防火墙设备安全配置作业指导书安全加固.docx
《防火墙设备安全配置作业指导书安全加固.docx》由会员分享,可在线阅读,更多相关《防火墙设备安全配置作业指导书安全加固.docx(20页珍藏版)》请在冰豆网上搜索。
防火墙设备安全配置作业指导书安全加固
安全配置作业指导书
防火墙设备
XXXX集团公司
2012年7月
前言
为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。
本技术基线由XXXX集团公司提出并归口
本技术基线起草单位:
XXXX集团公司
本技术基线主要起草人:
本技术基线主要审核人:
1.适用范围
本基作业指导书范适用于XXXX集团公司各级机构。
2.规范性引用文件
ISO27001标准/ISO27002指南
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
GB/T20272-2006《信息安全技术操作系统安全技术要求》
GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
3.术语和定义
安全设备安全基线:
指针对各类安全设备的安全特性,选择合适的安全控制措施,定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。
严重漏洞(Critical):
攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统
重要漏洞(Important):
攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。
中等漏洞(Moderate):
攻击者利用此漏洞有可能XX访问信息。
注意,虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息,这些信息可用于进一步危及受影响系统的安全。
轻微漏洞(Low):
攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失。
4.防火墙安全配置规范
4.1.防火墙自身安全性检查
4.1.1.检查系统时间是否准确
编号
要求内容
检查系统时间是否准确
加固方法
重新和北京时间做校队
检测方法
1现场检查:
如下截图路径,检查系统时间是否和北京时间一致,如果相差在一分钟之内,则认为符合要求,否则需要重新修正。
天融信该功能截图:
路径:
系统管理=》配置
备注
4.1.2.检查是否存在分级用户管理
编号
要求内容
管理员分:
超级管理员、管理用户、审计用户、虚拟系统用户
加固方法
在防火墙设备上配置管理账户和审计账户
检测方法
1现场检查:
如下截图路径,如果系统中仅存在四个账户,分别为:
超级管理员、管理用户、审计用户、虚拟系统用户,且四个账号分别对应于各自不同级别的权限,则符合要求;如果无三个,则不符合要求
天融信该功能截图:
路径:
系统管理=》管理员
备注
4.1.3.密码认证登录
编号
要求内容
检查防火墙内置账户不得存在缺省密码或弱口令帐户
加固方法
修改防火墙设备的登录设备的口令,满足安全性及复杂性要求
检测方法
1、口令复杂度
查看防火墙设备的管理员登录设备的口令安全性及复杂性,登录设备验证口令的复杂性,。
如果需要输入口令并且口令为8位以上,并且是包含字母、数字、特殊字符的混合体,判定结果为符合;如果不需要任何认证过程,判定结果为不符合
2、检查账户不得使用缺省密码。
天融信防火墙该功能截图:
路径:
系统管理=》管理员
备注
4.1.4.登陆认证机制
编号
要求内容
检查登陆时是否采用多重身份认证的鉴别技术
加固方法
采用强度高于用户名+静态口令的认证机制实现用户身份鉴别
检测方法
1、检查:
现场验证登陆防火墙,查看是否支持用户名+静态口令;
天融信防火墙登陆窗口:
备注
4.1.5.登陆失败处理机制
编号
要求内容
检查登陆失败时处理机制
加固方法
具有登录失败处理功能,可采取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施
检测方法
1、检查:
防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置;查看是否有限制非法登录次数的功能;管理员登录地址进行限制;查看登陆失败时阻断时间;查看是否设置登录连接超时,并自动退出;
2、测试:
验证鉴别失败处理措施(如模拟失败登录,观察设备的动作等),限制非法登录次数(如模拟非法登录,观察网络设备的动作等),对设备的管理员登录地址进行限制(如使用任意地址登录,观察设备的动作等)等功能是否有效;验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作等);
3、产品举例:
天融信防火墙用户登录超时设置:
路径:
系统管配置理=>维护=>系统配置
备注
4.1.6.检查是否做配置的定期备份
编号
要求内容
检查是否对防火墙的配置定期做备份
加固方法
督促管理员定期对防火墙做配置备份
检测方法
1访谈方式:
和管理员了解防火墙配置的备份情况
2验证:
在网管服务器上,查看防火墙配置文件夹,确认是否定期做配置备份。
3加固:
第一步:
天融信防火墙配置导出位置截图:
路径:
系统管理=>维护
第二步:
网管机上建立防火墙配置文件备份文件夹
备注
4.1.7.检查双防火墙冗余情况下,主备切换情况
编号
要求内容
检查双防火墙冗余情况下,主备切换情况
加固方法
如该功能未达到要求,需厂商人员检查、加固
检测方法
1访谈方式
咨询管理员近期是否有过设备切换现象,切换是否成功等
2现场验证
拔掉主墙线缆后,备墙可以实现正常切换,网络快速切换,应用正常。
3加固措施
第一步:
如该功能未达到,检查防火墙双机热备配置是否正确、监控状态是否正常
第二步:
如果配置有误,需要尽快协商厂商人员解决
天融信防火墙该功能截图:
路径:
高可用性=》双机热备
备注
4.1.8.防止信息在网络传输过程中被窃听
编号
要求内容
当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。
可采用HTTPS、SSH等安全远程管理手段。
加固方法
通过https和ssh登陆管理设备。
检测方法
1现场验证:
能够通过https和ssh登陆管理设备,判定结果为符合;通过http和telnet登陆管理设备,判定结果为不符合。
2加固措施:
按照下述截图位置,只开放HTTPS,SSH登陆方式,去除其他登陆方式。
天融信防火墙该功能截图:
说明:
登陆防火墙方法:
https:
//192.168.53.3
检查如下的SSH方式及HTTPS权限配置:
路径:
系统管理=》配置=》开放服务
备注
4.1.9.设备登录地址进行限制
编号
要求内容
对防火墙设备的管理员登录地址进行限制
加固方法
创建允许管理员登陆的IP限制列表
检测方法
1现场检查:
咨询管理员后,使用允许访问控制列表里面的ip地址能够登录管理设备,不在控制列表里的ip不能登录设备,判定结果为符合
2设备检查:
登陆下述截图路径,确认已经配置了限制管理员登陆IP列表
天融信防火墙该功能截图:
路径:
配置—开放服务
备注
4.1.10.SNMP访问控制
编号
要求内容
设置SNMP访问安全限制,读写密码均已经修改,只允许特定主机通过SNMP访问网络设备。
加固方法
修改缺省密码和限制IP对防火墙的无授权访问
检测方法
1设备检查
登陆至设备的下述路径,检查即可。
天融信防火墙该功能截图:
路径:
网络管理—SNMP
备注
4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级
编号
要求内容
定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。
加固方法
配置为防火墙的特征库、、病毒库、入侵防御库、应用识别、web过滤模块升级的策略。
检测方法
1现场检查:
检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。
查看防火墙系统内特征库的时间和版本信息。
天融信该功能的截图:
路径:
系统管理—维护—服务更新
备注
4.2.防火墙业务防御检查
4.2.1.启用安全域控制功能
编号
要求内容
根据业务需要创建不同优先级的安全区域
加固方法
1现场检查:
首先,根据业务情况,检查接口名称,名称的级别、功能应该清晰,如“内网”或者“外网”,否则需要重新确认;天融信防火墙各接口区域有两个权限一个为允许、一个是禁止。
所以,检查时,需要确认,各个接口区域权限的设置。
2加固方法:
将防火墙各个区域权限设置为禁止,这样默认策略全部为禁止。
天融信该功能截图:
路径:
资源管理=》区域
备注
4.2.2.检查防火墙访问控制策略
编号
要求内容
检查防火墙策略是否严格限制通信的IP地址、协议和端口,根据需求控制源主机能够访问目的主机,和控制源主机不能访问目的主机。
加固方法
管理员综合分析防火墙访问控制策略,对源地址、目标地址、开放端口进行细化,删除无用、重复的策略。
检测方法
访谈:
询问管理员防火墙配置策略配置原则,并针对可以策略进行询问。
执行:
查看防火墙策略配置规则,是否存在过多的IP地址段开放协议、端口的规则,是否存在无效的策略,防火墙的策略是否严密。
分析:
综合分析全部防火墙策略,分析是否开放过多IP地址段、协议和端口,为攻击者提供了远程攻击和入侵控制的可能。
天融信该功能截图:
路径:
防火墙=》访问控制
备注
4.2.3.防火墙访问控制粒度检查
编号
要求内容
检查防火墙上相应安全策略设置的严谨程度。
加固方法
1、添加访问控制策略阻断常见的危险端口。
2、细化访问控制策略,所有策略的源、目的、服务三项中,至少有一项不能出现any的情况
检测方法
1、查看阻断策略中是否存在对tcp135-139、udp135-139、tcp445、udp445、tcp4444、tcp9995-9996、tcp1068、udp69、udp4899、udp1434这些高危端口的限制策略,如果在阻断策略里没有,则不符合要求;
2、如果阻断策略里没有,针对这些端口限制的访问出现在访问控制策略的第一条,则可以认为符合要求;
3、访问控制里,除上述提到的高危端口限制外,其所有策略的源、目的、服务三项中,至少有一项不能出现any的情况,如果出现则视为不符合要求,尤其是针对某一特定服务器的访问限制,如果出现源是any,服务是任何的情况,则该策略设置是不合格的。
天融信该功能截图:
路径:
防火墙=》阻断策略
备注
4.2.4.检查防火墙的地址转换情况
编号
要求内容
检查防火墙地址转换策略是否符合网络的实际需求
加固方法
检查防火墙地址转换策略是否符合网络的实际需求,删除冗余的地址转换策略
检测方法
1现场访谈:
询问管理员防火墙地址转换配置策略配置原则,并针对策略必要性进行分析。
执行:
查看防火墙策略地址转换配置规则,是否存在过多的IP地址段开放协议、端口的规则,是否存在无效的地址转换策略,地址转换策略是否严密。
天融信防火墙功能截图
路径:
防火墙=》地址转换
备注
s
4.3.日志与审计检查
4.3.1.设备日志的参数配置
编号
要求内容
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG。
并且日志必须保存6个月
加固方法
1、现场检查:
在防火墙上检查Syslog项,是否已配置将日志传输到日志服务器,否则为不符合
天融信防火墙日志配置:
路径:
日志与报警=》日志配置
备注
4.3.2.防火墙流量日志检查
编号
要求内容
查看日志服务器是否正常接收日志,并且日志必须保存6个月
加固方法
1现场检查:
登陆至天融信集中控制中心或第三方日志服务软件,查看是否正常接收日志,且是否有近6个月内的日志;确认服务器的存储空间是否足够
备注
4.3.3.防火墙设备的审计记录
编号
要求内容
能够查看设备的登录审计记录
加固方法
查看设备的登录审计记录。
检测方法
查看设备的相关登录审计记录,包含登录成功、登录失败、接口的up记录等。
天融信该功能截图:
路径:
日志与报警=》日志查看
备注