防火墙安全管理规定.doc
《防火墙安全管理规定.doc》由会员分享,可在线阅读,更多相关《防火墙安全管理规定.doc(4页珍藏版)》请在咨信网上搜索。
防火墙安全管理规定 内部公开 1 目的 Objective 规范防火墙系统的安全管理,保障公司防火墙系统的安全。 2 适用范围 Scope 本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理。 3 定义 DMZ(demilitarized zone):中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。通常,它放在外网和内网中间,是内网中不被信任的系统。在进行防火墙设置时可阻断内网对DMZ的公开访问,尤其禁止DMZ到内网的主动连接。 GRE(Generic Routing Encapsulation):即通用路由封装协议,它提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输。 VPN(Virtual Private Networking):即虚拟专用网,VPN是用以实现通过公用网络(Internet)上构建私人专用网络的一种技术。 4 管理细则 4.1 基本管理原则 1. 公司IT系统不允许直接和外部网络连接(包括Internet、合资公司等等),必须经过防火墙的限制保护。防火墙的建设、安装须遵守《防火墙建设规范》。 2. 防火墙指令的配置须严格遵守附件一《防火墙指令描述格式》。 3. 防火墙口令设置参照《帐号和口令标准》,并由安全控制办统一管理。 4. 防火墙日志管理参照《系统日志管理规定》。 5. 防火墙变更管理参照《IT生产环境变更管理流程》。 6. 防火墙不允许直接通过Internet管理;内部管理IP地址只允许相关人员知晓。 7. 防火墙紧急开通策略有效期为2周。如2周内没有申请防火墙策略,则将自动失效。 8. 在非工作时间处理防火墙紧急申请须遵循《紧急故障处理Token卡管理规定》。 4.2 防火墙系统配置细则 1. 当防火墙启动VPN功能时,需使用IPSEC进行隧道加密:认证算法采用SHA-1,加密算法采用3DES算法。 2. 防火墙闲置10分钟以上的登陆,连接要被强制掉线。 3. 防火墙须配置成能防止已知的各种攻击,如:tear-drop、syn-flood、ping-of-death、src-rout、land、default-deny。 4. 安全日志至少应包含策略创建、变更和废除(停用)等日志,日志内容包括实施的帐号,实施的时间,实施的策略(开通的具体防火墙通道)、相应的IP地址等信息。 4.3 防火墙策略管理配置细则 1. GRE、本地网VPN、DMZ、非生产环境(包括测试环境、UAT环境、试运行环境等)、临时性或任务性的防火墙策略须严格对源地址、应用端口进行限制,并设置策略有效期。 2. 生产环境中,与IT应用相关针对普通用户的策略,在应用生命周期内,防火墙上不设置有效期限,但管理上须保证每年对所有应用进行一次审视。 3. Internet防火墙配置细则: 1) 三个区域(Untrust/Trust/DMZ)间的策略遵循“缺省全部关闭,按需求开通的原则”。 2) 未经允许,严禁Internet直接访问公司内部(除DMZ区的机器外)的网络。 3) DMZ区服务器只开放相应的应用端口,不得开放任意端口,特别是敏感端口。如果可以收集用户的源地址,需要对源地址网段进行限制。 4) 不得从公司内网直接访问Internet,允许从DMZ区域有限制的访问Internet。 5) DMZ服务器原则上不得开放主动对Internet的访问,监控、Email、proxy等除外。 6) 公司内网必须有限制地访问DMZ区机器,并且只开放相应的端口。 7) DMZ服务器区内部服务器策略互通。 8) DMZ服务器访问/调用数据中心内网服务器,须指定相应的地址和端口。 4. 数据中心服务器区防火墙配置细则: 1) 对于普通用户端应用访问需求,防火墙只开放应用必需的端口。 2) 对于普通用户和管理员维护的服务端口,通用区服务器、研发区、非研发区的防火墙对相应的端口须进行限制,可以不对用户侧源地址网段进行限制。 3) 数据中心(研发区、非研发区、通用区)不同服务器区之间服务器在关闭高危端口后,可互通。 4) 服务器主动往内网用户侧发起的访问需求不作限制。 5) 对特殊IT应用和用户需求,遵照“缺省全部关闭,按需求开通”的原则执行。 5. 绝密区防火墙配置细则: 1) 严格按照“缺省全部关闭,按需求开通的原则”设置绝密区防火墙策略。 2) 绝密区防火墙只对需要访问的IP地址开放需要使用的服务端口,并设置有效期。 3) 服务器主动往内网用户侧发起的访问需求不作限制。 4.4 策略申请流程 1. 防火墙策略日常申请流程: 申请人填写电子流->直接主管审批->网络安全部审批->系统支持部接口人审核、分流->防火墙管理员给出实施指令->安全控制办按照实施指令进行配置->申请人确认。 4.5 职责 1. 申请人:负责提出防火墙策略申请,需要保证申请信息准确、完整。 1) 申请防火墙策略时,需提前咨询IT热线或系统维护人员,必须明确所申请的服务端口,不得在未知、不确认的情形下提交所有端口。 2) 申请人须及时在防火墙电子流中确认策略是否生效,如策略未生效或未达到预期,请及时将电子流反馈给防火墙管理员。 3) 防火墙策略到期或不再使用时,策略责任人必须提交防火墙策略取消电子流。 4) 当防火墙策略责任人、策略的地址更改或者使用期限变化,申请人需要及时提交防火墙策略变更电子流。 2. 直接主管:负责确认电子流中提交人的身份和审批所提申请策略与业务需求是否相符。 3. 网络安全部:负责防火墙系统安全标准的制订、修改和稽核。在防火墙策略申请中,负责对防火墙策略需求进行安全审核。负责对防火墙日志进行审核,负责组织对防火墙永久策略的定期审视和修正。 1) 网络安全部负责防火墙系统安全标准的制订、定期的修改和不定期的稽核。 2) 网络安全部对用户申请的防火墙策略进行必要的安全审视。 3) 网络安全部不定期对防火墙的登录信息、攻击日志等进行稽核。 4. 系统支持部:负责防火墙系统具体的方案设计、项目实施以及日常运维工作。在防火墙策略申请中,负责根据用户的需求给出正确的实施指令。 1) 防火墙管理员定时对防火墙的物理连通性,流量大小,CPU利用率,安全规则的有效性等各种指标进行监控,定期输出性能容量报告。 2) 防火墙管理员须整理和维护安控办配置文档的准确性。 3) 防火墙管理员参与日常防火墙的项目建设和方案设计工作。 4) 网络支持部对防火墙策略是否按申请期限及时关闭、策略责任人信息进行例行化检查。 5. 安全控制办:维护与管理防火墙帐号;负责在防火墙上实施指令配置。 1) 安全控制办统一管理防火墙的帐号,并及时日常维护,控制帐号申请人的资源池。 2) 安全控制办负责按照防火墙申请流程中防火墙管理员给出的指令在防火墙上实施。 5 奖惩 对违反本规定内容的,遵照《信息安全奖惩规定》处理。 6 本规定的维护与解释 1、本规定由信息技术工程部每年审视一次,根据审视结果进行修订并颁布执行。 2、本规定的解释权归信息技术工程部。 3、本规定自签发之日起生效。 7 支持文件 Supporting Document 8 相关文件 Correlative Documents 2024-04-03 第4页, 共4页- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 安全管理 规定
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文