全基线项
目名称
配置关键字内容过滤功能告警安全基线要求项安全基线编
号
SBL-H3C-03-02-04
安全基线项
说明配置关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。

针对关键字过滤是应用层过滤机制，对系统性能有一定影响。

针对HTTP协议内容访问的网站关键字段，包含暴力、淫秽、违法等类型。

可添加内容库实现。

检测操作步
骤1．参考配置操作
登陆防火墙web配置页面，在“应用控制”----“内容过滤”，根据需求选择关键字、URL主机名、文件名等方式进行过滤。

2．补充操作说明
基线符合性判定依据1.判定条件
检查防火墙“应用控制”配置；
2.检测操作
登陆防火墙web页面配置，在“应用控制”----“内容过滤”----“统计信息”中查看过滤功能实施效果。

3.3 安全策略配置要求
3.3.1访问规则列表最后一条必须是拒绝一切流量
3.3.2配置访问规则应尽可能缩小范围
2．补充操作说明
基线符合性判定依据1.判定条件
检查防火墙“域间策略”配置，域间策略详细到协议、端口、具体的IP地址；
2.检测操作
无；
备注
3.3.3VPN用户按照访问权限进行分组*
安全基线项
目名称
VPN用户按照访问权限进行分组安全基线要求项安全基线编
号
SBL-H3C-03-03-03
安全基线项
说明对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。

检测操作步
骤1．参考配置操作
#
local-user [vpnuser]
password cipher [password] service-type ppp authorization-attribute level [0-3] 定条件
检查配置中用户设置：
2.检测操作
使用display local-user检查
备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.3.4配置NAT地址转换*
3.3.5隐藏防火墙字符管理界面的bannner信息
3.3.6避免从内网主机直接访问外网的规则*
3.3.7关闭非必要服务
2．补充操作说明
基线符合性判定依据1.判定条件
检查配置中是否关闭对应服务2.检测操作
备注
3.4 攻击防护配置要求
3.4.1拒绝常见漏洞所对应端口或者服务的访问
安全基线项
目名称
拒绝常见漏洞所对应端口或者服务的访问安全基线要求项安全基线编
号
SBL-H3C-03-04-01
安全基线项
说明配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。

检测操作步
骤1．参考配置操作
#
acl number 3001
rule 0 deny tcp destination-port eq 135 rule 1 deny tcp destination-port eq 136 rule 2 deny tcp destination-port eq 138 rule 3 deny tcp destination-port eq 4444 rule 4 deny tcp destination-port eq 389 rule 5 deny tcp destination-port eq 445 rule 6 deny tcp destination-port eq 4899
3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能
址欺骗功能。

2．补充操作说明
基线符合性判定依据1.判定条件
检查配置中是否有URPF功能；
2.检测操作
备注
第4章IP协议安全要求
4.1 功能配置
4.1.1使用SNMP V2c或者V3以上的版本对防火墙远程管理
安全基线项
目名称
使用SNMPV2C或者V3以上的版本对防火墙远程管理安全基线要求项
安全基线编
号
SBL-H3C-04-01-01
安全基线项
说明使用SNMP V3以上的版本对防火墙做远程管理。

去除SNMP默认的共同体名(Community Name)和用户名。

并且不同的用户名和共同体明对应不同的权限（只读或者读写）。

检测操作步
骤1．参考配置操作
#
snmp-agent
定条件
检查配置中snmp相关内容
第5章其他安全要求
5.1 其他安全配置
5.1.1外网口地址关闭对ping包的回应*
5.1.2对防火墙的管理地址做源地址限制
第6章评审与修订。