中国移动思科防火墙配置规范SpecificationforConfigurationofCiscoFirewallUsedinChinaMobile版本号:1.0.0中国移动通信有限公司网络部╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动思科防火墙安全配置规范I目录1.范围...........................................................................................................................................12.规范性引用文件.......................................................................................................................13.术语、定义和缩略语...............................................................................................................14.防火墙功能要求.......................................................................................................................24.1.引用说明.......................................................................................................................24.2.防火墙路由模式功能规范...........................................................................................24.3.日志功能要求...............................................................................................................34.4.攻击防护和告警功能要求...........................................................................................34.5.访问控制功能要求.......................................................................................................44.6.设备其他安全功能要求...............................................................................................44.7.虚拟防火墙功能要求...................................................................................................55.思科防火墙配置要求...............................................................................................................55.1.引用说明.......................................................................................................................55.2.日志配置要求...............................................................................................................55.3.告警配置要求.............................................................................................................105.4.安全策略配置要求.....................................................................................................145.5.攻击防护配置要求.....................................................................................................205.6.设备其他安全要求.....................................................................................................216.编制历史.................................................................................................................................22附录................................................................................................................................................23中国移动思科防火墙安全配置规范II前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。本标准明确了思科(CISCO)防火墙的功能和配置要求。本标准主要包括思科防火墙基本功能、日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。本标准起草单位:中国移动通信有限公司、中国移动通信集团广东有限公司。本标准解释单位:同提出单位。本标准主要起草人:吴卓明、严晗、周智、曹一生。中国移动思科防火墙安全配置规范11.范围本标准规定了思科防火墙的功能配置要求,供中国移动内部和厂商共同使用;适用于中国移动通信网、业务系统和支撑系统的思科防火墙。2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。表2-1[1]QB-╳╳-╳╳╳-╳╳╳╳《中国移动设备通用安全功能和配置规范》1.0版中国移动通信有限公司[2]QB-╳╳-╳╳╳-╳╳╳╳《中国移动操作系统安全功能规范》1.0版中国移动通信有限公司[3]QB-╳╳-╳╳╳-╳╳╳╳《中国移动路由器安全功能规范》1.0版中国移动通信有限公司[4][5]NetworkSecurityChecklist-firewallVersion7Release1.2中国移动防火墙功能和配置规范V1.0DOD中国移动通信有限公司3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准:表3-1词语解释Firewall防火墙中国移动思科防火墙安全配置规范24.防火墙功能要求4.1.引用说明由于防火墙设备的特殊性,本规范不采纳《中国移动设备通用设备安全功能和配置规范》中功能要求的情况如下:编号采纳意见补充说明安全要求-设备-通用-功能-6不采纳不具备用户不得重复使用其最近已用口令的功能。安全要求-设备-通用-功能-10-可选不采纳不建议用户可通过人机交互界面访问防火墙文件系统。安全要求-设备-通用-功能-11-可选不采纳防火墙设备本身一般无数据库安全要求-设备-通用-功能-18-可选不采纳防火墙设备一般为嵌入式系统,或者在Unix/Linux上进行封装和安全加固,对外开放的服务已经为最小集。无需进程与IP服务端口对应表。对于未提及的《中国移动设备通用设备安全功能和配置规范》中的功能要求,本规范完全采纳,详见附录。4.2.防火墙路由模式功能规范由于防火墙可工作在路由模式,本规范引用《中国移动路由器设备安全功能和配置规范》中设备功能要求的情况如下:编号采纳意见补充说明安全要求-设备-路由器-功能-13完全采纳设备应支持关闭未使用的路由协议安全要求-设备-路由器-功能-14完全采纳设备应支持路由协议(OSPF/ISIS/BGP等)认证,认证字以不可逆密文方式存放。安全要求-设备-路由器-功能-15完全采纳设备应支持路由策略和路由过滤功能。中国移动思科防火墙安全配置规范34.3.日志功能要求编号内容安全要求-设备-防火墙-功能-1防火墙应具备记录NAT日志功能,记录转换前后IP地址的对应关系。安全要求-设备-防火墙-功能-2防火墙应具备记录VPN日志功能,记录VPN访问登陆、退出等信息。安全要求-设备-防火墙-功能-3防火墙应具备流量日志记录功能,记录通过防火墙的网络连接。安全要求-设备-防火墙-功能-4防火墙应具备规则配置功能,记录防火墙接受,拒绝和丢弃报文的日志。安全要求-设备-防火墙-功能-5防火墙应具备日志容量告警功能,在日志数达到指定阈值时产生告警。安全要求-设备-防火墙-功能-6防火墙应具备管理员操作日志审计功能,有将操作日志发送到相关的安全管控系统的接口。4.4.攻击防护和告警功能要求编号内容安全要求-设备-防火墙-功能-7防火墙应具备向管理员发送告警的功能。告警方式除控制台和syslog输出外,还应包含邮件,短消息等多种方式。安全要求-设备-防火墙-功能-8防火墙必须能够对防火墙的系统内部错误和针对防火墙的攻击进行告警。并阻断针对防火墙本身的攻击。安全要求-设备-防火墙-功能-9防火墙必须能够对TCP/IP协议网络层和应用层的协议异常进行告警,并丢弃异常报文。安全要求-设备-防火墙-功能-10防火墙必须具备对DOS和DDOS攻击告警功能,能够阻断攻击。DDOS的攻击告警的参数应可由管理员根据实际网络情况设置。安全要求-设备-防火墙-功能-11防火墙必须具备扫描攻击检测和告警功能。并阻断后续扫描流量。扫描的检测和告警的参数应可由管理员根据实际网络情况中国移动思科防火墙安全配置规范4设置。安全要求-设备-防火墙-功能-12防火墙必须具备关键字内容过滤功能,在HTTP,SMTP,POP3等应用协议流量过滤包含有设定的关键字的报文。安全要求-设备-防火墙-功能-13-可选防火墙必须具备病毒防护功能,对蠕虫等病毒传播时的攻击流量进行过滤。安全要求-设备-防火墙-功能-14-可选防火墙逻辑接口上具备防源地址欺骗功能。4.5.访问控制功能要求编号内容安全要求-设备-防火墙-功能-15防火墙系统可根据源目的地址,源目的端口,网络服务等设置访问控制策略。对通过防火墙的报文,根据策略采取通过,拒绝,丢弃,记录日志等相应操作。安全要求-设备-防火墙-功能-16