信息项目方案项目安全治理规章制度方案网络项目安全设备配置设计标准规范.doc
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《信息项目方案项目安全治理规章制度方案网络项目安全设备配置设计标准规范.doc》由会员分享,可在线阅读,更多相关《信息项目方案项目安全治理规章制度方案网络项目安全设备配置设计标准规范.doc(35页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、#*网络安全设备配置规范网络安全设备配置规范XXXXXX20112011 年年 1 1 月月#*文档信息标题标题文档全名文档全名版本号1.0版本日期2011 年 1 月文件名网络安全设备配置规范所有者XXX作者XXX修订记录日期日期描述描述作者作者版本号版本号2011-1创建XXX1.0文档审核/审批(此文档需如下审核)姓名姓名公司公司/部门部门职务职务/职称职称文档分发(此文档将分发至如下各人)姓名姓名公司公司/部门部门职务职务/职称职称#*网络安全设备配置规范1防火墙防火墙1.11.1 防火墙配置规范防火墙配置规范1. 要求管理员分级,包括超级管理员、安全管理员、日志管理员等,并定义相应的
2、职责,维护相应的文档和记录。2. 防火墙管理人员应定期接受培训。3. 对防火墙管理的限制,包括,关闭 telnet、http、ping、snmp等,以及使用 SSH 而不是 telnet 远程管理防火墙。4. 账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如何进行口令变更? 1.21.2 变化控制变化控制1. 防火墙配置文件是否备份?如何进行配置同步?2. 改变防火墙缺省配置。3. 是否有适当的防火墙维护控制程序?4. 加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可靠。5. 是否对防火墙进行脆弱性评估/测试?(随机和定期测试)#*1.31.3 规则检查规则检
3、查1. 防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。2. 防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为: 反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地址) 用户允许规则(如,允许 HTTP 到公网 Web 服务器) 管理允许规则 拒绝并报警(如,向管理员报警可疑通信) 拒绝并记录(如,记录用于分析的其它通信)防火墙是在第一次匹配的基础上运行,因此,按照上述的
4、次序配置防火墙,对于确保排除可疑通信是很重要的。3. 防火墙访问控制规则中是否有保护防火墙自身安全的规则4. 防火墙是否配置成能抵抗 DoS/DDoS 攻击?5. 防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 标准的不可路由地址(255.255.255.255、127.0.0.0) 私有(RFC1918)地址(10.0.0.0 10.255.255.255、172.16.0.0 #*172.31.255.255、192.168.0.0 192.168.255.255) 保留地址(224.0.0.0) 非法地址(0.0.0.0)6. 是否确保外出的过滤?确保有仅允许源 IP 是内部
5、网的通信通过而源 IP 不是内部网的通信被丢弃的规则,并确保任何源 IP 不是内部网的通信被记录。7. 是否执行 NAT,配置是否适当?任何和外网有信息交流的机器都必须经过地址转换(NAT)才允许访问外网,同样外网的机器要访问内部机器,也只能是其经过NAT 后的 IP,以保证系统的内部地址、配置和有关的设计信息如拓扑结构等不能泄露到不可信的外网中去。8. 在适当的地方,防火墙是否有下面的控制?如,URL 过滤、端口阻断、防 IP 欺骗、过滤进入的 Java 或ActiveX、防病毒等。9. 防火墙是否支持“拒绝所有服务,除非明确允许”的策略?1.41.4 审计监控审计监控1. 具有特权访问防火
6、墙的人员的活动是否鉴别、监控和检查?对防火墙的管理人员的活动,防火墙应该有记录,并要求记录不能修改,以明确责任,同时能检查对防火墙的变化。2. 通过防火墙的通信活动是否日志?在适当的地方,是否有监控和响应任何不适当的活动的程序?#*确保防火墙能够日志,并标识、配置日志主机,确保日志安全传输。管理员通过检查日志来识别可能显示攻击的任何潜在模式,使用审计日志可以监控破坏安全策略的进入服务、外出服务和尝试访问。3. 是否精确设置并维护防火墙时间? 配置防火墙使得在日志记录中包括时间信息。精确设置防火墙的时间,使得管理员追踪网络攻击更准确。4. 是否按照策略检查、回顾及定期存档日志,并存储在安全介质上
7、?确保对防火墙日志进行定期存储并检查,产生防火墙报告,为管理人员提供必需的信息以帮助分析防火墙的活动,并为管理部门提供防火墙效率情况。1.51.5 应急响应应急响应1. 重大事件或活动是否设置报警?是否有对可以攻击的响应程序?如适当设置入侵检测功能,或者配合使用 IDS(入侵检测系统) ,以防止某些类型的攻击或预防未知的攻击。2. 是否有灾难恢复计划?恢复是否测试过?评估备份和恢复程序(包括持续性)的适当性,考虑:对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。#*2交换机交换机2.12.1 交换机配置文件是否离线保存、注释、保密、有限访问,并保交换机配置
8、文件是否离线保存、注释、保密、有限访问,并保持与运行配置同步持与运行配置同步2.22.2 是否在交换机上运行最新的稳定的是否在交换机上运行最新的稳定的 IOSIOS 版本版本2.32.3 是否定期检查交换机的安全性?特别在改变重要配置之后。是否定期检查交换机的安全性?特别在改变重要配置之后。2.42.4 是否限制交换机的物理访问?仅允许授权人员才可以访问交换是否限制交换机的物理访问?仅允许授权人员才可以访问交换机。机。2.52.5 VLANVLAN 1 1 中不允许引入用户数据,只能用于交换机内部通讯。中不允许引入用户数据,只能用于交换机内部通讯。2.62.6 考虑使用考虑使用 PVLANsP
9、VLANs,隔离一个,隔离一个 VLANVLAN 中的主机。中的主机。2.72.7 考虑设置交换机的考虑设置交换机的 SecuritySecurity BannerBanner,陈述,陈述“未授权的访问是未授权的访问是被禁止的被禁止的” 。2.82.8 是否关闭交换机上不必要的服务?包括:是否关闭交换机上不必要的服务?包括:TCPTCP 和和 UDPUDP 小服务、小服务、CDPCDP、fingerfinger 等。等。2.92.9 必需的服务打开,是否安全地配置这些服务?。必需的服务打开,是否安全地配置这些服务?。2.102.10保护管理接口的安全保护管理接口的安全2.112.11shutd
10、ownshutdown 所有不用的端口。并将所有未用端口设置为第所有不用的端口。并将所有未用端口设置为第 3 3 层连层连接的接的 vlanvlan。#*2.122.12加强加强 concon、auxaux、vtyvty 等端口的安全。等端口的安全。2.132.13将密码加密,并使用用户的方式登陆。将密码加密,并使用用户的方式登陆。2.142.14使用使用 SSHSSH 代替代替 TelnetTelnet,并设置强壮口令。无法避免,并设置强壮口令。无法避免 TelnetTelnet 时,时,是否为是否为 TelnetTelnet 的使用设置了一些限制?的使用设置了一些限制?2.152.15采用
11、带外方式管理交换机。如果带外管理不可行,那么应该为采用带外方式管理交换机。如果带外管理不可行,那么应该为带内管理指定一个独立的带内管理指定一个独立的 VLANVLAN 号。号。2.162.16设置会话超时,并配置特权等级。设置会话超时,并配置特权等级。2.172.17使使 HTTPHTTP serverserver 失效,即,不使用失效,即,不使用 WebWeb 浏览器配置和管理交换浏览器配置和管理交换机。机。2.182.18如果使用如果使用 SNMPSNMP,建议使用,建议使用 SNMPv2SNMPv2,并使用强壮的,并使用强壮的 SNMPSNMP communitycommunity st
12、ringsstrings。或者不使用时,使。或者不使用时,使 SNMPSNMP 失效。失效。2.192.19实现端口安全以限定基于实现端口安全以限定基于 MACMAC 地址的访问。使端口的地址的访问。使端口的 auto-auto-trunkingtrunking 失效。失效。2.202.20使用交换机的端口映像功能用于使用交换机的端口映像功能用于 IDSIDS 的接入。的接入。2.212.21使不用的交换机端口失效,并在不使用时为它们分配一个使不用的交换机端口失效,并在不使用时为它们分配一个 VLANVLAN号。号。2.222.22为为 TRUNKTRUNK 端口分配一个没有被任何其他端口使用
13、的端口分配一个没有被任何其他端口使用的 nativenative VLANVLAN 号。号。#*2.232.23限制限制 VLANVLAN 能够通过能够通过 TRUNKTRUNK 传输,除了那些确实是必需的。传输,除了那些确实是必需的。2.242.24使用静态使用静态 VLANVLAN 配置。配置。2.252.25如果可能,使如果可能,使 VTPVTP 失效。否则,为失效。否则,为 VTPVTP 设置:管理域、口令和设置:管理域、口令和pruningpruning。然后设置。然后设置 VTPVTP 为透明模式。为透明模式。2.262.26在适当的地方使用访问控制列表。在适当的地方使用访问控制列
14、表。2.272.27打开打开 logginglogging 功能,并发送日志到专用的安全的日志主机。功能,并发送日志到专用的安全的日志主机。2.282.28配置配置 logginglogging 使得包括准确的时间信息,使用使得包括准确的时间信息,使用 NTPNTP 和时间戳。和时间戳。2.292.29依照安全策略的要求对日志进行检查以发现可能的事件并进行依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。存档。2.302.30为本地的和远程的访问交换机使用为本地的和远程的访问交换机使用 AAAAAA 特性。特性。3路由器路由器1. 是否有路由器的安全策略?明确各区域的安全策略 物理安
15、全设计谁有权安装、拆除、移动路由器。设计谁有权维护和更改物理配置。设计谁有权物理连接路由器设计谁有权物理在Console端口连接路由器设计谁有权恢复物理损坏并保留证据#* 静态配置安全设计谁有权在Console端口登录路由器。设计谁有权管理路由器。设计谁有权更改路由器配置设计口令权限并管理口令更新设计允许进出网络的协议、IP地址设计日志系统限制SNMP的管理权限定义管理协议(NTP, TACACS+, RADIUS, and SNMP)与更新时限定义加密密钥使用时限 动态配置安全识别动态服务,并对使用动态服务作一定的限制识别路由器协议,并设置安全功能设计自动更新系统时间的机制(NTP)如有VP
16、N,设计使用的密钥协商和加密算法 网络安全列出允许和过滤的协议、服务、端口、对每个端口或连接的权限。 危害响应列出危害响应中个人或组织的注意事项定义系统被入侵后的响应过程#*收集可捕获的和其遗留的信息 没有明确允许的服务和协议就拒绝2. 路由器的安全策略的修改 内网和外网之间增加新的连接。 管理、程序、和职员的重大变动。 网络安全策略的重大变动。 增强了新的功能和组件。(VPN or firewall) 察觉受到入侵或特殊的危害。3. 定期维护安全策略访问安全访问安全1. 保证路由器的物理安全2. 严格控制可以访问路由器的管理员3. 口令配置是否安全Example :Enable secret
17、 5 3424er2w4. 使路由器的接口更安全5. 使路由器的控制台、辅助线路和虚拟终端更安全控制台# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# line con 0#*(config-line)# transport input none(config-line)# login local(config-line)# exec-timeout 5 0(config-line)# exit(config)#设置一个用户(config)# username brian privil
18、ege 1 password g00d+pa55w0rd(config)# end#关闭辅助线路# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# line aux 0(config-line)# transport input none(config-line)# login local(config-line)# exec-timeout 0 1(config-line)# no exec(config-line)# exit关闭虚拟终端# config t#*Enter confi
19、guration commands, one per line. End with CNTL/Z.(config)# no access-list 90(config)# access-list 90 deny any log(config)# line vty 0 4(config-line)# access-class 90 in(config-line)# transport input none(config-line)# login local(config-line)# exec-timeout 0 1(config-line)# no exec(config-line)# end
20、#访问列表访问列表1. 实现访问列表及过滤 拒绝从内网发出的源地址不是内部网络合法地址的信息流。(config)# no access-list 102(config)# access-list 102 permit ip 14.2.6.0 0.0.0.255 any(config)# access-list 102 deny ip any any log(config)# interface eth 0/1#*(config-if)# description “internal interface“(config-if)# ip address 14.2.6.250 255.255.255.
21、0(config-if)# ip access-group 102 in 拒绝从外网发出的源地址是内部网络地址的信息流 拒绝所有从外网发出的源地址是保留地址、非法地址、广播地址的信息流Inbound Traffic(config)# no access-list 100(config)# access-list 100 deny ip 14.2.6.0 0.0.0.255 any log(config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log(config)# access-list 100 deny ip 10.0.0
22、.0 0.255.255.255 any log(config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log(config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log(config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log#*(config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log(config)# access-lis
23、t 100 deny ip 169.254.0.0 0.0.255.255 any log(config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any log(config)# access-list 100 deny ip host 255.255.255.255 any log(config)# access-list 100 permit ip any 14.2.6.0 0.0.0.255(config)# interface eth0/0(config-if)# description “external interfac
24、e“(config-if)# ip address 14.1.1.20 255.255.0.0(config-if)# ip access-group 100 in(config-if)# exit(config)# interface eth0/1(config-if)# description “internal interface“(config-if)# ip address 14.2.6.250 255.255.255.0(config-if)# end入路由器外部接口阻塞下列请求进入内网的端口。#*1 (TCP & UDP) tcpmux7 (TCP & UDP) echo9 (T
![信息项目方案项目安全治理规章制度方案网络项目安全设备配置设计标准规范.doc_第1页](https://file.taowenge.com/fileroot/2019-5/7/ac18516d-404e-4220-857c-8b88e8bbe8e0/ac18516d-404e-4220-857c-8b88e8bbe8e01.gif)
![信息项目方案项目安全治理规章制度方案网络项目安全设备配置设计标准规范.doc_第2页](https://file.taowenge.com/fileroot/2019-5/7/ac18516d-404e-4220-857c-8b88e8bbe8e0/ac18516d-404e-4220-857c-8b88e8bbe8e02.gif)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 项目 方案 安全 治理 规章制度 网络 安全设备 配置 设计 标准规范
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内