文/巫继雨

防火墙作为保障网络安全的基础设备，往往部署在网络的边界位置，起到隔离不同安全区域的作用，这使得防火墙成为保护内部网络的一道屏障，此时防火墙作为重要的网络节点，自身一旦被攻破，用户的内部网络便暴露在攻击者面前，所以防火墙自身的安全需要引起我们的重视。今天我们就来了解一下H3C防火墙的常用安全加固手段。

对于网络维护人员而言，最常接触并最应该重视的就是防火墙的口令。H3C防火墙的缺省用户名密码通常为h3c/h3c或者admin/admin, 由于缺省密码的安全级别非常低，在完成初始化部署后，必须修改缺省账户的密码或者禁用缺省账号。这里通常建议密码的长度至少为8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类，每类多于4个，账户口令的生存期要低于90天，并实效前提前7天发出告警。例如在设备上可以通过以下方式设定口令规范：

<H3C>system-view

[H3C] password-control enable

[H3C] password-control length 8

[H3C] password-control composition type-number 2 type-length 4

[H3C] password-control aging 90

[H3C] password-control alert-before-expire 7

此后则必须输入符合规则的口令，否则会报错，例如：

[H3C]local-user H3C_YYS

[H3C-luser-H3C_YYS]password cipher 12!@

Error: Password is too short. Please input a password in minimum length(The minimum length is 8).

除了口令以外，网络维护人员还需要制定严格的设备管理控制策略。在H3C防火墙上可以通过域间策略来实现这个需求。默认情况下，H3C防火墙允许所有区域的设备访问local区域，虽然将管理口连接的网络划入了management区域，但是设备上接口本身是属于local区域的，这样需要配置安全策略阻止所有区域到local区域的服务请求,并且在此规则前应放开以下业务：

1.   允许网管机和本计算机到local区域的访问，包括HTTPS、 SSH、SNMP、FTP、TFTP、PING、TELNET、HTTP：

2.   允许部分区域到本地的一些必要协议，例如VRRP、OSPF、BGP、PING、IKE、L2TP、ESP等，可以根据实际需求配置。假设本地连接公网的接口地址为10.1.1.1：

3.   确认其它设备是否有到本地的探测，比如NQA,BFD探测之类的功能，如果需要则必须允许相关协议访问local区域。假设内网Trust区域有设备需要对防火墙接口10.2.2.1进行BFD检测：

4.   在配置IP地址范围明确的区域时，要使用基于明确地址的域间策略，不使用any -> any这种方式配置，比如trust区域的地址范围是192.168.1.1/28，untrust是互联网，则配置 trust 192.168.1.1/28 ->untrust any 的策略；

5.   最后deny所有其他的访问。但必须要注意，由于H3C防火墙按照WEB页面显示顺序匹配域间策略，所以配置的deny any的规则一定要放到最后，避免导致网络不通：