安全产品配置优化操作规范（FW、LB、IPSACG）
Versio
10
杭州华三通信技术有限公司2014年8月
f声明
Copyright2019杭州华三通信技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。
该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来，请务必在安全产品部署实施中重视本操作规范要求，保障设备在网运行效果及稳定性。本文档为保密文档，仅限H3C原厂工程师使用，对私自扩散者H3C保留起诉的权利。
本文档将安全配置优化操作方式分为两大类：必选项：设备部署时必须严按照必选项的规范要求执行。可选项：在客户无明确要求且不影响客户使用情况下，视具体组网环境可选部署。
f声明2FW1、（必选）通过配置域间策略对防火墙本地实施保护5FW2、（必选）防火墙ALG功能配置优化6FW3、（必选）防火墙双机组网环境NAT与VRRP联动7FW4、（必选）配置ACL时慎用De
ya
y规则8FW5、（必选）防火墙使用独立物理端口做双机热备口8FW6、（必选）配置NTP保持防火墙时钟正确同步9FW7、（必选）采用二进制格式输出Userlog日志9FW8、（必选）SSLVPN采用IP接入方式配置资源10FW9、（必选）DNS协议应用层老化时间配置优化11FW10、（必选）防火墙不启用QoS功能11FW11、（必选）防火墙地址对象范围地址配置优化12FW12、（必选）部分型号防火墙业务端口选择建议12FW13、（必选）禁用会话加速功能13FW14、（必选）禁用ACL加速功能13FW15、（必选）禁用域间策略加速功能14FW16、（必选）禁止通过ACL方式实现远程管理访问控制14FW17r