防火墙管理规定.doc

1、(word完整版)防火墙管理规定防火墙管理制度一。目的规范防火墙系统的管理，保障集团防火墙系统的安全二.适用范围本制度适用于集团范围内防火墙系统的建立、设置、操作、维护、监控、报警和处理过程。三。管理规定(一)职责定义IT负责人：负责防火墙系统具体的方案设计、参数配置、维护、日常运作工作，以及负责防火墙系统的每周日志收集和统计。负责防火墙系统安全标准的制订、修改和审计、日志分析工作.负责制订防火墙系统的总体策略和需求（二）系统管理1。严禁私自安装、更改、拆离防火墙2.IT必须定时对防火墙的物理连通性，流量大小，CPU利用率，安全规则的有效性等各种指标进行监控,发现问题及时处理3。IT必须整理和

2、维护配置语句解释文档,解释文档必须准确4。IT必须整理和维护登记使用的Internet和DMZ区地址文档5。IT必须建立各种地址的映射关系表，包括：内部地址和Internet地址的映射关系表;内部地址和DMZ区地址之间的映射关系表;DMZ区地址和Internet地址之间的映射关系表6.IT必须定期分析防火墙日志7.IT发现安全问题后，对有明确处理方式的问题按规定处理,对其他问题必须立即向主管和IT报告，然后再决定处理方式8.当防火墙的配置改变时，必须及时备份配置文件，并保存最近2次的配置文件9。IT负责对防火墙日志进行分析，发现问题及时组织解决(三）防火墙配置原则1。防火墙上的访问通道遵循“缺

3、省全部关闭，按需求开通的原则，拒绝开启除明确许可的任何一种服务2。防火墙必须提供自动日志扫描的功能3.不允许从Internet访问公司内部除DMZ区的机器外的任何网络,仅允许从DMZ网点有限制的访问Internet4.防火墙的配置的更改应该依照流程申请、审批、执行5.限制具有防火墙管理权限的人员数量6。防火墙的安全日志要每天记录和每周分析7。防火墙应该开通对登陆到其上的用户认证、授权、审计的功能,保证用户的活动有记录。8.所有和外部网络有连接的内部网络上的系统必须经过防火墙的保护9.防火墙的登录密码必须有足够的健壮性，并且建立定期更新的制度10。防火墙启动VPN功能时，必须加密和认证11.公司

4、的内部网络系统地址、配置和相关的系统设计信息（如：网络拓扑结构）严禁泄露12.任何和Internet有信息交流的机器都必须经过地址转换（NAT)才允许访问 Internet，同样Internet的机器要访问内部机器，也只能是其经过NAT转换后的IP地址.13。防火墙应及时升级，防火墙必须配置成能防止已知的各种攻击方式，如：teardrop、syn-attack、ipspoofing、pingofdeath、srcrout、land、icmpflood udp-flood、port-scan、addr-sweep、defaultdeny 、DOS攻击14.防火墙的外部接口必须关闭telnet、h

5、ttp，限制Ping 、sp等各种可管理协议，保证防火墙外部端口在Internet上不可被管理.内部的管理IP地址应该保密,且要严格限制可登陆到防火墙上进行配置活动的IP地址范围15.用户3次登陆防火墙失败，对该用户锁定16。防火墙上必须记录外部对内部或DMZ区的访问的时间、访问的目的地址、源地址、端口等信息(四）用户策略开通原则 1、防火墙所有的用户策略开通原则上由用户通过其上级领导同意,集团IT审核确认后方可开通。 2、用户策略必须明确申请人、使用目的、使用时限、需要开通的端口、策略开通方向，达不到以上要求的,不予以开通。 3、防火墙系统管理员有权利拒绝用户不安全的策略申请。四本制度归集团财务部解释五本制度从2008年1月1日起实施