防火墙设备安全配置作业指导书(安全加固)(共19页).doc

精选优质文档-倾情为你奉上安全配置作业指导书防火墙设备XXXX集团公司2012年7月专心-专注-专业前 言为规范XXXX集团公司网络设备的安全管理，建立统一的防火墙设备安全配置标准，特制定本安全配置作业指导书。本技术基线由XXXX集团公司提出并归口本技术基线起草单位：XXXX集团公司本技术基线主要起草人：本技术基线主要审核人： 目 录1.适用范围12.规范性引用文件13.术语和定义14.防火墙安全配置规范24.1.防火墙自身安全性检查24.1.1.检查系统时间是否准确24.1.2.检查是否存在分级用户管理24.1.3.密码认证登录34.1.4.登陆认证机制44.1.5.登陆失败处理机制44.1.6.检查是否做配置的定期备份54.1.7.检查双防火墙冗余情况下，主备切换情况64.1.8.防止信息在网络传输过程中被窃听74.1.9.设备登录地址进行限制84.1.10.SNMP访问控制94.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级104.2.防火墙业务防御检查114.2.1.启用安全域控制功能114.2.2.检查防火墙访问控制策略124.2.3.防火墙访问控制粒度检查124.2.4.检查防火墙的地址转换转换情况134.3.日志与审计检查134.3.1.设备日志的参数配置144.3.2.防火墙流量日志检查144.3.3.防火墙设备的审计记录141. 适用范围本基作业指导书范适用于XXXX集团公司各级机构。2. 规范性引用文件ISO27001标准/ISO27002指南GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求3. 术语和定义安全设备安全基线：指针对各类安全设备的安全特性，选择合适的安全控制措施，定义不同网络设备的最低安全配置要求，则该最低安全配置要求就称为安全设备安全基线。严重漏洞（Critical）：攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统重要漏洞（Important）：攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。中等漏洞（Moderate）：攻击者利用此漏洞有可能未经授权访问信息。注意，虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限，但此漏洞可用于生成有用信息，这些信息可用于进一步危及受影响系统的安全。轻微漏洞（Low）：攻击者通常难以利用此漏洞，或者几乎不会对信息安全造成明显损失。4. 防火墙安全配置规范4.1. 防火墙自身安全性检查4.1.1. 检查系统时间是否准确编 号要求内容检查系统时间是否准确加固方法重新和北京时间做校队检测方法1现场检查：如下截图路径，检查系统时间是否和北京时间一致，如果相差在一分钟之内，则认为符合要求，否则需要重新修正。天融信该功能截图：路径：系统管理=配置备 注4.1.2. 检查是否存在分级用户管理编 号要求内容管理员分：超级管理员、管理用户、审计用户、虚拟系统用户加固方法在防火墙设备上配置管理账户和审计账户检测方法1现场检查：如下截图路径，如果系统中仅存在四个账户，分别为：超级管理员、管理用户、审计用户、虚拟系统用户，且四个账号分别对应于各自不同级别的权限，则符合要求；如果无三个，则不符合要求天融信该功能截图：路径：系统管理=管理员备 注4.1.3. 密码认证登录编 号要求内容检查防火墙内置账户不得存在缺省密码或弱口令帐户加固方法修改防火墙设备的登录设备的口令，满足安全性及复杂性要求检测方法1、 口令复杂度查看防火墙设备的管理员登录设备的口令安全性及复杂性，登录设备验证口令的复杂性，。如果需要输入口令并且口令为8位以上，并且是包含字母、数字、特殊字符的混合体，判定结果为符合；如果不需要任何认证过程，判定结果为不符合 2、检查账户不得使用缺省密码。天融信防火墙该功能截图：路径：系统管理=管理员备 注4.1.4. 登陆认证机制编 号要求内容检查登陆时是否采用多重身份认证的鉴别技术加固方法采用强度高于用户名+静态口令的认证机制实现用户身份鉴别检测方法1、检查：现场验证登陆防火墙，查看是否支持用户名+静态口令；天融信防火墙登陆窗口：备 注4.1.5. 登陆失败处理机制编 号要求内容检查登陆失败时处理机制加固方法具有登录失败处理功能，可采取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施检测方法1、检查：Ø防火墙设备上的安全设置，查看其是否有对鉴别失败采取相应的措施的设置；查看是否有限制非法登录次数的功能；管理员登录地址进行限制；查看登陆失败时阻断时间；查看是否设置登录连接超时，并自动退出；2、测试:Ø验证鉴别失败处理措施（如模拟失败登录，观察设备的动作等），限制非法登录次数（如模拟非法登录，观察网络设备的动作等），对设备的管理员登录地址进行限制（如使用任意地址登录，观察设备的动作等）等功能是否有效；验证其网络登录连接超自动退出的设置是否有效（如长时间连接无任何操作，观察观察网络设备的动作等）；3、产品举例：天融信防火墙用户登录超时设置：路径：系统管配置理=>维护=>系统配置备 注4.1.6. 检查是否做配置的定期备份编 号要求内容检查是否对防火墙的配置定期做备份加固方法督促管理员定期对防火墙做配置备份检测方法1访谈方式：和管理员了解防火墙配置的备份情况2验证:在网管服务器上，查看防火墙配置文件夹，确认是否定期做配置备份。3加固：第一步：天融信防火墙配置导出位置截图：路径：系统管理=>维护第二步：网管机上建立防火墙配置文件备份文件夹备 注4.1.7. 检查双防火墙冗余情况下，主备切换情况编 号要求内容检查双防火墙冗余情况下，主备切换情况加固方法如该功能未达到要求，需厂商人员检查、加固检测方法1访谈方式咨询管理员近期是否有过设备切换现象，切换是否成功等2现场验证拔掉主墙线缆后，备墙可以实现正常切换，网络快速切换，应用正常。3加固措施第一步：如该功能未达到，检查防火墙双机热备配置是否正确、监控状态是否正常第二步：如果配置有误，需要尽快协商厂商人员解决天融信防火墙该功能截图：路径： 高可用性=双机热备备 注4.1.8. 防止信息在网络传输过程中被窃听编 号要求内容当对网络设备进行远程管理时，采取必要措施防止鉴别信息在网络传输过程中被窃听。可采用HTTPS、SSH等安全远程管理手段。加固方法通过https和ssh登陆管理设备。检测方法1现场验证：能够通过https和ssh登陆管理设备,判定结果为符合；通过http和telnet登陆管理设备，判定结果为不符合。2加固措施：按照下述截图位置，只开放HTTPS,SSH登陆方式，去除其他登陆方式。天融信防火墙该功能截图：说明：登陆防火墙方法：https:/192.168.53.3检查如下的SSH方式及HTTPS权限配置：路径：系统管理=配置=开放服务备 注4.1.9. 设备登录地址进行限制编 号要求内容对防火墙设备的管理员登录地址进行限制加固方法创建允许管理员登陆的IP限制列表检测方法1现场检查：咨询管理员后，使用允许访问控制列表里面的ip地址能够登录管理设备，不在控制列表里的ip不能登录设备,判定结果为符合2设备检查：登陆下述截图路径，确认已经配置了限制管理员登陆IP列表天融信防火墙该功能截图：路径：配置开放服务备 注4.1.10. SNMP访问控制编 号要求内容设置SNMP访问安全限制，读写密码均已经修改，只允许特定主机通过SNMP访问网络设备。加固方法修改缺省密码和限制IP对防火墙的无授权访问检测方法1设备检查登陆至设备的下述路径，检查即可。天融信防火墙该功能截图：路径：网络管理SNMP备 注4.1.11. 防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级编 号要求内容定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。加固方法配置为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级的策略。检测方法1现场检查：检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。查看防火墙系统内特征库的时间和版本信息。天融信该功能的截图：路径：系统管理维护服务更新备 注4.2. 防火墙业务防御检查4.2.1. 启用安全域控制功能编 号要求内容根据业务需要创建不同优先级的安全区域加固方法1现场检查：首先，根据业务情况，检查接口名称，名称的级别、功能应该清晰，如“内网”或者“外网”，否则需要重新确认；天融信防火墙各接口区域有两个权限一个为允许、一个是禁止。所以，检查时，需要确认，各个接口区域权限的设置。2加固方法：将防火墙各个区域权限设置为禁止，这样默认策略全部为禁止。天融信该功能截图：路径：资源管理=区域备 注4.2.2. 检查防火墙访问控制策略编 号要求内容检查防火墙策略是否严格限制通信的IP地址、协议和端口，根据需求控制源主机能够访问目的主机，和控制源主机不能访问目的主机。加固方法管理员综合分析防火墙访问控制策略，对源地址、目标地址、开放端口进行细化，删除无用、重复的策略。检测方法访谈：询问管理员防火墙配置策略配置原则，并针对可以策略进行询问。执行：查看防火墙策略配置规则，是否存在过多的IP地址段开放协议、端口的规则，是否存在无效的策略，防火墙的策略是否严密。分析：综合分析全部防火墙策略，分析是否开放过多IP地址段、协议和端口，为攻击者提供了远程攻击和入侵控制的可能。天融信该功能截图：路径：防火墙=访问控制备 注4.2.3. 防火墙访问控制粒度检查编 号要求内容检查防火墙上相应安全策略设置的严谨程度。加固方法1、添加访问控制策略阻断常见的危险端口。2、细化访问控制策略，所有策略的源、目的、服务三项中，至少有一项不能出现any的情况检测方法1、查看阻断策略中是否存在对tcp135-139、udp135-139、tcp445、udp445、tcp4444、tcp9995-9996、tcp1068、udp69、udp4899、udp1434这些高危端口的限制策略，如果在阻断策略里没有，则不符合要求；2、如果阻断策略里没有，针对这些端口限制的访问出现在访问控制策略的第一条，则可以认为符合要求；3、访问控制里，除上述提到的高危端口限制外，其所有策略的源、目的、服务三项中，至少有一项不能出现any的情况，如果出现则视为不符合要求，尤其是针对某一特定服务器的访问限制，如果出现源是any，服务是任何的情况，则该策略设置是不合格的。天融信该功能截图：路径：防火墙=阻断策略备 注4.2.4. 检查防火墙的地址转换情况编 号要求内容检查防火墙地址转换策略是否符合网络的实际需求加固方法检查防火墙地址转换策略是否符合网络的实际需求，删除冗余的地址转换策略检测方法1现场访谈：询问管理员防火墙地址转换配置策略配置原则，并针对策略必要性进行分析。执行：查看防火墙策略地址转换配置规则，是否存在过多的IP地址段开放协议、端口的规则，是否存在无效的地址转换策略，地址转换策略是否严密。天融信防火墙功能截图路径：防火墙=地址转换备 注s4.3. 日志与审计检查4.3.1. 设备日志的参数配置编 号要求内容设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG。并且日志必须保存6个月加固方法1、 现场检查：在防火墙上检查Syslog项，是否已配置将日志传输到日志服务器，否则为不符合天融信防火墙日志配置：路径：日志与报警=日志配置备 注4.3.2. 防火墙流量日志检查编 号要求内容查看日志服务器是否正常接收日志，并且日志必须保存6个月加固方法1现场检查：登陆至天融信集中控制中心或第三方日志服务软件，查看是否正常接收日志，且是否有近6个月内的日志；确认服务器的存储空间是否足够备 注4.3.3. 防火墙设备的审计记录编 号要求内容能够查看设备的登录审计记录加固方法查看设备的登录审计记录。检测方法查看设备的相关登录审计记录，包含登录成功、登录失败、接口的up记录等。天融信该功能截图：路径：日志与报警 =日志查看备 注