阿里云平台安全管理规范.docx

阿里云平台安全管理规范目录1范围4第一章总则51.1 管理目标51.2 管理原则5第二章安全管理规范62.1 安全事件上报62.1.1 安全事件分类62.1.2 安全事件监控及上报72.2 帐号口令管理82.3 安全域划分及端口管理102.4 防病毒制度112.5 日志审计122.5.1 日志审计总则/22.5.2 日志管理13第三章应急保障133.1 应急保障范围133.2 应急保障流程143.3 应急保障措施14第四章日常安全运维制度154.1 资产信息维护151 .1.1安全设备资产154 .L2业务设备资产155 .13网络设备资产164.2 安全设备维护164.2.1 远程安全巡检164.2.2 机房安全巡检164.2.3 设备故障处理173.2.4设备权限检查174.3 安全策略运维174.3.1 安全策略信息维护/74.3.2 全策略开通174.3.3 安全漏洞扫描184.3.4 安全策略清理184.3.5 网络和端口梳理184.3.6 日志审计194.4 安全报告输出194.4.1 安全方案输出194.4.2 安全运维月报输出194.5 重大事件保障194.6 工作实施方案20第五章安全基线205.1 云数据库安全基线205.1.1 账号管理205.1.2 主机操作系统权限205.1.3 数据库优化215.2 LINUX安全基线215.2.1 账号管理215.2.2 可疑文件215.2.3 访问控制215.2.4 系统优化225.2.5 SSH安全225.2.6 其他项目225.3 网络设备安全基线235.3.1 数据层面235.3.2 控制层面235.3.3 监控层面235.3.4 管理层面245.4 WINDOWS安全基线245.4.1 日志配置操作245.4.2 IP协议安全配置.245.4.3 设备其他配置操作255.5 防火墙安全基线255.5.1 账号认证255.5.2 日志配置255.5.3 全策略配置265.5.4 IP协议安全要求.27编制历史版本更新日期修改更新说明文档状态V.1.0.02016-7.15周阳讨论稿V2.0.02017-2.22周阳初定稿V3.0.02017.12.26周阳修改稿范围为适应政务云的发展，特制定本管理办法。具体包括政务云运行及维护过程中所涉及到的病毒防范、网络接入、访问控制、日志审计、账号管理等内容,不包括信息源和信息内容的合法性问题、通信安全（如网络容灾备份）等网络安全问题。第一章总则1.1 管理目标本办法的目标是通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为政务云开展各类业务的安全运行提供保障。在合理的安全成本基础上，实现网络运行安全和业务安全。1.2 管理原则有效性：安全措施的实施必须能够确保风险被降低到可以接受的水平，达到期望的安全目标。可行性：安全措施必须在技术上是可操作的，可以实现的。某些安全措施不具备通用性，需要因地制宜°实际性：应从管理、财务等非技术因素详细分析待实施的安全措施，综合比较实施成本与由此减少的潜在损失，非经济因素也应考虑在内。第二章安全管理规范2.1 安全事件上报2.1.1 安全事件分类本办法所指的安全事件是一个或一系列与网络与系统安全、业务安全、信息安全相关的，并极有可能危害系统可用性、完整性或保密性的事件。1. 影响系统可用性的安全事件主要包括：拒绝服务攻击（DOS和DDOS）、恶意代码攻击、漏洞攻击、僵尸网络、垃圾邮件等；2. 影响系统完整性的安全事件主要包括：信息篡改（如网页篡改、DNS劫持等）、后门木马（以破坏系统数据为目的）、漏洞攻击等；3. 影响系统保密性的安全事件主要包括：信息窃取（如后门木马、间谍软件、盗号软件等）、信息泄密、信息假冒（如网络钓鱼）、网络嗅探、漏洞攻击、僵尸网络等。根据系统重要性以及安全事件对系统可用性、完整性、保密性的影响程度，安全事件可分为特别重大（一级）、重大（二级）、较大（三级）和一般（四级）四个级别：1. 特别重大安全事件（一级）指以下安全事件：（a）政务云上对外信息发布系统出现扰乱公共秩序、造谣蛊惑、破坏安定团结以及反动、淫秽、色情内容的信息安全事件。（b）政务云出现重大故障，导致设备瘫痪，数据丢失，云主机基础服务不可用的安全事件。（C）政务云基础运维数据库出现严重信息泄密，导致大量数据丢失、被篡改或者窃取，影响政务云正常运维的安全事件。2. 重大安全事件(二级)指以下安全事件：(a)政务云出现重大故障，导致部分功能无法使用的情况，如无法开通云主机、数据库模块故障、大数据分析模块无法使用等情况。(b)政务云部分基础运维数据库出现信息泄密，导致部分数据丢失，被篡改或者窃取，影响政务云正常运维的安全事件。3. 较大安全事件(三级)指以下安全事件：(a)政务云出现故障，导致部分功能短时无法使用的情况。(b)政务云用户信息系统遭受攻击，导致用户信息系统无法使用或者部分功能不正常的情况。4. 一般安全事件(四级)指以下安全事件：(a)平台级安全监控设备出现告警，如平台服务遭受拒绝服务攻击、恶意代码攻击、SQL注入等等，但尚未引起实质性安全威胁的安全事件。(b)政务云用户信息系统遭受攻击，但尚未引起实质性安全威胁的安全事件。2.1.2安全事件监控及上报安全事件监控应由监控专业实施对政务云的集中化安全监控。安全事件监控信息主要来自以下三个方面：1. 网络安全设备或网络安全监控系统(阿里云安全中心)监测到的安全告警信息；2. 政府相关部门或上级主管单位、有限公司通报的安全事件信息；3. 安全事件投诉。对于安全监控发现的安全事件，监控在进行预处理的同时，应及时对安全事件的影响范围和级别进行判断并决定是否需要上报当：1. 特别重大安全事件发生时，应立即上报市府办相关领导/接口人员以及本公司相关领导，特别重大安全事件确认至上报不得超过10分钟2. 重大安全事件发生时，应及时上报市府办相关领导/接口人员以及本公司相关领导。重大安全事件确认至上报不得超过30分钟;3. 较大安全事件发生时，应在当天内通知市府办接口人员以及本公司相关领导。较大安全事件确认至上报不得超过1天；4. 一般安全事件发生时，根据事件的类型和严重程度，决定是否通知市府办接口人员。2.2帐号口令管理2.2.1 帐号管理原则1、帐号设置应与岗位职责相容，坚持最小授权原则，避免超出工作职责的过度授权；2、应制定严格的审批和授权流程，规范帐号申请、修改、删除等工作，授权审批记录应编号、留档，并定期对用户账号和权限进行监督和审计监察。3、原则上，除低权限的查询帐号外，各系统不允许存在其它共享帐号，必须明确每个帐号责任人，不得以部门或用户组作为最终责任人。4、在完成特定任务后，系统管理员应立即收回临时帐号。5、各系统应根据不同的角色确定用户账号，账号至少应当分为以下角色：系统管理员：一般应具有超级用户权限；普通用户：只具有相应访问内容和操作的最小权限；第三方人员：临时或长期进行系统维护的非本单位内部人员，应当根据第三方人员的维护范围确定其使用权限；安全审计人员：应能查看系统的日志和审计信息Q6、定期删除无关账号、空账号和临时账号，建议每月定期进行一次清理。7、建议修改系统管理员账号和口令，防止被非法利用，如IinUX的root用户、windows的administrator用户o2.2.2口令管理原则1、所有网络系统密码、口令的设置至少应该符合以下要求：长度大于8位；大小写字母、数字，以及特殊字符混合使用，例如：TmBlw2R!;不是任何语言的单词；不能使用缺省设置的密码。2、应定期的对系统层账号进行密码修改操作，原则上保证每个季度修改一次密码。包括：UNIX/Linux系统root用户的密码、网络设备的enable密码、WindoWS系统AdminiStrator用户的密码，以及应用系统的管理用户密码。3、用户层的密码至少每半年更换一次，包括：电子邮件用户密码、Web用户密码、OA用户密码，以及桌面系统的密码等。4、密码不能以明文的方式通过电子邮件或者其他网络传输方式进行传输。工作人员也不能将密码告诉别人。如果系统密码泄漏，必须立即更改。5、所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除。6、密码在输入系统时，不能在显示屏上明文显示出来。系统应该强制指定密码的策略，包括密码的最短有效期、最长有效期、最短长度、复杂性等。7、应以HASH或者加密技术保存口令，不得以明文方式保存或者传输；8、修改口令时，须保留口令修改记录，包含帐号、修改时间、修改原因等，以备审计；9、5次以内不得设置相同的口令；10、由于员工离职等原因，原帐号不能删除或者需要重新赋予另一个人时，应修改相应帐号的口令。11、设定口令锁定策略，加以设置为3-5次，降低口令爆破风险;设定会话超时时间。2.3 安全域划分及端口管理政务云应根据不同的业务、服务进行分区分域。按照阿里云的特点，当前可以对不同的业务进行安全组划分，不同业务原则上不能放在同一个安全组，有明确端口互访需求的可以在安全组之间进行创建。目前典型的网络应用场景包括互联网、互联网+政务网和专网。专网单独通过VPC进行网络隔离，默认与其他网络均无法连通。互联网和政务网+互联网应用场景，应区分前后台服务器，原则上设置两个及以上的安全组隔离，安全组之间采取最小化互通原则。新增的云主机需求应进行初始开通端口确认，默认保持端口全关。如有新增端口需求，则需及时提供端口变更需求。针对互联网开通80/8080/443等端口，必须要求客户对先对端口进行备案后再予以开通。所有网络互联需求应符合政务云运维管理的的实际需要，必须有明确的互联目的，互联所开放的访问权限应以满足而且不超出实际需求为标准。2.4 防病毒制度1、应保证防病毒服务器运行稳定、可靠，不发生重大宕机事件,及时进行补丁更新和安全策略配置。2、防病毒服务器是防病毒体系的关键部分，管理人员必须对服务器状态进行巡检，病毒定义码以不超过1天为准，并检查客户端分发状态。3、定期在防病毒服务器上查看客户端连接通讯情况，掌握客户端连接数据和连接情况。4、病毒疫情爆发时，在规定时间内快速确定病毒源和病毒类型,同时从服务商或网上获取有效信息以达杀毒目的，必要时必须及时给予网络隔离。监控病毒传播情况，尽可能缩短时间控制病毒蔓延，同时检查服务器病毒定义码为最新，及时分发。若是新型病毒，速采集病毒样本交服务商。5、终端用户应保证客户端防病毒软件版本与服务器一致，防毒引擎和病毒代码统一自动更新，不得擅自安装其它防病毒软件。及时进行补丁更新，不得擅自禁用防病毒软件的自动防护功能。6、任何部门和个人向外发布文件或软件时，应该用规定的防病毒软件检查这些文件或软件，确保无病毒之后才能向外发布。7、新购置的、借入的或维修返回的含存储功能的设备（如软盘、光盘、U盘、硬盘等）在使用前须进行病毒检测。2.5 日志审计2.5.1 日志审计总则政务云应配置日志审计管理系统，记录各网元的操作信息及流量信息，以便及时发现异常，对高危操作进行实时告警。政务云中使用的网络安全设备、应用平台、平台服务器和平台数据库等设备和系统产生的系统日志均应纳入日志审计管理系统中进行管理，并定期审计Q审计内容分类1、物理主机操作系统：用户登入、登出信息；系统配置变更日志2、数据库系统：数据记录变更日志、数据库结构变更日志3、应用系统：用户登入、登出信息、配置变更信息4、网络、安全产品：用户登录日志、配置变更信息、业务日志5、日志保存时间应在半年以上2.5.2日志管理1、操作系统日志记录，系统的状况和安全有关的事件，包括用户登录和退出，系统文件的删除和修改，重要文件的访问、修改、删除、目录的访问，文件属性的更改，用户的添加、删除、修改，用户密码更改和策略更改等。2、数据库日志记录数据库运行状况信息和安全事件，包括系统用户的添加、删除、修改、数据库系统的访问，数据库结构变化等。3、网络日志记录网络设备的操作日志，包括账户登录管理、用户操作命令、配置变更等。4、安全设备日志记录安全设备的操作日志和系统日志；5、应用系统日志记录，如数据的添加、删除和修改。6、网络设备和安全设备需设置SySIOg配置，防火墙设备需开启访问控制信息记录功能。7、系统管理员、数据库管理员及安全管理员每周应对设备生成的审计日志进行分析。第三章应急保障3.1 应急保障范围政务云平台发生故障，造成大范围用户无法使用虚拟机、数据丢失、网络中断等情况Q重要业务系统发生故障，造成大范围无法提供服务或数据丢失。重大活动（发文明确规定需保障的各类活动）期间，发生事件可能造成一定的社会影响。3.2 应急保障流程发生重大事件，政务云服务商或业务应用单位，立即通知政务云主管单位和各自单位相关人员。政务云主管单位通知政务云服务商或业务应用单位组织相关人员，启动应急方案。政务云服务和业务应用单位应急保障人员开展故障定位、事件处理工作。根据事件处理进展情况，定期通告相关人员，并按需进行故障升级，确保快速解决。故障恢复后，政务云服务商或业务应用单位通告相关人员，组织进行业务测试验证。政务云服务商或业务应用单位安排人员进行观察、值守，总结分析事件发生原因和解决情况。3.3 应急保障措施1）政务云服务提供商成立政务云平台应急保障团队，制定政务云平台应急保障方案，准备应急备品备件，定期组织应急演练，快速处置应急事件。2）业务使用单位根据政务云应急保障方案，结合业务重要等级，制定业务应用系统应急保障方案，配合政务云服务提供商开展应急演练，组织人员处理本单位应急事件。第四章日常安全运维制度4.1 资产信息维护对资产信息进行维护，确保资产信息的完整性和准确性。资产信息主要包括安全设备资产、业务设备资产和网络设备资产。4.1.1 安全设备资产安全设备资产包括防火墙、WAF、VPN,堡垒机、漏扫等一系列保障云平台安全的物理设备、软件和平台等等；需要定期维护安全设备资产信息表中的资产属性和字段，以天粒度记录安全设备状态检测表，每个月提供一份安全设备资产状态监测表给大数据中心。状态监测表包括安全设备的业务开通数量、运行状态、资源利用率、版本升级情况等等常见监测指标。4.1.2 业务设备资产业务设备资产包括云主机、云数据库、云网盘、物理主机等一系列支撑业务的设备资产，需要定期维护业务设备资产信息表中的资产属性和字段，以天粒度记录安全设备状态检测表，并每个月提供一份业务设备资产状态监测表。状态监测表包括主机运行状态、资源利用率、操作系统等等4.1.3 网络设备资产网络设备资产包括网络物理设备和阿里云内的虚拟网络设备，需要定期维护网络设备资产信息表中的资产属性和字段，以天粒度记录安全设备状态检测表，并每个月提供一份网络设备资产状态监测表。包括运行状态、流量情况、版本信息等等。4.2 安全设备维护4.2.1 远程安全巡检远程巡检指通过远程登录的方式，对设备的CPU、内存、存储、运行情况、版本和更新情况、NTP服务、网络配置和连通性、证书许可到期和日志存储情况等进行查看和记录。针对异常需及时反馈处理。安全运维工程师每天进行一次远程巡检。4.2.2 机房安全巡检机房安全巡检指进入机房对设备的位置进行确认，对设备的温度、设备线路、硬盘工作灯等情况进行查看和记录。安全运维工程师每月一次机房巡检Q设备巡检表模板MicrosoftExcel工作表安全运维工程师针对安全设备存在的故障进行通告和预处理，按需联系设备厂家进行技术支持。处理完毕后生成故障处理报告。3.2.4设备权限检查安全运维工程师需要定期检查所有安全设备的网络连通、账号开通、权限设置、登录次数限制、会话时长限制、登录源ip限制等等情况。确保安全设备符合最小登录范围的要求。安全运维工程师每月一次安全设备权限清理，并提供账号审计表格。4.3安全策略运维1.1.1 安全策略信息维护安全策略运维信息包括防火墙、WAF.VPN.堡垒机、漏扫等一系列安全设备的安全策略配置和云主机的应用情况。在安全设备策略更新时需在一天内及时更新安全策略信息维护表，并定期维护安全策略运维信息表中的资产属性和字段，每个月提供一份安全策略鱼尾信息表，包括云主机的基本信息、应用了哪些安全服务等基本信息。1.1.2 安全策略开通安全运维工程师应在收到申请单后，三个工作日内完成安全策略的开通。安全策略开通包括VPN、堡垒机账号开通、防火墙策略配置、WAF策略配置、网页防篡改策略配置等等。1.1.3 安全漏洞扫描安全运维工程师需要定期对所有的云主机和网站系统进行安全漏洞扫描，根据客户对象输出扫描报告和总体的扫描总结报告，总结报告需统计所有的高危漏洞情况并分类统计。安全运维工程师每月一次安全漏洞扫描。1.1.4 安全策略清理安全运维工程师应在收到安全服务下线通知后，三个工作日内完成安全策略的清理工作。安全策略清理包括VPN、堡垒机账号清理、权限清理、防火墙策略配置、WAF策略配置、网页防篡改策略清理等等。安全运维工程师应每月一次对安全策略进行常规清理，安全策略包括上述所有策略内容。1.1.5 网络和端口梳理安全运维工程师需要定期对互联网开通80/8080/443端口、SSH端口22/3389、FTP端口20/21、数据库端口1521/3306/1433、文件共享端口137/138/139/445等高危端口进行梳理。安全运维工程师每月一次网络和端口梳理，并提供梳理检查报告。针对互联网上80/8080/443端口需检查是否有备案、其他端口原则上应予以关闭。安全运维工程师需要定期对物理主机操作系统、数据库系统、应用系统、网络、安全产品进行日志审计。安全运维工程师每周一次日志审计。并按月输出日志审计报告。4.4 安全报告输出4.4.1 安全方案输出安全运维工程师定期对政务云上所有信息系统进行安全检查，提供详细的漏洞扫描报告和安全建议，并根据客户对象进行邮件发送。安全运维工程师每月一次安全方案输出。4.4.2 安全运维月报输出安全运维工程师定期提供报告，包含安全设备运行情况、云平台各系统的运行情况（包含云主机、物理主机和数据库）、云平台高危漏洞通报及处理情况、安全设备日志分析等内容。安全运维工程师每月一次安全运维月报输出。4.5 重大事件保障根据大数据中心要求，开展重大事件保障工作。主要内容包括专项漏洞扫描、安全预警、网站防护加固、应急演练等重大事件安全保障措施。工作内容工作频率交付时间资产安全设备资产每天1个工作内信息业务设备资产每天1个工作日内维护网络设备资产每天1个工作日内安全远程安全巡检每天1个工作日内设备机房安全巡检每月每月25日维护故障处理按需1个工作内策略信息维护每天1个工作内4人安全策略开通按需3个工作日内安全漏洞扫描每月每月15日策;略安全策略清理每月每月30日网络和端口清理每月每月25日日志审计每周每周五安全安全方案输出每月每月25日前4巧匕运维月报输出输出每月每月30日前重大事件保障按需NULL第五章安全基线5.1 云数据库安全基线5.1.1 账号管理1、设置root密码并修改root登录名2、禁止使用root远程连接数据库5.1.2 主机操作系统权限1、使用独立小权限用户启动数据库进程2、限制数据库文件目录访问权限1、删除无用数据库2、数据库定时备份3、禁用LOCALINFILE,防止非授权用户访问本地文件4、移除或禁用.HiysqlJiistory,防止非授权用户访问Sql历史记录5.2 Iinux安全基线5.2.1 账号管理1、删除UlD为0的root用户2、删除存在空密码的账户5.2.2 可疑文件1、扫描具有SUID、SGUlD属性的二进制文件，检查是否存在潜在的可利用root的程序和后门，经确认后删除或消除'S'位2、扫描全局可写权限的目录，具有全局可写权限的目录,应设置粘连位，保证用户可创建文件，但不能删除、修改其他用户文件3、扫描无主文件，发现无主文件，意味着系统有可能被入侵，或者是卸载程序之后的遗留文件，应删除无主文件4、扫描.netrc文件，为安全性考虑，用户目录下不应存在.netrc文件5.2.3 访问控制1、安全挂载tmp、home等目录，m。Unt选项能用来被阻止文件解释为设备节点、防止二进制程序执行，不允许SUlD位有效。使用mount选项来防止入侵者进一步提升权限2、修改deamon脚本执行权限，只有root用户才具有deamon脚本的控制权限3、检查帐号相关文件权限设置，对账号相关文件设置合理的权限，降低安全风险4、检查用户缺省UMASK,保证用户创建的文件目录的默认权限最小化5、检查日志文件权限设置，应合理设置日志文件的权限6、SU和SUdo命令使用授权，降低root使用频率7、检查是否配置访问控制，应使用iptables对管理端口、监控端口严格控制,对业务端口适当控制8、检查是否设置登录超时，用户空闲超时，会话应自动断开5.2.4 系统优化1、使tcpsyncookie保护生效，抵御tcpsynflood2、禁止不必要服务，关闭不必要服务，减少受攻击面5.2.5 SSH安全1、修改默认SSH侦听端口，降低被大部分自动化工具扫到概率2、禁止root用户直接登录系统，避免引起巨大的安全风险3、强制使用PrOtoCOI2,protocol1有安全缺陷，应使用PrOtoCol24、创建一个自定义SSHbanner,避免不必要的信息泄露5、应是否最新的安全版本，降低安全风险5.2.6 其他项目1、禁止使用ctrl+alt+del重启系统2、限制SheII记录history命令数，减少Shell历史命令记录，防止用户操作不慎，密码等敏感信息泄露3、修改SNMP的默认CommUnity,减少Shell历史命令记录，防止用户操作不慎,密码等敏感信息泄露5.3 网络设备安全基线5.3.1 数据层面1、过滤已知病毒传播流量，过滤已知病毒传播流量5.3.2 控制层面1、禁用ARP代理，有特殊服务的设备无须禁用例如NAT功能2、开启防IP地址欺骗，上线前可禁用，业务需要时再开启，现网评估后再操作3、若使用MPLS,开启LDP认证，OSPFPEER须认证通过后建立OSPF邻接关系,BGPPEER须认证通过后建立BGP邻居4、配置OSPF,BGP等动态路由协议过滤非法路由注入5、禁用非必要服务，例如：ftp、tftp、telnetshttp；若管理接口只支持telnet、http可忽略此项6、开启NTP服务，保证设备时间准确5.3.3 监控层面1、开启SYSLOG服务，记录用户操作日志、用户登录日志、系统日志，配置日志远程保存，方便事后排障与审计2、配置日志远程保存，方便事后排障与审计，修改SNMP默认Community3、禁用SNMPCOnlmUnity可写权限，保证用户创建的文件目录的默认权限最小化4、限制可访问SNMP服务的监控主机，只允许监控主机访问SNMP服务5.3.4 管理层面1、开启安全远程管理协议，例如:SSH,HTTPS2、限制远程访问管理端口的IP范围，对SSH,HTTP,TELNET,HTTPS等管理接口指定可远程访问IP范围，精确到IP3、开启管理接口使用AAA认证，针对VTY,CONSOLE开启AAA认证，保证设备安全4、关闭未使用物理接口，防止非法接入5、配置在使用接口描述信息6、修改设备Banner默认信息7、创建自定义SSHbanner,避免不必要的信息泄露8、检查是否使用最新安全版本，降低安全风险5.4 windows安全基线5.4.1 日志配置操作1、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐户，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。2、设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时，按需要改写事件。5.4.2 IP协议安全配置1、启用SYN攻击保护，指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500；指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400O5.4.3 设备其他配置操作1、关闭Windows硬盘默认共享2、如需启用SNMP服务，则修改默认的SNMPCommunityString设置3、列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭4、如对互联网开放WindowsTerminial服务(RenIOteDeSktop),需修改默认服务端口。5、关闭Windows自动播放功能。6、设置带密码的屏幕保护，并将时间设定为5分钟。7、对于远程登陆的帐号，设置不活动断连时间15分钟。8、应安装最新的ServicePack补丁集。对服务器系统应先进行兼容性测试。5.5 防火墙安全基线5.5.1 账号认证1、对于防火墙远程管理的配置，必须是基于加密的协议。如SSH,如果只允许从防火墙内部进行管理，应该限定管理IPQ5.5.2 日志配置1、防火墙管理员的操作必须被记录日志，如登录信息，修改为管理员组操作。帐号解锁等信息2、设备应配置日志功能，记录对与防火墙设备自身相关的安全事件。3、设备应配置NAT日志纪录功能，记录转换前后IP地址的对应关系。防火墙如果开启vpn功能，应配置记录vpn日志记录功能，记录vpn访问登陆、退出等信息。4、设备应配置流量日志纪录功能5、配置日志容量告警阈值6、配置对防火墙本身的攻击或内部错误告警，配置TCP/IP协议网络层异常报文攻击告警，配置DOS和DDOS攻击告警，配置关键字内容过滤功能告警5.5.3 安全策略配置1、所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。2、配置访问规则应尽可能缩小范围，在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，符合最小化原则。需要禁止anytoanyall和anyall和服务为all的规则。3、访问规则必须按照一定的规则进行分组。4、配置NAT地址转换，对公网隐藏局域网主机的实际地址5、隐藏防火墙字符管理界面的bannner信息6、防火墙设备必须关闭非必要服务。7、拒绝常见漏洞所对应端口或者服务的访问，对于常见系统漏洞对应端口，应当进行端口的关闭配置。屏蔽常见的漏洞端口。8、对于防火墙各逻辑接口配置开启防源地址欺骗功能。9、限制ICMP包的大小，以及一段时间内同一IP地址主机发送ICMPECHORequest报文的次数。5.5.4 IP协议安全要求1、使用SNMPV2或V3版本对防火墙远程管理，去除SNMP默认的共同体名(COmmUnityNanIe)和用户名。并且不同的用户名和共同体明对应不同的权限(只读或者读写)2、外网口地址关闭对ping包的回应，。建议通过VPN隧道获得内网地址，从内网口进行远程管理。如网管系统需要开放，可不考虑3、对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置ACL4、对于具备console口的设备，应配置console口密码保护功能Q