vFW初始配置简单合规
优化设备初始化配置
前文提到,新华三技术有限公司H3C SecPath F10x0防火墙存在弱口令漏洞(CNVD-ID:CNVD-2020-10223)。攻击者可利用该漏洞登录系统获取敏感信息。(https://www.cnvd.org.cn/flaw/show/CNVD-2020-10223)
说实话,这是我印象中第一次配置不合规上升到了信息安全漏洞层面,所以希望能引起大家足够的重视吧。本来是打算出一期等保2.0中配置合规的专题,在本文先优化一下设备的初始化配置吧。等保2.0简单介绍
修改设备名称及地址
一般为了方便管理,建议按照“位置+型号+管理IP”格式进行设置。我是虚拟化,没有位置,就直接设置成vFW-200.1了。
查看接口信息,和物理防火墙不一样的是,设备默认的第一个接口没有配置信息,需要手工配置地址。在G1/0接口上配置了192.168.100.200/24的地址,ping网关100.1发现不通,也没有ARP信息,才发现是完全的空配置。
#
sysname vFW-200.1
#
interface GigabitEthernet1/0
port link-mode route
description Management
ip address 192.168.100.200 255.255.255.0
域间策略配置
首先将接口G1/0加入到安全域Management,因为是挺老的一个版本,还不支持安全策略,所以先调整域间策略。
#
security-zone name Management
import interface GigabitEthernet1/0
#
zone-pair security source Local destination Management
packet-filter 3000
#
zone-pair security source Management destination Local
packet-filter 3000
正常来讲,域间策略只应该精确地放通需要互访的流量,比如此处,放通规则仅添加192.168.100.0/24网段的互访,并在最后添加deny规则。
#
acl advanced 3000
description zonepair
rule 0 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 100 deny ip
调整用户配置
新增用户Tietou,并删除默认用户admin,提升安全级别。要保证用户权限设置合理,密码强度符合要求,一般是包含数字、大小写字母、特殊字符,并且字符长度不低于8位。
#
local-user Tietou class manage
password simple [email protected]
service-type ssh terminal https
authorization-attribute user-role network-admin
开启远程服务
尽量避免使用Telnet、HTTP等非加密协议,建议使用SSH和HTTPS,并使用ACL进行远程访问控制。
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
ssh server enable
ssh server acl 2400
#
acl basic 2400
description vtylogin
rule 0 permit source 192.168.100.0 0.0.0.255
#
ip https port 8443
ip https acl 2400
ip https enable
为避免收到攻击,需要关闭不必要的服务并删除无关账号信息,如上次传版本使用的FTP服务就要及时关闭,创建的FTP临时账号也要及时删除。
其他配置项
一般物理环境中,涉及到的配置项还有console口认证,password-control密码控制(如密码强度符合要求、定期老化更新等),登录检测(登录失败延迟、登录攻击方法等),低级别用户切换访问级别等等。遇到时具体问题具体分析,最后再按照等保要求汇总一份文档给大家。
欢迎访问guotiejun.com获取更多信息,个人黄页地址为i.guotiejun.com。
也可以扫码关注公众号“铁军哥”,感谢您的支持!
我还拉个微信群吧,方便和粉丝们一起交流网络、安全、云计算之类的问题,也可以关注公众号后选择“补充能量”→“加入交流群”获取最新加群二维码。