reference中国移动通信集团网络设备安全配置规范 思科pix分册.docx
《reference中国移动通信集团网络设备安全配置规范 思科pix分册.docx》由会员分享,可在线阅读,更多相关《reference中国移动通信集团网络设备安全配置规范 思科pix分册.docx(14页珍藏版)》请在冰豆网上搜索。
reference中国移动通信集团网络设备安全配置规范思科pix分册
密级:
内部
文档编号:
项目代号:
附件九
中国移动通信集团
网络设备安全配置规范
思科PIX分册
版本:
草稿
二零零三年十一月
中国移动通信公司
福建移动通信公司
版本控制
版本号
日期
参与人员
更新说明
初稿
2003-11-15
洪顺安、林秀
文档建立,初始化
目录
第一部分概述和介绍4
1概述4
1.1项目背景4
1.2项目目标4
1.3参考资料4
2适用的软件版本5
第二部分设备的安全机制6
第三部分设备安全配置建议8
1网管及认证问题8
1.1访问管理8
1.1.1telnet服务的配置8
1.1.2SSH配置9
1.2帐号和密码管理10
1.3帐号认证和授权11
1.3.1AAA认证11
1.4snmp协议12
2安全审计13
3设备IOS升级方法14
3.1前期准备14
3.1.1软件的获取14
3.1.2制定升级计划14
3.1.3设置FTP服务器15
3.1.4数据备份15
3.1.5注意事项16
3.2升级操作16
3.2.1升级IOS或装载补丁16
3.3应急保障措施17
3.3.1设置防火墙17
3.3.2PC设置(TFTP服务器设置)17
3.3.3上传旧的软件17
3.3.4重启路由器17
3.3.5恢复配置18
4特定的安全配置18
4.1其他特定的安全配置18
4.1.1禁止未使用或空闲的端口18
4.1.2banner的设置要求18
4.1.3源地址路由限制19
第一部分概述和介绍
概述
本文档对中国移动网络思科防火墙-pix安全配置标准进行描述,规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分,在规范中针对设备的六大安全规范主题进行描述,除了提供详细的安全配置标准外,同时考虑设备型号和适用网络层次的不同,并对实际配置过程中应注意的问题进行详细描述。
项目背景
该项目是为了规范网络设备的安全配置标准,提高中国移动网络设备的安全性而提出的。
该项目成果将适用于集团公司以及各省公司网络部、计费、信息化等部门,涵盖业务网络(GPRS、CMNet、各数据业务系统)、支撑系统(网管、BOSS、OA)等。
项目目标
该项目的目标是对中国移动网络中使用的网络思科防火墙-pix安全配置标准进行规范,实现规范和指导各省各应用系统网络设备安全配置的作用。
参考资料
●CISCO公司提供《ImprovingSecurityonCiscoRouters》
●思科官方网站
●中国IT认证实验室网站
参与该分册编写的人员有:
福建移动通信公司:
洪顺安、林秀
感谢:
泰讯网络给予大力支持。
适用的软件版本
本规范适用的设备版本如下表:
设备名称
设备型号
IOS版本
备注
CiscoPIX系列防火墙
501、506E、515E、506、515、525、535型号
CISCOPIX6.3及以上版本
注意:
考虑到思科设备的小版本号繁多,并且不易分辨。
建议最好从集成商那获取最新的软件版本。
第二部分设备的安全机制
该部分内容对思科PIX防火墙自身的安全机制进行简单描述,对每种安全机制可以解决什么问题进行阐述。
目前,防火墙采用的基础技术有两种,一是基于网络层的包过滤防火墙,主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包;二是基于应用层的隔离网络的代理服务器(proxyserver),是在应用层为每一种服务提供一个代理,鉴于这两种技术都有各自的特点和弊端,建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。
CisoPIXFirewall是基于这两种技术结合的防火墙。
它应用安全算法(AdaptiveSecurityAlgorithm),将内部主机的地址映射为外部地址,拒绝未经允许的包入境,实现了动态,静态地址映射,从而有效地屏蔽了内部网络拓扑结构。
通过管道技术,出境访问列表,可以有效地控制内、外部各资源的访问。
PIXFirewall可连接多个不同的网络,每个网络都可定义一个安全级别,级别低的相对于级别高的总是被视为外部网络,但最低的必须是全球统一的IP地址。
PIXFirewall提供的完全防火墙保护以及IP安全(IPsec)虚拟专网能力特别适合于保护企业总部的边界。
其保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。
静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;与应用层代理防火墙相比,其性能更高,扩展性更强。
ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。
只有存在已确定连接关系的正确连接时,访问才被允许通过。
这样,内部和外部的授权用户就可以透明地访问企业资源,同时保护了内部网络不会受到非授权访问的侵袭。
另外,PIXFirewall实现了在Internet或所有IP网络上的安全保密通信。
它集成了VPN的主要功能——隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务实现远程访问、远程办公和外部网连接。
该产品可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。
对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法。
PIXFirewall是一个可靠的、便于维护的平台,可以提供多种配置、监控和诊断方式。
PIXFirewall管理解决方案的范围非常广泛从一个集成化的、基于Web的管理工具到集中的、基于策略的工具,以及对各种远程监控协议的支持。
CiscoPIXCLI让用户可以利用现有的PIXCLI技术,方便地进行安装和管理,可以通过多种方式访问,包括控制台端口、远程登陆和CLI。
SNMP和系统日志支持提供远程监控和日志功能,并能够与思科和第三方管理应用集成。
PIXFirewall设备管理器(PDM)可以为管理员提供一个直观的、基于Web的界面,从而使他们可以方便地配置和监控一台PIXFirewall,而不需要在管理员的计算机上安装任何软件(除了一个标准的Web浏览器以外)。
管理员可以利用PIXFirewall所提供的命令行界面(CLI),通过多种方式(包括远程登陆、安全解释程序(SSH),以及通过控制端口实现的带外接入)对PIXFirewall进行远程配置、监控和诊断。
管理员还可以通过CiscoVPN/安全管理解决方案(VMS)中提供的Cisco安全策略管理器(CSPM)方便地对很多PIXFirewall防火墙进行远程管理。
CSPM3.0是一种可扩展的、下一代的PIX防火墙集中管理解决方案,具有多种功能,包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。
第三部分设备安全配置建议
设备安全配置建议是本规范重要的一个部分,该部分将对思科PIX防火墙安全配置的细节进行描述,并对配置适用的网络层次、对设备性能的影响和配置实施的注意点进行详细说明。
1网管及认证问题
访问管理
一般而言,维护人员都习惯使用CLI来进行设备配置和日常管理,使用Telnet工具来远程登录设备,并且大部分设备都提供标准的Telnet接口,开放TCP23端口。
虽然Telnet在连接建立初期需要进行帐号和密码的核查,但是在此过程,以及后续会话中,都是明文方式传送所有数据,容易造窃听而泄密。
同时Telnet并不是一个安全的协议。
要求采用SSH协议来取代Telnet进行设备的远程登录,SSH与Telnet一样,提供远程连接登录的手段。
但是SSH传送的数据(包括帐号和密码)都会被加密,且密钥会自动更新,极大提高了连接的安全性。
SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。
规范的配置文档提供远程登陆SSH开启的方式,和SSH相关属性的设置,如:
超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址,对采用AAA的设置见帐号认证和授权部分。
telnet服务的配置
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。
Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
如果不设置telnet的相关属性,对PIX的配置只能通过CONSOLE进行。
要求关闭telnet服务,采用ssh协议,否则必须对telnet进行访问地址限制和强口令认证。
【应用网络层次】:
在所有层面防火墙设备
【影响】:
只有指定的网管网段可以登陆设备,其他地址将被限制
【具体配置】:
!
开启telnet服务:
PIX(Config)#telnet192.168.1.1255.255.255.0inside
PIX(Config)#telnet222.20.16.1255.255.255.0outside
!
对telnet访问地址进行限制:
PIX(Config)#telnet10.14.8.50255.255.255.240
PIX(config)#telnettimeout20
!
关闭telnet服务:
PIX(Config)#notelnetxxxxxxxxinside
SSH配置
【应用网络层次】:
所有层面防火墙设备
【影响】:
需使用支持SSHD终端登陆,如SecureCRT等
【具体配置】:
PIX(config)#domain-name
PIX(config)#cageneratersakey1024
PIX(config)#casaveall
!
生成RSA密钥对
PIX(config)#showcamypubkeyrsa
!
查看本地生成的公钥
PIX(config)#sshoutside_ip_addr255.255.255.255outside
PIX(config)#sshtimeout20
!
配置限制访问地址可以SSH进来,另设SSH的超时时间为20分钟
PIX(config)#usernametestpasswordtest
PIX(config)#aaaauthenticatesshconsoleLOCAL
!
认证方式采用本地方式,也可以用RADIUS/TACACS+进行认证。
PIX(config)#shsshsession
SessionIDClientIPVersionEncryptionStateUsername
0a.b.c.d1.5DES6test
帐号和密码管理
要求应在日常维护过程中周期性地(至少按季度)更改登录密码,甚至登录帐号。
当外方人员需要登录设备时,应创建临时帐号,并指定合适的权限。
临时帐号使用完后应及时删除。
登录帐号及密码的保管和更新应由专人负责,并注意保密。
帐号名字应该与使用者存在对应关系,如能反应使用者的级别、从属关系。
为了提高安全性,在方便记忆的前提下,帐号名字应尽量混用字符的大小写、数字和符号,提高猜度的难度。
同样的,密码必须至少使用四种可用字符类型中的三种:
小写字母、大写字母、数字和符号,而且密码不得包含用户名或用户全名的一
升级会员 