網絡防火墻
防滅墻管理制度
一.目的
規范防火墻系統的管理,保障集團防火墻系統的安全. =.適用范圍
本制度適用于集團范圍內防火墻系統的建立、設置、操作、維護、監控、報警和處理過程。
二、管理規定
(一) ?職責定義
? ? ? IT負責人:負責防火墻系統具體的方案設計、參數配置、維護、日常運作工作,以及負責防火墻系統的每周日志收集和統計。負責防火墻系統安全標準的制訂、修改和審計、日志分析工作。負責制訂防火墻系統的總體策略和需求(二) ?系統管理
1.嚴禁私自安裝、更改、拆離防火墻
2. IT必須定時對防火墻的物理連通性,流量大小,CPU利用率,安全規則的有效性等各種指標進行監控,發現問題及時處理
3.IT必須整理和維護配置語句解釋文檔,解釋文檔必須準確
4. IT必須整理和維護登記使用的Internet和DMZ區地址文檔
5. IT必須建立各種地址的映射關系表,包括:內部地址和Internet地址的映射關系表;內部地址和DMZ區地址之間的映射關系表,DMZ區地址和Internet地址之間的映射關系表
6. IT必須定期分析防火墻日志
7. IT發現安全問題后,對有明確處理方式的問題按規定處理,對其他問題必須立即向主管和IT報告,然后再決定處理方式
8.當防火墻的配置改變時,必須及時備份配置文件,并保存最近2次的配置文件9. IT負責對防火墻日志進行分析,發現問題及時組織解訣
(二) ?防火墻配置原則
1.防火墻上的訪問通道遵循“缺省全部關閉,按需求開通的原則”,拒絕開啟除明確許可的任何一種服務
2.防火墻必須提供自動日志掃描的功能
3.不?允許從Internet?訪問公司內部除DMZ區的機器外的任何網絡,僅允許從DMZ網點有限制的訪問Internet
4.?防火墻的配置的更改應該依照流程申請、審批、執行5.?限制具有防火墻管理權限的人員數量
6.?防火墻的安全日志要每天記錄和每周分析
7.?防火墻應該開通對登陸到其上的用戶認證、授權、審計的功能,保證用戶的活動有記錄。8.所有和外部網絡有連接的內部網絡上的系統必須經過防火墻的保護9.?防火墻的登錄密碼必須有足夠的健壯性,并且建立定期更新的制度10.防火墻啟動VPN功能時,必須加密和認證
11公司的內部網絡系統地址、配置和相關的系統設計信息(如:網絡拓撲結構)嚴禁泄露12.任何和Internet有信息交流的機器都必須經過地址轉換(NAT)才允許訪問Internet,?同樣Internet的機器要訪問內部機器,也只能是其經過NAT轉換后的IP地址。
13.?防火墻應及時升級,防火墻必須配置成能防止已知的各種攻擊方式,如:tear-drop、syn-attack、ip-spoofing?、ping-of?death、src-rout、?land、?icmp-flood?udp?flood、port-scan?、
14.防火墻的外部接口必須關閉telnet、http,?限制Ping、sp?等各種可管理協議,保證防火,墻外部端口在Internet.上不可被管理。內部的管理IP地址應該保密,且要嚴格限制可登陸到防火墻上進行配置活動的IP地址范圍
15.?用戶3次登陸防火墻失敗,對該用戶鎖定
16.防火墻上必須記錄外部對內部或DMZ區的訪問的時間、訪問的目的地址、源地址、端口等信息
(三) ?用戶策略開通原則
1、防火墻所有的用戶策略開通原則上由用戶通過其上級領導同意,集團IT審核確認后方可開通。,
2、用戶策略必須明確申請人、使用目的、使用時限、需要開通的端口、策略開通方向,達不到以上要求的,不予以開通。
3、防火墻系統管理員有權利拒絕用戶不安全的策略申請。