防火墙设备安全配置作业指导书(安全加固)
混凝土防火墙作业指导书
混凝土防火墙作业指导书目次1 适用范围 (189)2编写依据 (189)3作业流程 (189)4工作前安全风险辨析及控制措施 (190)5作业准备 (190)6作业方法 (191)7质量控制措施及检验标准 (193)1.适用范围本作业指导书适用于110~500KV电网工程中的钢筋混凝土结构并采用清水混凝土施工工艺的防火墙施工,普通混凝土防火墙施工可参照BDTJ-ZW-07~BDTJ-ZW-09进行作业。
2.编写依据表2-1 编写依据序号引用资料名称1 GB 50300-2001 《建筑工程施工质量验收统一标准》2 GB 50204-2002 《混凝土结构工程施工质量验收规范》3 GBJ 107-1987 《混凝土强度检验评定标准》4 GBJ 169-2009 《清水混凝土应用技术规程》5 DL/T 5201.1-2005《电力建设施工质量验收及评定规程》第1部分:土建工程6 Q/CSG 10017.2-2007《110KV~500KV送变电工程质量验收及评定标准第3部分:变电土建工程》7 Q/CSG 11105-2008《南方电网工程施工工艺控制规范》8 工程设计图纸、施工组织设计(方案)等技术文件2作业流程作业(工序)流程图见图3-1。
开始定位放线墙体钢筋制作安装墙体模板预拼及安装墙体混凝土浇筑墙体混凝土养护墙体模板拆除墙体混凝土表面处理完成图3-1 作业(工序)流程图4 工作前安全风险辨析及控制措施表4-1 工作前安全风险辨析及控制措施表序号安全风险预控措施检查结果1 触电 1.使用三相五线制,实行三级用电保护,使用标准电源开关箱。
禁止使用老化、破损的电源线路2.电动工具的外壳须做可靠接地2 高空坠落1. 临边、走道、平台设置栏杆孔洞口的防护设施应完;2.脚手架应按方案设置安全网,高处作业应挂安全带3 起重伤害1.运输前检查索具,操作人员必须持证上岗。
2.材料吊运时,绑扎应牢固。
3.起重臂下禁止站人或通过。
消防设备安装安全作业指导书
消防设备安装安全作业指导书一、目的本指导书旨在确保消防设备安装作业过程中的安全性,保障施工人员的人身安全和工作环境的安全,提高消防设备安装作业的质量和效率。
二、适用范围本指导书适用于消防设备安装作业的各个阶段,包括预施工准备、施工过程、竣工验收等环节。
三、安全措施1. 熟悉相关规范和要求施工人员应熟悉相关的法律法规、规范和要求,确保施工过程符合相关的安全标准。
2. 定期进行安全培训施工人员应定期进行安全培训,提高他们对安全意识和安全技能的认识和掌握。
3. 配备个人防护装备施工人员应配备相应的个人防护装备,包括安全帽、安全鞋、手套、护目镜等,确保他们的人身安全。
4. 使用安全工具和设备施工人员应使用符合安全标准的工具和设备进行安装作业,确保作业过程的安全性。
5. 遵守临时安全措施施工人员应遵守施工单位制定的临时安全措施,包括施工区域的限制和封闭、施工期间的巡视与检查等。
6. 遵守动火控制措施在涉及动火作业的情况下,施工人员应遵守严格的动火控制措施,确保动火过程的安全性。
7. 建立安全文化施工单位应建立安全文化,通过安全教育、奖惩制度等方式,提高施工人员对安全的重视程度。
四、作业流程及要点1. 预施工准备- 检查设备的完整性和品质,确保消防设备的质量符合要求。
- 准备相应的施工图纸和技术资料,明确施工要求和步骤。
- 做好施工现场的准备工作,包括清理和平整施工现场、提供充足的照明和通风等。
2. 施工过程- 根据施工图纸和技术要求,进行施工准备工作。
- 严格遵守操作规程,正确使用工具和设备进行施工作业。
- 注意施工过程中的安全隐患,及时采取有效措施进行控制和消除。
- 注意施工现场的秩序和整洁,确保施工作业的顺利进行。
3. 竣工验收- 在施工完成后,进行相应的验收工作,确保消防设备安装质量符合要求。
- 对施工现场进行安全检查,排除安全隐患,确保施工人员的人身安全和周边环境的安全。
- 做好相关的总结和汇报工作,提出改进建议,改进消防设备安装作业的质量和效率。
防火墙设备安全配置作业指导书(安全加固)
安全配置作业指导书防火墙设备XXXX集团公司2012年7月前言为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。
本技术基线由XXXX集团公司提出并归口本技术基线起草单位:XXXX集团公司本技术基线主要起草人:本技术基线主要审核人:目录1。
适用范围 (1)2.规范性引用文件 (1)3。
术语和定义 (1)4。
防火墙安全配置规范 (2)4.1. 防火墙自身安全性检查 (2)4。
1。
1.检查系统时间是否准确 (2)4.1.2.检查是否存在分级用户管理 (2)4。
1。
3.密码认证登录 (3)4.1。
4.登陆认证机制 (4)4。
1.5。
登陆失败处理机制 (4)4.1。
6。
检查是否做配置的定期备份 (5)4。
1。
7。
检查双防火墙冗余情况下,主备切换情况64。
1.8。
防止信息在网络传输过程中被窃听 (7)4。
1。
9。
设备登录地址进行限制84。
1。
10.SNMP访问控制 (8)4.1。
11。
防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级 (9)4.2。
防火墙业务防御检查 (10)4.2。
1.启用安全域控制功能 (10)4.2。
2。
检查防火墙访问控制策略 (11)4。
2.3。
防火墙访问控制粒度检查 (12)4。
2。
4。
检查防火墙的地址转换转换情况134.3。
日志与审计检查 (14)4.3.1.设备日志的参数配置 (14)4.3。
2.防火墙流量日志检查 (15)4.3.3。
防火墙设备的审计记录 (15)1.适用范围本基作业指导书范适用于XXXX集团公司各级机构。
2.规范性引用文件ISO27001标准/ISO27002指南GB 17859-1999 《计算机信息系统安全保护等级划分准则》GB/T 20271—2006 《信息安全技术信息系统通用安全技术要求》GB/T 20272-2006 《信息安全技术操作系统安全技术要求》GB/T 20273—2006 《信息安全技术数据库管理系统安全技术要求》GB/T 22239—2008 《信息安全技术信息系统安全等级保护基本要求》3.术语和定义安全设备安全基线:指针对各类安全设备的安全特性,选择合适的安全控制措施,定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。
网络安全配置作业指导书
网络安全配置作业指导书第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.2 常见网络安全威胁 (4)1.3 网络安全防护策略 (4)第2章操作系统安全配置 (5)2.1 Windows系统安全配置 (5)2.1.1 系统更新与补丁管理 (5)2.1.2 用户账户与权限管理 (5)2.1.3 防火墙配置 (5)2.1.4 安全策略设置 (6)2.2 Linux系统安全配置 (6)2.2.1 系统更新与软件包管理 (6)2.2.2 用户账户与权限管理 (6)2.2.3 防火墙配置 (6)2.2.4 安全加固 (6)2.3 macOS系统安全配置 (6)2.3.1 系统更新与软件管理 (6)2.3.2 用户账户与权限管理 (7)2.3.3 防火墙配置 (7)2.3.4 安全设置与防护 (7)第3章网络设备安全配置 (7)3.1 防火墙安全配置 (7)3.1.1 基本配置 (7)3.1.2 访问控制策略 (7)3.1.3 网络地址转换(NAT) (7)3.1.4 VPN配置 (7)3.2 路由器安全配置 (8)3.2.1 基本配置 (8)3.2.2 访问控制 (8)3.2.3 路由协议安全 (8)3.2.4 网络监控与审计 (8)3.3 交换机安全配置 (8)3.3.1 基本配置 (8)3.3.2 VLAN安全 (8)3.3.3 端口安全 (8)3.3.4 链路聚合与冗余 (8)3.3.5 网络监控与审计 (9)第4章应用层安全配置 (9)4.1 Web服务器安全配置 (9)4.1.1 保证Web服务器版本更新 (9)4.1.2 禁用不必要的服务和模块 (9)4.1.4 限制请求方法 (9)4.1.5 文件权限和目录访问控制 (9)4.1.6 配置SSL/TLS加密 (9)4.2 数据库服务器安全配置 (9)4.2.1 数据库软件更新与补丁应用 (9)4.2.2 数据库用户权限管理 (9)4.2.3 数据库加密 (9)4.2.4 备份与恢复策略 (9)4.2.5 日志审计与监控 (9)4.3 邮件服务器安全配置 (10)4.3.1 邮件传输加密 (10)4.3.2 邮件用户身份验证 (10)4.3.3 防病毒和反垃圾邮件措施 (10)4.3.4 邮件服务器访问控制 (10)4.3.5 日志记录与分析 (10)4.3.6 定期更新和漏洞修复 (10)第5章网络边界安全防护 (10)5.1 入侵检测系统(IDS)配置 (10)5.1.1 IDS概述 (10)5.1.2 配置步骤 (10)5.1.3 注意事项 (10)5.2 入侵防御系统(IPS)配置 (11)5.2.1 IPS概述 (11)5.2.2 配置步骤 (11)5.2.3 注意事项 (11)5.3 虚拟专用网络(VPN)配置 (11)5.3.1 VPN概述 (11)5.3.2 配置步骤 (11)5.3.3 注意事项 (12)第6章无线网络安全配置 (12)6.1 无线网络安全基础 (12)6.1.1 无线网络安全概述 (12)6.1.2 无线网络安全协议 (12)6.1.3 无线网络安全关键技术 (12)6.2 无线接入点(AP)安全配置 (12)6.2.1 无线接入点概述 (12)6.2.2 无线接入点安全配置原则 (12)6.2.3 无线接入点安全配置步骤 (12)6.3 无线网络安全监控与防护 (13)6.3.1 无线网络安全监控 (13)6.3.2 无线网络安全防护措施 (13)第7章端点安全防护 (13)7.1 端点防护概述 (13)7.2.1 选择合适的防病毒软件 (13)7.2.2 防病毒软件安装与配置 (14)7.3 端点检测与响应(EDR)系统配置 (14)7.3.1 EDR系统概述 (14)7.3.2 EDR系统配置 (14)第8章数据安全与加密 (14)8.1 数据加密技术 (14)8.1.1 加密概述 (14)8.1.2 对称加密 (15)8.1.3 非对称加密 (15)8.1.4 混合加密 (15)8.2 数字证书与公钥基础设施(PKI) (15)8.2.1 数字证书 (15)8.2.2 公钥基础设施(PKI) (15)8.2.3 数字签名 (15)8.3 数据备份与恢复策略 (15)8.3.1 数据备份 (15)8.3.2 数据恢复 (15)8.3.3 数据备份与恢复策略制定 (15)第9章安全审计与监控 (16)9.1 安全审计策略 (16)9.1.1 审计策略概述 (16)9.1.2 审计策略制定原则 (16)9.1.3 审计策略内容 (16)9.2 安全事件监控 (16)9.2.1 安全事件监控概述 (16)9.2.2 安全事件监控策略 (16)9.2.3 安全事件监控技术 (17)9.3 安全日志分析 (17)9.3.1 安全日志概述 (17)9.3.2 安全日志类型 (17)9.3.3 安全日志分析策略 (17)第10章网络安全防护体系构建与优化 (17)10.1 网络安全防护体系设计 (17)10.1.1 防护体系概述 (18)10.1.2 防护体系架构设计 (18)10.1.3 安全策略制定 (18)10.2 安全防护策略的实施与评估 (18)10.2.1 安全防护策略实施 (18)10.2.2 安全防护效果评估 (18)10.3 持续安全优化与改进措施 (18)10.3.1 安全优化策略 (18)10.3.2 安全改进措施 (19)第1章网络安全基础概念1.1 网络安全的重要性网络安全是保障国家信息安全、维护社会稳定、保护企业及个人信息资产的关键环节。
企业网络安全保护中的防火墙配置指南
企业网络安全保护中的防火墙配置指南随着互联网的迅猛发展,企业越来越依赖互联网来进行业务运营和数据传输。
然而,这也使得企业面临着日益威胁的网络安全风险。
为了保护企业的网络安全,防火墙成为了必不可少的工具。
本文将为您提供一份企业网络安全保护中的防火墙配置指南,以帮助您更好地设置和管理防火墙,保护企业网络免受威胁。
1. 开始前的准备工作在配置防火墙之前,您需要进行一些准备工作。
首先,您需要了解企业的网络基础架构和业务需求。
这将有助于您确定防火墙需要保护的网络边界以及配置策略。
同时,您还需要了解不同类型的防火墙和其功能特点,以便选择最适合企业需求的防火墙设备。
2. 设置网络边界首先,您需要确定企业网络的边界,以确定防火墙的位置。
网络边界通常位于企业内部网络和外部网络之间。
外部网络包括互联网和其他组织的网络。
根据您的网络拓扑,您可以选择在企业内部网络和外部网络之间的主干链路上设置防火墙,或者在企业子网之间设置防火墙。
3. 配置访问控制策略访问控制策略是防火墙最重要的功能之一。
通过配置访问控制列表(ACL),您可以限制进出企业网络的流量。
首先,您需要评估和识别企业内外的网络流量。
然后,根据这些信息配置适当的ACL规则,以允许合法的流量通过并阻止潜在的威胁。
在配置ACL规则时,建议遵循以下几点原则:- 最小权限原则:只允许必要的流量通过。
- 基于最小可信原则:只允许来自可信源的流量。
- 规划和优先原则:根据安全需求,将重要的流量设置为优先级较高。
- 审计和管理原则:定期审计和管理ACL规则,删除不再需要的规则,并确保规则集合的完整性和准确性。
4. 配置虚拟专用网络配置虚拟专用网络(VPN)是保护企业内外通信安全的重要步骤之一。
通过使用加密协议和身份认证技术,VPN可以在公共网络上创建一个安全的通信通道,以便远程办公人员和外部合作伙伴可以安全地访问企业网络。
在配置VPN时,您需要选择合适的VPN协议和身份认证方法,并配置相应的参数,如加密算法、密钥长度和身份验证方式。
防火墙设备安全配置作业指导书安全加固
防火墙设备安全配置作业指导书安全加固12020年4月19日安全配置作业指导书防火墙设备XXXX集团公司7月0 2020年4月19日为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。
本技术基线由XXXX集团公司提出并归口本技术基线起草单位:XXXX集团公司本技术基线主要起草人:本技术基线主要审核人:12020年4月19日1. 适用范围 ...................................................................... 错误!未定义书签。
2. 规范性引用文件 .......................................................... 错误!未定义书签。
3. 术语和定义 .................................................................. 错误!未定义书签。
4. 防火墙安全配置规范................................................... 错误!未定义书签。
4.1. 防火墙自身安全性检查 ................................... 错误!未定义书签。
4.1.1. 检查系统时间是否准确.............................. 错误!未定义书签。
4.1.2. 检查是否存在分级用户管理 ...................... 错误!未定义书签。
4.1.3. 密码认证登录 ............................................. 错误!未定义书签。
4.1.4. 登陆认证机制 ............................................. 错误!未定义书签。
防火墙施工作业指导书样本
防火墙施工作业指导书样本1 适用范围本作业指导书适用于110kV及以上电压等级变电站自动化系统新建和改造项目的安装调试和验收工作,扩建项目和其他电压等级变电站自动化系统的验收工作可参照执行。
2 编写依据下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
表2-1 引用标准及规范名称2作业流程图3-1:验收作业流程3安全风险辨析与预控4.1 防火墙施工作业前,施工项目部根据该项目作业任务、施工条件,参照《电网建设施工安全基准风险指南》(下简称《指南》)开展针对性安全风险评估工作,形成该任务的风险分析表。
4.2按《指南》中与防火墙施工相关联的《电网建设安全施工作业票》(编码:DLZDH-ZW-10-01/01),结合现场实际情况进行差异化分析,确定风险等级,现场技术员填写安全施工作业票,安全员审核,施工负责人签发。
4.3施工负责人核对风险控制措施,并在日站班会上对全体作业人员进行安全交底,接受交底的作业人员负责将安全措施落实到各作业任务和步骤中。
4.4安全施工作业票由施工负责人现场持有,工作内容、地点不变时可连续使用10天,超过10天须重新办理作业票,在工作完成后上交项目部保存备查。
5. 作业准备5.1 人员配备注:作业人数根据具体工程量规模配备。
5.2 主要工器具及仪器仪表配置表5-2 主要工器具及仪器仪表配置表注:主要工器具及仪器仪表根据具体工程量规模配备。
6 作业方法及质量控制措施7 质量控制措施及检验标准7.1质量控制措施7.1.1 严格按照施工图设计、施工组织设计方案和相关技术要求进行施工。
7.1.2 设备到货验收时,要核实设备型号、出厂质量合格证、出厂测试记录、并按要求格式作书面记录。
7.1.3 自动化系统及其设备的配置满足南方电网变电站自动化系统技术规范要求。
防火墙配置和管理手册
防火墙配置和管理手册防火墙是保护计算机网络安全的重要工具之一。
它可以过滤网络流量,阻止恶意的入侵和攻击,从而提高网络的安全性。
本手册将介绍防火墙的配置和管理,帮助用户正确设置和维护防火墙,确保网络的安全性和可靠性。
一、防火墙基础知识1. 防火墙的作用和原理防火墙作为网络的守门员,通过筛选和控制网络流量来保护受保护网络。
其原理是根据预先设定的规则集,对进出网络的数据包进行检测和过滤。
2. 防火墙分类根据部署位置和功能特点,防火墙可以分为网络层防火墙、主机层防火墙和应用层防火墙等不同类型。
用户需根据实际需求选择适合的防火墙类型。
二、防火墙配置1. 硬件防火墙配置硬件防火墙通常是指专用设备,采用硬件芯片实现防火墙功能。
首先,根据网络拓扑结构,将硬件防火墙正确地部署在网络中。
其次,根据需求进行基本设置,包括网络接口配置、管理员密码设置和访问控制规则设置等。
2. 软件防火墙配置软件防火墙可以是在操作系统上安装的软件程序,也可以是基于虚拟化技术的虚拟防火墙。
在软件防火墙配置过程中,需要设置防火墙的工作模式、网络接口设置和访问控制规则等。
三、防火墙管理1. 安全策略管理防火墙安全策略是指针对不同类型的网络流量设置的规则集。
用户需进行安全策略的管理,包括规则的添加、修改和删除等操作。
合理设置安全策略可以提高防火墙的效率,并确保网络的正常运行。
2. 更新和升级由于网络威胁的不断演变,防火墙的规则库和软件版本需要经常更新和升级。
用户需定期检查更新,以确保防火墙具备最新的安全特性和功能。
3. 日志和审计防火墙的日志记录和审计功能对网络安全事件的追踪和分析至关重要。
用户需开启和配置防火墙的日志功能,并定期检查和分析日志,及时发现潜在的安全威胁。
四、防火墙最佳实践1. 最小权限原则根据实际需要,合理划分网络用户的权限,将最低权限原则应用于防火墙的访问控制策略中,最大限度地减少潜在的安全风险。
2. 及时备份和恢复定期备份防火墙的配置和日志文件,以便在系统崩溃或意外事件中能够快速恢复。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全配置作业指导书防火墙设备XXXX集团公司2012年7月前言为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。
本技术基线由XXXX集团公司提出并归口本技术基线起草单位:XXXX集团公司本技术基线主要起草人:本技术基线主要审核人:目录1.适用范围 (1)2.规范性引用文件 (1)3.术语和定义 (1)4.防火墙安全配置规范 (2)4.1.防火墙自身安全性检查 (2)4.1.1.检查系统时间是否准确 (2)4.1.2.检查是否存在分级用户管理 (3)4.1.3.密码认证登录 (3)4.1.4.登陆认证机制 (4)4.1.5.登陆失败处理机制 (5)4.1.6.检查是否做配置的定期备份 (6)4.1.7.检查双防火墙冗余情况下,主备切换情况 (7)4.1.8.防止信息在网络传输过程中被窃听 (8)4.1.9.设备登录地址进行限制 (9)4.1.10.SNMP访问控制 (10)4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级114.2.防火墙业务防御检查 (12)4.2.1.启用安全域控制功能 (12)4.2.2.检查防火墙访问控制策略 (13)4.2.3.防火墙访问控制粒度检查 (14)4.2.4.检查防火墙的地址转换情况 (15)4.3.日志与审计检查 (16)4.3.1.设备日志的参数配置 (16)4.3.2.防火墙流量日志检查 (17)4.3.3.防火墙设备的审计记录 (17)1.适用范围本基作业指导书范适用于XXXX集团公司各级机构。
2.规范性引用文件ISO27001标准/ISO27002指南GB 17859-1999 《计算机信息系统安全保护等级划分准则》GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》GB/T 20272-2006 《信息安全技术操作系统安全技术要求》GB/T 20273-2006 《信息安全技术数据库管理系统安全技术要求》GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》3.术语和定义安全设备安全基线:指针对各类安全设备的安全特性,选择合适的安全控制措施,定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。
严重漏洞(Critical):攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统重要漏洞(Important):攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。
中等漏洞(Moderate):攻击者利用此漏洞有可能未经授权访问信息。
注意,虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息,这些信息可用于进一步危及受影响系统的安全。
轻微漏洞(Low):攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失。
4.防火墙安全配置规范4.1.防火墙自身安全性检查4.1.1.检查系统时间是否准确编号要求内容检查系统时间是否准确加固方法重新和北京时间做校队检测方法1现场检查:如下截图路径,检查系统时间是否和北京时间一致,如果相差在一分钟之内,则认为符合要求,否则需要重新修正。
天融信该功能截图:路径:系统管理=》配置备注4.1.2.检查是否存在分级用户管理编号要求内容管理员分:超级管理员、管理用户、审计用户、虚拟系统用户加固方法在防火墙设备上配置管理账户和审计账户检测方法1现场检查:如下截图路径,如果系统中仅存在四个账户,分别为:超级管理员、管理用户、审计用户、虚拟系统用户,且四个账号分别对应于各自不同级别的权限,则符合要求;如果无三个,则不符合要求天融信该功能截图:路径:系统管理=》管理员备注4.1.3.密码认证登录编号要求内容检查防火墙内置账户不得存在缺省密码或弱口令帐户加固方法修改防火墙设备的登录设备的口令,满足安全性及复杂性要求检测方法1、口令复杂度查看防火墙设备的管理员登录设备的口令安全性及复杂性,登录设备验证口令的复杂性,。
如果需要输入口令并且口令为8位以上,并且是包含字母、数字、特殊字符的混合体,判定结果为符合;如果不需要任何认证过程,判定结果为不符合2、检查账户不得使用缺省密码。
天融信防火墙该功能截图:路径:系统管理=》管理员备注4.1.4.登陆认证机制编号要求内容检查登陆时是否采用多重身份认证的鉴别技术加固方法采用强度高于用户名+静态口令的认证机制实现用户身份鉴别检测方法1、检查:现场验证登陆防火墙,查看是否支持用户名+静态口令;天融信防火墙登陆窗口:4.1.5.登陆失败处理机制1、检查:防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置;查看是否有限制非法登录次数的功能;管理员登录地址进行限制;查看登陆失败时阻断时间;查看是否设置登录连接超时,并自动退出;2、测试:验证鉴别失败处理措施(如模拟失败登录,观察设备的动作等),限制非法登录次数(如模拟非法登录,观察网络设备的动作等),对设备的管理员登录地址进行限制(如使用任意地址登录,观察设备的动作等)等功能是否有效;验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作等);3、产品举例:天融信防火墙用户登录超时设置:路径:系统管配置理=>维护=>系统配置备注4.1.6.检查是否做配置的定期备份编号要求内容检查是否对防火墙的配置定期做备份加固方法督促管理员定期对防火墙做配置备份检测方法1访谈方式:和管理员了解防火墙配置的备份情况2验证:在网管服务器上,查看防火墙配置文件夹,确认是否定期做配置备份。
3加固:第一步:天融信防火墙配置导出位置截图:路径:系统管理=>维护第二步:网管机上建立防火墙配置文件备份文件夹备注4.1.7.检查双防火墙冗余情况下,主备切换情况编号要求内容检查双防火墙冗余情况下,主备切换情况加固方法如该功能未达到要求,需厂商人员检查、加固检测方法1访谈方式咨询管理员近期是否有过设备切换现象,切换是否成功等2现场验证拔掉主墙线缆后,备墙可以实现正常切换,网络快速切换,应用正常。
3加固措施第一步:如该功能未达到,检查防火墙双机热备配置是否正确、监控状态是否正常第二步:如果配置有误,需要尽快协商厂商人员解决天融信防火墙该功能截图:路径:高可用性=》双机热备备注4.1.8.防止信息在网络传输过程中被窃听编号要求内容当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。
可采用HTTPS、SSH等安全远程管理手段。
加固方法通过https和ssh登陆管理设备。
检测方法1现场验证:能够通过https和ssh登陆管理设备,判定结果为符合;通过http和telnet登陆管理设备,判定结果为不符合。
2加固措施:按照下述截图位置,只开放HTTPS,SSH登陆方式,去除其他登陆方式。
天融信防火墙该功能截图:说明:登陆防火墙方法:检查如下的SSH方式及HTTPS权限配置:路径:系统管理=》配置=》开放服务备注4.1.9.设备登录地址进行限制编号要求内容对防火墙设备的管理员登录地址进行限制加固方法创建允许管理员登陆的IP限制列表检测方法1现场检查:咨询管理员后,使用允许访问控制列表里面的ip地址能够登录管理设备,不在控制列表里的ip不能登录设备,判定结果为符合2设备检查:登陆下述截图路径,确认已经配置了限制管理员登陆IP列表天融信防火墙该功能截图:路径:配置—开放服务备注4.1.10.SNMP访问控制编号要求内容设置SNMP访问安全限制,读写密码均已经修改,只允许特定主机通过SNMP访问网络设备。
加固方法修改缺省密码和限制IP对防火墙的无授权访问检测方法1设备检查登陆至设备的下述路径,检查即可。
天融信防火墙该功能截图:路径:网络管理—SNMP备注4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级编号要求内容定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。
加固方法配置为防火墙的特征库、、病毒库、入侵防御库、应用识别、web过滤模块升级的策略。
检测方法1现场检查:检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。
查看防火墙系统内特征库的时间和版本信息。
天融信该功能的截图:路径:系统管理—维护—服务更新备注4.2.防火墙业务防御检查4.2.1.启用安全域控制功能编号要求内容根据业务需要创建不同优先级的安全区域加固方法1现场检查:首先,根据业务情况,检查接口名称,名称的级别、功能应该清晰,如“内网”或者“外网”,否则需要重新确认;天融信防火墙各接口区域有两个权限一个为允许、一个是禁止。
所以,检查时,需要确认,各个接口区域权限的设置。
2加固方法:将防火墙各个区域权限设置为禁止,这样默认策略全部为禁止。
天融信该功能截图:路径:资源管理=》区域备注4.2.2.检查防火墙访问控制策略编号要求内容检查防火墙策略是否严格限制通信的IP地址、协议和端口,根据需求控制源主机能够访问目的主机,和控制源主机不能访问目的主机。
加固方法管理员综合分析防火墙访问控制策略,对源地址、目标地址、开放端口进行细化,删除无用、重复的策略。
检测方法访谈:询问管理员防火墙配置策略配置原则,并针对可以策略进行询问。
执行:查看防火墙策略配置规则,是否存在过多的IP地址段开放协议、端口的规则,是否存在无效的策略,防火墙的策略是否严密。
分析:综合分析全部防火墙策略,分析是否开放过多IP地址段、协议和端口,为攻击者提供了远程攻击和入侵控制的可能。
天融信该功能截图:路径:防火墙=》访问控制备注4.2.3.防火墙访问控制粒度检查编号要求内容检查防火墙上相应安全策略设置的严谨程度。
加固方法1、添加访问控制策略阻断常见的危险端口。
2、细化访问控制策略,所有策略的源、目的、服务三项中,至少有一项不能出现any 的情况检测方法1、查看阻断策略中是否存在对tcp135-139、udp135-139、tcp445、udp445、tcp4444、tcp9995-9996、tcp1068、udp69、udp4899、udp1434这些高危端口的限制策略,如果在阻断策略里没有,则不符合要求;2、如果阻断策略里没有,针对这些端口限制的访问出现在访问控制策略的第一条,则可以认为符合要求;3、访问控制里,除上述提到的高危端口限制外,其所有策略的源、目的、服务三项中,至少有一项不能出现any的情况,如果出现则视为不符合要求,尤其是针对某一特定服务器的访问限制,如果出现源是any,服务是任何的情况,则该策略设置是不合格的。
天融信该功能截图:路径:防火墙=》阻断策略备注编号要求内容检查防火墙地址转换策略是否符合网络的实际需求加固方法检查防火墙地址转换策略是否符合网络的实际需求,删除冗余的地址转换策略检测方法1现场访谈:询问管理员防火墙地址转换配置策略配置原则,并针对策略必要性进行分析。