防火墙项目施工文档实用文档.doc

《防火墙项目施工文档实用文档.doc》由会员分享，可在线阅读，更多相关《防火墙项目施工文档实用文档.doc（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙项目施工文档实用文档(实用文档，可以直接使用，可编辑 优秀版资料，欢迎下载）项目实施文档1. 实施内容和进度安排(用甘特图表示)2. 实施的条件和措施(人员、前期准备工作）l 前期节点技术人员与厂商技术人员应加强技术沟通。当地技术人员对原有安全设备的配置进行逐条描述和确认，以保证当地技术人员和厂商技术人员沟通的一致性.l 前期进行规则分析时，一定要认真填表。在节点技术人员与厂商技术人员确认达成一致后，才可进行安全设备设备的配置工作。l 安全设备在上线前必须按照测试方案经过模拟环境测试,才允许在生产环境中进行切换.l 由于此次安全设备上线是在生产环境中进行的切换,技术风险很高，各节点科技部

2、门负责协调保证原安全设备厂商现场进行技术支持，在切换过程中出现问题时确保在较短的时间内切换回原有安全设备进行运行。切换时，原有安全设备（含主、备机）不能关机。待业务系统正常运行一周后才能撤下原安全设备设备。l 本项目安排合适的的安全设备切换时间,如两次切换均未成功,应及时向工程实施组报告。l 作好前期准备工作，包括环境准备、系统调查、工作通知、发社会公告等详细准备工作，为设备实施前作好详细的准备工作。l 实施前需确认的相关信息l 业务系统情况调查3. 防火墙方案确定给出参照的标准和规范，给出防火墙网络拓扑图。分析一些通用已经执行的方案，进行对比，确定选用的方案.要求给出边界防火墙、内部防火墙、

3、数据服务器防火墙三种目标分别具体实现其一，给出产品选择、部署方针、测试方案。l 具体实现边界防火墙;选择的防火墙如下,主要看中该防火墙强大的吞吐量适合于大学校园的需求；产品名称:Check Point Power1 9075产品价格:787500防火墙类型：Power防火墙网络吞吐量：16Gbps并发连接数：1200000主要功能：通过提供高达25Gbps防火墙吞吐率和15Gbps的入侵防护吞吐率， 能够确保业务关键性应用的可用性.为大型办公室和数据中心提供增强的企业安全部署。提供全面的网络安全功能， 包括防火墙、IPS、IPsec VPN、高级网络、加速和集群软件刀片。通过可选的软件刀片为不

4、断涌现的威胁提供安全防护, 李荣VoIP、Web安全、防病毒等。通过为所有站点提供的单一管理控制台实现简单的管理l 部署方针：对收到的数据包进行分析后,将合法的请求通过内部网卡传送给相应的服务主机，对于非法访问加以拒绝。在局域网的入口架设行兆防火墙，并实现VNP的功能，在校园网络入口建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。内部接口与dmz接口、外部接口通信测试步骤：（如策略配置禁止ping，请临时打开)1）、从内部网1台工作站执行命令ping防火墙DMZ接口IP地址；2）、从内部网1台工作站执行命令ping防火墙外部接口IP地址；预期结果：ping的成功率为

5、100%外部接口与外部网通信测试步骤:1)、设定1台工作站IP地址与防火墙外部接口IP地址在同一网段，并通过交换机互连（在同一VLAN）；2）、从工作站执行命令ping防火墙外部接口IP地址。预期结果：ping的成功率为100%外部接口与dmz接口、内部接口通信测试步骤:1)、设定1台工作站IP地址与防火墙外部接口IP地址在同一网段，并通过交换机互连（在同一VLAN）；2）、从工作站执行命令ping防火墙dmz接口IP地址。3）、从工作站执行命令ping防火墙内部接口IP地址。预期结果:ping的成功率为0%Dmz接口与内部接口通信测试步骤：1）、设定1台工作站IP地址与防火墙dmz接口IP地

6、址在同一网段，并通过交换机互连（在同一VLAN）；2）、从工作站执行命令ping防火墙内部接口IP地址。预期结果：ping的成功率为0%4. 防火墙的部署、配置与管理结合网络拓扑结构和具体的建筑物关系，给出工程施工，用工计划、用工协议、工程施工进度表，供货时间表、会议纪要、工程预算表、工程施工预算表、设备材料进货检验单、工程开工报告、设计变更单、施工日志、质量工程检查记录、系统调试合格证书、竣工报告单、验收申请单.物理环境需求表分行名称填写人填写时间物理环境说明共计备注机柜空间每个安全设备需要2U的机柜空间,两台安全设备共计需要4U空间4U可用交叉线用于安全设备与上联设备和下联设备进行网络连接

7、8条可用直通线用于安全设备与上联设备和下联设备进行网络连接8条电源每个千兆安全设备均采用双链路供电方式，两台安全设备共需要4个电源接口4个设备接口原安全设备上联和下联设备接口数(实施中为双机热备,各需要两个接口)2个项目设备到货确认单北京师范大学珠海分校,已于 年 月 日从_向贵单位发送“XXX项目所使用的 台安全设备,共计 箱。请贵单位依据实际到货情况填写下表，并通过 回传至_。.货物名称发货数量设备到货日期数量是否齐全外包装是否完整XXX台 年 月 日是 否是 否本签收单一式四份最终用户单位：最终用户代表签字/盖章: ： _日期： _安全设备加电测试表请根据实际情况进行填写用户单位设备产品

8、序列号名称及版本号规格型号加电测试序号检查项目现象描述1加电能否正常启动是 否简要描述不能启动的现象：2管理器联接是否正常是 否简要描述不能正常连接的现象：3检查license请求文件是否上载成功是 否“系统配置”菜单的“升级许可”选项中的LICENSE加载不成功的现象：4检查版本号是否与产品清单一致是 否如果不一致，登录看到的版本号：5检查端口数量是否与产品清单的规格型号一致是 否如果不一致，登录看到的端口数量:其他：用户代表签字/日期厂商代表签字/日期安全设备安装实施报告设备安装实施报告客户名称项目名称客户负责人客户联系 安装工程师服务联系 到达时间离开时间主要设备信息序号设备型号设备编号

9、或描述数量12345安装过程内容备注用户代表签字安装工程师签字日期日期安全设备初验报告单验收单位名称项目名称验收行负责人验收单位联系 供货方验收工程师供货方验收工程师联系 序号产品序列号12序号验收项目说明结论1网神安全设备到货验收是否2网神安全设备模拟测试结果验收是否3网神安全设备上线测试结果验收是否设备整体验收结 论正常现象描述:不正常现象描述:验收单位负责人签字供货方验收工程师签字日期日期安全设备设备运行报告单验收单位名称项目名称验收单位负责人验收单位联系 供货方验收工程师供货方验收工程师联系 序号产品序列号123序号验收项目说明结论1是否2是否3是否4是否5是否设备整体验收结 论正常现

10、象描述：不正常现象描述：验收行负责人签字供货方验收工程师签字日期日期安全设备故障处理报告单编号:基本信息厂商负责人： 节点名称： 联系 ：Email地址：产品名称:版本号:产品型号：问题描述问题描述（包括问题现象、拓朴结构、应用软件等）：问题处理问题产生原因及解决方法描述：实际处理时间： 从 年 月日至 年 月日用户代表签字厂商代表签字日期日期安全项目计划变更单项目名称待变更项目计划名称/版本客户单位名称负责人施工单位名称负责人变更的内容及其理由、变更后的计划评估计划变更将对项目造成的影响用户单位审批意见用户单位（章）：日 期施工单位（章）日期5. 验收测试验收测试报告应该针对每一项测试，包括

11、：测试项目、测试环境、测试方法、测试用例、测试结果等。可以用表格方式进行测试结果的记录。物理信息验收:验收项目描 述验收结论备 注摆放位置o符合o 不符合防火墙型号o符合o 不符合设备外观o符合o 不符合硬件组成CPU： 内存：o符合o 不符合组件:o符合o 不符合设备序列号o符合o 不符合软件版本o符合o 不符合设备MTBFo符合o 不符合管理配置信息验收：验收项目描 述验收结论备 注防火墙主机名o符合o 不符合管理方式可选Console/Web/Telnet三种 方式进行管理。o符合o 不符合IP地址o符合o不 符合管理员帐号o符合o 不符合登陆密码o符合o 不符合Enable密码o符合o

12、 不符合物理连接本端端口对端端口o符合o 不符合网络连通性检查验收：验收项目方法与步骤验收结论备 注内部接口与内部网通信测试步骤:1)、从内部网1台工作站执行命令ping防火墙内部接口IP地址；2)、从防火墙ping内部网工作站IP地址.预期结果：ping的成功率为100%o 通过o 失败内部接口与dmz接口、外部接口通信测试步骤：（如策略配置禁止ping，请临时打开）1)、从内部网1台工作站执行命令ping防火墙DMZ接口IP地址；2)、从内部网1台工作站执行命令ping防火墙外部接口IP地址；预期结果:ping的成功率为100o 通过o 失败外部接口与外部网通信测试步骤：1）、设定1台工作

13、站IP地址与防火墙外部接口IP地址在同一网段，并通过交换机互连(在同一VLAN）；2)、从工作站执行命令ping防火墙外部接口IP地址。预期结果:ping的成功率为100%o 通过o 失败外部接口与dmz接口、内部接口通信测试步骤：1)、设定1台工作站IP地址与防火墙外部接口IP地址在同一网段，并通过交换机互连(在同一VLAN)；2)、从工作站执行命令ping防火墙dmz接口IP地址。3）、从工作站执行命令ping防火墙内部接口IP地址。预期结果：ping的成功率为0o 通过o 失败Dmz接口与内部接口通信测试步骤:1)、设定1台工作站IP地址与防火墙dmz接口IP地址在同一网段，并通过交换机

14、互连（在同一VLAN)；2）、从工作站执行命令ping防火墙内部接口IP地址。预期结果：ping的成功率为0o 通过o 失败策略配置检查验收:验收项目方法与步骤验收结论备 注开放FTP服务测试步骤:1）、设定内部网络对外提供ftp服务，开放21端口；2)、在内部网络设定一台工作站,安装ftp server;3)、在防火墙外部设定一台工作站,安装ftpclient;4）、从ftp client向ftp server取数据。预期结果:ftp 操作正常，同时记录ftp速率。o 通过o 失败开放www服务测试步骤：1)、设定内部网络对外提供www服务，开放80端口；2)、在内部网络设定一台www服务器

15、；3）、在防火墙外部设定一台工作站，通过浏览器访问www服务。预期结果：www访问正常。o 通过o 失败开放Email服务测试步骤:1）、设定内部网络对外提供email服务，开放25、110端口;2）、在内部网络设定一台eamil服务器;3）、在防火墙外部设定一台工作站，进行收发email；预期结果：Email收发正常。o 通过o 失败开放应用服务测试步骤:1)、列出需开放应用服务的端口；2)、从指定客户端访问应用服务操作。预期结果：指定客户端正常访问应用系统。o 通过o 失败禁止telnet服务测试步骤：1）、关闭Telnet操作；2）、分别从内部、外部网络telnet防火墙接口地址.预期结

16、果：Telnet不成功.o 通过o 失败禁止ping服务测试步骤：1）、关闭ping操作;2)、根据连通性测试方法和步骤进行测试。预期结果：ping的成功率为0o 通过o 失败禁止其它服务测试步骤：1)、列出需开放应用服务的端口；2）、根据服务类型进行相应测试操作预期结果:内、外部用户对其它服务访问均不能通过。o 通过o 失败防病毒配置检查验收：验收项目方法与步骤验收结论备 注防病毒功能测试步骤:1）、设定一个带病毒的rar文件;2)、从防火墙外部一台工作站将此文件作为email附件通过防火墙发送到内部邮件服务器邮箱。预期结果:产生报警，并拒绝邮件附件通过。o 通过o 失败安全性配置检查验收：

17、验收项目方法与步骤验收结论备 注用户和密码设置预期结果：1）、consol、web、telnet的登陆用户名、登陆密码、enable均有设置；2)、没有使用缺省密码,而且密码加密。o 通过o 失败Telnet访问控制预期结果：1）、只能允许从内部网络发起telnet或禁止telnet管理。o 通过o 失败Web访问控制预期结果:1）、只能由指定用户从内部网发起Web访问。o 通过o 失败Snmp访问控制方法与步骤：在存在网管的情况下打开snmp设置。预期结果：1)、snmp读、写密码均有设置，且没有使用缺省密码;2)、指定snmp 访问的ip地址。o 通过o 失败给出是否测试通过的评价.给出功

18、能性评价和性能性评价。安全配置作业指导书防火墙设备XXXX集团公司2021年7月前言为规范XXXX集团公司网络设备的安全管理，建立统一的防火墙设备安全配置标准，特制定本安全配置作业指导书。本技术基线由XXXX集团公司提出并归口本技术基线起草单位：XXXX集团公司本技术基线主要起草人:本技术基线主要审核人：目 录1.适用范围12。规范性引用文件13。术语和定义14.防火墙安全配置规范24.1。防火墙自身安全性检查24。1.1.检查系统时间是否准确24.1。2。检查是否存在分级用户管理24。1。3。密码认证登录34.1.4。登陆认证机制44.1.5.登陆失败处理机制44。1.6。检查是否做配置的定

19、期备份54。1.7。检查双防火墙冗余情况下,主备切换情况64。1.8。防止信息在网络传输过程中被窃听74.1。9。设备登录地址进行限制84。1.10。SNMP访问控制94。1。11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级104.2.防火墙业务防御检查114。2。1.启用安全域控制功能114。2.2。检查防火墙访问控制策略124.2.3。防火墙访问控制粒度检查124.2.4。检查防火墙的地址转换转换情况134.3.日志与审计检查134。3.1.设备日志的参数配置144.3.2。防火墙流量日志检查144.3.3。防火墙设备的审计记录141. 适用范围本基作业指导书范适用于XX

20、XX集团公司各级机构。2. 规范性引用文件ISO27001标准/ISO27002指南GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 202722006 信息安全技术 操作系统安全技术要求GB/T 202732006 信息安全技术 数据库管理系统安全技术要求GB/T 22239-2021 信息安全技术 信息系统安全等级保护基本要求3. 术语和定义安全设备安全基线：指针对各类安全设备的安全特性，选择合适的安全控制措施，定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。严重漏洞

21、（Critical）:攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统重要漏洞（Important）:攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。中等漏洞（Moderate）：攻击者利用此漏洞有可能未经授权访问信息。注意,虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息，这些信息可用于进一步危及受影响系统的安全。轻微漏洞(Low）：攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失.4. 防火墙安全配置规范4.1. 防火墙自身安全性检查4.1.1. 检查系统时间是否准确编 号要求内容检查系统时间是否

22、准确加固方法重新和北京时间做校队检测方法1现场检查：如下截图路径，检查系统时间是否和北京时间一致，如果相差在一分钟之内，则认为符合要求,否则需要重新修正.天融信该功能截图：路径：系统管理=配置备 注4.1.2. 检查是否存在分级用户管理编 号要求内容管理员分:超级管理员、管理用户、审计用户、虚拟系统用户加固方法在防火墙设备上配置管理账户和审计账户检测方法1现场检查：如下截图路径,如果系统中仅存在四个账户，分别为:超级管理员、管理用户、审计用户、虚拟系统用户，且四个账号分别对应于各自不同级别的权限,则符合要求；如果无三个，则不符合要求天融信该功能截图：路径：系统管理=管理员备 注4.1.3. 密

23、码认证登录编 号要求内容检查防火墙内置账户不得存在缺省密码或弱口令帐户加固方法修改防火墙设备的登录设备的口令，满足安全性及复杂性要求检测方法1、 口令复杂度查看防火墙设备的管理员登录设备的口令安全性及复杂性,登录设备验证口令的复杂性,。如果需要输入口令并且口令为8位以上，并且是包含字母、数字、特殊字符的混合体,判定结果为符合；如果不需要任何认证过程，判定结果为不符合2、检查账户不得使用缺省密码.天融信防火墙该功能截图：路径：系统管理=管理员备 注4.1.4. 登陆认证机制编 号要求内容检查登陆时是否采用多重身份认证的鉴别技术加固方法采用强度高于用户名+静态口令的认证机制实现用户身份鉴别检测方法

24、1、检查：现场验证登陆防火墙，查看是否支持用户名+静态口令；天融信防火墙登陆窗口：备 注4.1.5. 登陆失败处理机制编 号要求内容检查登陆失败时处理机制加固方法具有登录失败处理功能,可采取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施检测方法1、检查:防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置；查看是否有限制非法登录次数的功能；管理员登录地址进行限制;查看登陆失败时阻断时间;查看是否设置登录连接超时，并自动退出；2、测试：验证鉴别失败处理措施（如模拟失败登录,观察设备的动作等）,限制非法登录次数（如模拟非法登录，观察网络设备的动作等

25、），对设备的管理员登录地址进行限制(如使用任意地址登录,观察设备的动作等）等功能是否有效;验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作等）；3、产品举例：天融信防火墙用户登录超时设置：路径：系统管配置理=维护=系统配置备 注4.1.6. 检查是否做配置的定期备份编 号要求内容检查是否对防火墙的配置定期做备份加固方法督促管理员定期对防火墙做配置备份检测方法1访谈方式：和管理员了解防火墙配置的备份情况2验证:在网管服务器上，查看防火墙配置文件夹，确认是否定期做配置备份。3加固:第一步：天融信防火墙配置导出位置截图：路径：系统管理=维护第二步：网管机上建

26、立防火墙配置文件备份文件夹备 注4.1.7. 检查双防火墙冗余情况下,主备切换情况编 号要求内容检查双防火墙冗余情况下，主备切换情况加固方法如该功能未达到要求,需厂商人员检查、加固检测方法1访谈方式咨询管理员近期是否有过设备切换现象，切换是否成功等2现场验证拔掉主墙线缆后，备墙可以实现正常切换，网络快速切换，应用正常。3加固措施第一步：如该功能未达到，检查防火墙双机热备配置是否正确、监控状态是否正常第二步：如果配置有误，需要尽快协商厂商人员解决天融信防火墙该功能截图:路径：高可用性=双机热备备 注4.1.8. 防止信息在网络传输过程中被窃听编 号要求内容当对网络设备进行远程管理时,采取必要措施

27、防止鉴别信息在网络传输过程中被窃听。可采用 S、SSH等安全远程管理手段.加固方法通过 s和ssh登陆管理设备。检测方法1现场验证：能够通过 s和ssh登陆管理设备,判定结果为符合；通过 和telnet登陆管理设备，判定结果为不符合。2加固措施：按照下述截图位置,只开放 S，SSH登陆方式,去除其他登陆方式。天融信防火墙该功能截图：检查如下的SSH方式及 S权限配置：路径：系统管理=配置=开放服务备 注4.1.9. 设备登录地址进行限制编 号要求内容对防火墙设备的管理员登录地址进行限制加固方法创建允许管理员登陆的IP限制列表检测方法1现场检查:咨询管理员后,使用允许访问控制列表里面的ip地址能

28、够登录管理设备，不在控制列表里的ip不能登录设备，判定结果为符合2设备检查：登陆下述截图路径，确认已经配置了限制管理员登陆IP列表天融信防火墙该功能截图：路径：配置-开放服务备 注4.1.10. SNMP访问控制编 号要求内容设置SNMP访问安全限制，读写密码均已经修改，只允许特定主机通过SNMP访问网络设备。加固方法修改缺省密码和限制IP对防火墙的无授权访问检测方法1设备检查登陆至设备的下述路径,检查即可。天融信防火墙该功能截图:路径：网络管理SNMP备 注4.1.11. 防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级编 号要求内容定期为防火墙的特征库、病毒库、入侵防御库

29、、应用识别、web过滤模块升级。加固方法配置为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级的策略.检测方法1现场检查：检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。查看防火墙系统内特征库的时间和版本信息。天融信该功能的截图：路径：系统管理维护服务更新备 注4.2. 防火墙业务防御检查4.2.1. 启用安全域控制功能编 号要求内容根据业务需要创建不同优先级的安全区域加固方法1现场检查:首先，根据业务情况,检查接口名称，名称的级别、功能应该清晰,如“内网”或者“外网”，否则需要重新确认;天融信防火墙各接口区域有两个权限一个为允许、一个是禁止。所

30、以，检查时，需要确认，各个接口区域权限的设置.2加固方法：将防火墙各个区域权限设置为禁止,这样默认策略全部为禁止。天融信该功能截图:路径：资源管理=区域备 注4.2.2. 检查防火墙访问控制策略编 号要求内容检查防火墙策略是否严格限制通信的IP地址、协议和端口,根据需求控制源主机能够访问目的主机,和控制源主机不能访问目的主机。加固方法管理员综合分析防火墙访问控制策略,对源地址、目标地址、开放端口进行细化，删除无用、重复的策略。检测方法访谈:询问管理员防火墙配置策略配置原则，并针对可以策略进行询问。执行：查看防火墙策略配置规则,是否存在过多的IP地址段开放协议、端口的规则,是否存在无效的策略,防

31、火墙的策略是否严密。分析：综合分析全部防火墙策略，分析是否开放过多IP地址段、协议和端口，为攻击者提供了远程攻击和入侵控制的可能。天融信该功能截图:路径：防火墙=访问控制备 注4.2.3. 防火墙访问控制粒度检查编 号要求内容检查防火墙上相应安全策略设置的严谨程度。加固方法1、添加访问控制策略阻断常见的危险端口。2、细化访问控制策略，所有策略的源、目的、服务三项中,至少有一项不能出现any的情况检测方法1、查看阻断策略中是否存在对tcp135-139、udp135-139、tcp445、udp445、tcp4444、tcp9995-9996、tcp1068、udp69、udp4899、udp1

32、434这些高危端口的限制策略，如果在阻断策略里没有，则不符合要求；2、如果阻断策略里没有，针对这些端口限制的访问出现在访问控制策略的第一条,则可以认为符合要求；3、访问控制里，除上述提到的高危端口限制外,其所有策略的源、目的、服务三项中，至少有一项不能出现any的情况，如果出现则视为不符合要求，尤其是针对某一特定服务器的访问限制，如果出现源是any,服务是任何的情况，则该策略设置是不合格的。天融信该功能截图：路径：防火墙=阻断策略备 注4.2.4. 检查防火墙的地址转换情况编 号要求内容检查防火墙地址转换策略是否符合网络的实际需求加固方法检查防火墙地址转换策略是否符合网络的实际需求，删除冗余的

33、地址转换策略检测方法1现场访谈:询问管理员防火墙地址转换配置策略配置原则，并针对策略必要性进行分析。执行：查看防火墙策略地址转换配置规则，是否存在过多的IP地址段开放协议、端口的规则，是否存在无效的地址转换策略，地址转换策略是否严密.天融信防火墙功能截图路径:防火墙=地址转换备 注s4.3. 日志与审计检查4.3.1. 设备日志的参数配置编 号要求内容设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG.并且日志必须保存6个月加固方法1、 现场检查：在防火墙上检查Syslog项，是否已配置将日志传输到日志服务器，否则

34、为不符合天融信防火墙日志配置:路径:日志与报警=日志配置备 注4.3.2. 防火墙流量日志检查编 号要求内容查看日志服务器是否正常接收日志，并且日志必须保存6个月加固方法1现场检查：登陆至天融信集中控制中心或第三方日志服务软件，查看是否正常接收日志，且是否有近6个月内的日志；确认服务器的存储空间是否足够备 注4.3.3. 防火墙设备的审计记录编 号要求内容能够查看设备的登录审计记录加固方法查看设备的登录审计记录。检测方法查看设备的相关登录审计记录，包含登录成功、登录失败、接口的up记录等.天融信该功能截图：路径：日志与报警=日志查看备 注防火墙运行安全管理制度第一章 总则第一条 为保障信息网络

35、的安全、稳定运行,特制订本制度。第二条 本制度适用于信息网络的所有防火墙及相关设备管理和运行.第二章 防火墙管理员职责第三条 防火墙系统管理员的任命应遵循“任期有限、权限分散的原则。第四条 系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任。第五条 必须签订保密协议书。第六条 防火墙系统管理员的职责：(一) 恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关信息安全管理的相关规程;(二) 负责网络安全策略的编制，更新和维护等工作；(三) 对信息网络实行分级授权管理,按照岗位职责授予不同的管理级别和权限；(四) 不断的学习和掌握最新的网络安全知识,防病毒知识和专业

36、技能；(五) 遵守防火墙设备各项管理规范.第三章 用户管理第七条 只有防火墙系统管理员才具有修改入侵检测设备策略配置、分析的权限.第八条 为用户级和特权级模式设置口令，不能使用缺省口令，确保用户级和特权级模式口令不同。第九条 防火墙设备口令长度应采用8位以上,由大小写、字母、数字和字符组成，并定期更换，不能使用容易猜解的口令。第四章 设备管理第十条 防火墙设备部署位置的环境应满足相应的国家标准和规范，以保证防火墙设备的正常运行.第十一条 防火墙设备定期检测和维护要求如下：(一) 每月定期安装、更新厂家发布的防火墙补丁程序,及时修补防火墙操作系统的漏洞，并做好升级记录；(二) 一周内至少审计一次

37、日志报表；(三) 一个月内至少重新启动一次防火墙;(四) 根据入侵检测系统、安全漏洞扫描系统的提示，适时调整防火墙安全规则；(五) 及时修补防火墙宿主机操作系统的漏洞；(六) 对网络安全事故要及时处理,保证信息网络的安全运行。第十二条 防火墙设备安全规则设置、更改的授权、审批依据防火墙配置变更审批表（参见附表1）进行。防火墙设备安全规则的设置、更改,应该得到信息系统运行管理部门负责人的批准，由系统管理员具体负责实施。第十三条 防火墙设备配置操作规程要求如下:(一) 记录网络环境，定义防火墙网络接口;(二) 配置静态路由或代理路由；(三) 定义防火墙的网络对象和应用端口；(四) 定义安全策略;(

38、五) 配置冗余的防火墙设备,并安装到网络当中；(六) 定义管理员清单和管理权限；(七) 测试防火墙性能和做好网管资料.第十四条 防火墙设备安全规则的备份和恢复。修改防火墙安全规则之前对现运行的安全规则必须进行备份，以便于修改防火墙安全规则失败后能够快速恢复现运行的安全规则.第十五条 系统管理员应定期和不定期地检查防火墙设备的运行状况，及时查看防火墙日志，对异常情况的发生，及时上报,并做好记录。第十六条 对防火墙设备的CPU和内存利用率、数据流量、地址翻译数量等进行均时监测、跟踪工作,每周形成报表。第十七条 防火墙设备安全事件处理和报告，由系统管理员填写防火墙维护和应急处理记录(参见附表2）.当防火墙设备发生宕机引起网络拥塞或网络瘫痪等重大安全事件时,应立即启动紧急响应程序,对网络进行紧急处理，堵塞攻击入口,恢复网络的正常运行，并追查攻击来源,及时上报。附表1防火墙配置变更审批表 编号：申请部门责任人联系 申请日期授权性质0 新增策略0 策略变更授权期限起始日期：结束日期：申请权限要求（网络名称/IP范围)、访问资源、访问方式、访问目的等）：申请理由：申请部门意见:签名： 日期:系统运行管理部门意见：签名: 日期：执行记录控制名称控制目的源地址目的地址访问权限设定其他设置执行人执行日期附表2 防火墙维护和应急处理记录防火墙名称防火墙型号日期执行人维护内容/故障现象及其应急处理情况：