防火墙安全管理规定0001.docx

1 目的 Objective规范防火墙系统的安全管理，保障公司防火墙系统的安全适用范IScope本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理3定义DMZ(demilitarized zone):中文名称为“隔离区”，也称“非军事化区”它是为了解 决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系 统之间的缓冲区这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网 络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等通常, 它放在外网和内网中间，是内网中不被信任的系统在进行防火墙设置时可阻断内网对DMZ的公 开访问，尤其禁止DMZ到内网的主动连接GRE(Generic Routing Encapsulation):即通用路由封装协议，它提供了将一种协议的报 文封装在另一种协议报文中的机制，使报文能够在异种网络中传输VPN(Virtual Private Networking):即虚拟专用网，VPN是用以实现通过公用网络(Internet) 上构建私人专用网络的一种技术4管理细则4.1基本管理原则1. 公司IT系统不允许直接和外部网络连接(包括Internet、合资公司等等)，必须经过防 火墙的限制保护。

防火墙的建设、安装须遵守《防火墙建设规范》2. 防火墙指令的配置须严格遵守附件一《防火墙指令描述格式》3. 防火墙口令设置参照《帐号和口令标准》，并由安全控制办统一管理4. 防火墙日志管理参照《系统日志管理规定》5. 防火墙变更管理参照《IT生产环境变更管理流程》6. 防火墙不允许直接通过Internet管理；内部管理IP地址只允许相关人员知晓7. 防火墙紧急开通策略有效期为2周如2周内没有申请防火墙策略，则将自动失效8. 在非工作时间处理防火墙紧急申请须遵循《紧急故障处理Token卡管理规定》4.2防火墙系统配置细则1. 当防火墙启动VPN功能时，需使用IPSEC进行隧道加密：认证算法采用SHA-1，加密 算法采用3DES算法2. 防火墙闲置10分钟以上的登陆，连接要被强制掉线3. 防火墙须配置成能防止已知的各种攻击，如:tear-drop、syn-flood、ping-of-death、src-rout、 land、default-deny4. 安全日志至少应包含策略创建、变更和废除（停用）等日志，日志内容包括实施的帐号， 实施的时间，实施的策略（开通的具体防火墙通道）、相应的IP地址等信息。

4.3防火墙策略管理配置细则1. GRE、本地网VPN、DMZ、非生产环境（包括测试环境、UAT环境、试运行环境等）、 临时性或任务性的防火墙策略须严格对源地址、应用端口进行限制，并设置策略有效期2. 生产环境中，与IT应用相关针对普通用户的策略，在应用生命周期内，防火墙上不设 置有效期限，但管理上须保证每年对所有应用进行一次审视3. Internet防火墙配置细则：1） 三个区域（Untrust/Trust/DMZ）间的策略遵循“缺省全部关闭，按需求开通的原则”2） 未经允许，严禁Internet直接访问公司内部（除DMZ区的机器外）的网络3） DMZ区服务器只开放相应的应用端口，不得开放任意端口，特别是敏感端口如 果可以收集用户的源地址，需要对源地址网段进行限制4） 不得从公司内网直接访问Internet，允许从DMZ区域有限制的访问Interneto5） DMZ服务器原则上不得开放主动对Internet的访问，监控、Email、proxy等除外6） 公司内网必须有限制地访问DMZ区机器，并且只开放相应的端口7） DMZ服务器区内部服务器策略互通8） DMZ服务器访问/调用数据中心内网服务器，须指定相应的地址和端口。

4. 数据中心服务器区防火墙配置细则：1） 对于普通用户端应用访问需求，防火墙只开放应用必需的端口2） 对于普通用户和管理员维护的服务端口，通用区服务器、研发区、非研发区的防火 墙对相应的端口须进行限制，可以不对用户侧源地址网段进行限制3） 数据中心（研发区、非研发区、通用区）不同服务器区之间服务器在关闭高危端口 后，可互通4） 服务器主动往内网用户侧发起的访问需求不作限制5） 对特殊IT应用和用户需求，遵照“缺省全部关闭，按需求开通”的原则执行5. 绝密区防火墙配置细则：1） 严格按照“缺省全部关闭，按需求开通的原则”设置绝密区防火墙策略2） 绝密区防火墙只对需要访问的IP地址开放需要使用的服务端口，并设置有效期3） 服务器主动往内网用户侧发起的访问需求不作限制4.4策略申请流程1. 防火墙策略日常申请流程：申请人填写电子流一＞直接主管审批一＞网络安全部审批一＞系统支持部接口人审核、分流-＞ 防火墙管理员给出实施指令一＞安全控制办按照实施指令进行配置一＞申请人确认4.5职责1. 申请人：负责提出防火墙策略申请，需要保证申请信息准确、完整1） 申请防火墙策略时，需提前咨询IT热线或系统维护人员，必须明确所申请的服务端口， 不得在未知、不确认的情形下提交所有端口。

2） 申请人须及时在防火墙电子流中确认策略是否生效，如策略未生效或未达到预期，请及 时将电子流反馈给防火墙管理员3） 防火墙策略到期或不再使用时，策略责任人必须提交防火墙策略取消电子流4） 当防火墙策略责任人、策略的地址更改或者使用期限变化，申请人需要及时提交防火墙 策略变更电子流2. 直接主管：负责确认电子流中提交人的身份和审批所提申请策略与业务需求是否相符3. 网络安全部：负责防火墙系统安全标准的制订、修改和稽核在防火墙策略申请中，负 责对防火墙策略需求进行安全审核负责对防火墙日志进行审核，负责组织对防火墙永 久策略的定期审视和修正1） 网络安全部负责防火墙系统安全标准的制订、定期的修改和不定期的稽核2） 网络安全部对用户申请的防火墙策略进行必要的安全审视3） 网络安全部不定期对防火墙的登录信息、攻击日志等进行稽核4. 系统支持部：负责防火墙系统具体的方案设计、项目实施以及日常运维工作在防火墙 策略申请中，负责根据用户的需求给出正确的实施指令1） 防火墙管理员定时对防火墙的物理连通性，流量大小，CPU利用率，安全规则的有效性 等各种指标进行监控，定期输出性能容量报告2） 防火墙管理员须整理和维护安控办配置文档的准确性。

3） 防火墙管理员参与日常防火墙的项目建设和方案设计工作4） 网络支持部对防火墙策略是否按申请期限及时关闭、策略责任人信息进行例行化检查5. 安全控制办：维护与管理防火墙帐号；负责在防火墙上实施指令配置1） 安全控制办统一管理防火墙的帐号，并及时日常维护，控制帐号申请人的资源池2） 安全控制办负责按照防火墙申请流程中防火墙管理员给出的指令在防火墙上实施5奖惩对违反本规定内容的，遵照《信息安全奖惩规定》处理6本规定的维护与解释1、 本规定由信息技术工程部每年审视一次，根据审视结果进行修订并颁布执行2、 本规定的解释权归信息技术工程部3、 本规定自签发之日起生效7 支持文件 Supporting Document8 相关文件 Correlative Documents。