当前位置：文档库 › Opensips安装指南

Opensips安装指南

第一部分：安装Opensips

1.环境准备

yum install gcc

yum install mysqlmysql-server mysql-devel

yum install flex bison ncurseslibncurses-dev ncurses-devel

2.安装过程

（1）下载opensips

wget https://www.wendangku.net/doc/a7358851.html,/pub/opensips/2.2.1/src/opensips-2.2.1.tar.gz

解压：tar zxvf opensips-2.2.1.tar.gz

（2）安装：

进入安装文件夹，执行make menuconfig，将弹出如下界面

在Configure Compile Options 中选择exclude 中选择cd_mysql

然后执行Compile And Install OpenSIPS

然后退出，执行make 再执行make install，其实应该都不用执行这两个命令，直接在前面就已经安装好了。

(3)安装中问题

安装完之后，可能是前面需要修改安装路径，所以导致我们的安装的opensips的路径有些怪异，全部都在

/usr/local 下面，包括我们要修改配置文件时，需要在

/usr/local/etc/opensips/opensip.cfg

启动opensips时，需要在

/usr/local/sbin/opensipsctl start 这样的启动方式要解决这个问题，就可以通过在make menuconfig 中通过

然后就会弹出来关于安装路径的修改

3.配置过程

（1）配置IP地址，即是配置opensips所在的服务器的真实IP地址打开：/usr/local/etc/opensips/opensip.cfg

找到listen=udp:127.0.0.1:5060 # CUSTOMIZE ME

修改为listen=udp:192.168.1.XXX:5060

（2）启动opensip

/usr/local/sbin/opensipsctl启动

（3）数据库配置

①对MYSQL的支持

vim /usr/local/etc/opensips/opensipsctlrc

将DBENGINE=MYSQL 去掉注释

在防火墙中开放3306端口，并给数据库用户root创建密码

然后同时要将相关的配置信息配置到opensipsctlrc文件中

②创建数据库表

进到/usr/local/sbin目录，里面有一个文件opensipsdbctl

执行 ./opensipsdbctl create 然后会提示输入root的密码

会有几个选择项，只要全部按Y就行了。

然后重启一下opensips

创建完数据库表后，可以看到数据库已经被创建

不过，所有的数据库都是有空的。仅有数据库结构，没有任何的数据。（4）创建分机

Opensips创建分机的方法:

/usr/local/sbin/opensipsctl add 1001 1001

但是执行创建分机时，可能会出现以下的错误

ERROR: domain unknown: use usernames with domain or

set default domain in SIP_DOMAIN

这个问题，是由于配置文件opensipsctlrc 中的SIP_DOMAIN

被注释了，编辑vim /usr/local/etc/opensips/opensipsctlrc 解

除

SIP_DOMAIN 并把IP地址设置为本机的服务器IP。

注意：在添加用户前，一定要检查清楚数据库第一步，否则会再将

提示输入数据库、用户名和密码等。

创建成功后，在数据库的subscriber中可以看到已经添加的用户

要删除用户：opensipsctlrm 1001

修改密码：opensipsctlpasswd 1001

（5）测试拨打电话

用xlite测试注册

然后再用另一个软话机注册，通过控制台命令，可以看到两台软话机都已经注册上。

然后互呼，也能打通:xlite与Zoiper 都能互通。

第二部分：安装管理工具Opensips Control Panel(Opensips CP) 1环境准备

安装包括

httpd: yum install httpd

php: yum install php

php-mysql: yum install php-mysql

php-pear: yum install php-pear

php-xmlrpc: yum install php-xmlrpc

安装完上面的东西后，还要通过pear 安装MDB2, MDB2#mysql,MDB2#mysqli、log。注意是通过pear安装的。

pear install MDB2

pear install MDB2#mysql

pear install MDB2#mysqli

pear install log

2 下载opensips-cp

http://120.52.73.48/https://www.wendangku.net/doc/a7358851.html,/project/opensips-c p/opensips-cp/6.1/opensips-cp_6.1.tgz?r=https%3A%2F%2Fsource https://www.wendangku.net/doc/a7358851.html,%2Fprojects%2Fopensips-cp%2Ffiles%2Fopensips-cp%2F

&ts=1471598969&use_mirror=nchc

2. 上传至服务器，并解压到/var/www/html下

tar -zvxfopensips-cp_6.1.tgz

根据自己的版本，会解压成一个6.1 的版本的文件夹

为了便于访问，将6.1修改为opensips-cp

mv 6.1 opensips-cp

3 配置

(1)php.ini

在/etc/php.ini 中修改short_open_tag = On

(2)apache.conf基本不用动

4数据库表

生成数据库表(主要是opensips-cp的数据库表)

（1）cd /var/www/html/opensipscp/config/tools/admin/add_admin 进入到add_admin文件夹，然后执行

Mysql -Dopensips -p

会提示输入数据库root用户密码，输入回车执行即可

（2）在新生成的数据表中，添加管理员信息

Mysql -u root -p 输入密码进入mysql控制台

use opensips数据库

然后执行添加管理员命令

Insert into

ocp_admin_privileges(username,password,ha1,available_tools,permi ssions)values(‘admin’,’admin’,md5(‘admin’,’admin’),’all ’,’all’);

(3)创建cdrs数据表

Cd /var/www/html/opensips-cp/config/tools/system/cdrviewer

然后执行

Mysql-Dopensips -p

（4）修改关于cdrs 的配置信息

Cd /var/www/html/opensips-cp/cron_job/generate-cdrs_mysql.sh 文件

(5) 修改opensips-cp中关于数据库的配置

/var/www/html/opensips-cp/config/db.inc.php

然后重启httpd, service httpd restart

然后访问：

http://xxx.xxx.xxx.xxx/opensips-cp/web将会弹出如下登录界面

将前面配置的用户名admin 密码admin 输入进去。

至此，opensips-cp 已经安装完毕。

实验：防火墙基本配置

实验七交换机基本配置一、实验目的（1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。实验设备与器材熟悉交换机开机界面；（2）掌握Quidway S系列中低端交换机几种常用配置方法；（3）掌握Quidway S系列中低端交换机基本配置命令。二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。交换机，标准Console配置线。三、实验内容学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。预备知识 1、防火墙防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。访问控制列表(Access Control List )的作用访问控制列表可以用于防火墙；访问控制列表可用于Qos（Quality of Service），对数据流量进行控制；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。一个IP数据包如下图所示（图中IP所承载的上层协议为TCP） ACL示意图 ACL的分类按照访问控制列表的用途，可以分为四类： ●基本的访问控制列表（basic acl） ●高级的访问控制列表（advanced acl） ●基于接口的访问控制列表（interface-based acl） ●基于MAC的访问控制列表（mac-based acl）访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目防火墙的配置包括：

防火墙安全规则和配置

网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有：地址转换、包过滤、应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两种安全网关服务，利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换机组成的局域网利用ISDN拨号上网。一、地址转换我们知道，Internet 技术是基丁IP协议的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的 IP地址。因此，当一个网络需要接入Inte rnet的时候，需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时，网络中的每一台设备都有一个I nternet 地址，这在实行各种Internet 应用上当然是最理想不过的。但是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备攻击，同时由丁I nternet目前采用的IPV4协议在网络发展到现在，所剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP 地址，这几乎是不可能的事情。采用端口地址转换，管理员只需要设定一个可以用作端口地址转换的公有Internet 地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网

路地址信息，使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能： 1、部地址与出口地址的——对应缺点：在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中部地址的端口号为随机产生的大丁1024的，而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的部主机到外网。具体配置：由丁实验用的是ISDN拨号上网，在internet 上只能随机获得出口地址，所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound

防火墙安全策略配置

防火墙安全策略配置 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

一、防火墙设置外网不能访问内网的方法： 1、登录到天融信防火墙集中管理器； 2、打开“高级管理”→“网络对象”→“内网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”→“子网”，填入子网名称（自己命名），如“120段”，地址范围中，输入能够上网机器的所有IP范围（能够上网的电脑IP 范围）。点击确定。 3、在“网络对象”中选择“外网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”“子网”，填入子网名称（自己命名），如“外网IP”，地址范围中，输入所有IP范围。点击确定。

4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”，在右边的窗口中，点击右键，选择“增加”，点击“下一步”。 B、在“策略源”中选择“外网IP”（刚才设置的外网IP），点击“下一步”。

C、在“策略目的”中选择“内网”和“120段”（刚才设置的上网IP），点击“下一步”。

D、在“策略服务”中，我们不做任何选择，直接点击“下一步”。（因为我们要限制所有外网对我们内网的访问，在此我们要禁用所有服务，因此不做选择） E、在“访问控制”中，“访问权限”选择“禁止”（因为我们上一步没有选择服务，在此我们选择禁止，表示我们将禁止外网对我们的所有服务），“访问时间”选择“任何”，“日志选项”选择“日志会话”，其他的不做修改，点击“下一步”。

F、最后，点击“完成”。 5、至此，我们就完成了对外网访问内网的设置。

Fortigate防火墙安全配置规范

1.概述 1.1. 目的本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置，针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置 2.1. 配置设备名称制定一个全网统一的名称规范，以便管理。 2.2. 配置设备时钟建议采用NTP server同步全网设备时钟。如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令缺省情况下，admin的口令为空，需要设置一个口令。密码长度不少于8个字符，且密码复杂。 2.4. 设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令，只允许管理员修改。密码长度不少于8个字符，且密码复杂。 2.5. 用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激活的防火墙策略、IPSEC扩展认证等）的管理，注意和防火墙管理员用于区分。用户可以直接在fortigate上添加，或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。单个用户需要归并为用户组，防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置为每个设备接口设置访问权限，如下表所示：

接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线，不提供管理方式 Port5 （保留） Port6 （保留）且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时管理会话空闲超时不要太长，缺省5分钟是合适的。 2.8. SNMP设置设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置系统日志是了解设备运行情况、网络流量的最原始的数据，系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置，包括日志保存的位置（fortigate内存、syslog服务器等）、需要激活日志功能的安全模块等。如下图所示：

防火墙策略配置向导

目录 1 防火墙策略配置向导..........................................................................................................................1-1 1.1 概述...................................................................................................................................................1-1 1.2 防火墙策略配置.................................................................................................................................1-1 1.2.1 配置概述.................................................................................................................................1-1 1.2.2 配置防火墙策略......................................................................................................................1-1

juniper防火墙详细配置手册

j u n i p e r防火墙详细配置手册 The latest revision on November 22, 2020

J u n i p e r防火墙简明实用手册（版本号：V1.0）

1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。 1.1第二卷：基本原理 1.1.1第一章：ScreenOS体系结构安全区安全区接口策略 1.1.2第二章：路由表和静态路由配置静态路由 1.1.3第三章：区段安全区配置安全区功能区段：HA区段 1.1.4第四章：接口接口类型：安全区接口：物理接口类型：安全区接口：功能区段接口察看接口配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址二级IP地址 1.1.5第五章：接口模式透明模式 NAT模式

路由模式 1.1.6第六章：为策略构建块地址：地址条目、地址组服务：预定义的服务、定制服务 DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改 DIP池、扩展接口和DIP 时间表 1.1.7第七章：策略三种类型的策略策略定义策略应用 1.1.8第八章：地址转换地址转换简介源网络地址转换目的网络地址转换映射IP地址虚拟IP地址 1.1.9第十一章：系统参数下载/上传设置和固件系统时钟 1.2第三卷：管理 1.2.1第一章：管理通过WEB用户界面进行管理通过命令行界面进行管理管理的级别：根管理员、可读/写管理员、只读管理员、定义Admin 用户保证管理信息流的安全：更改端口号、更改Admin登录名和密码、重置设备到出厂缺省设置、限制管理访问

防火墙的配置及应用

防火墙的配置及应用一、防火墙概念：防火墙是指设置在不同网络之间，比如可信任的部网和不可信的公共网，或者不同网络安全域之间的软硬件系统组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络部的信息、结构和运行状况，以此来保护企业部网络的安全。防火墙是企业网络安全的屏蔽，它可以强化网络安全策略，对网络访问和部资源使用进行监控审计，防止敏感信息的泄漏。二、如何合理实施防火墙的配置呢？ 1．动态包过滤技术，动态维护通过防火墙的所有通信的状态（连接），基于连接的过滤； 2．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与部的IP地址对应起来，用来缓解地址空间短缺的问题； 3．可以设置信任域与不信任域之间数据出入的策略； 4．可以定义规则计划，使得系统在某一时可以自动启用和关闭策略； 5．具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志服务器和日志导出； 6．具有IPSec VPN功能，可以实现跨互联网安全的远程访问； 7．具有通知功能，可以将系统的告警通过发送通知网络管理员； 8．具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP 报文以及ICMP报文采取丢弃； 9． Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。三、Windows 系统中的防火墙实例 1、打开Windows XP的访问控制面板，这里包括Windows 自带防火墙。

2、在“例外”选项卡上选择.

防火墙安全管理规定

1 目的Objective 规范防火墙系统的安全管理，保障公司防火墙系统的安全。 2 适用范围Scope 本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理。 3 定义 DMZ（demilitarized zone）：中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。通常,它放在外网和内网中间，是内网中不被信任的系统。在进行防火墙设置时可阻断内网对DMZ的公开访问，尤其禁止DMZ到内网的主动连接。 GRE（Generic Routing Encapsulation）：即通用路由封装协议，它提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输。 VPN（Virtual Private Networking）：即虚拟专用网，VPN是用以实现通过公用网络（Internet）上构建私人专用网络的一种技术。 4 管理细则 4.1 基本管理原则 1.公司IT系统不允许直接和外部网络连接（包括Internet、合资公司等等），必须经过防火墙的限制保护。防火墙的建设、安装须遵守《防火墙建设规范》。 2.防火墙指令的配置须严格遵守附件一《防火墙指令描述格式》。 3.防火墙口令设置参照《帐号和口令标准》，并由安全控制办统一管理。 4.防火墙日志管理参照《系统日志管理规定》。 5.防火墙变更管理参照《IT生产环境变更管理流程》。 6.防火墙不允许直接通过Internet管理；内部管理IP地址只允许相关人员知晓。 7.防火墙紧急开通策略有效期为2周。如2周内没有申请防火墙策略，则将自动失效。 8.在非工作时间处理防火墙紧急申请须遵循《紧急故障处理Token卡管理规定》。

一般硬件防火墙配置讲解

本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。一.防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的： ●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）.简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这

H3C防火墙安全配置基线

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章帐号管理、认证授权安全要求 (2) 2.1帐号管理 (2) 2.1.1用户帐号分配* (2) 2.1.2删除无关的帐号* (3) 2.1.3帐户登录超时* (3) 2.1.4帐户密码错误自动锁定* (4) 2.2口令 (5) 2.2.1口令复杂度要求 (5) 2.3授权 (6) 2.3.1远程维护的设备使用加密协议 (6) 第3章日志及配置安全要求 (7) 3.1日志安全 (7) 3.1.1记录用户对设备的操作 (7) 3.1.2开启记录NAT日志* (7) 3.1.3开启记录VPN日志* (8) 3.1.4配置记录拒绝和丢弃报文规则的日志 (8) 3.2告警配置要求 (9) 3.2.1配置对防火墙本身的攻击或内部错误告警 (9) 3.2.2配置TCP/IP协议网络层异常报文攻击告警 (9) 3.2.3配置DOS和DDOS攻击告警 (10) 3.2.4配置关键字内容过滤功能告警* (12) 3.3安全策略配置要求 (13) 3.3.1访问规则列表最后一条必须是拒绝一切流量 (13) 3.3.2配置访问规则应尽可能缩小范围 (13) 3.3.3VPN用户按照访问权限进行分组* (14) 3.3.4配置NAT地址转换* (15) 3.3.5隐藏防火墙字符管理界面的bannner信息 (16) 3.3.6避免从内网主机直接访问外网的规则* (16) 3.3.7关闭非必要服务 (17) 3.4攻击防护配置要求 (17) 3.4.1拒绝常见漏洞所对应端口或者服务的访问 (17) 3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能 (19) 第4章IP协议安全要求 (19)

防火墙设备安全配置作业指导书

安全配置作业指导书防火墙设备 XXXX集团公司 2012年7月

前言为规范XXXX集团公司网络设备的安全管理，建立统一的防火墙设备安全配置标准，特制定本安全配置作业指导书。本技术基线由XXXX集团公司提出并归口本技术基线起草单位：XXXX集团公司本技术基线主要起草人：本技术基线主要审核人：

目录 1. 适用范围..................................................... 错误!未定义书签。 2. 规范性引用文件............................................... 错误!未定义书签。 3. 术语和定义................................................... 错误!未定义书签。 4. 防火墙安全配置规范........................................... 错误!未定义书签。 . 防火墙自身安全性检查................................. 错误!未定义书签。检查系统时间是否准确............................. 错误!未定义书签。检查是否存在分级用户管理......................... 错误!未定义书签。密码认证登录..................................... 错误!未定义书签。登陆认证机制..................................... 错误!未定义书签。登陆失败处理机制................................. 错误!未定义书签。检查是否做配置的定期备份......................... 错误!未定义书签。检查双防火墙冗余情况下，主备切换情况............. 错误!未定义书签。防止信息在网络传输过程中被窃听................... 错误!未定义书签。设备登录地址进行限制............................. 错误!未定义书签。 SNMP访问控制................................ 错误!未定义书签。防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级错误! 未定义书签。 . 防火墙业务防御检查................................... 错误!未定义书签。启用安全域控制功能............................... 错误!未定义书签。检查防火墙访问控制策略........................... 错误!未定义书签。防火墙访问控制粒度检查........................... 错误!未定义书签。检查防火墙的地址转换转换情况..................... 错误!未定义书签。 . 日志与审计检查....................................... 错误!未定义书签。设备日志的参数配置............................... 错误!未定义书签。防火墙流量日志检查............................... 错误!未定义书签。防火墙设备的审计记录............................. 错误!未定义书签。