安全配置作業(yè)指導書防火墻設備XXXX公司公司2012年7月序言為規(guī)范XXXX公司公司網(wǎng)絡設備的安全管理，建立一致的防火墻設備安全配置標準，特擬定本安全配置作業(yè)指導書。本技術基線由XXXX公司公司提出并歸口本技術基線草擬單位：XXXX公司公司本技術基線主要草擬人：本技術基線主要審查人：目錄1.合用范圍.....................................................錯誤!不決義書簽。2.規(guī)范性引用文件...............................................錯誤!不決義書簽。3.術語和定義...................................................錯誤!不決義書簽。4.防火墻安全配置規(guī)范...........................................錯誤!不決義書簽。.防火墻自己安全性檢查.................................錯誤!不決義書簽。檢查系統(tǒng)時間能否正確.............................錯誤!不決義書簽。檢查能否存在分級用戶管理.........................錯誤!不決義書簽。密碼認證登錄.....................................錯誤!不決義書簽。登陸認證系統(tǒng).....................................錯誤!不決義書簽。登陸失敗辦理系統(tǒng).................................錯誤!不決義書簽。檢查能否做配置的按期備份.........................錯誤!不決義書簽。檢查雙防火墻冗余狀況下，主備切換狀況.............錯誤!不決義書簽。防范信息在網(wǎng)絡傳輸過程中被竊聽...................錯誤!不決義書簽。設備登錄地址進行限制.............................錯誤!不決義書簽。SNMP接見控制................................錯誤!不決義書簽。防火墻自帶的病毒庫、入侵防守庫、應用鑒別、web過濾及時升級錯誤!不決義書簽。.防火墻業(yè)務防守檢查...................................錯誤!不決義書簽。啟用安全域控制功能...............................錯誤!不決義書簽。檢查防火墻接見控制策略...........................錯誤!不決義書簽。防火墻接見控制粒度檢查...........................錯誤!不決義書簽。檢查防火墻的地址變換變換狀況.....................錯誤!不決義書簽。.日記與審計檢查.......................................錯誤!不決義書簽。設備日記的參數(shù)配置...............................錯誤!不決義書簽。防火墻流量日記檢查...............................錯誤!不決義書簽。防火墻設備的審計記錄.............................錯誤!不決義書簽。合用范圍本基作業(yè)指導書范合用于XXXX公司公司各級機構。規(guī)范性引用文件ISO27001標準/ISO27002指南GB17859-1999《計算機信息系統(tǒng)安全保護等級區(qū)分準則》GB/T20271-2006《信息安全技術信息系統(tǒng)通用安全技術要求》GB/T20272-2006《信息安全技術操作系統(tǒng)安全技術要求》GB/T20273-2006《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》3.術語和定義安全設備安全基線：指針對各種安全設備的安全特征，選擇適合的安全控制措施，定義不同網(wǎng)絡設備的最低安全配置要求，則該最低安全配置要求就稱為安全設備安全基線。嚴重漏洞（Critical）：攻擊者可利用此漏洞以網(wǎng)絡蠕蟲或無需用戶任何操作等方式實現(xiàn)完全控制受影響的系統(tǒng)重要漏洞（Important）：攻擊者可利用此漏洞實現(xiàn)破壞用戶數(shù)據(jù)和信息資源的機密性、完好性或可用性。中等漏洞（Moderate）：攻擊者利用此漏洞有可能未經(jīng)受權接見信息。注意，固然攻擊者無法利用此漏洞來執(zhí)行代碼提高他們的用戶權限，但此漏洞可用于生成實用信息，這些信息可用于進一步危及受影響系統(tǒng)的安全。稍微漏洞（Low）：攻擊者平常難以利用此漏洞，也許幾乎不會對信息安全造成顯然損失。防火墻安全配置規(guī)范4.1.防火墻自己安全性檢查4.1.1.檢查系統(tǒng)時間能否正確編號要求內(nèi)容檢查系統(tǒng)時間能否正確加固方法重新和北京時間做校隊現(xiàn)場檢查：以下截圖路徑，檢查系統(tǒng)時間能否和北京時間一致，假如相差在一分鐘以內(nèi)，則以為切合要求，不然需要重新修正。天融信該功能截圖：檢測方法路徑：系統(tǒng)管理=》配置備注4.1.2.檢查能否存在分級用戶管理編號要求內(nèi)容管理員分：超級管理員、管理用戶、審計用戶、虛假系統(tǒng)用戶加固方法在防火墻設備上配置管理賬戶和審計賬戶現(xiàn)場檢查：以下截圖路徑，假如系統(tǒng)中僅存在四個賬戶，分別為：超級管理員、管理用戶、審計用戶、虛假系統(tǒng)用戶，且四個賬號分別對應于各自不一樣級其余權限，則切合要求；如果無三個，則不切合要求檢測方法天融信該功能截圖：路徑：系統(tǒng)管理=》管理員備注4.1.3.密碼認證登錄編號要求內(nèi)容檢查防火墻內(nèi)置賬戶不得存在缺省密碼或弱口令帳戶加固方法更正防火墻設備的登錄設備的口令，滿足安全性及復雜性要求1、口令復雜度檢測方法查察防火墻設備的管理員登錄設備的口令安全性及復雜性，登錄設備考據(jù)口令的復雜性，。假如需要輸進口令而且口令為8位以上，而且是包括字母、數(shù)字、特別字符的混雜體，判斷結(jié)果為切合；假如不需要任何認證過程，判斷結(jié)果為不切合2、檢查賬戶不得使用缺省密碼。天融信防火墻該功能截圖：路徑：系統(tǒng)管理=》管理員備注4.1.4.登陸認證系統(tǒng)編號要求內(nèi)容檢查登陸時能否采納多重身份認證的鑒別技術加固方法采納強度高于用戶名+靜態(tài)口令的認證系統(tǒng)實現(xiàn)用戶身份鑒別1、檢查：現(xiàn)場考據(jù)登陸防火墻，查察能否支持用戶名+靜態(tài)口令；天融信防火墻登陸窗口：檢測方法備注4.1.5.登陸失敗辦理系統(tǒng)編號要求內(nèi)容檢查登陸失敗時辦理系統(tǒng)擁有登錄失敗辦理功能，可采納結(jié)束會話、登陸失敗時阻斷間隔、限制非法登錄次數(shù)加固方法和當防火墻登錄連接超時自動退出等措施1、檢查：防火墻設備上的安全設置，查察其能否有對鑒別失敗采納相應的措施的設置；查看能否有限制非法登錄次數(shù)的功能；管理員登錄地址進行限制；查察登陸失敗時阻斷時間；查察能否設置登錄連接超時，并自動退出；2、測試:考據(jù)鑒別失敗辦理措施（如模擬失敗登錄，觀察設備的動作等），限制非法登錄次數(shù)（如模擬非法登錄，觀察網(wǎng)絡設備的動作等），對設備的管理員登錄地址進行限檢測方法制（如使用任意地址登錄，觀察設備的動作等）等功能能否有效；考據(jù)其網(wǎng)絡登錄連接超自動退出的設置能否有效（如長時間連接無任何操作，觀察觀察網(wǎng)絡設備的動作等）；3、產(chǎn)品舉例：天融信防火墻用戶登錄超時設置：路徑：系統(tǒng)管配置理=>保護=>系統(tǒng)配置備注4.1.6.檢查能否做配置的按期備份編號要求內(nèi)容檢查能否對防火墻的配置按期做備份加固方法督促管理員按期對防火墻做配置備份訪談方式：和管理員認識防火墻配置的備份狀況考據(jù):在網(wǎng)管服務器上，查察防火墻配置文件夾，確認能否按期做配置備份。3加固：檢測方法第一步：天融信防火墻配置導出地點截圖：路徑：系統(tǒng)管理=>保護第二步：網(wǎng)管機上建立防火墻配置文件備份文件夾備注4.1.7.檢查雙防火墻冗余狀況下，主備切換狀況編號要求內(nèi)容檢查雙防火墻冗余狀況下，主備切換狀況加固方法如該功能未達到要求，需廠商人員檢查、加固訪談方式咨詢管理員近期能否有過設備切換現(xiàn)象，切換能否成功等現(xiàn)場考據(jù)拔掉主墻線纜后，備墻可以實現(xiàn)正常切換，網(wǎng)絡快速切換，應用正常。加固措施檢測方法第一步：如該功能未達到，檢查防火墻雙機熱備配置能否正確、監(jiān)控狀態(tài)能否正常第二步：假如配置有誤，需要趕忙協(xié)商廠商人員解決天融信防火墻該功能截圖：路徑：高可用性=》雙機熱備備注4.1.8.防范信息在網(wǎng)絡傳輸過程中被竊聽編號當對網(wǎng)絡設備進行遠程管理時，采納必需措施防范鑒別信息在網(wǎng)絡傳輸過程中被竊要求內(nèi)容聽?？刹杉{HTTPS、SSH等安全遠程管理手段。加固方法檢測方法備注

經(jīng)過https和ssh登陸管理設備。1現(xiàn)場考據(jù)：可以經(jīng)過https和ssh登陸管理設備,判斷結(jié)果為切合；經(jīng)過http和telnet登陸管理設備，判斷結(jié)果為不切合。2加固措施：依據(jù)下述截圖地點，只開放HTTPS,SSH登陸方式，去除其余登陸方式。天融信防火墻該功能截圖：說明：登陸防火墻方法：檢查以下的SSH方式及HTTPS權限配置：路徑：系統(tǒng)管理=》配置=》開放服務4.1.9.設備登錄地址進行限制編號要求內(nèi)容對防火墻設備的管理員登錄地址進行限制加固方法創(chuàng)立同意管理員登陸的IP限制列表1現(xiàn)場檢查：咨詢管理員后，使用同意接見控制列表里面的ip地址可以登錄管理設備，不在控制列表里的ip不可以登錄設備,判斷結(jié)果為切合2設備檢查：檢測方法登陸下述截圖路徑，確認已經(jīng)配置了限制管理員登陸IP列表天融信防火墻該功能截圖：路徑：配置—開放服務備注4.1.10.SNMP接見控制編號要求內(nèi)容設置SNMP接見安全限制，讀寫密碼均已經(jīng)更正，只同意特定主機經(jīng)過SNMP接見網(wǎng)絡設備。加固方法更正缺省密碼和限制IP對防火墻的無受權接見檢測方法1設備檢查登陸至設備的下述路徑，檢查即可。天融信防火墻該功能截圖：路徑：網(wǎng)絡管理—SNMP備注4.1.11.防火墻自帶的病毒庫、入侵防守庫、應用鑒別、web過濾為模塊及時升級編號要求內(nèi)容按期為防火墻的特色庫、病毒庫、入侵防守庫、應用鑒別、web過濾模塊升級。加固方法配置為防火墻的特色庫、、病毒庫、入侵防守庫、應用鑒別、web過濾模塊升級的策略。1現(xiàn)場檢查：檢查能否按期為防火墻的特色庫、病毒庫、入侵防守庫、應用鑒別、web過濾模塊升檢測方法級。查察防火墻系統(tǒng)內(nèi)特色庫的時間和版本信息。天融信該功能的截圖：路徑：系統(tǒng)管理—保護—服務更新備注4.2.防火墻業(yè)務防守檢查4.2.1.啟用安全域控制功能編號要求內(nèi)容依據(jù)業(yè)務需要創(chuàng)立不一樣優(yōu)先級的安全地域現(xiàn)場檢查：第一，依據(jù)業(yè)務狀況，檢查接口名稱，名稱的級別、功能應當清楚，如“內(nèi)網(wǎng)”也許“外網(wǎng)”，不然需要重新確認；天融信防火墻各接口地域有兩個權限一個為同意、一個是嚴禁。因此，檢查時，需要確認，各個接口地域權限的設置。加固方法：加固方法將防火墻各個地域權限設置為嚴禁，這樣默認策略所有為嚴禁。天融信該功能截圖：路徑：資源管理=》地域備注4.2.2.檢查防火墻接見控制策略編號檢查防火墻策略能否嚴格限制通訊的IP地址、協(xié)講和端口，依據(jù)需求控制源主機能要求內(nèi)容夠接見目的主機，和控制源主機不可以接見目的主機。管理員綜合分析防火墻接見控制策略，對源地址、目標地址、開放端口進行細化，刪加固方法除無用、重復的策略。訪談：咨詢管理員防火墻配置策略配置原則，并針對可以策略進行咨詢。檢測方法

執(zhí)行：查察防火墻策略配置規(guī)則，能否存在過多的IP地址段開放協(xié)議、端口的規(guī)則，能否存在無效的策略，防火墻的策略能否嚴實。分析：綜合分析所有防火墻策略，分析能否開放過多IP地址段、協(xié)講和端口，為攻擊者供給了遠程攻擊和入侵控制的可能。天融信該功能截圖：路徑：防火墻=》接見控制備注4.2.3.防火墻接見控制粒度檢查編號要求內(nèi)容檢查防火墻上相應安全策略設置的慎重程度。1、增添接見控制策略阻斷常有的危險端口。加固方法2、細化接見控制策略，所有策略的源、目的、服務三項中，最罕有一項不可以出現(xiàn)any的狀況1、查察阻斷策略中能否存在對tcp135-139、udp135-139、tcp445、udp445、tcp4444、tcp9995-9996、tcp1068、udp69、udp4899、udp1434這些高危端口的限制策略，假如在阻斷策略里沒有，則不切合要求；、假如阻斷策略里沒有，針對這些端口限制的接見出此刻接見控制策略的第一條，則可以以為切合要求；、接見控制里，除上述提到的高危端口限制外，其所有策略的源、目的、服務三項檢測方法

中，最罕有一項不可以出現(xiàn)any的狀況，假如出現(xiàn)則視為不切合要求，特別是針對某一特定服務器的接見限制，假如出現(xiàn)源是any，服務是任何的狀況，則該策略設置是不合格的。天融信該功能截圖：路徑：防火墻=》阻斷策略備注4.2.4.檢查防火墻的地址變換狀況編號要求內(nèi)容檢查防火墻地址變換策略能否切合網(wǎng)絡的實質(zhì)需求加固方法檢查防火墻地址變換策略能否切合網(wǎng)絡的實質(zhì)需求，刪除冗余的地址變換策略現(xiàn)場訪談：咨詢管理員防火墻地址變換配置策略配置原則，并針對策略必需性進行分析。執(zhí)行：查察防火墻策略地址變換配置規(guī)則，能否存在過多的IP地址段開放協(xié)議、端口的規(guī)則，能否存在無效的地址變換策略，地址變換策略能否嚴實。檢測方法天融信防火墻功能截圖路徑：防火墻=》地址變換備注s4.3.日記與審計檢查4.3.1.設備日記的參數(shù)配置編號設備應支持遠程日記功能。所有設備日記均能經(jīng)過遠程日記功能傳輸?shù)饺沼浄掌?。要求?nèi)容如SYSLOG。而且日記一定保存6個月設備應支持最少一種通用的遠程標準日記接口，1、現(xiàn)場檢查：在防火墻上檢查Syslog