防火墙安全配置
- 目的
本规范编制的目的是为****防火墙的配置方法提出一个明确的规范意见。并以此规范为准则,为今后防火墙配置变更提供配置依据。
- 定义
防火墙工作于两种模式之一,透明模式或路由模式。
透明模式:即对用户是透明的(transparent),对于用户而言是无法觉察防火墙的存在,也无法知道防火墙的IP地址。
路由模式:即对用户需要通过防火墙对数据包进行地址转换后并转发,对于用户而言,路由模式防火墙对于用户使可见的。
- 范围
本规范适用于******所有运行系统与非运行系统防火墙配置。
-
设备类型概述
- 防火墙使用模式
*****防火墙在部署时采用两种模式:透明模式和路由模式两种。防火墙模式根据具体的部署要求,灵活选择。所有采用热备冗余模式部署的防火墙,均使用双机热备模式,热备机制通过防火墙HA心跳线建立。
-
防火墙基础配置规则
- 防火墙基础配置
在防火墙上线之前,需在离线状态下完成防火墙的基础配置。这些配置主要是包括防火墙命名、防火墙本机属性配置、防火墙基本网络配置等。这些配置属于防火墙的固定配置内容,如无特殊变化,这些配置将在长时间内保持稳定。防火墙基础配置是防火墙本机安全稳定运行的基础,因此需要严格遵守以下配置:
- 防火墙主机名配置:根据防火墙的用途,确定一个唯一可用的防火墙主机名,作为该防火墙设备在中国******网络内的唯一身份标识。
- 管理员账户配置:修改防火墙原有默认超级用户密码,密码根据中国******防火墙密码规则确定。并为中国******防火墙管理责任人配置独立的防火墙管理帐号。用户名为其本人姓名,密码由各责任人独立确定。
- 防火墙服务配置:配置防火墙的可访问区域和对外提供的访问端口。为方便防火墙的日常维护和管理,需为远程管理配置相应的访问服务(如webUI或https、ssh等)。同时在开启防火墙自身的相应服务,确保对外提供的这些服务可用。
- 高可用性配置:如防火墙部署采取双机热备模式,需为防火墙进行高可用性配置。采用一主一从的模式,并配置相应的抢占功能。如防火墙部署采用单机模式,热备功能不必启用。
-
基础网络配置:配置防火墙的端口描述、端口属性、工作模式、工作速率。以上配置具体参数需根据防火墙部署模式和本对端物理接口实际情况进行配置。同时还需要配置静态路由和VLAN信息,确保设备在完成基础网络配置后,能成功接入网络。
- 防火墙业务配置
防火墙主要承担着网络边界数据包过滤的安全职责,少部分防火墙也提供边界地址映射的功能。因此在日常的业务配置中,主要包括访问控制和地址映射两大功能。首先需要完成地址定义和服务定义,来实现以上两大功能。
-
- 地址定义
地址定义提供了单个地址、地址范围(包括子网定义)和地址组三种定义方法。三种定义方法都采用了名称+地址的定义方法。根据地址被调用的情况不同,在地址定义时参照以下方法进行定义:
- 该地址(包括单个地址、地址范围、地址组)被访问控制或者地址映射进行直接调用,则地址名称定为业务名称,地址为该地址。
- 该地址被地址组进行调用后才被使用在访问控制规则中,则地址名称定为该地址的真实IP地址,地址定义依然为该地址。
- 地址定义的规则为:业务系统名称简写+IP地址末尾两位数字的组合。如:OA应用服务器(192.168.100.100)可以定义为“OA应用主100100”
-
禁止在使用单个IP地址时使用IP地址定义为地址名称,禁止使用联想防火墙直接在访问控制规则中直接填写IP地址。
- 服务定义
服务定义采用单一规则。服务名称均为TCP(或UDP、或IP)+ 下划线“_”+端口号(或端口范围)。
-
- 访问控制配置
- 禁止出现any地址访问any地址的策略;
- 禁止出现外网区访问内网区的any地址策略;
- 禁止出现外网区访问内网区的any端口策略;
- 禁止出现外网区any访问内网区telnet、ssh、远程桌面、数据库等敏感端口策略
5、访问控制策略的可选选项包括:长连接选项、时间控制选项等。以上选项可根据具体情况灵活使用。
-
- 地址映射配置
地址映射策略共有四个必选选项:源地址、转换后源地址、目的地址、转换后目的地址。防火墙地址转换均采取一对一的地址转换方式,即目的地址与转换后目的地址呈一对一映射状态。防火墙不提供一对多、多对一和多对多的地址转换。对于公网与专网之间的防火墙映射,除电子口岸公网隔离区内设备的公网至专网地址映射外,不允许其它任何形式的公网地址映射为电子口岸专网地址。但是允许电子口岸专网地址映射为公网地址,向Internet用提供服务。
防火墙在进行地址映射的同时,允许进行一对一的端口映射。转换前端口应为自定义端口(端口号大于1024),转换后端口应变为预定义的常用端口(端口号小于1024)。
-
- 策略配置
防火墙作为一种边界安全设备,在部署时往往位于两个安全域之间,起到隔离安全域之间通信的作用。因此在防火墙策略配置时(包含访问控制和地址映射)都应严格遵守安全域访问规则。对于不同等级安全域之间的互访应遵循针对高等级安全域的“严进宽出”的配置原则,对高等级安全域给予最高等级的防护。对所有安全域之间互访请求,安全策略都应以最小颗粒度为标准,实现防火墙安全规则的最严控制。
- 防火墙基配置准备阶段
对于所有运行防火墙的变更必须通过相关变更手续后才能进行防火墙变更配置。技术部在接到防火墙变更单申请后,要根据请求人提出的具体需求,明确防火墙变更的源目的IP地址、访问端口、长连接选项和经过的防火墙合理制定相关防火墙变更方案。对于不合理的防火墙变更请求,应及时给予回应,避免在运行防火墙中出现不合理的防火墙规则,降低防火墙的安全防护能力。
- 防火墙日常维护规范
防火墙由于在日常运维中变更频繁,因此为了确保防火墙能够健康稳定的运行,在日常运维工程中,需要遵守以下操作规范。
- 完成配置后要及时进行配置保存,避免因防火墙重启等因素导致运行配置丢失。
- 对于配置为双机热备的防火墙,在完成每一次配置后都要及时同步防火墙配置,确保主备防火墙拥有一致的防火墙规则。
- 定期对防火墙进行配置备份,作为发生故障后的防火墙状态还原点。
- 对于防火墙临时规则,超过应用时效的应及时清理。确保防火墙无多余规则的存在。
- 防火墙版本升级
防火墙在长期是用后会存在防火墙版本老化,导致许多软件版本bug无法解决。参照普遍的解决方法,需要及时根据厂商的版本变化,选择使用一种稳定且通用的防火墙版本,来保证防火墙工作时的稳定运行。防火墙具体版本信息参见附录A。附录A将根据中国******防火墙使用状况和厂商版本更新状况,不定期的进行更新。
防火墙升级需按照厂商制定防火墙升级方法,并下载厂商提供的官方固件进行升级。升级之前需要进行配置备份以确保防火墙升级失败后可以回退。