reference中国移动通信集团网络设备安全配置规范 思科pix分册.docx

1、reference中国移动通信集团网络设备安全配置规范 思科pix分册密 级：内部文档编号：项目代号：附件九中国移动通信集团网络设备安全配置规范思科PIX分册版本：草稿二零零三年十一月中国移动通信公司福建移动通信公司版本控制版本号日期参与人员更新说明初稿2003-11-15洪顺安、林秀 文档建立，初始化目录第一部分 概述和介绍 41 概述 41.1 项目背景 41.2 项目目标 41.3 参考资料 42 适用的软件版本 5第二部分 设备的安全机制 6第三部分 设备安全配置建议 81 网管及认证问题 81.1 访问管理 81.1.1 telnet服务的配置 81.1.2 SSH配置 91.2 帐

2、号和密码管理 101.3 帐号认证和授权 111.3.1 AAA认证 111.4 snmp协议 122 安全审计 133 设备IOS升级方法 143.1 前期准备 143.1.1 软件的获取 143.1.2 制定升级计划 143.1.3 设置FTP服务器 153.1.4 数据备份 153.1.5 注意事项 163.2 升级操作 163.2.1 升级IOS或装载补丁 163.3 应急保障措施 173.3.1 设置防火墙 173.3.2 PC设置（TFTP服务器设置） 173.3.3 上传旧的软件 173.3.4 重启路由器 173.3.5 恢复配置 184 特定的安全配置 184.1 其他特定的

3、安全配置 184.1.1 禁止未使用或空闲的端口 184.1.2 banner的设置要求 184.1.3 源地址路由限制 19第一部分 概述和介绍概述本文档对中国移动网络思科防火墙pix安全配置标准进行描述，规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分，在规范中针对设备的六大安全规范主题进行描述，除了提供详细的安全配置标准外，同时考虑设备型号和适用网络层次的不同，并对实际配置过程中应注意的问题进行详细描述。项目背景该项目是为了规范网络设备的安全配置标准，提高中国移动网络设备的安全性而提出的。该项目成果将适用于集团公司以及各省公司网络部、计费、信息化等部门，涵盖业务

4、网络（GPRS、CMNet、各数据业务系统）、支撑系统（网管、BOSS、OA）等。项目目标该项目的目标是对中国移动网络中使用的网络思科防火墙pix安全配置标准进行规范，实现规范和指导各省各应用系统网络设备安全配置的作用。参考资料 CISCO公司提供Improving Security on Cisco Routers 思科官方网站 中国IT认证实验室网站 参与该分册编写的人员有：福建移动通信公司：洪顺安、林秀 感谢：泰讯网络给予大力支持。适用的软件版本本规范适用的设备版本如下表：设备名称设备型号IOS版本备注Cisco PIX系列防火墙501、506E、515E、506、515、525、535

5、型号CISCO PIX 6.3及以上版本注意：考虑到思科设备的小版本号繁多，并且不易分辨。建议最好从集成商那获取最新的软件版本。第二部分 设备的安全机制该部分内容对思科PIX防火墙自身的安全机制进行简单描述，对每种安全机制可以解决什么问题进行阐述。目前，防火墙采用的基础技术有两种，一是基于网络层的包过滤防火墙，主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包；二是基于应用层的隔离网络的代理服务器（proxy server），是在应用层为每一种服务提供一个代理，鉴于这两种技术都有各自的特点和弊端，建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合

6、理配置。Ciso PIX Firewall是基于这两种技术结合的防火墙。它应用安全算法（Adaptive Security Algorithm），将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构。通过管道技术，出境访问列表，可以有效地控制内、外部各资源的访问。PIX Firewall可连接多个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是全球统一的IP地址。PIX Firewall提供的完全防火墙保护以及IP安全（IPsec）虚拟专网能力特别适合于保护企业总部的边界。其保护机制的

7、核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确连接时，访问才被允许通过。这样，内部和外部的授权用户就可以透明地访问企业资源，同时保护了内部网络不会受到非授权访问的侵袭。另外，PIX Firewall实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高

8、效地使用公共数据服务实现远程访问、远程办公和外部网连接。该产品可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法。PIX Firewall是一个可靠的、便于维护的平台，可以提供多种配置、监控和诊断方式。PIX Firewall管理解决方案的范围非常广泛从一个集成化的、基于Web的管理工具到集中的、基于策略的工具，以及对各种远程监控协议的支持。 Cisco PIX CLI 让用户可以利用现有的PIX CLI技术，方便地进行安

9、装和管理，可以通过多种方式访问，包括控制台端口、远程登陆和CLI。SNMP和系统日志支持 提供远程监控和日志功能，并能够与思科和第三方管理应用集成。PIX Firewall设备管理器（PDM）可以为管理员提供一个直观的、基于Web的界面，从而使他们可以方便地配置和监控一台PIX Firewall，而不需要在管理员的计算机上安装任何软件（除了一个标准的Web浏览器以外）。管理员可以利用PIX Firewall所提供的命令行界面（CLI），通过多种方式（包括远程登陆、安全解释程序（SSH），以及通过控制端口实现的带外接入）对PIX Firewall进行远程配置、监控和诊断。管理员还可以通过Cisc

10、o VPN/安全管理解决方案（VMS）中提供的Cisco安全策略管理器（CSPM）方便地对很多PIX Firewall防火墙进行远程管理。CSPM 3.0是一种可扩展的、下一代的PIX防火墙集中管理解决方案，具有多种功能，包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。第三部分 设备安全配置建议设备安全配置建议是本规范重要的一个部分，该部分将对思科PIX防火墙安全配置的细节进行描述，并对配置适用的网络层次、对设备性能的影响和配置实施的注意点进行详细说明。1 网管及认证问题访问管理一般而言，维护人员都习惯使用CLI来进行设备配置和日常管理，使用Telnet工具来远程登录设备，并

11、且大部分设备都提供标准的Telnet接口，开放TCP 23端口。虽然Telnet在连接建立初期需要进行帐号和密码的核查，但是在此过程，以及后续会话中，都是明文方式传送所有数据，容易造窃听而泄密。同时Telnet并不是一个安全的协议。要求采用SSH协议来取代Telnet进行设备的远程登录，SSH与Telnet一样，提供远程连接登录的手段。但是SSH传送的数据（包括帐号和密码）都会被加密，且密钥会自动更新，极大提高了连接的安全性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。规范的配置文档提供远程登陆SSH开启的方式，和SSH相关属性的设置，如：超时间隔、尝试登录次数、控制连接

12、的并发数目、如何采用访问列表严格控制访问的地址，对采用AAA的设置见帐号认证和授权部分。telnet服务的配置在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。如果不设置telnet的相关属性，对PIX的配置只能通过CONSOLE进行。要求关闭telnet服务，采用ssh协议，否则必须对telnet进行访问地址限制和强口令认证。【应用网络层次】：在所有层面防火墙设备 【影响】：只有指定的网管网段可以登陆设备，其他地址将被限制【具体配置】：！开启telnet服务：PIX(Config)

13、#telnet 192.168.1.1 255.255.255.0 inside PIX(Config)#telnet 222.20.16.1 255.255.255.0 outside！对telnet访问地址进行限制：PIX(Config)#telnet 10.14.8.50 255.255.255.240PIX(config) #telnet timeout 20！关闭telnet服务：PIX(Config)#no telnet xxxx xxxx insideSSH配置【应用网络层次】：所有层面防火墙设备 【影响】：需使用支持SSHD 终端登陆，如SecureCRT等【具体配置】：PIX

14、(config)#domain-name PIX(config) #ca generate rsa key 1024 PIX(config) #ca save all !生成RSA密钥对PIX(config) #show ca mypubkey rsa !查看本地生成的公钥PIX(config) #ssh outside_ip_addr 255.255.255.255 outside PIX(config) #ssh timeout 20!配置限制访问地址可以SSH进来，另设SSH的超时时间为20分钟PIX(config) #username test password testPIX(con

15、fig) #aaa authenticate ssh console LOCAL!认证方式采用本地方式，也可以用RADIUS/TACACS+进行认证。PIX(config)# sh ssh sessionSession ID Client IP Version Encryption State Username 0 a.b.c.d 1.5 DES 6 test帐号和密码管理要求应在日常维护过程中周期性地（至少按季度）更改登录密码，甚至登录帐号。当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责，并注意保密。帐号名字应该与使用者存在对应关系，如能反应使用者的级别、从属关系。为了提高安全性，在方便记忆的前提下，帐号名字应尽量混用字符的大小写、数字和符号，提高猜度的难度。同样的，密码必须至少使用四种可用字符类型中的三种：小写字母、大写字母、数字和符号，而且密码不得包含用户名或用户全名的一