FNFG-FW-000085-FortiGate防火墙必须过滤寄往内部飞地的交通量,根据在港口、协议和服务管理分类列表中批准并注册的具体交通量,脆弱度评估面向飞地- 策略性

资讯类

飞地内部网络包含服务机任务关键数据应用恶意流量从外部边界输入或发源于内部失密宿主

脆弱度评估必须由SA审查,协议必须经IA员工批准后才能进入飞地

防火过滤器(例如规则、访问控制列表、屏幕和政策)是分层安全方法中第一线防线允许授权包并拒绝未经授权包基于端口或服务类型增强网络姿态不允许包甚至达潜在目标安全域过滤器提供高度易用的端口和服务,应尽量阻塞或限制而不损及客户需求审计包试图渗透网络,但防火墙滤波允许网络管理员扩展保护圈并更严格定义操作范围

周界置换式和滤波允许与飞地PPSMCAL和VAs一致,如果许可规则明文定义允许明确的端口和协议,则数据库封塞的所有需求都得到满足。

注意:Nessus提供目标输出帮助审查基准以确保目标达标

求解

登录FortiGateGUI超级Admin特权
开工点击策略与对象
二叉IPv4或IPv6策略
3级点击+CriateNew
4级命名策略,选择接送接口
5级创建策略授权源和目的地
6级设置动作ACCEPT
7保证启用策略对齐
八点八分点击确定
9.确保为每个接口创建策略

流量默认拒绝并策略配置允许流量满足PPSMCAL和VA指南

并见

https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_FN_FortiGate_Firewall_Y22M10_STIG.zip

项目细节

审核名称 :DISAFORTEWERSTIG v1r3

类别 :系统通信保护

引用 :800-53SC-7a,CAT##II,CCIQCCI-001097, Rule-ID|SV-234147r628789_rule , STIG-ID|FNFG-FW-000085 , Vuln-ID|V-234147

插件 :福特Gate

控件标识符 :ec6a4029c6022c30ce8bf322797aeda98237b01356bf8d724bbf7c86453a3664