防火墙管理规定.doc

(word完整版)防火墙管理规定 防火墙管理制度 一。 目的 规范防火墙系统的管理，保障集团防火墙系统的安全 二. 适用范围 本制度适用于集团范围内防火墙系统的建立、设置、操作、维护、监控、报警和处理过程。 三。 管理规定 (一) 职责定义 IT负责人：负责防火墙系统具体的方案设计、参数配置、维护、日常运作工作，以及负责防火墙系统的每周日志收集和统计。负责防火墙系统安全标准的制订、修改和审计、日志分析工作.负责制订防火墙系统的总体策略和需求 （二） 系统管理 1。 严禁私自安装、更改、拆离防火墙 2. IT必须定时对防火墙的物理连通性，流量大小，CPU利用率，安全规则的有效性等各种指标进行监控,发现问题及时处理 3。 IT必须整理和维护配置语句解释文档,解释文档必须准确 4。 IT必须整理和维护登记使用的Internet和DMZ区地址文档 5。 IT必须建立各种地址的映射关系表，包括：内部地址和Internet地址的映射关系表;内部地址和DMZ区地址之间的映射关系表;DMZ区地址和Internet地址之间的映射关系表 6. IT必须定期分析防火墙日志 7. IT发现安全问题后，对有明确处理方式的问题按规定处理,对其他问题必须立即向主管和IT报告，然后再决定处理方式 8. 当防火墙的配置改变时，必须及时备份配置文件，并保存最近2次的配置文件 9。 IT负责对防火墙日志进行分析，发现问题及时组织解决 (三） 防火墙配置原则 1。 防火墙上的访问通道遵循“缺省全部关闭，按需求开通的原则"，拒绝开启除明确许可的任何一种服务 2。 防火墙必须提供自动日志扫描的功能 3. 不允许从Internet访问公司内部除DMZ区的机器外的任何网络,仅允许从DMZ网点有限制的访问Internet 4. 防火墙的配置的更改应该依照流程申请、审批、执行 5. 限制具有防火墙管理权限的人员数量 6。 防火墙的安全日志要每天记录和每周分析 7。 防火墙应该开通对登陆到其上的用户认证、授权、审计的功能,保证用户的活动有记录。 8. 所有和外部网络有连接的内部网络上的系统必须经过防火墙的保护 9. 防火墙的登录密码必须有足够的健壮性，并且建立定期更新的制度 10。 防火墙启动VPN功能时，必须加密和认证 11. 公司的内部网络系统地址、配置和相关的系统设计信息（如：网络拓扑结构）严禁泄露 12. 任何和Internet有信息交流的机器都必须经过地址转换（NAT)才允许访问 Internet，同样Internet的机器要访问内部机器，也只能是其经过NAT转换后的IP地址. 13。 防火墙应及时升级，防火墙必须配置成能防止已知的各种攻击方式，如：tear—drop、syn-attack、ip—spoofing、ping—of—death、src—rout、land、icmp—flood udp-flood、port-scan、addr-sweep、default—deny 、DOS攻击 14. 防火墙的外部接口必须关闭telnet、http，限制Ping 、sp等各种可管理协议，保证防火墙外部端口在Internet上不可被管理.内部的管理IP地址应该保密,且要严格限制可登陆到防火墙上进行配置活动的IP地址范围 15. 用户3次登陆防火墙失败，对该用户锁定 16。 防火墙上必须记录外部对内部或DMZ区的访问的时间、访问的目的地址、源地址、端口等信息 (四） 用户策略开通原则 1、防火墙所有的用户策略开通原则上由用户通过其上级领导同意,集团IT审核确认后方可开通。 2、用户策略必须明确申请人、使用目的、使用时限、需要开通的端口、策略开通方向，达不到以上要求的,不予以开通。 3、防火墙系统管理员有权利拒绝用户不安全的策略申请。 四．本制度归集团财务部解释 五．本制度从2008年1月1日起实施