网络宣传法

公司网络管理规章制度

网络宣传法

NETWORK  PUBLICITY LAW

联系我们

COTACT US

服务热线:
0373-5596136

网络防火墙

防灭墙管理制度

一.目的
规范防火墙系统的管理,保障集团防火墙系统的安全. =.适用范围
本制度适用于集团范围内防火墙系统的建立、设置、操作、维护、监控、报警和处理过程。

二、管理规定
(一)  职责定义
      IT负责人:负责防火墙系统具体的方案设计、参数配置、维护、日常运作工作,以及负责防火墙系统的每周日志收集和统计。负责防火墙系统安全标准的制订、修改和审计、日志分析工作。负责制订防火墙系统的总体策略和需求(二)  系统管理
1.严禁私自安装、更改、拆离防火墙
2. IT必须定时对防火墙的物理连通性,流量大小,CPU利用率,安全规则的有效性等各种指标进行监控,发现问题及时处理
3.IT必须整理和维护配置语句解释文档,解释文档必须准确
4. IT必须整理和维护登记使用的Internet和DMZ区地址文档
5. IT必须建立各种地址的映射关系表,包括:内部地址和Internet地址的映射关系表;内部地址和DMZ区地址之间的映射关系表,DMZ区地址和Internet地址之间的映射关系表
6. IT必须定期分析防火墙日志
7. IT发现安全问题后,对有明确处理方式的问题按规定处理,对其他问题必须立即向主管和IT报告,然后再决定处理方式
8.当防火墙的配置改变时,必须及时备份配置文件,并保存最近2次的配置文件9. IT负责对防火墙日志进行分析,发现问题及时组织解诀
(二)  防火墙配置原则
1.防火墙上的访问通道遵循“缺省全部关闭,按需求开通的原则”,拒绝开启除明确许可的任何一种服务
2.防火墙必须提供自动日志扫描的功能
3.不 允许从Internet 访问公司内部除DMZ区的机器外的任何网络,仅允许从DMZ网点有限制的访问Internet
4. 防火墙的配置的更改应该依照流程申请、审批、执行5. 限制具有防火墙管理权限的人员数量
6. 防火墙的安全日志要每天记录和每周分析
7. 防火墙应该开通对登陆到其上的用户认证、授权、审计的功能,保证用户的活动有记录。8.所有和外部网络有连接的内部网络上的系统必须经过防火墙的保护9. 防火墙的登录密码必须有足够的健壮性,并且建立定期更新的制度10.防火墙启动VPN功能时,必须加密和认证
11公司的内部网络系统地址、配置和相关的系统设计信息(如:网络拓扑结构)严禁泄露12.任何和Internet有信息交流的机器都必须经过地址转换(NAT)才允许访问Internet, 同样Internet的机器要访问内部机器,也只能是其经过NAT转换后的IP地址。
13. 防火墙应及时升级,防火墙必须配置成能防止已知的各种攻击方式,如:tear-drop、syn-attack、ip-spoofing 、ping-of death、src-rout、 land、 icmp-flood udp flood、port-scan 、
14.防火墙的外部接口必须关闭telnet、http, 限制Ping、sp 等各种可管理协议,保证防火,墙外部端口在Internet.上不可被管理。内部的管理IP地址应该保密,且要严格限制可登陆到防火墙上进行配置活动的IP地址范围
15. 用户3次登陆防火墙失败,对该用户锁定
16.防火墙上必须记录外部对内部或DMZ区的访问的时间、访问的目的地址、源地址、端口等信息
(三)  用户策略开通原则
1、防火墙所有的用户策略开通原则上由用户通过其上级领导同意,集团IT审核确认后方可开通。,
2、用户策略必须明确申请人、使用目的、使用时限、需要开通的端口、策略开通方向,达不到以上要求的,不予以开通。
3、防火墙系统管理员有权利拒绝用户不安全的策略申请。