reference中国移动通信集团网络设备安全配置规范 思科pix分册doc文档格式.docx

reference中国移动通信集团网络设备安全配置规范 思科pix分册doc文档格式.docx

《reference中国移动通信集团网络设备安全配置规范 思科pix分册doc文档格式.docx》由会员分享，可在线阅读，更多相关《reference中国移动通信集团网络设备安全配置规范 思科pix分册doc文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

该项目是为了规范网络设备的安全配置标准，提高中国移动网络设备的安全性而提出的。

该项目成果将适用于集团公司以及各省公司网络部、计费、信息化等部门，涵盖业务网络（GPRS、CMNet、各数据业务系统）、支撑系统（网管、BOSS、OA）等。

1.2项目目标

该项目的目标是对中国移动网络中使用的网络思科防火墙－pix安全配置标准进行规范，实现规范和指导各省各应用系统网络设备安全配置的作用。

1.3参考资料

●CISCO公司提供《ImprovingSecurityonCiscoRouters》

●思科官方网站

●中国IT认证实验室网站

参与该分册编写的人员有：

福建移动通信公司：

感谢：

泰讯网络给予大力支持。

2适用的软件版本

本规范适用的设备版本如下表：

设备名称

设备型号

IOS版本

备注

CiscoPIX系列防火墙

501、506E、515E、506、515、525、535型号

CISCOPIX6.3及以上版本

注意：

考虑到思科设备的小版本号繁多，并且不易分辨。

建议最好从集成商那获取最新的软件版本。

第二部分设备的安全机制

该部分内容对思科PIX防火墙自身的安全机制进行简单描述，对每种安全机制可以解决什么问题进行阐述。

目前，防火墙采用的基础技术有两种，一是基于网络层的包过滤防火墙，主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包；

二是基于应用层的隔离网络的代理服务器（proxyserver），是在应用层为每一种服务提供一个代理，鉴于这两种技术都有各自的特点和弊端，建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。

CisoPIXFirewall是基于这两种技术结合的防火墙。

它应用安全算法（AdaptiveSecurityAlgorithm），将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构。

通过管道技术，出境访问列表，可以有效地控制内、外部各资源的访问。

PIXFirewall可连接多个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是全球统一的IP地址。

PIXFirewall提供的完全防火墙保护以及IP安全（IPsec）虚拟专网能力特别适合于保护企业总部的边界。

其保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。

静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；

与应用层代理防火墙相比，其性能更高，扩展性更强。

ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。

只有存在已确定连接关系的正确连接时，访问才被允许通过。

这样，内部和外部的授权用户就可以透明地访问企业资源，同时保护了内部网络不会受到非授权访问的侵袭。

另外，PIXFirewall实现了在Internet或所有IP网络上的安全保密通信。

它集成了VPN的主要功能——隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务实现远程访问、远程办公和外部网连接。

该产品可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了保密性、完整性和认证能力。

对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法。

PIXFirewall是一个可靠的、便于维护的平台，可以提供多种配置、监控和诊断方式。

PIXFirewall管理解决方案的范围非常广泛从一个集成化的、基于Web的管理工具到集中的、基于策略的工具，以及对各种远程监控协议的支持。

CiscoPIXCLI让用户可以利用现有的PIXCLI技术，方便地进行安装和管理，可以通过多种方式访问，包括控制台端口、远程登陆和CLI。

SNMP和系统日志支持提供远程监控和日志功能，并能够与思科和第三方管理应用集成。

PIXFirewall设备管理器（PDM）可以为管理员提供一个直观的、基于Web的界面，从而使他们可以方便地配置和监控一台PIXFirewall，而不需要在管理员的计算机上安装任何软件（除了一个标准的Web浏览器以外）。

管理员可以利用PIXFirewall所提供的命令行界面（CLI），通过多种方式（包括远程登陆、安全解释程序（SSH），以及通过控制端口实现的带外接入）对PIXFirewall进行远程配置、监控和诊断。

管理员还可以通过CiscoVPN/安全管理解决方案（VMS）中提供的Cisco安全策略管理器（CSPM）方便地对很多PIXFirewall防火墙进行远程管理。

CSPM3.0是一种可扩展的、下一代的PIX防火墙集中管理解决方案，具有多种功能，包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。

第三部分设备安全配置建议

设备安全配置建议是本规范重要的一个部分，该部分将对思科PIX防火墙安全配置的细节进行描述，并对配置适用的网络层次、对设备性能的影响和配置实施的注意点进行详细说明。

3网管及认证问题

3.1访问管理

一般而言，维护人员都习惯使用CLI来进行设备配置和日常管理，使用Telnet工具来远程登录设备，并且大部分设备都提供标准的Telnet接口，开放TCP23端口。

虽然Telnet在连接建立初期需要进行帐号和密码的核查，但是在此过程，以及后续会话中，都是明文方式传送所有数据，容易造窃听而泄密。

同时Telnet并不是一个安全的协议。

要求采用SSH协议来取代Telnet进行设备的远程登录，SSH与Telnet一样，提供远程连接登录的手段。

但是SSH传送的数据（包括帐号和密码）都会被加密，且密钥会自动更新，极大提高了连接的安全性。

SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。

规范的配置文档提供远程登陆SSH开启的方式，和SSH相关属性的设置，如：

超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址，对采用AAA的设置见帐号认证和授权部分。

3.1.1telnet服务的配置

在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。

Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。

如果不设置telnet的相关属性，对PIX的配置只能通过CONSOLE进行。

要求关闭telnet服务，采用ssh协议，否则必须对telnet进行访问地址限制和强口令认证。

【应用网络层次】：

在所有层面防火墙设备

【影响】：

只有指定的网管网段可以登陆设备，其他地址将被限制

【具体配置】：

！

开启telnet服务：

PIX（Config）#telnet192.168.1.1255.255.255.0inside

PIX（Config）#telnet222.20.16.1255.255.255.0outside

对telnet访问地址进行限制：

PIX（Config）#telnet10.14.8.50255.255.255.240

PIX（config）#telnettimeout20

关闭telnet服务：

PIX（Config）#notelnetxxxxxxxxinside

3.1.2SSH配置

所有层面防火墙设备

需使用支持SSHD终端登陆，如SecureCRT等

PIX（config）#domain-name

PIX（config）#cageneratersakey1024

PIX（config）#casaveall

!

生成RSA密钥对

PIX（config）#showcamypubkeyrsa

查看本地生成的公钥

PIX（config）#sshoutside_ip_addr255.255.255.255outside

PIX（config）#sshtimeout20

配置限制访问地址可以SSH进来，另设SSH的超时时间为20分钟

PIX（config）#usernametestpasswordtest

PIX（config）#aaaauthenticatesshconsoleLOCAL

认证方式采用本地方式，也可以用RADIUS/TACACS+进行认证。

PIX（config）#shsshsession

SessionIDClientIPVersionEncryptionStateUsername

0a.b.c.d1.5DES6test

3.2帐号和密码管理

要求应在日常维护过程中周期性地（至少按季度）更改登录密码，甚至登录帐号。

当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限。

临时帐号使用完后应及时删除。

登录帐号及密码的保管和更新应由专人负责，并注意保密。

帐号名字应该与使用者存在对应关系，如能反应使用者的级别、从属关系。

为了提高安全性，在方便记忆的前提下，帐号名字应尽量混用字符的大小写、数字和符号，提高猜度的难度。

同样的，密码必须至少使用四种可用字符类型中的三种：

小写字母、大写字母、数字和符号，而且密码不得包含用户名或用户全名的一部分。

一般情况下密码至少包含8个字符。

我们建议用密码生成器软件（如）来制造随机密码。

要考虑有些设备密码以明文形式存放问题，建议必须启用相关特性，保证密码以加密方式存放在配置文件中。

对无法以密文存放的，要加强配置文件的管理。

密码设置配置如下：

【适用网络层次】：

根据需要在所有层次实施。

增强系统安全性

PIX（config）#enable[priv_1evel]

PIX（config）#disable[priv_1evel]

PIX（config）#enablepassword[pw][levelpriv_1evel][encrypted]

PIX（config）#noenablepassword[levelpriv_1evel]

PIX（config）#showenable

3.3帐号认证和授权

帐号的认证和授权分为设备本省的认证和授权和AAA服务器的认证和授权两个部分。

这主要介绍AAA服务器的设置。

3.3.1AAA认证

思科PIX防火墙支持RADIUS或TACACS＋的AAA（认证、授权、计费）客户端功能，通过AAA认证可以方便实现对大量设备的登录帐号和密码的管理。

建议采用集中认证和授权模式，通过AAA服务器还可以弥补设备本省对执行权限管理的不足。

在AAA认证设置上，最好选用支持对用户操作内容日志功能的AAA服务器软件，这样可以加强对用户行为的控制。

增强系统安全性，需要相应的Server服务器，增加投资

ThenextentrywilldependonwhetherTACACS+orRADIUSisused.

PIX（Config）#tacacs-server（inside）host171.68.118.101ciscotimeout5

PIX（Config）#radius-server（inside）host171.68.118.101ciscotimeout10

Weareconcernedabouthostsonourinsidenetwork

accessingaparticularoutsidehost.

PIX（Config）#aaaauthenticationanyoutbound171.68.118.0255.255.255.09.9.9.11255.255.255.255tacacs+|radius

Or,wecouldbelessgranularandauthenticate!

---alloutboundFTP,HTTP,Telnettrafficwiththefollowing.

PIX（Config）#aaaauthenticationftpoutbound0.0.0.00.0.0.00.0.0.00.0.0.0tacacs+|radius

PIX（Config）#aaaauthenticationhttpoutbound0.0.0.00.0.0.00.0.0.00.0.0.0tacacs+|radius

PIX（Config）#aaaauthenticationtelnetoutbound0.0.0.00.0.0.00.0.0.00.0.0.0tacacs+|radius

Wealsodecidetosendaccountingrecordsfor

successfulauthenticationstoourTACACS+orRADIUSserver.

PIX（Config）#aaaaccountinganyoutbound0.0.0.00.0.0.00.0.0.00.0.0.0tacacs+|radius

3.4snmp协议

Snmp协议是目前数据网管理中普遍使用的协议，但snmp协议本身也存在安全问题。

需要合理配置snmp协议的相关属性，才能让snmp协议更好的为日常维护管理服务。

如不需要，不建议对PIX使用SNMP。

PIXFirewall通过简单网络管理协议（SNMP）支持网络监控。

SNMP界面允许通过传统网络管理系统监控PIXFirewall。

PIXFirewall只支持SNMPGET命令，此命令只允许执行只读接入。

SNMPFirewall和MemeoryPoolMIB增加了用于识别PIXFirewall状态的其它信息的陷阱数量。

增加系统可管理的方式，方便故障的监控处理

查看snmp的配置状态和snmp的版本信息

PIX（Config）#showrun

关闭snmp服务，并删除snmp的默认配置

PIX（Config）#nosnmp-servercommunitypublicRo

PIX（Config）#nosnmp-serverenabletraps

PIX（Config）#nosnmp-serversystem-shutdown

PIX（Config）#nosnmp-servertrap-anth

Router（Config）#nosnmp-server

设置snmpRO的口令，定期更改SNMPCommunity（至少半年一次）

PIX（Config）#snmp-servercommunityMoreHardPublicRo

开启snmptrap功能

PIX（Config）#snmp-servenabletraps

PIX（Config）#snmp-serverhost10.0.0.1trapsversion3authreadO

对snmp进行访问限制

PIX（Config）#access-list10permit192.168.0.1

PIX（Config）#access-list10denyany

PIX（Config）#snmp-servercommunityMoreHardPublicRo10

在条件许可的条件下，建议转用SNMPv3。

SNMPversion3已经商用。

它引入了除Community外的基于MD5认证和DES加密来保障SNMP通道安全的机制。

4安全审计

为了实现对设备安全的管理，要求对设备的安全审计进行有效管理。

根据设备本身具有的属性和实际维护经验，建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志，同时提供SYSLOG服务器的设置方式。

AAAloging可以记录拨号连接信息、用户登陆信息、退出信息、http访问信息、权限变动信息、命令执行信息和其他时间。

建议在这增加AAAlog配置信息，注意本地日志对设备会有影响。

注意本地日志对设备会有影响，建议设置时获取支撑单位技术支持。

PIX（Config）#loggingon

日志服务器的IP地址

PIX（Config）#logginga.b.c.d

facility标识,RFC3164规定的本地设备标识为local0-local7

PIX（Config）#loggingfacilitylocal1

日志记录级别，可用"

?

"

查看详细内容

PIX（Config）#loggingtraperrors

日志记录的时间戳设置，可根据需要具体配置

PIX（Config）#servicetimestampslogdatetimelocaltime

日志检测

PIX（Config）#shlogging

syslog日志级别

PIX（Config）#syslogfacility20.7

在位于网管工作站上的日志服务器上记录所有事件日志

PIX（Config）#sysloghost10.14.8.50

5设备IOS升级方法

设备软件版本升级和补丁安装是实施设备安全加固一个不可缺少的环节。

为了确保IOS升级的顺利进行，要求从以下几个细节进行考虑。

各设备的详细升级流程见各设备分册。

5.1前期准备

5.1.1软件的获取

思科公司在官方网站上提供最新的PIX软件版本和对应的升级包，但必须有对应的登陆帐户的CCO帐号。

在在升级前，首先确认要升级的软件是否通过集团公司的入网许可，并且与厂家确认你所要升级设备的硬件满足升级IOS的要求，考虑到思科设备的小版本号繁多，并且不易分辨，最好从集成商那获取最新的IOS软件。

5.1.2制定升级计划

与设备支撑单位一起制定详细的升级计划，充分考虑实施升级和补丁装载时系统重启对业务的影响，充分考虑网络结构的双机或双链路结构对业务的保护，最大限度减少业务中断时间。

如果防火墙只配有单台，建议安排现场升级或必须有具备技术能力的现场配合人员；

并在条件许可的情况下，有备用防火墙在现场。

若设备配有双防火墙，可以远程执行，但也应安排一般的现场人员提供必要的配合。

5.1.3设置FTP服务器

使用FTP方式，需要在设备上作好相应配置，如下：

比TFTP方式更具安全性

PIX（Config）#ipftpusernamexxxxxxx

PIX（Config）#ipftppasswordxxxxxxx

5.1.4数据备份

为确保升级过程的可恢复性，对原IOS和配置数据有必要进行完全备份。

要求在备份前确认备份介质的可用性和可靠性，并在备份完升级前进行验证。

保障当系统升级故障时可恢复

显示首先显示IOS文件的文件名，确定是否需要升级IOS：

PIX（Config）#showver

拷贝系统文件到TFTPServer或者ftpserver：

PIX（Config）#copyflashtftp（拷贝到tftpserver）

或者

PIX（Config）#copyflashftp（拷贝到ftpserver）

拷贝配置文件到TFTPServer或者FTPSsever中：

PIX（Config）#writenet

PIX（Config）#copyrunning-configftp（当前运行的存储在RAM中的配置）

PIX（Config）#copystartup-configftp（存储在NVRAM中的配置）

考虑到FLASH空间的限制，在无法装下两个IOS软件时，应将原有的IOS软件删除。

删除命令如下：

PIX（Config）#eraseflash

Eraseflashdevice﹖[confirm]y

5.1.5注意事项

升级PIX的IOS时，最好能使用串口接到PIX的CONSOL口上，TFTP服务器软件安装在该计算机上，以利于将IOS文件可靠的传送。

TFTP服务器的IP的地址要和PIX的以太网口在一个网段上。

5.2升级操作

5.2.1升级IOS或装载补丁

按下列步骤进行思科pix防火墙的IOS装载：

存在升级失败的可能性，需做好恢复准备

拷贝系统文件到Flashmemory：

PIX（Config）#copytftpflash

把配置文件从网络服务器拷贝到PIXNVRAM。

PIX（Config）#copytftprunning-config（拷贝到RAM中）

PIX（Config）#copytftpstartup-config（拷贝到NVRAM中）

PIX（Config）#copyftprunning-config（拷贝到RAM中）

PIX（Config）#copyftpstartup-config（拷贝到NVRAM中）

重新启动PIX

软件装载结束，用“reload”命令重新启动PIX即可。

PIX（Config）#reload

5.3应急保障措施

描述升级中出现问题时，如何实施应急保障和恢复，并提供对应的命令。

在升级遇到问题时，由于已经删除了旧的操作系统，设备没有操作系统，重启后，进入ROMMON状态，此时，可以用tftpdnld方式导入旧的软件，将计算机串口和路由器Console口相连，计算机网口与路由器以太口（一定要与第一个以太口）相连。

操作步骤如下：

5.3.1设置防火墙

【实施命令】：

monitor>

addr192.168.1.1（路由器的ip地址）

monito