防火墙安全配置规范要求内容使能aaa认证或password或local认证，不要使用authentication-mode none 操作指南1、参考配置操作user-interface con 0authentication-mode aaa2、补充操作说明无。

检测方法1、判定条件用配置中没有的用户名去登录，结果是不能登录2、检测操作display current-configuration | begin con 03、补充说明缺省用户名口令是 eudemon eudemon。

要求内容使能aaa认证或password或local认证，不要使用authentication-mode none 操作指南1、参考配置操作user-interface aux 0authentication-mode aaa2、补充操作说明无。

检测方法1、判定条件用配置中没有的用户名去登录，结果是不能登录2、检测操作display current-configuration | begin aux 03、补充说明缺省不验证。

要求内容使能aaa认证或password或local认证，不要使用authentication-mode none 对登录用用户网段做acl限制建议使用SSH方式登录。

防火墙ssh只支持1.5的版本，不支持2.0的版本。

操作指南1、参考配置操作user-interface vty 0 4acl 3000 inboundprotocol inbound sshauthentication-mode aaa2、补充操作说明无。

检测方法1、判定条件用配置中没有的用户名去登录，结果是不能登录，在不允许的网段无法登录，2、检测操作display current-configuration | begin vty3、补充说明无。

要求内容尽可能不要配置域间的缺省规则，特别的不要配置firewall packet-filter default permit all尽可能在域间应用包过滤规则本例就是配置firewall packet-filter default permit all的显示结果。

建议使用严格的包过滤规则。

操作指南1、参考配置操作如下的配置不可取firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filter default permit interzone local vzone direction inboundfirewall packet-filter default permit interzone local vzone direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall packet-filter default permit interzone trust vzone direction inboundfirewall packet-filter default permit interzone trust vzone direction outboundfirewall packet-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outboundfirewall packet-filter default permit interzone untrust vzone direction inboundfirewall packet-filter default permit interzone dmz vzone direction inboundfirewall packet-filter default permit interzone dmz vzone direction outbound2、补充操作说明无。

检测方法1、判定条件过宽的条件，过多的开放了域间允许规则2、检测操作display current-configuration | include firewall packet-filter default3、补充说明缺省不使能域间permit规则。

要求内容如果不需要，不要使能FTP server功能。

操作指南1、参考配置操作Undo ftp server enable2、补充操作说明无。

检测方法1、判定条件无法使用FTP连接到防火墙2、检测操作display current-configuration | include ftp server3、补充说明缺省不使能。

要求内容根据需要开启攻击防范，一般情况下，不要配置firewall defend all enable。

操作指南1、参考配置操作不推荐打开所有的攻击防范，如下配置不可取firewall defend ip-spoofing enablefirewall defend land enablefirewall defend smurf enablefirewall defend fraggle enablefirewall defend winnuke enablefirewall defend syn-flood enablefirewall defend udp-flood enablefirewall defend icmp-flood enablefirewall defend icmp-redirect enablefirewall defend icmp-unreachable enablefirewall defend ip-sweep enablefirewall defend port-scan enablefirewall defend source-route enablefirewall defend route-record enablefirewall defend tracert enablefirewall defend time-stamp enablefirewall defend ping-of-death enablefirewall defend teardrop enablefirewall defend tcp-flag enablefirewall defend ip-fragment enablefirewall defend large-icmp enable2、补充操作说明无。

检测方法1、判定条件是否打开了所有的攻击防范功能2、检测操作display current-configuration | include firewall defend3、补充说明缺省不使能攻击防范。

要求内容缺省配置，如果存在来回路径不一致情况，对于V200R001版本，需要关闭状态检查功能。

对于V200R006的版本，支持来回路径不一致，不需要去掉状态检测。

操作指南1、参考配置操作firewall session link-state check2、补充操作说明无。

检测方法1、判定条件根据组网判断是否需要关闭状态检测功能，仅当存在来回路径不一致时需要关闭状态检测功能。

2、检测操作display current-configuration | include firewall session3、补充说明缺省使能。

编号：HWFW-PZ-8要求内容不要关闭信息中心，缺省使能信息中心功能。

操作指南1、参考配置操作info-center enable2、补充操作说明无。

检测方法1、判定条件是否关闭了信息中心功能2、检测操作display current-configuration | include info-center3、补充说明缺省使能。

要求内容如果有nat并且有ftp等这些多通道的协议根据需要开启相关ALG业务，没有相关业务就不需要开启相关的功能。

操作指南1、参考配置操作firewall zone trustset priority 85add interface Ethernet1/0/7detect ftpdetect h323detect sipdetect rtspdetect sqlnetdetect mgcp2、补充操作说明无。

检测方法1、判定条件在域模式下，根据需要开启ASPF功能2、检测操作display current-configuration | include detect3、补充说明缺省不使能。

要求内容除非需要，否则不要配置长连接特性，而且，相关的ACL中的地址和端口范围越小越好。