網(wǎng)絡(luò)防火墻
防滅墻管理制度
一.目的
規(guī)范防火墻系統(tǒng)的管理,保障集團(tuán)防火墻系統(tǒng)的安全. =.適用范圍
本制度適用于集團(tuán)范圍內(nèi)防火墻系統(tǒng)的建立、設(shè)置、操作、維護(hù)、監(jiān)控、報(bào)警和處理過程。
二、管理規(guī)定
(一) ?職責(zé)定義
? ? ? IT負(fù)責(zé)人:負(fù)責(zé)防火墻系統(tǒng)具體的方案設(shè)計(jì)、參數(shù)配置、維護(hù)、日常運(yùn)作工作,以及負(fù)責(zé)防火墻系統(tǒng)的每周日志收集和統(tǒng)計(jì)。負(fù)責(zé)防火墻系統(tǒng)安全標(biāo)準(zhǔn)的制訂、修改和審計(jì)、日志分析工作。負(fù)責(zé)制訂防火墻系統(tǒng)的總體策略和需求(二) ?系統(tǒng)管理
1.嚴(yán)禁私自安裝、更改、拆離防火墻
2. IT必須定時(shí)對(duì)防火墻的物理連通性,流量大小,CPU利用率,安全規(guī)則的有效性等各種指標(biāo)進(jìn)行監(jiān)控,發(fā)現(xiàn)問題及時(shí)處理
3.IT必須整理和維護(hù)配置語句解釋文檔,解釋文檔必須準(zhǔn)確
4. IT必須整理和維護(hù)登記使用的Internet和DMZ區(qū)地址文檔
5. IT必須建立各種地址的映射關(guān)系表,包括:內(nèi)部地址和Internet地址的映射關(guān)系表;內(nèi)部地址和DMZ區(qū)地址之間的映射關(guān)系表,DMZ區(qū)地址和Internet地址之間的映射關(guān)系表
6. IT必須定期分析防火墻日志
7. IT發(fā)現(xiàn)安全問題后,對(duì)有明確處理方式的問題按規(guī)定處理,對(duì)其他問題必須立即向主管和IT報(bào)告,然后再?zèng)Q定處理方式
8.當(dāng)防火墻的配置改變時(shí),必須及時(shí)備份配置文件,并保存最近2次的配置文件9. IT負(fù)責(zé)對(duì)防火墻日志進(jìn)行分析,發(fā)現(xiàn)問題及時(shí)組織解訣
(二) ?防火墻配置原則
1.防火墻上的訪問通道遵循“缺省全部關(guān)閉,按需求開通的原則”,拒絕開啟除明確許可的任何一種服務(wù)
2.防火墻必須提供自動(dòng)日志掃描的功能
3.不?允許從Internet?訪問公司內(nèi)部除DMZ區(qū)的機(jī)器外的任何網(wǎng)絡(luò),僅允許從DMZ網(wǎng)點(diǎn)有限制的訪問Internet
4.?防火墻的配置的更改應(yīng)該依照流程申請(qǐng)、審批、執(zhí)行5.?限制具有防火墻管理權(quán)限的人員數(shù)量
6.?防火墻的安全日志要每天記錄和每周分析
7.?防火墻應(yīng)該開通對(duì)登陸到其上的用戶認(rèn)證、授權(quán)、審計(jì)的功能,保證用戶的活動(dòng)有記錄。8.所有和外部網(wǎng)絡(luò)有連接的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)必須經(jīng)過防火墻的保護(hù)9.?防火墻的登錄密碼必須有足夠的健壯性,并且建立定期更新的制度10.防火墻啟動(dòng)VPN功能時(shí),必須加密和認(rèn)證
11公司的內(nèi)部網(wǎng)絡(luò)系統(tǒng)地址、配置和相關(guān)的系統(tǒng)設(shè)計(jì)信息(如:網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu))嚴(yán)禁泄露12.任何和Internet有信息交流的機(jī)器都必須經(jīng)過地址轉(zhuǎn)換(NAT)才允許訪問Internet,?同樣Internet的機(jī)器要訪問內(nèi)部機(jī)器,也只能是其經(jīng)過NAT轉(zhuǎn)換后的IP地址。
13.?防火墻應(yīng)及時(shí)升級(jí),防火墻必須配置成能防止已知的各種攻擊方式,如:tear-drop、syn-attack、ip-spoofing?、ping-of?death、src-rout、?land、?icmp-flood?udp?flood、port-scan?、
14.防火墻的外部接口必須關(guān)閉telnet、http,?限制Ping、sp?等各種可管理協(xié)議,保證防火,墻外部端口在Internet.上不可被管理。內(nèi)部的管理IP地址應(yīng)該保密,且要嚴(yán)格限制可登陸到防火墻上進(jìn)行配置活動(dòng)的IP地址范圍
15.?用戶3次登陸防火墻失敗,對(duì)該用戶鎖定
16.防火墻上必須記錄外部對(duì)內(nèi)部或DMZ區(qū)的訪問的時(shí)間、訪問的目的地址、源地址、端口等信息
(三) ?用戶策略開通原則
1、防火墻所有的用戶策略開通原則上由用戶通過其上級(jí)領(lǐng)導(dǎo)同意,集團(tuán)IT審核確認(rèn)后方可開通。,
2、用戶策略必須明確申請(qǐng)人、使用目的、使用時(shí)限、需要開通的端口、策略開通方向,達(dá)不到以上要求的,不予以開通。
3、防火墻系統(tǒng)管理員有權(quán)利拒絕用戶不安全的策略申請(qǐng)。