安全产品配置优化操作规范2019-09-20第1页,共59页安全产品配置优化操作规范(FW、LB、IPS&ACG)Version1.0杭州华三通信技术有限公司2014年8月安全产品配置优化操作规范2019-09-20第2页,共59页声明Copyright©2019杭州华三通信技术有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来,请务必在安全产品部署实施中重视本操作规范要求,保障设备在网运行效果及稳定性。本文档为保密文档,仅限H3C原厂工程师使用,对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类:必选项:设备部署时必须严按照必选项的规范要求执行。可选项:在客户无明确要求且不影响客户使用情况下,视具体组网环境可选部署。安全产品配置优化操作规范2019-09-20H3C机密,未经许可不得扩散第3页,共59页声明..........................................................................................................................................2FW-1、(必选)通过配置域间策略对防火墙本地实施保护........................................5FW-2、(必选)防火墙ALG功能配置优化..................................................................6FW-3、(必选)防火墙双机组网环境NAT与VRRP联动..........................................7FW-4、(必选)配置ACL时慎用Denyany规则........................................................8FW-5、(必选)防火墙使用独立物理端口做双机热备口............................................8FW-6、(必选)配置NTP保持防火墙时钟正确同步..................................................9FW-7、(必选)采用二进制格式输出Userlog日志.....................................................9FW-8、(必选)SSLVPN采用IP接入方式配置资源................................................11FW-9、(必选)DNS协议应用层老化时间配置优化.................................................11FW-10、(必选)防火墙不启用QoS功能...................................................................12FW-11、(必选)防火墙地址对象范围地址配置优化................................................12FW-12、(必选)部分型号防火墙业务端口选择建议................................................12FW-13、(必选)禁用会话加速功能............................................................................13FW-14、(必选)禁用ACL加速功能..........................................................................14FW-15、(必选)禁用域间策略加速功能....................................................................14FW-16、(必选)禁止通过ACL方式实现远程管理访问控制..................................15FW-17、(必选)禁止使用弱口令................................................................................15FW-18、(必选)禁止使用动态链路聚合模式............................................................16FW-19、(必选)IPSecVPN模板策略配置优化.........................................................16FW-20、(必选)合理修改三层业务口TCPMSS参数..............................................17FW-21、(可选)利用域间策略对防火墙实施路由环路保护....................................18FW-22、(可选)虚拟分片重组功能配置优化............................................................18FW-23、(可选)会话表项老化时间参数配置优化....................................................19FW-24、(可选)报文异常检测功能配置优化............................................................20FW-25、(可选)流量异常检测功能配置优化............................................................21FW-26、(可选)双机热备会话同步组网中避免业务流量非对称路径转发............23FW-27、(可选)采用逐流转发模式............................................................................24LB-1、(必选)Outbound链路负载均衡优先通过ACL方式进行虚服务配置........26安全产品配置优化操作规范2019-09-20H3C机密,未经许可不得扩散第4页,共59页LB-2、(必选)Outbound链路负载均衡不启用就近性..............................................27LB-3、(必选)服务器负载均衡虚服务IP不响应ARP请求限制的解决方法.......28LB-4、(必选)采用二进制格式输出Userlog日志....................................................29LB-5、(必选)关于实服务故障处理方式的配置选择...............................................30LB-6、(必选)配置NTP保持时钟正确同步.............................................................32LB-7、(必选)RADIUS业务与强制负载均衡特性配置优化...................................33LB-8、(必选)使用独立物理端口做双机热备口.......................................................34LB-9、(必选)配置ACL时慎用Denyany规则.......................................................35LB-10、(必选)不启用QoS功能...............................................................................35LB-11、(必选)不启用攻击防范功能.........................................................................36LB-12、(必选)禁用ACL加速功能..........................................................................36LB-13、(可选)业务端口添加安全区域属性.............................................................36LB-14、(可选)双机热备会话同步组网避免业务流量非对称路径转发.................38LB-15、(可选)优先采用四层负载均衡模式满足客户配置需求.............................39LB-16、(可选)采用逐流转发模式............................................................................40IPS&ACG-1、(必选)配置IPS攻击防范策略时必须先手工调整策略规则...........42IPS&ACG-2、(必选)配置IPS病毒防范策略时必须先手工调整策略规则...........47IPS&ACG-3、(必选)定期检查IPS/ACG特征库版本是否正常更新.....................48IPS&ACG-4、(必选)通过NTP\ACSEI保持IPS/ACG时钟同步正确...................49IPS&ACG-5、(必选)部署IPS/ACGMQC引流内外安全域须为不同Vlan..........51IPS&ACG-6、(必选)部署IPS/ACG插卡MQC引流时避免二层报文风暴..........53IPS&ACG-7、(必选)正则表达式URL过滤规则的配置优化................................54IPS&ACG-8、(必选)带宽管理P2P限流规则配置优化..........................................54IPS&ACG-9、(必选)ACG通道带宽管理功能针对DNS业务流量进行保障.......55IPS&ACG-10、(可选)部署专用日志主机配合IPS/ACG实现安全事件审计.......56IPS&ACG-11、(可选)ACG流日志配置优化...........................................................58IPS&ACG-12、(可选)不启用IPSDDoS攻击防范策略..........................................59安全产品配置优化操作规范2019-09-20H3C机密,未经许可不得扩散第5页,共59页FW-1、(必选)通过配置域间策略对防火墙本地实施保护应用说明:ComwareV5平台防火墙为便于用户登录管理设备,当前实现机制为默认所有安全区域都可以访问代表防火墙自身的Local区域。为避免无效报文、攻击流量冲击防火墙,要求必须配置到local区域的域间策略以对防火墙自身进行保护。在配置具体的域间策略时,应首先允许必要的管理、协议报文与防火墙本地交互,然后禁止其它流量与防火墙本地交互。自2014年7月起,新软件版本的ComwareV5平台防火墙进行了一