《思科防火墙安全配置风险评估检查表》由会员分享,可在线阅读,更多相关《思科防火墙安全配置风险评估检查表(7页珍藏版)》请在金锄头文库上搜索。
1、思科防火墙设备安全配置要求 思科防火墙设备安全配置要求 目 录 目 录 第第 1 章章 概述概述 . 1 1.1 目的 . 1 1.2 适用范围 . 1 1.3 适用版本 . 1 第第 2 章章 账号管理、认证授权基线账号管理、认证授权基线 . 2 2.1 账户基线 . 2 2.2 口令基线 . 2 2.3 认证 . 2 第第 3 章章 日志基线日志基线 . 3 第第 4 章章 IP 协议安全基线要求协议安全基线要求 3 4.1 基本协议安全基线 . 3 4.2 路由协议安全基线 . 4 4.3 SNMP 协议安全基线 5 第第 5 章章 其他安全基线其他安全基线 . 5 第第1章 概述章 概
2、述 1.1 目的目的 本文档规定了思科 PIX 防火墙应当遵循的数据库安全性设置标准,本文档旨在指导网 络管理人员进行思科 PIX 防火墙的安全配置。 1.2 适用范围适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 1.3 适用版本适用版本 各类思科 PIX 防火墙 第第2章 账号管理、认证授权基线章 账号管理、认证授权基线 2.1 账户基线账户基线 基线编号 基线编号 基线内容 基线内容 JX-CP-PZ-1 应按照用户分配账号。避免不同用户间共享账号。避免 用户账号和设备间通信使用的账号共享。 JX-CP-PZ-1 应按照用户分配账号。避免不同用户间共享账号。
3、避免 用户账号和设备间通信使用的账号共享。 JX-CP-PZ-2 应删除与设备运行、维护等工作无关的账号。 JX-CP-PZ-2 应删除与设备运行、维护等工作无关的账号。 2.2 口令基线口令基线 基线编号基线编号 基线内容基线内容 JX-CP-PZ-3 静态口令必须使用不可逆加密算法加密,以密文形式存 放 。 如 使 用 静态口令必须使用不可逆加密算法加密,以密文形式存 放 。 如 使 用USERNAME USERNAME PASSWORD PASSWORD ENCRYPTED配 置 用 户 密 码 , 不 使 用配 置 用 户 密 码 , 不 使 用 PASSWORD 配置用户密码。配置用
4、户密码。 2.3 认证认证 基线编号 基线编号 基线内容 基线内容 JX-CP-PZ-7-OPT 设备通过相关参数配置,与认证系统联动,满足帐号、 口令和授权的强制要求。 JX-CP-PZ-7-OPT 设备通过相关参数配置,与认证系统联动,满足帐号、 口令和授权的强制要求。 第第3章 日志基线章 日志基线 JX-CP-PZ-4-OPT 与记账服务器与记账服务器(如如 RADIUS 服务器或服务器或 TACACS 服务器服务器) 配合,设备应配置日志功能,对用户登录进行记录,记 录内容包括用户登录使用的账号,登录是否成功,登录 时间,以及远程登录时,用户使用的 配合,设备应配置日志功能,对用户登
5、录进行记录,记 录内容包括用户登录使用的账号,登录是否成功,登录 时间,以及远程登录时,用户使用的 IP 地址。地址。 JX-CP-PZ-5-OPT 与记账服务器与记账服务器(如如 TACACS 服务器服务器)配合, 设备应配置日 志功能,记录用户对设备的操作,如账号创建、删除和 权限修改,口令修改,读取和修改设备配置,读取和修 改业务用户的话费数据、 身份数据、 涉及通信隐私数据。 记录需要包含用户账号,操作时间,操作内容以及操作 结果。 配合, 设备应配置日 志功能,记录用户对设备的操作,如账号创建、删除和 权限修改,口令修改,读取和修改设备配置,读取和修 改业务用户的话费数据、 身份数据
6、、 涉及通信隐私数据。 记录需要包含用户账号,操作时间,操作内容以及操作 结果。 JX-CP-PZ-6-OPT 开启开启 NTP 服务,保证日志功能记录的时间的准确性。服务,保证日志功能记录的时间的准确性。 第第4章 章 IP 协议安全基线要求协议安全基线要求 4.1 基本协议安全基线基本协议安全基线 基线编号基线编号 基线内容基线内容 JX-CP-PZ-8-OPT 配置防火墙,防止地址欺骗。配置防火墙,防止地址欺骗。 JX-CP-PZ-9 防火墙以防火墙以 UDP/TCP 协议对外提供服务,供外部主 机进行访问,如作为 协议对外提供服务,供外部主 机进行访问,如作为 TELNET 服务器、服
7、务器、WEB 服务器、服务器、 FTP 服务器、服务器、SSH 服务器等,应配置防火墙,只允许特 定主机访问。 服务器等,应配置防火墙,只允许特 定主机访问。 JX-CP-PZ-10-OPT 过滤已知攻击:过滤已知攻击: 在防火墙上,设置安全访问控制,过滤掉已知安全 攻 击 数 据 包 , 例 如 在防火墙上,设置安全访问控制,过滤掉已知安全 攻 击 数 据 包 , 例 如 UDP 1434 端 口 ( 防 止端 口 ( 防 止 SQL SLAMMER 蠕虫)、蠕虫)、TCP445,5800,5900(防止(防止 DELLA 蠕虫)。蠕虫)。 JX-CP-PZ-11 功能禁用:功能禁用: 禁用
8、禁用 IP 源路由功能,除非特别需要。源路由功能,除非特别需要。 禁用禁用 PROXY ARP 功能。功能。 禁用直播(禁用直播(IP DIRECTED BROADCAST)功能)功能 在非可信网段内禁用在非可信网段内禁用 IP 重定向功能。重定向功能。 在非可信网段内禁用在非可信网段内禁用 IP 掩码响应功能掩码响应功能 JX-CP-PZ-12-OPT 启用协议的认证,加密功能启用协议的认证,加密功能 设备与设备与 RADIUS 服务器、服务器、TACACS 服务器、服务器、NTP 服务 器、 服务 器、 SNMP V3 主机等支持认证加密功能的主机进行通信 时,尽可能启用协议的认证加密功能
9、,保证通信安全。 主机等支持认证加密功能的主机进行通信 时,尽可能启用协议的认证加密功能,保证通信安全。 4.2 路由协议安全基线路由协议安全基线 基线编号基线编号 基线内容基线内容 JX-CP-PZ-13 启用动态启用动态 IGP(RIPV2、OSPF、ISIS 等)协议时,启 用路由协议认证功能,如 等)协议时,启 用路由协议认证功能,如 MD5 加密,确保与可信方进 行路由协议交互。 加密,确保与可信方进 行路由协议交互。 JX-CP-PZ-14 在网络边界运行在网络边界运行 IGP 动态路由协议时, 配置路由更新策 略,只接受合法的路由更新,防止非法路由注入。只发 动态路由协议时, 配
10、置路由更新策 略,只接受合法的路由更新,防止非法路由注入。只发 布所需的路由更新,防止路由信息泄漏。布所需的路由更新,防止路由信息泄漏。 4.3 SNMP 协议安全基线协议安全基线 基线编号 基线内容 基线编号 基线内容 JX-CP-PZ-15 修改 SNMP 的 COMMUNITY 默认通行字,通行字符串应符 合口令强度要求。 修改 SNMP 的 COMMUNITY 默认通行字,通行字符串应符 合口令强度要求。 JX-CP-PZ-16 只与特定主机进行 SNMP 协议交互 只与特定主机进行 SNMP 协议交互 JX-CP-PZ-17-OPT 未使用 SNMP 的 WRITE 功能时,禁用 S
11、NMP 的写(WRITE) 功能。 未使用 SNMP 的 WRITE 功能时,禁用 SNMP 的写(WRITE) 功能。 第第5章 其他安全基线章 其他安全基线 基线编号基线编号 基线内容基线内容 JX-CP-PZ-18 关闭未使用的接口,如防火墙的 AUX 口。 关闭未使用的接口,如防火墙的 AUX 口。 JX-CP-PZ-19-OPT 要修改路由防火墙缺省 要修改路由防火墙缺省 BANNER 语,语,BANNER 最好不 要有系统平台或地址等有碍安全的信息。 最好不 要有系统平台或地址等有碍安全的信息。 JX-CP-PZ-20 配置定时账户自动登出。如 TELNET、SSH、HTTP 等管
12、理 连接和 CONSOLE 口登录连接等。 配置定时账户自动登出。如 TELNET、SSH、HTTP 等管理 连接和 CONSOLE 口登录连接等。 JX-CP-PZ-21 配置 CONSOL 口密码保护功能。 配置 CONSOL 口密码保护功能。 JX-CP-PZ-23 关闭不必要的网络服务或功能 禁用 TCP SMALL SERVERS 关闭不必要的网络服务或功能 禁用 TCP SMALL SERVERS 禁用 UDP SMALL SERVERS 禁用 FINGER 禁用 HTTP SERVER 禁用 BOOTP SERVER 关闭 禁用 UDP SMALL SERVERS 禁用 FINGER 禁用 HTTP SERVER 禁用 BOOTP SERVER 关闭 DNS 查询功能, 如要使用该功能, 则显式配置查询功能, 如要使用该功能, 则显式配置 DNS SERVER
