检测
分析学
FNFG-FW-00005-FortiGate防火墙必须使用过滤器使用包头和包属性,包括源端IP地址和端口
资讯类
信息流控制规范信息允许网络内部和互联网络间旅行阻塞或限制互连网络间检测到的有害或可疑通信防火墙滤波流到由不同安全策略相联网络时,必须配置过滤器(即规则、访问控制列表、屏幕和政策),允许、限制或阻塞基于组织定义流量授权滤波必须包括包头和包属性信息,如IP地址和端口号
配置滤波执行包匹配指定属性时某些动作,包括下列动作:
应用策略
接受、拒绝或丢弃包
分类包基于源地址
评估过滤器下一学期
增加打包柜台
设置包损优先级
指定IPsecSA
- 指定转发路径
写警告或消息到系统日志
注意:Nessus没有执行此项检查请审查基准以确保目标达标
求解
可使用FortiGateGUI或CLI执行修复登录FortiGateGUI超级或FireWadeAdmin特权
开工点击策略与对象
二叉IPv4或IPv6策略
3级点击+CreateNew配置应用专用策略,Action设置ACCEPT
4级配置日志选项登录所有会话
5级确认每项策略启动
6级点击确定
或
开工开CLI控制台,通过SSH或GUI提供
二叉IPv4策略运行下列命令:
#配置防火墙策略
#编辑{politid}
srcintf {跨面_name_ext}
# setdintf {跨面_name_int}
#sraddr{a}
# setddr{地址_b}
#set调度{sway}
#set服务{HTTPS}
#集动作{接受}
#设置对数全部
#结束
IPv6策略运行下列命令:
#配置防火墙策略6
#编辑{politid}
srcintf {跨面_name_ext}
# setdintf {跨面_name_int}
#sraddr{a}
# setddr{地址_b}
#set调度{sway}
#set服务{HTTPS}
#集动作{接受}
#设置对数全部
#结束
表示对象由组织策略定义防火墙执行IP完整性头检查所有接收包以验证协议包是否有效TCP、UDP、IPCM、SCTP或GRE长度状态检验验证TCPSYN并按需设置FIN标志
并见
https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_FN_FortiGate_Firewall_Y22M10_STIG.zip
项目细节
审核名称 :DISAFORTEWERSTIG v1r3
类别 :失序控制
引用 :800-53AC-4,CAT#I,CCICI-001414, Rule-ID|SV-234133r611399_rule , STIG-ID|FNFG-FW-000005 , Vuln-ID|V-234133
插件 :福特Gate
控件标识符 :90ee5c4026069f6130e5cc77b3c5bf05902b5ab5fb85bcc11bd2423bea05fba6