服務(wù)熱線(xiàn):
0373-5596136
網(wǎng)絡(luò )防火墻
防滅墻管理制度
一.目的
規范防火墻系統的管理,保障集團防火墻系統的安全. =.適用范圍
本制度適用于集團范圍內防火墻系統的建立、設置、操作、維護、監控、報警和處理過(guò)程。
二、管理規定
(一) ?職責定義
? ? ? IT負責人:負責防火墻系統具體的方案設計、參數配置、維護、日常運作工作,以及負責防火墻系統的每周日志收集和統計。負責防火墻系統安全標準的制訂、修改和審計、日志分析工作。負責制訂防火墻系統的總體策略和需求(二) ?系統管理
1.嚴禁私自安裝、更改、拆離防火墻
2. IT必須定時(shí)對防火墻的物理連通性,流量大小,CPU利用率,安全規則的有效性等各種指標進(jìn)行監控,發(fā)現問(wèn)題及時(shí)處理
3.IT必須整理和維護配置語(yǔ)句解釋文檔,解釋文檔必須準確
4. IT必須整理和維護登記使用的Internet和DMZ區地址文檔
5. IT必須建立各種地址的映射關(guān)系表,包括:內部地址和Internet地址的映射關(guān)系表;內部地址和DMZ區地址之間的映射關(guān)系表,DMZ區地址和Internet地址之間的映射關(guān)系表
6. IT必須定期分析防火墻日志
7. IT發(fā)現安全問(wèn)題后,對有明確處理方式的問(wèn)題按規定處理,對其他問(wèn)題必須立即向主管和IT報告,然后再決定處理方式
8.當防火墻的配置改變時(shí),必須及時(shí)備份配置文件,并保存最近2次的配置文件9. IT負責對防火墻日志進(jìn)行分析,發(fā)現問(wèn)題及時(shí)組織解訣
(二) ?防火墻配置原則
1.防火墻上的訪(fǎng)問(wèn)通道遵循“缺省全部關(guān)閉,按需求開(kāi)通的原則”,拒絕開(kāi)啟除明確許可的任何一種服務(wù)
2.防火墻必須提供自動(dòng)日志掃描的功能
3.不?允許從Internet?訪(fǎng)問(wèn)公司內部除DMZ區的機器外的任何網(wǎng)絡(luò ),僅允許從DMZ網(wǎng)點(diǎn)有限制的訪(fǎng)問(wèn)Internet
4.?防火墻的配置的更改應該依照流程申請、審批、執行5.?限制具有防火墻管理權限的人員數量
6.?防火墻的安全日志要每天記錄和每周分析
7.?防火墻應該開(kāi)通對登陸到其上的用戶(hù)認證、授權、審計的功能,保證用戶(hù)的活動(dòng)有記錄。8.所有和外部網(wǎng)絡(luò )有連接的內部網(wǎng)絡(luò )上的系統必須經(jīng)過(guò)防火墻的保護9.?防火墻的登錄密碼必須有足夠的健壯性,并且建立定期更新的制度10.防火墻啟動(dòng)VPN功能時(shí),必須加密和認證
11公司的內部網(wǎng)絡(luò )系統地址、配置和相關(guān)的系統設計信息(如:網(wǎng)絡(luò )拓撲結構)嚴禁泄露12.任何和Internet有信息交流的機器都必須經(jīng)過(guò)地址轉換(NAT)才允許訪(fǎng)問(wèn)Internet,?同樣Internet的機器要訪(fǎng)問(wèn)內部機器,也只能是其經(jīng)過(guò)NAT轉換后的IP地址。
13.?防火墻應及時(shí)升級,防火墻必須配置成能防止已知的各種攻擊方式,如:tear-drop、syn-attack、ip-spoofing?、ping-of?death、src-rout、?land、?icmp-flood?udp?flood、port-scan?、
14.防火墻的外部接口必須關(guān)閉telnet、http,?限制Ping、sp?等各種可管理協(xié)議,保證防火,墻外部端口在Internet.上不可被管理。內部的管理IP地址應該保密,且要嚴格限制可登陸到防火墻上進(jìn)行配置活動(dòng)的IP地址范圍
15.?用戶(hù)3次登陸防火墻失敗,對該用戶(hù)鎖定
16.防火墻上必須記錄外部對內部或DMZ區的訪(fǎng)問(wèn)的時(shí)間、訪(fǎng)問(wèn)的目的地址、源地址、端口等信息
(三) ?用戶(hù)策略開(kāi)通原則
1、防火墻所有的用戶(hù)策略開(kāi)通原則上由用戶(hù)通過(guò)其上級領(lǐng)導同意,集團IT審核確認后方可開(kāi)通。,
2、用戶(hù)策略必須明確申請人、使用目的、使用時(shí)限、需要開(kāi)通的端口、策略開(kāi)通方向,達不到以上要求的,不予以開(kāi)通。
3、防火墻系統管理員有權利拒絕用戶(hù)不安全的策略申請。