1、该项目是为了规范网络设备的安全配置标准,提高中国移动网络设备的安全性而提出的。该项目成果将适用于集团公司以及各省公司网络部、计费、信息化等部门,涵盖业务网络(GPRS、CMNet、各数据业务系统)、支撑系统(网管、BOSS、OA)等。1.2 项目目标该项目的目标是对中国移动网络中使用的网络思科防火墙pix安全配置标准进行规范,实现规范和指导各省各应用系统网络设备安全配置的作用。1.3 参考资料 CISCO公司提供Improving Security on Cisco Routers 思科官方网站 中国IT认证实验室网站 参与该分册编写的人员有:福建移动通信公司:感谢:泰讯网络给予大力支持。2
2、适用的软件版本本规范适用的设备版本如下表:设备名称设备型号IOS版本备注Cisco PIX系列防火墙501、506E、515E、506、515、525、535型号CISCO PIX 6.3及以上版本注意:考虑到思科设备的小版本号繁多,并且不易分辨。建议最好从集成商那获取最新的软件版本。第二部分 设备的安全机制该部分内容对思科PIX防火墙自身的安全机制进行简单描述,对每种安全机制可以解决什么问题进行阐述。目前,防火墙采用的基础技术有两种,一是基于网络层的包过滤防火墙,主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包;二是基于应用层的隔离网络的代理服务器(proxy
3、server),是在应用层为每一种服务提供一个代理,鉴于这两种技术都有各自的特点和弊端,建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。Ciso PIX Firewall是基于这两种技术结合的防火墙。它应用安全算法(Adaptive Security Algorithm),将内部主机的地址映射为外部地址,拒绝未经允许的包入境,实现了动态,静态地址映射,从而有效地屏蔽了内部网络拓扑结构。通过管道技术,出境访问列表,可以有效地控制内、外部各资源的访问。PIX Firewall可连接多个不同的网络,每个网络都可定义一个安全级别,级别低的相对于级别高的总是被视为外部网络,
4、但最低的必须是全球统一的IP地址。PIX Firewall提供的完全防火墙保护以及IP安全(IPsec)虚拟专网能力特别适合于保护企业总部的边界。其保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确连接时,访问才被允许通过。这样,内部和外部的授权用户就可以透明地访问企业资源,同时保护了内部网络不会受到非授权访问的侵袭。另外,PIX Firewall
5、实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务实现远程访问、远程办公和外部网连接。该产品可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法。PIX Firewall是一个可靠的、便于维护的平台,可以提供多种配置、监控和诊断方式。PIX Firewall管理解决方案的范围非常广泛从一个集成化的、
6、基于Web的管理工具到集中的、基于策略的工具,以及对各种远程监控协议的支持。 Cisco PIX CLI 让用户可以利用现有的PIX CLI技术,方便地进行安装和管理,可以通过多种方式访问,包括控制台端口、远程登陆和CLI。SNMP和系统日志支持 提供远程监控和日志功能,并能够与思科和第三方管理应用集成。PIX Firewall设备管理器(PDM)可以为管理员提供一个直观的、基于Web的界面,从而使他们可以方便地配置和监控一台PIX Firewall,而不需要在管理员的计算机上安装任何软件(除了一个标准的Web浏览器以外)。管理员可以利用PIX Firewall所提供的命令行界面(CLI),通
7、过多种方式(包括远程登陆、安全解释程序(SSH),以及通过控制端口实现的带外接入)对PIX Firewall进行远程配置、监控和诊断。管理员还可以通过Cisco VPN/安全管理解决方案(VMS)中提供的Cisco安全策略管理器(CSPM)方便地对很多PIX Firewall防火墙进行远程管理。CSPM 3.0是一种可扩展的、下一代的PIX防火墙集中管理解决方案,具有多种功能,包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。第三部分 设备安全配置建议设备安全配置建议是本规范重要的一个部分,该部分将对思科PIX防火墙安全配置的细节进行描述,并对配置适用的网络层次、对设备性能的影
8、响和配置实施的注意点进行详细说明。3 网管及认证问题3.1 访问管理一般而言,维护人员都习惯使用CLI来进行设备配置和日常管理,使用Telnet工具来远程登录设备,并且大部分设备都提供标准的Telnet接口,开放TCP 23端口。虽然Telnet在连接建立初期需要进行帐号和密码的核查,但是在此过程,以及后续会话中,都是明文方式传送所有数据,容易造窃听而泄密。同时Telnet并不是一个安全的协议。要求采用SSH协议来取代Telnet进行设备的远程登录,SSH与Telnet一样,提供远程连接登录的手段。但是SSH传送的数据(包括帐号和密码)都会被加密,且密钥会自动更新,极大提高了连接的安全性。SS
9、H可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。规范的配置文档提供远程登陆SSH开启的方式,和SSH相关属性的设置,如:超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址,对采用AAA的设置见帐号认证和授权部分。3.1.1 telnet服务的配置在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。如果不设置telnet的相关属性,对PIX的配置只能通过CONSOLE进行。要求关闭telnet服务,采用ssh协议,否则必须对telnet进行访问地
10、址限制和强口令认证。【应用网络层次】:在所有层面防火墙设备 【影响】:只有指定的网管网段可以登陆设备,其他地址将被限制【具体配置】:!开启telnet服务:PIX(Config)#telnet 192.168.1.1 255.255.255.0 inside PIX(Config)#telnet 222.20.16.1 255.255.255.0 outside对telnet访问地址进行限制:PIX(Config)#telnet 10.14.8.50 255.255.255.240PIX(config) #telnet timeout 20关闭telnet服务:PIX(Config)#no t
11、elnet xxxx xxxx inside3.1.2 SSH配置所有层面防火墙设备 需使用支持SSHD 终端登陆,如SecureCRT等PIX(config)#domain-name PIX(config) #ca generate rsa key 1024 PIX(config) #ca save all !生成RSA密钥对PIX(config) #show ca mypubkey rsa 查看本地生成的公钥PIX(config) #ssh outside_ip_addr 255.255.255.255 outside PIX(config) #ssh timeout 20配置限制访问地址
12、可以SSH进来,另设SSH的超时时间为20分钟PIX(config) #username test password testPIX(config) #aaa authenticate ssh console LOCAL认证方式采用本地方式,也可以用RADIUS/TACACS+进行认证。PIX(config)# sh ssh sessionSession ID Client IP Version Encryption State Username 0 a.b.c.d 1.5 DES 6 test3.2 帐号和密码管理要求应在日常维护过程中周期性地(至少按季度)更改登录密码,甚至登录帐号。当外方
13、人员需要登录设备时,应创建临时帐号,并指定合适的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责,并注意保密。帐号名字应该与使用者存在对应关系,如能反应使用者的级别、从属关系。为了提高安全性,在方便记忆的前提下,帐号名字应尽量混用字符的大小写、数字和符号,提高猜度的难度。同样的,密码必须至少使用四种可用字符类型中的三种:小写字母、大写字母、数字和符号,而且密码不得包含用户名或用户全名的一部分。一般情况下密码至少包含 8 个字符。我们建议用密码生成器软件(如 )来制造随机密码。要考虑有些设备密码以明文形式存放问题,建议必须启用相关特性,保证密码以加密方式存放在配置文件中。
14、对无法以密文存放的,要加强配置文件的管理。密码设置配置如下:【适用网络层次】:根据需要在所有层次实施。增强系统安全性PIX(config)#enable priv_1evelPIX(config)#disable priv_1evelPIX(config)#enable password pw level priv_1evel encryptedPIX(config)#no enable password level priv_1evelPIX(config)#show enable3.3 帐号认证和授权帐号的认证和授权分为设备本省的认证和授权和AAA服务器的认证和授权两个部分。这主要介绍AA
15、A服务器的设置。3.3.1 AAA认证思科PIX防火墙支持RADIUS或TACACS的AAA(认证、授权、计费)客户端功能,通过AAA认证可以方便实现对大量设备的登录帐号和密码的管理。建议采用集中认证和授权模式,通过AAA服务器还可以弥补设备本省对执行权限管理的不足。在AAA认证设置上,最好选用支持对用户操作内容日志功能的AAA服务器软件,这样可以加强对用户行为的控制。增强系统安全性,需要相应的Server服务器,增加投资The next entry will depend on whether TACACS+ or RADIUS is used.PIX(Config)#tacacs-serv
16、er (inside) host 171.68.118.101 cisco timeout 5PIX(Config)#radius-server (inside) host 171.68.118.101 cisco timeout 10We are concerned about hosts on our inside networkaccessing a particular outside host.PIX(Config)#aaa authentication any outbound 171.68.118.0 255.255.255.0 9.9.9.11 255.255.255.255
17、tacacs+|radiusOr, we could be less granular and authenticate!- all outbound FTP, HTTP, Telnet traffic with the following.PIX(Config)#aaa authentication ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radiusPIX(Config)#aaa authentication http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radi
18、usPIX(Config)#aaa authentication telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radiusWe also decide to send accounting records forsuccessful authentications to our TACACS+ or RADIUS server.PIX(Config)#aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius3.4 snmp协议Snmp协
19、议是目前数据网管理中普遍使用的协议,但snmp协议本身也存在安全问题。需要合理配置snmp协议的相关属性,才能让snmp协议更好的为日常维护管理服务。如不需要,不建议对PIX使用SNMP。PIX Firewall通过简单网络管理协议(SNMP)支持网络监控。SNMP界面允许通过传统网络管理系统监控PIX Firewall。PIX Firewall只支持SNMP GET命令,此命令只允许执行只读接入。SNMP Firewall和Memeory Pool MIB增加了用于识别PIX Firewall状态的其它信息的陷阱数量。增加系统可管理的方式,方便故障的监控处理查看snmp的配置状态和snmp的
20、版本信息PIX(Config)#show run关闭snmp服务,并删除snmp的默认配置PIX(Config)# no snmp-server community public RoPIX(Config)# no snmp-server enable trapsPIX(Config)# no snmp-server system-shutdownPIX(Config)# no snmp-server trap-anthRouter(Config)# no snmp-server设置snmp RO的口令,定期更改SNMP Community(至少半年一次)PIX(Config)# snmp-s
21、erver community MoreHardPublic Ro 开启snmp trap功能PIX(Config)#snmp-serv enable trapsPIX(Config)#snmp-server host 10.0.0.1 traps version 3 auth readO对snmp进行访问限制PIX(Config)# access-list 10 permit 192.168.0.1 PIX(Config)# access-list 10 deny anyPIX(Config)# snmp-server community MoreHardPublic Ro 10在条件许可的
22、条件下,建议转用SNMPv3。SNMP version 3已经商用。它引入了除Community外的基于MD5认证和DES加密来保障SNMP通道安全的机制。4 安全审计为了实现对设备安全的管理,要求对设备的安全审计进行有效管理。根据设备本身具有的属性和实际维护经验,建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志,同时提供SYSLOG服务器的设置方式。AAA loging可以记录拨号连接信息、用户登陆信息、退出信息、http访问信息、权限变动信息、命令执行信息和其他时间。建议在这增加AAA log配置信息,注意本地日志对设备会有影响。注意本地日志对设备会有影响,建议设置时获取支撑单
23、位技术支持。PIX(Config)#logging on 日志服务器的IP地址PIX(Config)#logging a.b.c.d facility标识, RFC3164 规定的本地设备标识为 local0 - local7 PIX(Config)#logging facility local1 日志记录级别,可用?查看详细内容PIX(Config)#logging trap errors 日志记录的时间戳设置,可根据需要具体配置 PIX(Config)#service timestamps log datetime localtime日志检测PIX(Config)#sh loggingsy
24、slog日志级别PIX(Config)#syslog facility 20.7在位于网管工作站上的日志服务器上记录所有事件日志PIX(Config)#syslog host 10.14.8.505 设备IOS升级方法设备软件版本升级和补丁安装是实施设备安全加固一个不可缺少的环节。为了确保IOS升级的顺利进行,要求从以下几个细节进行考虑。各设备的详细升级流程见各设备分册。5.1 前期准备5.1.1 软件的获取思科公司在官方网站上提供最新的PIX软件版本和对应的升级包,但必须有对应的登陆帐户的CCO帐号。在在升级前,首先确认要升级的软件是否通过集团公司的入网许可,并且与厂家确认你所要升级设备的硬
25、件满足升级IOS的要求, 考虑到思科设备的小版本号繁多,并且不易分辨,最好从集成商那获取最新的IOS软件。5.1.2 制定升级计划与设备支撑单位一起制定详细的升级计划,充分考虑实施升级和补丁装载时系统重启对业务的影响,充分考虑网络结构的双机或双链路结构对业务的保护,最大限度减少业务中断时间。如果防火墙只配有单台,建议安排现场升级或必须有具备技术能力的现场配合人员;并在条件许可的情况下,有备用防火墙在现场。若设备配有双防火墙,可以远程执行,但也应安排一般的现场人员提供必要的配合。5.1.3 设置FTP服务器使用FTP方式,需要在设备上作好相应配置,如下:比TFTP方式更具安全性PIX(Confi
26、g)#ip ftp username xxxxxxxPIX(Config)#ip ftp password xxxxxxx5.1.4 数据备份为确保升级过程的可恢复性,对原IOS和配置数据有必要进行完全备份。要求在备份前确认备份介质的可用性和可靠性,并在备份完升级前进行验证。保障当系统升级故障时可恢复显示首先显示IOS文件的文件名,确定是否需要升级IOS:PIX(Config)#show ver 拷贝系统文件到TFTP Server或者ftp server:PIX(Config)#copy flash tftp (拷贝到tftp server)或者PIX(Config)#copy flash
27、ftp (拷贝到ftp server)拷贝配置文件到TFTP Server或者FTP Ssever中:PIX(Config)#write netPIX(Config)#copy running-config ftp (当前运行的存储在RAM中的配置)PIX(Config)#copy startup-config ftp (存储在NVRAM中的配置)考虑到FLASH空间的限制,在无法装下两个IOS软件时,应将原有的IOS软件删除。删除命令如下:PIX(Config)# erase flashErase flash deviceconfirm y5.1.5 注意事项升级PIX的IOS时,最好能使用
28、串口接到PIX的CONSOL口上,TFTP服务器软件安装在该计算机上,以利于将IOS文件可靠的传送。TFTP服务器的IP的地址要和PIX的以太网口在一个网段上。5.2 升级操作5.2.1 升级IOS或装载补丁按下列步骤进行思科pix防火墙的IOS装载:存在升级失败的可能性,需做好恢复准备拷贝系统文件到Flash memory:PIX(Config)#copy tftp flash把配置文件从网络服务器拷贝到PIX NVRAM。PIX(Config)#copy tftp running-config (拷贝到RAM中)PIX(Config)#copy tftp startup-config (拷
29、贝到NVRAM中)PIX(Config)#copy ftp running-config (拷贝到RAM中)PIX(Config)#copy ftp startup-config (拷贝到NVRAM中)重新启动PIX软件装载结束,用“reload”命令重新启动PIX即可。PIX(Config)# reload5.3 应急保障措施描述升级中出现问题时,如何实施应急保障和恢复,并提供对应的命令。在升级遇到问题时,由于已经删除了旧的操作系统,设备没有操作系统,重启后,进入ROMMON状态,此时,可以用tftpdnld方式导入旧的软件,将计算机串口和路由器Console口相连,计算机网口与路由器以太口(一定要与第一个以太口)相连。操作步骤如下:5.3.1 设置防火墙【实施命令】:monitoraddr 192.168.1.1(路由器的ip地址)moni
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 