安全产品配置优化操作规范

安全产品配置优化操作规范2019-09-20第1页,共59页安全产品配置优化操作规范（FW、LB、IPS&ACG）Version1.0杭州华三通信技术有限公司2014年8月安全产品配置优化操作规范2019-09-20第2页,共59页声明Copyright©2019杭州华三通信技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来，请务必在安全产品部署实施中重视本操作规范要求，保障设备在网运行效果及稳定性。本文档为保密文档，仅限H3C原厂工程师使用，对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类：必选项：设备部署时必须严按照必选项的规范要求执行。可选项：在客户无明确要求且不影响客户使用情况下，视具体组网环境可选部署。安全产品配置优化操作规范2019-09-20H3C机密，未经许可不得扩散第3页,共59页声明..........................................................................................................................................2FW-1、（必选）通过配置域间策略对防火墙本地实施保护........................................5FW-2、（必选）防火墙ALG功能配置优化..................................................................6FW-3、（必选）防火墙双机组网环境NAT与VRRP联动..........................................7FW-4、（必选）配置ACL时慎用Denyany规则........................................................8FW-5、（必选）防火墙使用独立物理端口做双机热备口............................................8FW-6、（必选）配置NTP保持防火墙时钟正确同步..................................................9FW-7、（必选）采用二进制格式输出Userlog日志.....................................................9FW-8、（必选）SSLVPN采用IP接入方式配置资源................................................11FW-9、（必选）DNS协议应用层老化时间配置优化.................................................11FW-10、（必选）防火墙不启用QoS功能...................................................................12FW-11、（必选）防火墙地址对象范围地址配置优化................................................12FW-12、（必选）部分型号防火墙业务端口选择建议................................................12FW-13、（必选）禁用会话加速功能............................................................................13FW-14、（必选）禁用ACL加速功能..........................................................................14FW-15、（必选）禁用域间策略加速功能....................................................................14FW-16、（必选）禁止通过ACL方式实现远程管理访问控制..................................15FW-17、（必选）禁止使用弱口令................................................................................15FW-18、（必选）禁止使用动态链路聚合模式............................................................16FW-19、（必选）IPSecVPN模板策略配置优化.........................................................16FW-20、（必选）合理修改三层业务口TCPMSS参数..............................................17FW-21、（可选）利用域间策略对防火墙实施路由环路保护....................................18FW-22、（可选）虚拟分片重组功能配置优化............................................................18FW-23、（可选）会话表项老化时间参数配置优化....................................................19FW-24、（可选）报文异常检测功能配置优化............................................................20FW-25、（可选）流量异常检测功能配置优化............................................................21FW-26、（可选）双机热备会话同步组网中避免业务流量非对称路径转发............23FW-27、（可选）采用逐流转发模式............................................................................24LB-1、（必选）Outbound链路负载均衡优先通过ACL方式进行虚服务配置........26安全产品配置优化操作规范2019-09-20H3C机密，未经许可不得扩散第4页,共59页LB-2、（必选）Outbound链路负载均衡不启用就近性..............................................27LB-3、（必选）服务器负载均衡虚服务IP不响应ARP请求限制的解决方法.......28LB-4、（必选）采用二进制格式输出Userlog日志....................................................29LB-5、（必选）关于实服务故障处理方式的配置选择...............................................30LB-6、（必选）配置NTP保持时钟正确同步.............................................................32LB-7、（必选）RADIUS业务与强制负载均衡特性配置优化...................................33LB-8、（必选）使用独立物理端口做双机热备口.......................................................34LB-9、（必选）配置ACL时慎用Denyany规则.......................................................35LB-10、（必选）不启用QoS功能...............................................................................35LB-11、（必选）不启用攻击防范功能.........................................................................36LB-12、（必选）禁用ACL加速功能..........................................................................36LB-13、（可选）业务端口添加安全区域属性.............................................................36LB-14、（可选）双机热备会话同步组网避免业务流量非对称路径转发.................38LB-15、（可选）优先采用四层负载均衡模式满足客户配置需求.............................39LB-16、（可选）采用逐流转发模式............................................................................40IPS&ACG-1、（必选）配置IPS攻击防范策略时必须先手工调整策略规则...........42IPS&ACG-2、（必选）配置IPS病毒防范策略时必须先手工调整策略规则...........47IPS&ACG-3、（必选）定期检查IPS/ACG特征库版本是否正常更新.....................48IPS&ACG-4、（必选）通过NTP\ACSEI保持IPS/ACG时钟同步正确...................49IPS&ACG-5、（必选）部署IPS/ACGMQC引流内外安全域须为不同Vlan..........51IPS&ACG-6、（必选）部署IPS/ACG插卡MQC引流时避免二层报文风暴..........53IPS&ACG-7、（必选）正则表达式URL过滤规则的配置优化................................54IPS&ACG-8、（必选）带宽管理P2P限流规则配置优化..........................................54IPS&ACG-9、（必选）ACG通道带宽管理功能针对DNS业务流量进行保障.......55IPS&ACG-10、（可选）部署专用日志主机配合IPS/ACG实现安全事件审计.......56IPS&ACG-11、（可选）ACG流日志配置优化...........................................................58IPS&ACG-12、（可选）不启用IPSDDoS攻击防范策略..........................................59安全产品配置优化操作规范2019-09-20H3C机密，未经许可不得扩散第5页,共59页FW-1、（必选）通过配置域间策略对防火墙本地实施保护应用说明：ComwareV5平台防火墙为便于用户登录管理设备，当前实现机制为默认所有安全区域都可以访问代表防火墙自身的Local区域。为避免无效报文、攻击流量冲击防火墙，要求必须配置到local区域的域间策略以对防火墙自身进行保护。在配置具体的域间策略时，应首先允许必要的管理、协议报文与防火墙本地交互，然后禁止其它流量与防火墙本地交互。自2014年7月起，新软件版本的ComwareV5平台防火墙进行了一