《防火墙设备安全配置作业指导书(安全加固)》由会员分享,可在线阅读,更多相关《防火墙设备安全配置作业指导书(安全加固)(22页珍藏版)》请在金锄头文库上搜索。
1、安全配置作业指导书防火墙设备XXX象团公司2012年7月、乙刖百为规范xxxXi团公司网络设备的安全管理,建立统一的防火墙设备安全配置标 准,特制定本安全配置作业指导书。本技术基线由xxxXi团公司提出并归口本技术基线起草单位:xxxXi团公司本技术基线主要起草人:本技术基线主要审核人:目录1 .适用范围12 .规范性引用文件13 .术语和定义14 .防火墙安全配置规范24.1. 防火墙自身安全性检查 24.1.1. 检查系统时间是否准确 24.1.2. 检查是否存在分级用户管理 34.1.3. 密码认证登录 34.1.4. 登陆认证机制 44.1.5. 登陆失败处理机制 54.1.6. 检查
2、是否做配置的定期备份 64.1.7. 检查双防火墙冗余情况下,主备切换情况 74.1.8. 防止信息在网络传输过程中被窃听 84.1.9. 设备登录地址进行限制 94.1.10. SNMP 访问控制 104.1.11. 防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级114.2. 防火墙业务防御检查 124.2.1. 启用安全域控制功能 124.2.2. 检查防火墙访问控制策略 134.2.3. 防火墙访问控制粒度检查 144.2.4. 检查防火墙的地址转换情况 154.3. 日志与审计检查164.3.1. 设备日志的参数配置 164.3.2. 防火墙流量日志检查 174.3
3、.3. 防火墙设备的审计记录 171 .适用范围本基作业指导书范适用于 XXXX集团公司各级机构。2 .规范性引用文件ISO27001 标准 /ISO27002 指南GB 17859-1999计算机信息系统安全保护等级划分准则3.GB/T 20271-2006GB/T 20272-2006GB/T 20273-2006GB/T 22239-2008术语和定义信息安全技术信息安全技术信息安全技术信息安全技术信息系统通用安全技术要求操作系统安全技术要求数据库管理系统安全技术要求信息系统安全等级保护基本要求安全设备安全基线:指针对各类安全设备的安全特性,选择合适的安全控制措施,定义不 同网络设备的最
4、低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。严重漏洞(Critical ):攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完 全控制受影响的系统重要漏洞(Important ):攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。中等漏洞(Moderate):攻击者利用此漏洞有可能未经授权访问信息。注意,虽然攻击者无 法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息,这些信息可用 于进一步危及受影响系统的安全。轻微漏洞(Low):攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失。4.防火墙安全配置规范4.1. 防火墙自
5、身安全性检查4.1.1. 检查系统时间是否准确要求内容检查系统时间是否准确加固方法重新和北京时间做校队1现场检查:如下截图路径,检查系统时间是否和北京时间一致,如果相差在一分钟之内,则认为 符合要求,否则需要重新修正。天融信该功能截图:检测方法路径:系统管理=配置4.1.2.检查是否存在分级用户管理编 号要求内容管理员分:超级管理员、管理用户、审计用户、虚拟系统用户加固方法在防火墙设备上配置管理账户和审计账户检测方法1现场检查:如下截图路径,如果系统中仅存在四个账户,分别为:超级管理员、管理用户、审计 用户、虚拟系统用户,且四个账号分别对应于各自不向级别的权限,则符合要求;如 果无三个,则不符
6、合要求天融信该功能截图:路径:系统管理=管理员量;理员列表添加1用户名权限描述修改 删除luptrmtiL超蟠营理m4团安至审计国画阖如虚耒抗用户8MoConwiint应|后|备 注4.1.3.密码认证登录编 号要求内容检查防火墙内置账户不得存在缺省密码或弱口令帐户加固方法修改防火墙设备的登录设备的口令,满足安全性及复杂性要求检测方法1、口令复杂度查看防火墙设备的管理员登录设备的口令安全性及复杂性,登录设备验证口令的复杂性,。如果需要输入口令并且口令为 8位以上,并且是包含字母、数字、特殊字符的混合 体,判定结果为符合;如果不需要任何认证过程,判定结果为不符合2、检查账户不得使用缺省密码。天融
7、信防火墙该功能截图:路径:系统管理=管理员4.1.4.登陆认证机制编 号要求内容检查登陆时是否米用多重身份认证的鉴别技术加固方法米用强度高于用户名+静态口令的认证机制实现用户身份鉴别检测方法1、检查:现场验证登陆防火墙,查看是否支持用户名+静态口令;天融信防火墙登陆窗口:彳天融信”落SEC|用户;S:r *:+=*1备 注4.1.5.登陆失败处理机制编 号要求内容检查登陆失败时处理机制加固方法具有登录失败处理功能,可米取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施检测方法1、检查:防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置;查看是否
8、有限制非法登录次数的功能;管理员登录地址进行限制;查看登陆失败时阻断时间;查看是否设置登录连接超时,并自动退出;2、测试:验证鉴别失败处理措施(如模拟失败登录,观察设备的动作等),限制非法登录次数(如模拟非法登录,观察网络设备的动作等),对设备的管理员登录地址进行限制(如使用任意地址登录,观察设备的动作等)等功能是否有效;验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作 等);3、产品举例:天融信防火墙用户登录超时设置:路径:系统管配置理=维护=系统配置乐死代融升改服器1耐物r小hu认证1 h注册常用工目基本展控建普名稀;的p理里-卜.1EBVI酬丽:
9、0即一剪口刎味赫和时万鹏遇“世认证拿出最大并发宕理数;5间一用户最大拜发首理敷:5同一用户量大置量地点:1口 国大登录大效滤散:S二* 不大于弘4 * 【不大于32个* 不太子2aooTl* 坏大于1口枚1备 注4.1.6.检查是否做配置的定期备份编 号要求内容检查是否对防火墙的配置定期做备份加固方法督促管理员定期对防火墙做配置备份检测方法1访谈方式:和管理员了解防火墙配置的备份情况2验证:在网管服务器上,查看防火墙配置文件夹,确认是否定期做配置备份。3加固:第一步:天融信防火墙配置导出位置截图:路径:系统管理=维护4.1.7.检查双防火墙冗余情况下,主备切换情况编 号要求内容检查双防火墙冗余
10、情况下,主备切换情况加固方法如该功能未达到要求,需厂商人员检查、加固检测方法1访谈方式咨询管理员近期是否有过设备切换现象,切换是否成功等2现场验证拔掉主墙线缆后,备墙可以实现正常切换,网络快速切换,应用正常。3加固措施第一步:如该功能未达到,检查防火墙双机热备配置是否正确、监控状态是否正常第二步:如果配置有误,需要尽快协商厂商人员解决天融信防火墙该功能截图:路径:高可用性=双机热备当靠代衣状右:没有后劭基本避置应用信用耙备期备停止IVr id优先皴抢占状态度量值接口修奴删除22S4BOTRUNDsthO口 01添加】4.1.8.防止信息在网络传输过程中被窃听编 号要求内容当对网络设备进行远程管
11、理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。可采用 HIIPS SSH等安全远程管理手段。加固方法通过https和ssh登陆管理设备。检测方法1现场验证:能够通过https和ssh登陆管理设备,判定结果为符合;通过 http和telnet登陆管理设备,判定结果为不符合。2加固措施:按照下述截图位置,只开放HIIPS,SSHt陆方式,去除其他登陆方式。天融信防火墙该功能截图:说 明 :防 火 墙 方 法天融信用户名:suoerman观交检查如下的SSH方式及HTTPSB限配置:路径:系统管理=配置=开放服务年坟I射向 I,、一正 I :PFW I空用同后动冷止君归后动仲1卜日初停止jn
12、停止t小加】脏一-名称酢制匠Mt并翻地址a _ LE 人u-WhOUi1yup*v1 gnyP孙a 一 I hUmyw wlauiLX* :.工 KOan/“nHJF* a I h0-uir1 11 Wpalhf i. HO*nyMSJalsl揖 a 奇3|4.1.9. 设备登录地址进行限制编 号要求内容对防火墙设备的管理员登录地址进行限制加固方法创建允许管理员登陆的IP限制列表检测方法1现场检查:咨询管理员后,使用允许访问控制列表里面的ip地址能够登录管理设备,不在控制列表里的ip不能登录设备,判定结果为符合2设备检查:登陆下述截图路径,确认已经配置了限制管理员登陆IP列表天融信防火墙该功能
13、截图:路径:配置一开放服务4.1.10. SNM助问控制编 号要求内容设置SNM就问安全限制,读写密码均已经修改,只允许特定主机通过SNM助问网络设备。加固方法修改缺省密码和限制IP对防火墙的无授权访问检测方法1设备检查登陆至设备的下述路径,检查即可。天融信防火墙该功能截图:路径:网络管理一SNMP编 号要求内容定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。配置为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级的策加固方法略。1现场检查:检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升检测方法级。查看防火墙系统内特征库的时间和版本信息。天融信该功能的截图:路径:系统管理一维护一服务更新web过滤为模块及时升级4.1.11.防火墙自带的病毒库、入侵防御库、应用识另h病车瘁记呆救7TS73M:胡理有时可为1之一咛视斗司3到联田目501-3-1?入以防御搠现忘祝菜ft!ET4SJE1C自授财曲0格新髡审i时可从表葩期许司证利晦肮白0301r-31府周巴魏斯m*记景/IM用汇R扁更需时自
