中国移动华为防火墙安全配置规范V1.0

╳╳╳ ╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施

中国移动华为防火墙

配置规范

中国移动通信有限公司网络部

中国移动华为防火墙安全配置规范

目 录

1. 2. 3. 4.

范围........................................................................................................................................... 1 规范性引用文件 ....................................................................................................................... 1 术语、定义和缩略语 ............................................................................................................... 1 防火墙功能和配置要求 ........................................................................................................... 1 4.1. 引用说明 ....................................................................................................................... 1 4.2. 日志配置要求 ............................................................................................................... 4 4.3. 告警配置要求 ............................................................................................................... 6 4.4. 安全策略配置要求 ....................................................................................................... 9 4.5. 攻击防护配置要求 ..................................................................................................... 13 4.6. 虚拟防火墙配置要求 ................................................................................................. 14 4.7. 设备其他安全要求 ..................................................................................................... 14 5. 编制历史 ................................................................................................................................. 17

I

中国移动华为防火墙安全配置规范

前 言

为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准明确了华为防火墙的配置要求。

本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。

本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团重庆、江苏有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：韩治宁、石磊、来晓阳、周智、曹一生。

II

中国移动华为防火墙安全配置规范

1. 范围

本标准规定了华为防火墙的配置要求，供中国移动内部和厂商共同使用；适用于中国移动通信网、业务系统和支撑系统的防火墙。

2. 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

表2-1

[1] QB-╳╳-╳╳╳《中国移动设备通用安全中国移动通信有限公司

-╳╳╳╳ 功能和配置规范》

[2] QB-╳╳-╳╳╳《中国移动操作系统安全中国移动通信有限公司

-╳╳╳╳ 功能规范》

[3] QB-╳╳-╳╳╳《中国移动路由器安全功中国移动通信有限公司

-╳╳╳╳ 能规范》

[4] Network Security DOD

Checklist-firewall Version 7 Release 1.2

3. 术语、定义和缩略语

下列术语、定义和缩略语适用于本标准：

表3-1

词语 解释 Firewall 防火墙

4. 防火墙功能和配置要求

4.1. 引用说明

本规范引用《中国移动设备通用设备安全功能和配置规范》中设备配置要求的情况如下：

1

中国移动华为防火墙安全配置规范 编号 安全要求-设备-通用-配置-1-可选 采纳意见 完全采纳 补充说明 安全要求-设备-通用-配置-1-可选 安全要求-设备-通用-配置-2-可选 安全要求-设备-通用-配置-3-可选 安全要求-设备-通用-配置-4 安全要求-设备-通用-配置-5 安全要求-设备-通用-配置-6-可选 安全要求-设备-通用-配置-7-可选 安全要求-设备-通用-配置-9 安全要求-设备-通用-配置-12 安全要求-设备-通用-配置-13-可选 安全要求-设备-通用-配置-14-可选 安全要求-设备-通用-配置-16-可选 安全要求-设备-通用-配置-17-可选 安全要求-设备-通用-配置-19-可选 安全要求-设备-通用-配置-20-可选 安全要求-设备-通用-配置-24-可选 安全要求-设备-通用-配置-27-可选

编号 安全要求-设备-通用-功能-1 安全要求-设备-通用-功能-2 安全要求-设备-通用-功能-3 采纳意见 完全采纳 完全采纳 部分采纳 具备限制远程登录帐号功能的防火墙在不同厂家的具体产品的配置规范中说明 安全要求-设备-通用-功能-4 部分采纳 在具体产品配置规范中明确口令复杂度配置要求 补充说明 完全采纳 不采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 2

中国移动华为防火墙安全配置规范 安全要求-设备-通用-功能-5 部分采纳 在具体产品配置规范中明确口令生存周期配置 安全要求-设备-通用-功能-6 安全要求-设备-通用-功能-7 不采纳 部分采纳 锁定帐号设置由具体产品配置规范中明确 安全要求-设备-通用-功能-9-可选 部分采纳 由具体产品配置规范中明确 安全要求-设备-通用-功能-10-可选 部分采纳 由具体产品配置规范中明确 安全要求-设备-通用-功能-11-可选 安全要求-设备-通用-功能-12 安全要求-设备-通用-功能-13-可选 安全要求-设备-通用-功能-14-可选 安全要求-设备-通用-功能-15-可选 安全要求-设备-通用-功能-16-可选 安全要求-设备-通用-功能-17-可选 安全要求-设备-通用-功能-18-可选 安全要求-设备-通用-功能-19-可选 安全要求-设备-通用-功能-20-可选 安全要求-设备-通用-功能-21 安全要求-设备-通用-功能-22 安全要求-设备-通用-功能-24 安全要求-设备-通用-功能-26-可选 安全要求-设备-通用-功能-27-可选 不采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 不采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 部分采纳 完全采纳 本规范引用《中国移动路由器设备安全功能和配置规范》中设备配置要求的情况如下： 编号 安全要求-设备-路由器-功能-13 安全要求-设备-路由器-功能-14 采纳意见 完全采纳 完全采纳 补充说明 3

中国移动华为防火墙安全配置规范 安全要求-设备-路由器-功能-15 部分采纳 在具体产品配置规范中明确路由策略和路由过滤功能

4.2. 日志配置要求

编号 安全要求-设备-防火墙-配置-1 内容 设备应配置日志功能，记录对与防火墙设备自身相关的安全事件。 1、参考配置操作 info-center enable 2、补充操作说明 在系统模式下进行操作。 1. 判定条件 在日志缓存上正确记录了日志信息。 2. 检测操作 display logbuffer 3. 补充说明 无。 安全要求-设备-防火墙-配置-2 设备应配置NAT日志纪录功能，记录转换前后IP地址的对应关系。防火墙如果开启vpn功能，应配置记录vpn日志记录功能，记录vpn访问登陆、退出等信息。 1、参考配置操作 Session log enable acl-number 2000 outbound Firewalll session log-type binary host 1 192.168.0.1 9002 2、补充操作说明 Session log enable acl-numeber在域间配置 Firewall session log-type binary 在全局模式下配置, 需要指明是第几个host，同时还要指定端口号 1. 判定条件 4

中国移动华为防火墙安全配置规范 在日志服务器上正确记录了日志信息。 2. 补充说明 无。 安全要求-设备-防火墙-配置-3 设备应配置流量日志纪录功能 1、参考配置操作 Session log enable acl-number 2000 outbound Firewalll session log-type binary host 1 192.168.0.1 9002 2、补充操作说明 Session log enable acl-numeber在域间配置 Firewall session log-type binary 在全局模式下配置 1. 判定条件 在日志服务器上正确记录了日志信息。 2. 补充说明 无。 安全要求-设备-防火墙-配置-4 在防火墙设备的日志容量达到75%时，防火墙可产生告警。并且有专门的程序将日志导出到专门的日志服务器。 1、参考配置操作 Session log enable acl-number 2000 outbound Firewalll session log-type binary host 1 192.168.0.1 9002 2、补充操作说明 Session log enable acl-numeber在域间配置 Firewall session log-type binary 在全局模式下配置 1. 判定条件 在日志服务器上正确记录了日志信息。 2. 补充说明 无日志容量告警，但可以将日志记录到日志服务器。 安全要求-设备-防火墙-配置-5 防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。帐号解锁等信息 1、参考配置操作 info-center enable 2、补充操作说明 5

中国移动华为防火墙安全配置规范 在系统模式下进行操作。 4. 判定条件 在日志缓存上正确记录了日志信息。 5. 检测操作 display logbuffer 6. 补充说明 无。 4.3. 告警配置要求

编号 安全要求-设备-防火墙-配置-6 安全要求-设备-防火墙-配置-7-可选 安全要求-设备-防火墙-配置-8 内容 设备应具备向管理员告警的功能，配置告警功能，报告对防火墙本身的攻击或者防火墙的系统严重错误。 告警信息应被保留，直到被确认为止. 设备应配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。对每一个告警项是否告警可由用户配置。 安全要求-设备-防火墙-配置-9-可选 设备应配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警，对每一个告警项是否告警可由用户配置。 安全要求-设备-防火墙-配置-10-可选 可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。 1、参考配置操作 [Eudemon] firewall zone dmz 6

中国移动华为防火墙安全配置规范 [Eudemon-zone-dmz] add interface GigabitEthernet 1/0/0 # 使能DMZ 域入方向的IP 统计功能。 [Eudemon] firewall zone dmz [Eudemon-zone-dmz] statistic enable ip inzone # 打开SYN Flood 攻击防范功能全局开关。 [Eudemon-zone-trust] quit [Eudemon] firewall defend syn-flood enable # 配置对服务器10.110.1.1 进行SYN Flood 攻击防范，配置SYN 包的最大连接速率为500 包/秒，手工启动TCP 代理。 [Eudemon] firewall defend syn-flood ip 10.110.1.1 max-rate 500 tcp-proxy on 2、补充操作说明 statistic enable ip inzone E8000E无单方向域统计功能，E1000和E1000E有此功能 1. 判定条件 SYN Flood被阻止 2. 补充说明 该项功能需要基于强大的系统性能。防火墙在状态检测时，由于需要对数据包的内容进行检查，甚至上升到应用层的检查（判断访问的内容），因此，不管是否打开DDOS功能，DDOS攻击时都会使系统利用率大幅上升，甚至系统不可用。 该项标准是为了实现对DDOS攻击的阻挡和记录，建议，基于目前防火墙的性能和工作模式，可以采用专业的抗DDOS攻击系统来完成这个工作，或者在核心网络启用netflow，由统一的采集系统记录并告警。 安全要求-设备-防火墙-配置-11-可选 可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警。 1、参考配置操作 # 使能untrust 域出方向的IP 统计功能。 7

中国移动华为防火墙安全配置规范 [Eudemon] firewall zone untrust [Eudemon-zone-untrust] statistic enable ip outzone # 配置地址扫描攻击检测，配置最大扫描速率为1000 包/秒，加入黑名单时间为5 分 钟。 [Eudemon-zone-untrust] quit [Eudemon] firewall defend ip-sweep max-rate 1000 [Eudemon] firewall defend ip-sweep blacklist-timeout 5 [Eudemon] firewall defend ip-sweep enable 2、补充操作说明 statistic enable ip inzone E8000E无单方向域统计功能，E1000和E1000E有此功能 1. 判定条件 扫描攻击被阻止 2. 补充说明 无 安全要求-设备-防火墙-配置-12-可选 安全要求-设备-防火墙-配置-13-可选 如防火墙具备关键字内容过滤功能，可打开该功能，在HTTP，SMTP，POP3等协议中对用户设定的关键字进行过滤。 如防火墙具备网络病毒防护功能。可打开病毒防护，对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块，需要在安全策略配置中首先关注对常见病毒流量的端口的封堵 1、参考配置操作 acl number 3001 rule 5 deny tcp destination-port eq 4444 rule 10 deny udp destination-port eq tftp rule 15 deny tcp destination-port eq 135 rule 20 deny udp destination-port eq 135 rule 25 deny udp destination-port eq netbios-ns rule 30 deny udp destination-port eq netbios-dgm

8

中国移动华为防火墙安全配置规范 rule 35 deny tcp destination-port eq 139 rule 40 deny udp destination-port eq netbios-ssn rule 45 deny tcp destination-port eq 445 rule 50 deny udp destination-port eq 445 rule 55 deny udp destination-port eq 593 rule 60 deny tcp destination-port eq 593 rule 65 deny tcp destination-port eq 5554 2、补充操作说明 无 1. 判定条件 相关病毒端口无法访问 2. 补充说明 无 4.4. 安全策略配置要求

编号 安全要求-设备-防火墙-14-配置 内容 所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。 1、参考配置操作 acl number 3500 description used trust untrust inbound rule 3 permit tcp destination-port eq ftp-data rule 4 permit tcp destination-port eq ftp rule 5 deny ip 2、补充操作说明 无 1. 判定条件 除被允许的业务外，其它流量被阻止 2. 补充说明 无 9

中国移动华为防火墙安全配置规范 安全要求-设备-防火墙-15-配置 在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。 1、参考配置操作 acl number 3500 description used trust untrust inbound rule 3 permit tcp destination-port eq ftp-data rule 4 permit tcp destination-port eq ftp rule 5 deny ip 2、补充操作说明 无 1. 判定条件 除被允许的业务外，其它流量被阻止 2. 补充说明 无 安全要求-设备-防火墙-16-配置 对于访问规则的排列，应当遵从范围由小到大的排列规则。应根据实际网络流量，保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配。 1、参考配置操作 acl number 3500 description used trust untrust inbound rule 3 permit tcp destination-port eq ftp-data rule 4 permit tcp destination-port eq ftp rule 5 deny ip 2、补充操作说明 无 1. 判定条件 除被允许的业务外，其它流量被阻止 2. 补充说明 无 安全要求-设备-防火墙-17-配置 在进行重大配置修改前，必须对当前配置进行备份。 1、参考配置操作 save 10

中国移动华为防火墙安全配置规范 2、补充操作说明 无 1. 判定条件 配置文件被保存到flash或是硬盘上 2. 补充说明 无 安全要求-设备-防火墙-18-配置 安全要求-设备-防火墙-19-配置 安全要求-设备-防火墙-20-配置 1、参考配置操作 # 配置地址池和访问控制列表。 [Eudemon] nat address-group 1 202.169.10.2 202.169.10.6 [Eudemon] acl number 2001 [Eudemon-acl-basic-2001] rule 0 permit source 10.110.10.0 0.0.0.255 [Eudemon-acl-basic-2001] rule 1 deny source 10.110.0.0 0.0.255.255 [Eudemon] quit # 将访问控制列表和地址池关联，允许10.110.10.0/24 网段报文进行地址转换（注意： 为能够地址复用，不使用no-pat 参数）。 [Eudemon] firewall interzone trust untrust [Eudemon-interzone-trust-untrust] address-group 1 2、补充操作说明 NAT模式并不是绝对的，NAT对网络资源的消耗大于透明模式，并且，1对1的NAT，维护人员需要管理两个地址段的信息（私网和公网），增加了管理难度，如果是动态映射，更需要记录地址映射的对应关系，也增加了难度。 其实透明模式和NAT模式一样，都是打开公网地址的某端口让外网访问，对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。 访问规则必须按照一定的规则进行分组。 配置NAT，对公网隐藏局域网主机的实际地址。 nat outbound 2001 11

中国移动华为防火墙安全配置规范 不管是NAT还是透明模式，只要主机的这个端口存在漏洞，被入侵的概率是一样的，NAT模式反而加大了防火墙的负荷（当然，除了老版本的PIX防火墙以外，它只支持NAT模式）。 建议，在不需要内部通信的情况下，不用NAT，而用透明模式。比如放在公网上的web服务器（不需要与内部系统进行信息交互的情况），甚至是用户的自服务器（用户通过公网登录修改个人信息，密码等。而此服务器也通过公网地址和数据库交互信息，数据库防火墙只开放该以服务器为源地址的某个数据业务访问权限。否则该服务器一旦被入侵，黑客就可以直接访问内部设备） 1. 判定条件 可以正常通过NAT访问外部网络 2. 补充说明 无 安全要求-设备-防火墙-21-配置 隐藏防火墙字符管理界面的bannner信息 1、参考配置操作 header shell information fChina-mobilef 2、补充操作说明 把管理界面的banner改为China-mobile 1. 判定条件 登录是可以看到China-mobile的banner 2. 补充说明 无 安全要求-设备-防火墙-22-配置 安全要求-设备-防火墙-23-配置 应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。 防火墙设备必须关闭非必要服务。 1、参考配置操作 Undo ftp server 2、补充操作说明 其它服务可采用undo方式关闭 1. 判定条件 无法访问防火墙的FTP 2. 补充说明 无 安全要求-设备-防火防火墙的系统和软件版本必须处于厂家维护期，并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系12

中国移动华为防火墙安全配置规范 墙-24-配置 统厂家已不再维护，需要及时更新版本或者撤换。 见版本升级指导 4.5. 攻击防护配置要求

编号 安全要求-设备-防火墙-25-配置 内容 对于常见系统漏洞对应端口，应当进行端口的关闭配置。 参考配置操作 acl number 3001 rule 5 deny tcp destination-port eq 4444 rule 10 deny udp destination-port eq tftp rule 15 deny tcp destination-port eq 135 rule 20 deny udp destination-port eq 135 rule 25 deny udp destination-port eq netbios-ns rule 30 deny udp destination-port eq netbios-dgm rule 35 deny tcp destination-port eq 139 rule 40 deny udp destination-port eq netbios-ssn rule 45 deny tcp destination-port eq 445 rule 50 deny udp destination-port eq 445 rule 55 deny udp destination-port eq 593 rule 60 deny tcp destination-port eq 593 rule 65 deny tcp destination-port eq 5554 2、补充操作说明 无 1. 判定条件 相关病毒端口无法访问 2. 补充说明 无 安全要求-设备-防火限制ICMP包的大小，以及一段时间内同一IP地址主机发送13

中国移动华为防火墙安全配置规范 墙-26-配置 安全要求-设备-防火墙-27-配置 安全要求-设备-防火墙-28-配置-可选 安全要求-设备-防火墙-29-配置 对于有固定模式串的攻击，在应急时可开启基于正则表达式的模式匹配的功能。 回环地址（lookback address）一般用于本机的IPC通讯，防火墙必须阻断含有回环地址(lookback address)的流量。 不支持 ICMP ECHO Request报文的次数。 对于防火墙各逻辑接口需要开启防源地址欺骗功能。 4.6. 虚拟防火墙配置要求

编号 安全要求-设备-防火墙-30-配置-可选 内容 可划分成多个虚拟防火墙系统，每个虚拟系统都是一个唯一的安全域，拥有其自己的管理员进行管理，管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口。 4.7. 设备其他安全要求

编号 安全要求-设备-防火墙-31-配置--可选 内容 对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。如网管系统需要开放，可不考虑。 1、参考配置操作 acl number 3500 rule 3 deny icmp rule 4 permit ip 2、补充操作说明 需在untrust区域至Local区域入方向使用ACL 14

中国移动华为防火墙安全配置规范 安全要求-设备-防火墙-32-配置-可选 使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。 1、参考配置操作 snmp-agent sys-info version V3 # 配置团体名和访问权限。 [Eudemon] snmp-agent community read public [Eudemon] snmp-agent community write private # 配置管理员标识、联系方法以及防火墙物理位置。 [Eudemon] snmp-agent sys-info contact Mr.Wang-Tel:3306 [Eudemon] snmp-agent sys-info location telephone-closet,3rd-floor # 允许向网管工作站（NMS）129.102.149.23 发送Trap 报文，使用的团体名为public。 [Eudemon] snmp-agent trap enable [Eudemon] snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public 2、补充操作说明 无 1. 判定条件 网管可以正常管理 2. 补充说明 无 安全要求-设备-防火墙-33-配置-可选 对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置ACL 1、参考配置操作 配置Telnet 登录用户名/口令。 [Eudemon] aaa [Eudemon-aaa] local-user telnetuser password simple te!netuser12 [Eudemon-aaa] local-user telnetuser service-type telnet 15

中国移动华为防火墙安全配置规范 本地AAA 认证，及Telnet 登录认证（即VTY 虚拟线认证）。 [Eudemon-aaa] authentication-scheme telnetuser [Eudemon-aaa-authen-telnetuser] authentication-mode local radius [Eudemon-aaa-authen-telnetuser] quit [Eudemon-aaa] quit [Eudemon] user-interface vty 0 4 [Eudemon-ui-vty0-4] authentication-mode aaa 配置ACL 规则，并在Untrust 和Local 区域间入方向应用ACL 规则。 [Eudemon] acl number 3101 [Eudemon-acl-adv-3101] rule permit tcp source 30.3.3.3 0 destination 10.1.1.1 0 [Eudemon-acl-adv-3101] quit [Eudemon] firewall interzone untrust local [Eudemon-interzone-local-untrust] packet-filter 3101 inbound 2、补充操作说明 无 1. 判定条件 对于不在ACL允许范围内的IP地址，无法登录 2. 补充说明 无 安全要求-设备-防火墙-34-配置-可选 在已经部署4A系统的环境中，可以对防火墙帐户进行4A的认证和审计。 1、参考配置操作 # 配置RADIUS 服务器模板。 [Eudemon] radius-server template shiva # 配置RADIUS 主认证服务器和端口。 [Eudemon-radius-shiva] radius-server authentication 129.7.66.66 1812 16

中国移动华为防火墙安全配置规范 # 配置RADIUS 服务器密钥、重传次数。 [Eudemon-radius-shiva] radius-server shared-key my-secret [Eudemon-radius-shiva] radius-server retransmit 2 # 进入AAA 视图。 [Eudemon] aaa # 配置认证方案，认证方法为先radius 后none。 [Eudemon–aaa] authentication-scheme r-n [Eudemon-aaa-authen-l-r] authentication-mode radius none # 配置huawei 域，在域下采用r-n 认证方案、缺省的计费方案（不计费），shiva 的 radius 模板。 [Eudemon-aaa] domain default [Eudemon-aaa-domain-default] authentication-scheme r-n [Eudemon-aaa-domain-default] radius-server shiva 2、补充操作说明 无 3. 判定条件 在Radius在认证无法通过，则用户无法登录 4. 补充说明 无

5. 编制历史

版本号

1.0.0

更新时间 2008-02-13 主要内容或重大修改 1.0.0版本

17