安全產品配置優化操作規範(DOC 59頁)

目錄
聲明 2
FW-1、（必選）通過配置域間策略對防火牆本地實施保護 5
FW-2、（必選）防火牆ALG功能配置優化 6
FW-3、（必選）防火牆雙機組網環境NAT與VRRP聯動 7
FW-4、（必選）配置ACL時慎用Deny any規則 8
FW-5、（必選）防火牆使用獨立物理端口做雙機熱備口 8
FW-6、（必選）配置NTP保持防火牆時鍾正確同步 9
FW-7、（必選）采用二進製格式輸出Userlog日誌 9
FW-8、（必選）SSL VPN采用IP接入方式配置資源 11
FW-9、（必選）DNS協議應用層老化時間配置優化 11
FW-10、（必選）防火牆不啟用QoS功能 12
FW-11、（必選）防火牆地址對象範圍地址配置優化 12
FW-12、（必選）部分型號防火牆業務端口選擇建議 12
FW-13、（必選）禁用會話加速功能 13
FW-14、（必選）禁用ACL加速功能 14
FW-15、（必選）禁用域間策略加速功能 14
FW-16、（必選）禁止通過ACL方式實現遠程管理訪問控製 15
FW-17、（必選）禁止使用弱口令 15
FW-18、（必選）禁止使用動態鏈路聚合模式 16
FW-19、（必選）IPSec VPN模板策略配置優化 16
FW-20、（必選）合理修改三層業務口TCP MSS參數 17
FW-21、（可選）利用域間策略對防火牆實施路由環路保護 18
FW-22、（可選）虛擬分片重組功能配置優化 18
FW-23、（可選）會話表項老化時間參數配置優化 19
FW-24、（可選）報文異常檢測功能配置優化 20
FW-25、（可選）流量異常檢測功能配置優化 21
FW-26、（可選）雙機熱備會話同步組網中避免業務流量非對稱路徑轉發 23
FW-27、（可選）采用逐流轉發模式 24
LB-1、（必選）Outbound鏈路負載均衡優先通過ACL方式進行虛服務配置 26
LB-2、（必選）Outbound鏈路負載均衡不啟用就近性 27
LB-3、（必選）服務器負載均衡虛服務IP不響應ARP請求限製的解決方法 28
LB-4、（必選）采用二進製格式輸出Userlog日誌 29
LB-5、（必選）關於實服務故障處理方式的配置選擇 30
LB-6、（必選）配置NTP保持時鍾正確同步 32
LB-7、（必選）RADIUS業務與強製負載均衡特性配置優化 33
LB-8、（必選）使用獨立物理端口做雙機熱備口 34
LB-9、（必選）配置ACL時慎用Deny any規則 35
LB-10、（必選）不啟用QoS功能 35
LB-11、（必選）不啟用攻擊防範功能 36
LB-12、（必選）禁用ACL加速功能 36
LB-13、（可選）業務端口添加安全區域屬性 36
LB-14、（可選）雙機熱備會話同步組網避免業務流量非對稱路徑轉發 38
LB-15、（可選）優先采用四層負載均衡模式滿足客戶配置需求 39
LB-16、（可選）采用逐流轉發模式 40
IPS&ACG-1、（必選）配置IPS攻擊防範策略時必須先手工調整策略規則 42
IPS&ACG-2、（必選）配置IPS病毒防範策略時必須先手工調整策略規則 47
IPS&ACG-3、（必選）定期檢查IPS/ACG特征庫版本是否正常更新 48
IPS&ACG-4、（必選）通過NTP\ACSEI保持IPS/ACG時鍾同步正確 49
IPS&ACG-5、（必選）部署IPS/ACG MQC引流內外安全域須為不同Vlan 51
IPS&ACG-6、（必選）部署IPS/ACG插卡MQC引流時避免二層報文風暴 53
IPS&ACG-7、（必選）正則表達式URL過濾規則的配置優化 54
IPS&ACG-8、（必選）帶寬管理P2P限流規則配置優化 54
IPS&ACG-9、（必選）ACG通道帶寬管理功能針對DNS業務流量進行保障 55
IPS&ACG-10、（可選）部署專用日誌主機配合IPS/ACG實現安全事件審計 56
IPS&ACG-11、（可選）ACG流日誌配置優化 58
IPS&ACG-12、（可選）不啟用IPS DDoS攻擊防範策略 59

..............................