1、資金管理系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告2010年12月天融信公司安全服務(wù)事業(yè)部文檔信息項(xiàng)目名稱PICC安全服務(wù)項(xiàng)目文檔編號(hào)版本號(hào)日期參與人員更新說明V1.020101231王沖、胡 浩分發(fā)控制編號(hào)、+ -4V.讀者文檔權(quán)限與文檔的主要關(guān)系PICC版權(quán)說明本文件中出現(xiàn)的全部?jī)?nèi)容， 除另有特別注明，版權(quán)均屬北京天融信公司所有。任何個(gè)人、機(jī)構(gòu)未經(jīng)北京天融信公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用文件的任何片斷。北京天融信公司安全服務(wù)事業(yè)部負(fù)責(zé)對(duì)本文檔的解釋。保密申明本文件包含了來自北京天融信的可靠、權(quán)威的信息，接受這份文件表示同意對(duì)其內(nèi)容保密并且未經(jīng)北京天融信公司書面請(qǐng)求和書面認(rèn)可，不得復(fù)制，泄露或散布這份文

2、件。如果你不是有意接受者，請(qǐng)注意對(duì)這份文件內(nèi)容的任何形式的泄露、復(fù)制或散布都是被禁止的。1 簡(jiǎn)介51.1 目的51.2 范圍61.3 評(píng)估方法61.4 評(píng)估工具選擇62 資產(chǎn)安全評(píng)估總結(jié) 72.1 資產(chǎn)評(píng)估對(duì)象及方法 722漏洞嚴(yán)重級(jí)別定義 72.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估 82.3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明 82.3.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)風(fēng)險(xiǎn)分析 82.3.3 網(wǎng)絡(luò)與安全設(shè)備資產(chǎn)安全概述 82.3.4 網(wǎng)絡(luò)與安全設(shè)備資產(chǎn)安全風(fēng)險(xiǎn)漏洞錯(cuò)誤！未定義書簽。 夕卜網(wǎng)防火墻一主(93) 夕卜網(wǎng)防火墻一備(93) 內(nèi)網(wǎng)防火墻一

3、主(29) 內(nèi)網(wǎng)防火墻一備(29) SSLVPN ()風(fēng)險(xiǎn)漏洞詳細(xì)描述 安全認(rèn)證交換機(jī) 2 服務(wù)器區(qū)交換機(jī)2 服務(wù)器區(qū)交換機(jī)配置 2 服務(wù)器區(qū)交換機(jī)風(fēng)險(xiǎn)漏洞詳細(xì)描述 292.4 主機(jī)系統(tǒng)安全綜合分析 292.4.1 Web 服務(wù)器(8) 30 Web 服務(wù)器(8)安全現(xiàn)狀 30 Web服務(wù)器(8)風(fēng)險(xiǎn)漏洞詳細(xì)描述 332.4.2 Web 服務(wù)

4、器(9) 3 Web 服務(wù)器(9)安全現(xiàn)狀 3 Web服務(wù)器(9)風(fēng)險(xiǎn)漏洞詳細(xì)描述 372.4.3 Web 服務(wù)器(0) 3 Web 服務(wù)器(0)安全現(xiàn)狀 3 Web服務(wù)器(0)風(fēng)險(xiǎn)漏洞詳細(xì)描述 422.4.4 Web 服務(wù)器(1) 4 Web 服務(wù)器(1)安全現(xiàn)狀 4 Web服務(wù)器(1)風(fēng)險(xiǎn)漏洞詳細(xì)描述 462.4.5

5、Web 服務(wù)器(2) 4 Web 服務(wù)器(2)安全現(xiàn)狀 4 Web服務(wù)器(2)風(fēng)險(xiǎn)漏洞詳細(xì)描述 50246應(yīng)用服務(wù)器(32) 512.461 應(yīng)用服務(wù)器(32 )安全現(xiàn)狀512.462 應(yīng)用服務(wù)器(32)風(fēng)險(xiǎn)漏洞詳細(xì)描述 542.4.7 數(shù)據(jù)庫(kù)服務(wù)器(66) 5 數(shù)據(jù)庫(kù)服務(wù)器(66 )安全現(xiàn)狀 5 數(shù)據(jù)庫(kù)服務(wù)器(66)風(fēng)險(xiǎn)漏洞詳細(xì)描述 572.4.8 數(shù)

6、據(jù)庫(kù)服務(wù)器(67) 5 數(shù)據(jù)庫(kù)服務(wù)器(66 )安全現(xiàn)狀 5 數(shù)據(jù)庫(kù)服務(wù)器(66)風(fēng)險(xiǎn)漏洞詳細(xì)描述 592.5 應(yīng)用安全綜合分析 592.6 數(shù)據(jù)庫(kù)安全綜合分析 602.6.1 Oracle數(shù)據(jù)庫(kù)(66)風(fēng)險(xiǎn)漏洞詳細(xì)描述 602.6.2 Oracle數(shù)據(jù)庫(kù)(67)風(fēng)險(xiǎn)漏洞詳細(xì)描述 602.7 數(shù)據(jù)傳輸安全綜合分析 611簡(jiǎn)介企業(yè)對(duì)信息技術(shù)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。 為保 證企業(yè)富有競(jìng)爭(zhēng)力，保持現(xiàn)金流順暢和贏利，以及維護(hù)企業(yè)的良好商業(yè)形象， 信

7、息安全的三要素保密性、完整性和可用性都是至關(guān)重要的。對(duì)于一個(gè)特定的網(wǎng)絡(luò)，為了實(shí)現(xiàn)其網(wǎng)絡(luò)安全的目標(biāo)，就是要在網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 評(píng)估的基礎(chǔ)上，明確系統(tǒng)中所存在的各種安全風(fēng)險(xiǎn)，并制訂相應(yīng)的安全策略，通 過網(wǎng)絡(luò)安全管理和各種網(wǎng)絡(luò)安全技術(shù)的實(shí)施，從而達(dá)到網(wǎng)絡(luò)安全的目標(biāo)。安全評(píng)估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)， 其原理是根據(jù)已知的安全漏洞 知識(shí)庫(kù)，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。 目標(biāo)可以包括工作站、服務(wù) 器、交換機(jī)、路由器、數(shù)據(jù)庫(kù)等各種網(wǎng)絡(luò)對(duì)象和應(yīng)用對(duì)象。然后根據(jù)掃描結(jié)果向 系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要 依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低、效果好

8、、見效快、與網(wǎng) 絡(luò)的運(yùn)行相對(duì)獨(dú)立、安裝運(yùn)行簡(jiǎn)單，可以大規(guī)模減少安全管理員的手工勞動(dòng)， 有 利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。為了充分了解客戶當(dāng)前的網(wǎng)絡(luò)安全威脅狀況，需要利用一些常用的掃描工 具、應(yīng)用軟件以及人工分析的等方式獲得客戶中重要服務(wù)器的各類數(shù)據(jù)。在掃描之后，將掃描系統(tǒng)獲得的報(bào)告匯集成為一個(gè)當(dāng)前系統(tǒng)漏洞評(píng)估報(bào)告，同時(shí)根據(jù)漏洞情況提供加強(qiáng)網(wǎng)絡(luò)安全的建議。1.1目的本期安全服務(wù)項(xiàng)目，包括安全評(píng)估，將在技術(shù)層上進(jìn)行評(píng)估，以實(shí)現(xiàn)以下安 全評(píng)估目標(biāo)：? 識(shí)別被評(píng)估系統(tǒng)存在的操作系統(tǒng)遠(yuǎn)程安全漏洞? 識(shí)別被評(píng)估系統(tǒng)存在的應(yīng)用系統(tǒng)安全漏洞評(píng)估完成后，將進(jìn)行加固，保障系統(tǒng)安全。1.2范圍本次安全評(píng)估范圍如

9、下：?6臺(tái)Windows主機(jī)?2臺(tái)linux主機(jī)?2臺(tái)數(shù)據(jù)庫(kù)?2臺(tái)網(wǎng)絡(luò)設(shè)備?6臺(tái)安全設(shè)備1.3評(píng)估方法利用網(wǎng)絡(luò)掃描工具、安全評(píng)估工具和人工評(píng)估工具， 檢查資產(chǎn)的弱點(diǎn)，從而 識(shí)別能被入侵者用來非法進(jìn)入網(wǎng)絡(luò)的漏洞。生成網(wǎng)絡(luò)掃描評(píng)估報(bào)告，提交檢測(cè)到 的漏洞信息，包括位置和詳細(xì)描述。這樣就允許管理員偵測(cè)和管理安全風(fēng)險(xiǎn)信息。掃描內(nèi)容包括：? 系統(tǒng)開放的端口號(hào)；? 系統(tǒng)中存在的安全漏洞；? 是否存在弱口令；1.4評(píng)估工具選擇1. 漏洞掃描工具Nessus安全掃描軟件Nessus是 一個(gè)功能強(qiáng)大而又易于使用的遠(yuǎn)程安全掃描器，它不僅免費(fèi)而且更新極快。安全掃描器的功能是對(duì)指定網(wǎng)絡(luò)進(jìn)行安全檢查，找出該網(wǎng)絡(luò)是否存在

10、有導(dǎo)致對(duì)手攻擊的安全漏洞。該系統(tǒng)被設(shè)計(jì)為client/sever模式，服務(wù)器端負(fù)責(zé)進(jìn)行安全檢查，客戶端用來配置管理服務(wù)器端。在服務(wù)端還采用了 plug-in的體系, 允許用戶加入執(zhí)行特定功能的插件，這插件可以進(jìn)行更快速和更復(fù)雜的安全檢 查。在Nessus中還采用了一個(gè)共享的信息接口，稱之知識(shí)庫(kù)，其中保存了前面 進(jìn)行檢查的結(jié)果。檢查的結(jié)果可以 HTML、純文本、LaTeX等幾種格式保存。2. 人工檢查Checklist集合天融信多年的安全服務(wù)經(jīng)驗(yàn)，依據(jù)等級(jí)保護(hù)、SOX、PCI法案以及各種 安全基線制訂的checklist進(jìn)行安全檢查。2資產(chǎn)安全評(píng)估總結(jié)2.1資產(chǎn)評(píng)估對(duì)象及方法picc資金管理系統(tǒng)

11、的資產(chǎn)安全評(píng)估采用安全掃描工具評(píng)估掃描與人工本地 安全評(píng)估相結(jié)合的方式進(jìn)行，評(píng)估的對(duì)象范圍如下：序號(hào)資產(chǎn)名稱資產(chǎn)類型IP資產(chǎn)信息1234567891011121314151617182.2漏洞嚴(yán)重級(jí)別定義本文檔將根據(jù)安全掃描評(píng)估結(jié)果進(jìn)行統(tǒng)計(jì)， 本項(xiàng)目中，我們對(duì)涉及到的風(fēng)險(xiǎn) 漏洞級(jí)別做如下定義：等級(jí)說明高風(fēng)險(xiǎn)漏洞漏洞能夠使攻擊者直接獲得系統(tǒng)控制權(quán)限，或者繞過防火墻。中風(fēng)險(xiǎn)漏洞漏洞會(huì)泄露使攻擊者獲得系統(tǒng)訪問權(quán)的信息。低風(fēng)險(xiǎn)漏洞系統(tǒng)泄露的信息會(huì)使系統(tǒng)遭到攻擊。2.3網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估2.3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明資金管理系統(tǒng)網(wǎng)絡(luò)邊界部署有 2臺(tái)天融信NGFW400防火墻，通過配置嚴(yán)格 的訪問控制策略實(shí)現(xiàn)

12、邊界防護(hù)，外網(wǎng)防火墻采取主-備模式實(shí)現(xiàn)設(shè)備的冗余部 署，有效防止了單點(diǎn)故障。該系統(tǒng)服務(wù)器部署在應(yīng)用安全區(qū)和數(shù)據(jù)庫(kù)安全區(qū)中， 服務(wù)器區(qū)交換機(jī)劃分兩個(gè)VLAN VLAN351和VLAN352分別連接應(yīng)用服務(wù)器和數(shù) 據(jù)庫(kù)服務(wù)器。資金管理系統(tǒng)使用數(shù)字證書作為用戶身份的唯一標(biāo)識(shí)，用戶在登陸該系統(tǒng)時(shí) 必須使用usbkey進(jìn)行登陸，實(shí)現(xiàn)了該系統(tǒng)的強(qiáng)身份認(rèn)證，同時(shí)服務(wù)器區(qū)防火墻 設(shè)置安全策略，禁止用戶直接訪問資金管理系統(tǒng)，用戶需要通過SSLVPN勺認(rèn)證, 認(rèn)證通過后才能訪問該系統(tǒng)。圖1資金管理系統(tǒng)拓?fù)鋱D2.3.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)風(fēng)險(xiǎn)分析資金管理系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)清晰，各個(gè)安全域劃分明確，網(wǎng)絡(luò)安全設(shè)備均采取 雙機(jī)熱備

13、方式進(jìn)行冗余。但是該系統(tǒng)的安全認(rèn)證交換機(jī)、服務(wù)器區(qū)交換機(jī)無備件， 存在單點(diǎn)故障危險(xiǎn)，一旦上述設(shè)備出現(xiàn)故障將會(huì)影響資金管理系統(tǒng)的正常運(yùn)行。2.3.3 網(wǎng)絡(luò)與安全設(shè)備安全綜合分析資產(chǎn)風(fēng)險(xiǎn)合計(jì)主機(jī)咼風(fēng)險(xiǎn)中風(fēng)險(xiǎn)低風(fēng)險(xiǎn)合計(jì)外網(wǎng)防火墻-主(93 )0022外網(wǎng)防火墻-備(93 )0022內(nèi)網(wǎng)防火墻-主(29 )0022內(nèi)網(wǎng)防火墻-備(29 )0022SSLVPN±( )0022SSLVPN<( )0022女全認(rèn)證交換機(jī)0112服務(wù)器區(qū)交換機(jī)0213233.1 外網(wǎng)防火

14、墻一主(93 )233.1.1 外網(wǎng)防火墻主(93 )配置分類具體配置備注網(wǎng)口信息n etwork in terface eth0 ip add mask52 ha-staticnetwork in terface eth1 ip add mask52network in terface eth2 ip add 93 mask92network in terface eth3 ip add mask

15、92路由信息network route add dst 4/26 gw 53 metric 1 id 101network route add dst 28/26 gw53 metric 1 id 102network route add dst /0 gw metric 1 id 100對(duì)象ID 8002 define area add name area_eth0 attribute 'eth0 'access on vsid 0ID

16、 8033 define area add name接中信國(guó)安 attribute'eth1 ' access on vsid 0ID 8034 define area add name接資金系統(tǒng)統(tǒng) attribute'eth2 ' access on vsid 0ID 8041 define area add name vlan350 attribute 'eth3'access on vsid 0ID 8045 define host add name web1 ipaddr '8'vsid 0ID 804

17、6 define host add name web2 ipaddr '9'vsid 0ID 8047 define host add name web3 ipaddr '0'vsid 0ID 8048 define host add name web4 ipaddr '1'vsid 0ID 8049 define host add name web5 ipaddr '2'vsid 0ID 8050 define host add name web6

18、ipaddr '3 'vsid 0ID 8051 defi ne host add name OM_APP1 ipaddr'32 ' vsid 0ID 8052 define host add name OM_APP2 ipaddr'33 ' vsid 0ID 8053 define host add name OM_APP3 ipaddr'34 ' vsid 0ID 8054 define host add name OM_APP4 ipaddr&#

19、39;35 ' vsid 0ID 8055 define host add name OM_APP5 ipaddr'36 ' vsid 0ID 8056 define host add name OM_Task1 ipaddr'56 ' vsid 0ID 8057 define host add name OM_Task2 ipaddr'57 ' vsid 0ID 8058 define host add name OM_Report ipaddr '

20、42 ' vsid 0ID 8059 define host add name建行服務(wù)器 2 ipaddr'9 ' vsid 0ID 8060 define host add name建行服務(wù)器 3 ipaddr'0 ' vsid 0ID 8061 define host add name工行服務(wù)器 ipaddr' ' vsid 0ID 8062 define host add name農(nóng)行服務(wù)器 ipaddr'0 ' vs

21、id 0ID 8063 define host add name中行服務(wù)器 ipaddr'9 ' vsid 0ID 8064 define host add name建行服務(wù)器 1 ipaddr'8 ' vsid 0ID 8068 define host add name工行轉(zhuǎn)換地址 ipaddr'0 ' vsid 0ID 8069 define host add name農(nóng)行轉(zhuǎn)換地址 ipaddr'2 ' vsid 0ID 8070 define hos

22、t add name中行轉(zhuǎn)換地址 ipaddr'3 ' vsid 0ID 8071 define host add name建行轉(zhuǎn)換地址 ipaddr'1 ' vsid 0ID 8083 define host add name VPN ipaddr ''vsid 0ID 8084 define host add name RA服務(wù)器 ipaddr'8 ' vsid 0ID 8085 define host add name CA服務(wù)器 ipaddr

23、9;1 ' vsid 0ID 8093 define host add name'5 ' vsid 0ID 8095 define host add name'26 ' vsid 0ID 8096 define host add name'27' vsid 0ID 8100 define host add name DSP1ipaddr'vsid 0ID 8101 defi ne host add name 06 ipaddr&#

24、39;06 ' vsid 0ID 8103 define host add name'66 ' vsid 0ID 8104 define host add name'68 ' vsid 0ID 8105 define host add name'68 ' vsid 0ID 8111 define host add name'53 ' vsid 0ID 8113 define host add name'10.1.25

25、1.60 ' vsid 0ID 8119 define host add name'06 ' vsid 0ID 8120 define host add name'07 ' vsid 0ID 8121 define host add name'08 ' vsid 0ID 8122 define host add name'09 ' vsid 0ID 8123 define host add name'10 '

26、 vsid 0ID 8124 define host add name'11 ' vsid 0ID 8125 define host add name'12 ' vsid 0ID 8126 define host add name'13 ' vsid 0ID 8127 define host add name'16 ' vsid 0ID 8128 define host add name'17 ' vsid 0ID

27、8129 define host add name'18 ' vsid 0郵件服務(wù)器ipaddr 建行前置機(jī)1 ipaddr 建行前置機(jī)2 ipaddr'96數(shù)據(jù)庫(kù)服務(wù)器1 ipaddr 數(shù)據(jù)庫(kù)服務(wù)器2 ipaddr 數(shù)據(jù)庫(kù)虛地址ipaddr 防火墻ipaddr 日志服務(wù)器ipaddr 工行前置機(jī)1 ipaddr 工行前置機(jī)2 ipaddr 工行前置機(jī)3 ipaddr 工行前置機(jī)4 ipaddr 工行前置機(jī)5 ipaddr 工行前置機(jī)6 ipaddr 工行前置機(jī)7 ipaddr 工行前置機(jī)8 ipaddr 農(nóng)行前置機(jī)1 ipadd

28、r 農(nóng)行前置機(jī)2 ipaddr 農(nóng)行前置機(jī)3 ipaddr 農(nóng)行前置機(jī)4 ipaddrID 8130 define host add name'19 ' vsid 0ID 8131 defi ne host add name中行前置機(jī) 1 ipaddr'38 ' vsid 0ID 8132 define host add name中行前置機(jī) 2 ipaddr'39 ' vsid 0ID 8140 define host add name測(cè)試服務(wù)器 ipaddr'10.1.251.

29、61 ' vsid 0ID 8141 define host add name測(cè)試服務(wù)器 2 ipaddr'2 ' vsid 0ID 8143 define host add name 6-47 ipaddr '6 7 ' vsid 0ID 8146 define host add name RA ipaddr '8'vsid 0ID 8147 define host add name VPN1ipaddr '9

30、9;vsid 0ID 8150 define host add name 4 ipaddr'4 ' vsid 0ID 8151 defi ne host add name 3 ipaddr'5 ' vsid 0ID 8154 define host add name DSP1-4 ipaddr'96979899'vsid 0ID 8155 define host add name

31、3 ipaddr'3 ' vsid 0ID 8156 define host add name 91 ipaddr'91 ' vsid 0ID 8161 defi ne host add name 2 ipaddr'2 ' vsid 0ID 8163 define host add name 1 ipaddr'1 ' vsid 0ID 8164 define h

32、ost add name 0 ipaddr'0 ' vsid 0ID 8167 define host add name ipaddr' ' vsid 0ID 8173 define host add name ipaddr' ' vsid 0ID 8181 define host add name DSP198-199 ipaddr '98 99 ' vsid 0ID 8

33、090 define sub net add name ipaddr mask vsid 0ID 8091 define sub net add name ipaddr mask vsid 0ID 8116 defi ne sub net add name3.* ipaddr mask vsid 0ID 8166 defi ne sub net add namesichua n ipaddr mask vsid 0I

34、D 8179 define sub net add name ipaddr mask vsid 0ID 8180 define sub net add name ipaddr mask vsid 0ID 8001 defi ne range add name any ip1 ip2 55 vsid 0ID 8072 define service add name TCP446protocol 6 port 446 vs

35、id 0ID 8074 define service add name TCP14029 protocol 6 port 14029 vsid 0ID 8075 define service add name TCP14030 protocol 6port 14030 vsid 0ID 8078 define service add nameTCP8721protocol 6 port 8721 vsid 0ID 8079 define service add name TCP12020 protocol 6 port 12020 vsid 0ID 8080 define service ad

36、d name TCP12500 protocol 6port 12500 vsid 0ID 8087 define service add nameTCP5656protocol 6 port 5656 vsid 0ID 8088 define service add nameTCP5462protocol 6 port 5462 vsid 0ID 8089 define service add nameTCP5501protocol 6 port 5501 vsid 0ID 8097 define service add nameTCP6800protocol 6 port 6800 vsi

37、d 0ID 8115 define service add name tcp443 protocol 6 port 443 vsid 0ID 8117 define service add nametcp8088 protocol 6 port 8088 vsid 0ID 8133 define service add nametcp8080 protocol 6 port 8080 vsid 0ID 8142 define service add name TCP14031 protocol 6 port 14031 vsid 0ID 8157 define service add name

38、 TCP10001 protocol 6 port 10001 vsid 0ID 8158 define service add nameTCP1522protocol 6 port 1522 vsid 0ID 8174 define service add nameTCP8800protocol 6 port8800 vsid 0網(wǎng)絡(luò)地址 轉(zhuǎn)換ID 8139 nat policy add orig src'農(nóng)行前置機(jī) 1 農(nóng)行前置機(jī)2農(nóng)行前置機(jī)3農(nóng)行前置機(jī)4 ' orig_dst '農(nóng)行服務(wù)器'tra ns_src農(nóng)行轉(zhuǎn)換地址 vsid 0ID 8136 na

39、t policy add orig_src '工行前置機(jī) 1 工行前置機(jī)2工行前置機(jī)3工行前置機(jī)4工行前置機(jī)5工行前置 機(jī)6工行前置機(jī)7工行前置機(jī)8 ' orig_dst '工行服務(wù)器' tran s_src 工行轉(zhuǎn)換地址 vsid 0ID 8137 nat policy add orig_src '建行前置機(jī) 1 建行前置機(jī)2 ' orig_dst '建行服務(wù)器2建行服務(wù)器3建行服務(wù)器1 ' tra ns_src建行轉(zhuǎn)換地址 vsid 0ID 8138 nat policy add orig_src '中行前置機(jī) 1 中

40、行前置機(jī)2 ' orig_dst '中行服務(wù)器'trans_src中行轉(zhuǎn)換地址 vsid 0訪問控制ID 8162 firewall policy add acti on accept src'2 ' dst '3 ' group_ name臨時(shí)vsid 0ID 8169 firewall policy add action accept src 'VPN1VPN ' dst 'any ' group_ name臨時(shí) vsid 0ID 8152 firewall

41、policy add acti on accept src'3 ' dst '4 ' group_ name臨時(shí)vsid 0ID 8153 firewall policy add acti on accept src'4 ' dst '3 ' group_ name臨時(shí)vsid 0ID 8144 firewall policy add acti on accept dstarea'vla n350 接資金系統(tǒng)統(tǒng)'src '

42、;6-47 'group_name 臨時(shí) vsid 0 comment '女全評(píng)估掃描 'ID 8106 firewall policy add acti on accept src' ' dst '數(shù)據(jù)庫(kù)服務(wù)器1數(shù)據(jù)庫(kù)服務(wù)器2數(shù)據(jù)庫(kù)虛地址'service 'TELNET EPMAP(TCP)MICROSOFT-DS(TCP) SQLNet_1521 MSTermi nalDNS_Tra nsfer ' group_ name臨時(shí) vsid 0ID 8102 firewall policy

43、 add acti on accept src' ' dst 'web1 OM_APP1 DSP1 06 ' service 'EPMAP(TCP) MICROSOFT-DS(TCP) MICROSOFT-DS(UDP)PMAP(UDPMSTerminal ' group_name 臨時(shí)vsid 0ID 8114 firewall policy add acti on accept src' ' dst '日志服務(wù)器 測(cè)試服務(wù)器 測(cè)試服務(wù)器2 '

44、 group name 臨時(shí)vsid 0ID 8082 firewall policy add acti on accept src 'any ' dst 'VPN RA VPN1 ' service 'HTTPS PING SSH tcp8080 TELNET ' group_name 臨時(shí) vsid 0ID 8112 firewall policy add acti on accept src' ' dst '防火墻'service 'PING SSHHTTPS 

45、9; group_ name 臨時(shí) vsid 0ID 8073 firewall policy add acti on accept src '工行前置機(jī)1工行前置機(jī)2工行前置機(jī)3工行前置機(jī)4工行前 置機(jī)5工行前置機(jī)6工行前置機(jī)7工行前置機(jī)8 ' dst ' 工 行服務(wù)器'service 'TCP446 PING ' vsid 0ID 8076 firewall policy add acti on accept src '農(nóng)行前置機(jī)1農(nóng)行前置機(jī)2農(nóng)行前置機(jī)3農(nóng)行前置機(jī)4 ' dst '農(nóng)行服務(wù)器'service

46、'TCP14029 TCP14031 PING ' vsid0ID 8077 firewall policy add acti on accept src '中行前置機(jī)1中行前置機(jī)2 ' dst '中行服務(wù)器service'HTTPS PING ' vsid 0ID 8081 firewall policy add acti on accept src '建行前置機(jī)1建行前置機(jī)2 ' dst '建行服務(wù)器2建行服務(wù)器3建行服務(wù)器 1 ' service 'TCP8721 TCP12020TCP125

47、00PING 'vsid 0ID 8086 firewall policy add action accept src 'RA服務(wù)器dst 'CA 服務(wù)器service 'HTTP HTTPS MySQL TCP5656 TCP5462 TCP5501 ' vsid 0ID 8092 firewall policy add acti on accept src' ' dst 'RA服務(wù)器service 'HTTPHTTPS MySQL TCP5656 TCP5462 TCP5501 PIN

48、G ' vsid 0sk2ID 8094 firewall policy add action accept src 'OM_APP1 OM_APP2 OM_APP3 OM_APP4 OM_APP5 OM_Task1 OM_Ta OM_Report ' dst ' 郵件服務(wù)器'service 'SMTP POP3 ' vsid 0ID 8098 firewall policy add acti on accept src '建行服務(wù)器2建行服務(wù)器3建行服務(wù)器1 ' dst ' 建行前置機(jī)1 建行前置機(jī) 2 '

49、; service 'TCP6800 ' vsid 0ID 8118 firewall policy add action accept src 'VPN 'dst 'web1 web2 web3 web4 web5 ' service 'tcp8088 ' vsid 0ID 8165 firewall policy add acti on accept src'0 1 2 ' dst 'any ' vsid 0ID 8176 firewa

50、ll policy add acti on accept src 'any 'dst '0 1 2'vsid 0ID 8178 firewall policy add action accept src 'DSP1-4'dst 'any ' vsid 0ID 8182 firewall policy add acti on accept src' ' dst 'DSP198-199工行前

51、置機(jī) 7農(nóng)行前置機(jī)3 ' vsid 0ID 8110 firewall policy add action deny vsid 0開放服務(wù)ID 8010 pf service add n ame gui area area_eth0 address name anyID 8011 pf service add n ame ssh area area_eth0 address name anyID 8012 pf service add n ame update area area_eth0 address name anyID 8013 pf service add n ame pin

52、g area area_eth0 address name anyID 8029 pf service add n ame webui area area_eth0 address name anyID 8030 pf service add n ame telnet area area_eth0 address name anyID 8035 pf service add n ame webui area接中信國(guó)安address name anyID 8037 pf service add n ame ping area接中信國(guó)安address name anyID 8038 pf serv

53、ice add name ping area接資金系統(tǒng)統(tǒng)address name anyID 8042 pf service add n ame ping area vla n350 address name anyID 8043 pf service add name ssh area接中信國(guó)安address name anyID 8145 pf service add name tel net area接中信國(guó)安address name any雙機(jī)熱備ha mode asha as-vrid 11ha gratuitous-arp 90ha local ha peer 5.5

54、.5.1233.1.2外網(wǎng)防火墻主(93 )風(fēng)險(xiǎn)漏洞詳細(xì)描述本次安全評(píng)估針對(duì)網(wǎng)絡(luò)與安全設(shè)備主要米取人工檢查等方式對(duì)該設(shè)備安全 狀況進(jìn)行了現(xiàn)狀調(diào)查，通過對(duì)該設(shè)備配置的分析，該設(shè)備的安全基本情況如下所 示：1. 該設(shè)備可以通過 Telnet、SSH HTTPS等多種方式進(jìn)行遠(yuǎn)程管理，但是 telnet作為一種不安全的管理方式，在網(wǎng)絡(luò)中明文傳輸帳戶、密碼以及 設(shè)備配置，存在較大的安全風(fēng)險(xiǎn)。2. 該設(shè)備的遠(yuǎn)程IP地址未作嚴(yán)格限定，允許任何IP地址進(jìn)行遠(yuǎn)程管理， 存在一定的安全隱患。 外網(wǎng)防火墻一備(93 )參見 內(nèi)網(wǎng)防

55、火墻一主(29 ).1內(nèi)網(wǎng)防火墻一主(29 )配置分類具體配置備注網(wǎng)口信息n etwork in terface eth0 ip add 4.442 mask52 ha-static label 0network in terface eth1 ip add 53 mask92 label 0network in terface eth2 ip add 29 mask92 label 0network in terface

56、eth3 ip add 5 mask92 label 0路由信息network route add dst /0 gw 93 metric 1 id 100對(duì)象ID 8002 define area add name area_eth0 attribute 'eth0 'access on vsid 0ID 8029 define area add name上連 attribute 'eth1 'access on vsid 0ID 8032 define area add name

57、 VLAN351 attribute 'eth3'access on vsid 0ID 8069 define area add name VLAN352 attribute 'eth2'access on vsid 0ID 8170 define area add name HA attribute 'eth4 ' access on vsid 0ID 8037 define host add name'82 ' vsid 0ID 8038 define host add name'11.209.1.

58、158 ' vsid 0ID 8039 define host add name'97 ' vsid 0ID 8040 define host add name'65 ' vsid 0ID 8041 defi ne host add name'0 ' vsid 0ID 8042 define host add name'2 ' vsid 0ID 8043 define host add name'3 ' vsid

59、0ID 8044 define host add name'1 ' vsid 0ID 8051 defi ne host add name'50 ' vsid 0ID 8052 define host add name'51 ' vsid 0ID 8053 define host add name'52 ' vsid 0ID 8054 define host add name'53 ' vsid 0ID 8055 defi ne host add n ame'54 ' vsid 0ID 8056 define host add name'11.