防火墙设备安全配置作业指导书安全加固.docx
《防火墙设备安全配置作业指导书安全加固.docx》由会员分享,可在线阅读,更多相关《防火墙设备安全配置作业指导书安全加固.docx(14页珍藏版)》请在冰豆网上搜索。
防火墙设备安全配置作业指导书安全加固
安全配置作业指导书
防火墙设备
XXXX集团公司
2012年7月
前言
为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。
本技术基线由XXXX集团公司提出并归口
本技术基线起草单位:
XXXX集团公司
本技术基线主要起草人:
本技术基线主要审核人:
1. 适用范围 1
2. 规范性引用文件 1
3. 术语和定义 1
4. 防火墙安全配置规范 2
4.1. 防火墙自身安全性检查 2
4.1.1. 检查系统时间是否准确 2
4.1.2. 检查是否存在分级用户管理 2
4.1.3. 密码认证登录 3
4.1.4. 登陆认证机制 4
4.1.5. 登陆失败处理机制 4
4.1.6. 检查是否做配置的定期备份 5
4.1.7. 检查双防火墙冗余情况下,主备切换情况 6
4.1.8. 防止信息在网络传输过程中被窃听 7
4.1.9. 设备登录地址进行限制 8
4.1.10. SNMP访问控制 9
4.1.11. 防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级 10
4.2. 防火墙业务防御检查 11
4.2.1. 启用安全域控制功能 11
4.2.2. 检查防火墙访问控制策略 12
4.2.3. 防火墙访问控制粒度检查 12
4.2.4. 检查防火墙的地址转换转换情况 13
4.3. 日志与审计检查 13
4.3.1. 设备日志的参数配置 14
4.3.2. 防火墙流量日志检查 14
4.3.3. 防火墙设备的审计记录 14
1.适用范围
本基作业指导书范适用于XXXX集团公司各级机构。
2.规范性引用文件
ISO27001标准/ISO27002指南
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
GB/T20272-2006《信息安全技术操作系统安全技术要求》
GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
3.术语和定义
安全设备安全基线:
指针对各类安全设备的安全特性,选择合适的安全控制措施,定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。
严重漏洞(Critical):
攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统
重要漏洞(Important):
攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。
中等漏洞(Moderate):
攻击者利用此漏洞有可能XX访问信息。
注意,虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息,这些信息可用于进一步危及受影响系统的安全。
轻微漏洞(Low):
攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失。
4.防火墙安全配置规范
4.1.防火墙自身安全性检查
4.1.1.检查系统时间是否准确
编号
要求内容
检查系统时间是否准确
加固方法
重新和北京时间做校队
检测方法
1现场检查:
如下截图路径,检查系统时间是否和北京时间一致,如果相差在一分钟之内,则认为符合要求,否则需要重新修正。
天融信该功能截图:
路径:
系统管理=》配置
备注
4.1.2.检查是否存在分级用户管理
编号
要求内容
管理员分:
超级管理员、管理用户、审计用户、虚拟系统用户
加固方法
在防火墙设备上配置管理账户和审计账户
检测方法
1现场检查:
如下截图路径,如果系统中仅存在四个账户,分别为:
超级管理员、管理用户、审计用户、虚拟系统用户,且四个账号分别对应于各自不同级别的权限,则符合要求;如果无三个,则不符合要求
天融信该功能截图:
路径:
系统管理=》管理员
备注
4.1.3.密码认证登录
编号
要求内容
检查防火墙内置账户不得存在缺省密码或弱口令帐户
加固方法
修改防火墙设备的登录设备的口令,满足安全性及复杂性要求
检测方法
1、口令复杂度
查看防火墙设备的管理员登录设备的口令安全性及复杂性,登录设备验证口令的复杂性,。
如果需要输入口令并且口令为8位以上,并且是包含字母、数字、特殊字符的混合体,判定结果为符合;如果不需要任何认证过程,判定结果为不符合
2、检查账户不得使用缺省密码。
天融信防火墙该功能截图:
路径:
系统管理=》管理员
备注
4.1.4.登陆认证机制
编号
要求内容
检查登陆时是否采用多重身份认证的鉴别技术
加固方法
采用强度高于用户名+静态口令的认证机制实现用户身份鉴别
检测方法
1、检查:
现场验证登陆防火墙,查看是否支持用户名+静态口令;
天融信防火墙登陆窗口:
备注
4.1.5.登陆失败处理机制
编号
要求内容
检查登陆失败时处理机制
加固方法
具有登录失败处理功能,可采取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施
检测方法
1、检查:
防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置;查看是否有限制非法登录次数的功能;管理员登录地址进行限制;查看登陆失败时阻断时间;查看是否设置登录连接超时,并自动退出;
2、测试:
验证鉴别失败处理措施(如模拟失败登录,观察设备的动作等),限制非法登录次数(如模拟非法登录,观察网络设备的动作等),对设备的管理员登录地址进行限制(如使用任意地址登录,观察设备的动作等)等功能是否有效;验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作等);
3、产品举例:
天融信防火墙用户登录超时设置:
路径:
系统管配置理=>维护=>系统配置
备注
4.1.6.检查是否做配置的定期备份
编号
要求内容
检查是否对防火墙的配置定期做备份
加固方法
督促管理员定期对防火墙做配置备份
检测方法
1访谈方式:
和管理员了解防火墙配置的备份情况
2验证:
在网管服务器上,查看防火墙配置文件夹,确认是否定期做配置备份。
3加固:
第一步:
天融信防火墙配置导出位置截图:
路径:
系统管理=>维护
第二步:
网管机上建立防火墙配置文件备份文件夹
备注
4.1.7.检查双防火墙冗余情况下,主备切换情况
编号
要求内容
检查双防火墙冗余情况下,主备切换情况
加固方法
如该功能未达到要求,需厂商人员检查、加固
检测方法
1访谈方式
咨询管理员近期是否有过设备切换现象,切换是否成功等
2现场验证
拔掉主墙线缆后,备墙可以实现正常切换,网络快速切换,应用正常。
3加固措施
第一步:
如该功能未达到,检查防火墙双机热备配置是否正确、监控状态是否正常
第二步:
如果配置有误,需要尽快协商厂商人员解决
天融信防火墙该功能截图:
路径:
高可用性=》双机热备
备注
4.1.8.防止信息在网络传输过程中被窃听
编号
要求内容
当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。
可采用HTTPS、SSH等安全远程管理手段。
加固方法
通过https和ssh登陆管理设备。
检测方法
1现场验证:
能够通过https和ssh登陆管理设备,判定结果为符合;通过http和telnet登陆管理设备,判定结果为不符合。
2加固措施:
按照下述截图位置,只开放HTTPS,SSH登陆方式,去除其他登陆方式。
天融信防火墙该功能截图:
说明:
登陆防火墙方法:
检查如下的SSH方式及HTTPS权限配置:
路径:
系统管理=》配置=》开放服务
备注
4.1.9.设备登录地址进行限制
编号
要求内容
对防火墙设备的管理员登录地址进行限制
加固方法
创建允许管理员登陆的IP限制列表
检测方法
1现场检查:
咨询管理员后,使用允许访问控制列表里面的ip地址能够登录管理设备,不在控制列表里的ip不能登录设备,判定结果为符合
2设备检查:
登陆下述截图路径,确认已经配置了限制管理员登陆IP列表
天融信防火墙该功能截图:
路径:
配置—开放服务
备注
4.1.10.SNMP访问控制
编号
要求内容
设置SNMP访问安全限制,读写密码均已经修改,只允许特定主机通过SNMP访问网络设备。
加固方法
修改缺省密码和限制IP对防火墙的无授权访问
检测方法
1设备检查
登陆至设备的下述路径,检查即可。
天融信防火墙该功能截图:
路径:
网络管理—SNMP
备注
4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级
编号
要求内容
定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。
加固方法
配置为防火墙的特征库、、病毒库、入侵防御库、应用识别、web过滤模块升级的策略。
检测方法
1现场检查:
检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。
查看防火墙系统内特征库的时间和版本信息。
天融信该功能的截图:
路径:
系统管理—维护—服务更新
备注
升级会员 