1、(word完整版)防火墙管理规定防火墙管理制度一。目的规范防火墙系统的管理,保障集团防火墙系统的安全二.适用范围本制度适用于集团范围内防火墙系统的建立、设置、操作、维护、监控、报警和处理过程。三。管理规定(一)职责定义IT负责人:负责防火墙系统具体的方案设计、参数配置、维护、日常运作工作,以及负责防火墙系统的每周日志收集和统计。负责防火墙系统安全标准的制订、修改和审计、日志分析工作.负责制订防火墙系统的总体策略和需求(二)系统管理1。严禁私自安装、更改、拆离防火墙2.IT必须定时对防火墙的物理连通性,流量大小,CPU利用率,安全规则的有效性等各种指标进行监控,发现问题及时处理3。IT必须整理和
2、维护配置语句解释文档,解释文档必须准确4。IT必须整理和维护登记使用的Internet和DMZ区地址文档5。IT必须建立各种地址的映射关系表,包括:内部地址和Internet地址的映射关系表;内部地址和DMZ区地址之间的映射关系表;DMZ区地址和Internet地址之间的映射关系表6.IT必须定期分析防火墙日志7.IT发现安全问题后,对有明确处理方式的问题按规定处理,对其他问题必须立即向主管和IT报告,然后再决定处理方式8.当防火墙的配置改变时,必须及时备份配置文件,并保存最近2次的配置文件9。IT负责对防火墙日志进行分析,发现问题及时组织解决(三)防火墙配置原则1。防火墙上的访问通道遵循“缺
3、省全部关闭,按需求开通的原则,拒绝开启除明确许可的任何一种服务2。防火墙必须提供自动日志扫描的功能3.不允许从Internet访问公司内部除DMZ区的机器外的任何网络,仅允许从DMZ网点有限制的访问Internet4.防火墙的配置的更改应该依照流程申请、审批、执行5.限制具有防火墙管理权限的人员数量6。防火墙的安全日志要每天记录和每周分析7。防火墙应该开通对登陆到其上的用户认证、授权、审计的功能,保证用户的活动有记录。8.所有和外部网络有连接的内部网络上的系统必须经过防火墙的保护9.防火墙的登录密码必须有足够的健壮性,并且建立定期更新的制度10。防火墙启动VPN功能时,必须加密和认证11.公司
4、的内部网络系统地址、配置和相关的系统设计信息(如:网络拓扑结构)严禁泄露12.任何和Internet有信息交流的机器都必须经过地址转换(NAT)才允许访问 Internet,同样Internet的机器要访问内部机器,也只能是其经过NAT转换后的IP地址.13。防火墙应及时升级,防火墙必须配置成能防止已知的各种攻击方式,如:teardrop、syn-attack、ipspoofing、pingofdeath、srcrout、land、icmpflood udp-flood、port-scan、addr-sweep、defaultdeny 、DOS攻击14.防火墙的外部接口必须关闭telnet、h
5、ttp,限制Ping 、sp等各种可管理协议,保证防火墙外部端口在Internet上不可被管理.内部的管理IP地址应该保密,且要严格限制可登陆到防火墙上进行配置活动的IP地址范围15.用户3次登陆防火墙失败,对该用户锁定16。防火墙上必须记录外部对内部或DMZ区的访问的时间、访问的目的地址、源地址、端口等信息(四)用户策略开通原则 1、防火墙所有的用户策略开通原则上由用户通过其上级领导同意,集团IT审核确认后方可开通。 2、用户策略必须明确申请人、使用目的、使用时限、需要开通的端口、策略开通方向,达不到以上要求的,不予以开通。 3、防火墙系统管理员有权利拒绝用户不安全的策略申请。四本制度归集团财务部解释五本制度从2008年1月1日起实施
浙ICP备2021020529号-1 | 浙B2-20240490 
