您的位置:360文档中心› 防火墙设备安全配置作业指导书(安全加固)

防火墙设备安全配置作业指导书(安全加固)

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

安全配置作业指导书防火墙设备

XXXX集团公司

2012年7月

前言

为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。

本技术基线由XXXX集团公司提出并归口

本技术基线起草单位:XXXX集团公司

本技术基线主要起草人:

本技术基线主要审核人:

目录

1.适用范围 (1)

2.规范性引用文件 (1)

3.术语和定义 (1)

4.防火墙安全配置规范 (2)

4.1. 防火墙自身安全性检查 (2)

4.1.1.检查系统时间是否准确 (2)

4.1.2.检查是否存在分级用户管理 (2)

4.1.3.密码认证登录 (3)

4.1.4.登陆认证机制 (4)

4.1.5.登陆失败处理机制 (4)

4.1.6.检查是否做配置的定期备份 (5)

4.1.7.检查双防火墙冗余情况下,主备切换情况 (6)

4.1.8.防止信息在网络传输过程中被窃听 (7)

4.1.9.设备登录地址进行限制 (8)

4.1.10.SNMP访问控制 (8)

4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级 (9)

4.2. 防火墙业务防御检查 (10)

4.2.1.启用安全域控制功能 (10)

4.2.2.检查防火墙访问控制策略 (11)

4.2.3.防火墙访问控制粒度检查 (12)

4.2.4.检查防火墙的地址转换转换情况 (13)

4.3. 日志与审计检查 (14)

4.3.1.设备日志的参数配置 (14)

4.3.2.防火墙流量日志检查 (15)

4.3.3.防火墙设备的审计记录 (15)

1.适用范围

本基作业指导书范适用于XXXX集团公司各级机构。

2.规范性引用文件

ISO27001标准/ISO27002指南

GB 17859-1999 《计算机信息系统安全保护等级划分准则》

GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》

GB/T 20272-2006 《信息安全技术操作系统安全技术要求》

GB/T 20273-2006 《信息安全技术数据库管理系统安全技术要求》

GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》

3.术语和定义

安全设备安全基线:指针对各类安全设备的安全特性,选择合适的安全控制措施,定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。

严重漏洞(Critical):攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统

重要漏洞(Important):攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。

中等漏洞(Moderate):攻击者利用此漏洞有可能未经授权访问信息。注意,虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息,这些信息可用于进一步危及受影响系统的安全。

轻微漏洞(Low):攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失。

4.防火墙安全配置规范

4.1.防火墙自身安全性检查

4.1.1.检查系统时间是否准确

编号

要求内容检查系统时间是否准确加固方法重新和北京时间做校队

检测方法1现场检查:

如下截图路径,检查系统时间是否和北京时间一致,如果相差在一分钟之内,则认为符合要求,否则需要重新修正。

天融信该功能截图:

路径:系统管理=》配置

备注

4.1.2.检查是否存在分级用户管理

编号

要求内容管理员分:超级管理员、管理用户、审计用户、虚拟系统用户加固方法在防火墙设备上配置管理账户和审计账户

检测方法1现场检查:

如下截图路径,如果系统中仅存在四个账户,分别为:超级管理员、管理用户、审计用户、虚拟系统用户,且四个账号分别对应于各自不同级别的权限,则符合要求;如果无三个,则不符合要求

天融信该功能截图:

路径:系统管理=》管理员

备注

4.1.3.密码认证登录

编号

要求内容检查防火墙内置账户不得存在缺省密码或弱口令帐户

加固方法修改防火墙设备的登录设备的口令,满足安全性及复杂性要求

检测方法1、口令复杂度

查看防火墙设备的管理员登录设备的口令安全性及复杂性,登录设备验证口令的复杂性,。

如果需要输入口令并且口令为8位以上,并且是包含字母、数字、特殊字符的混合体,判定结果为符合;如果不需要任何认证过程,判定结果为不符合

2、检查账户不得使用缺省密码。

天融信防火墙该功能截图:

路径:系统管理=》管理员

备注

4.1.4.登陆认证机制

编号

要求内容检查登陆时是否采用多重身份认证的鉴别技术

加固方法采用强度高于用户名+静态口令的认证机制实现用户身份鉴别

检测方法1、检查:

现场验证登陆防火墙,查看是否支持用户名+静态口令;天融信防火墙登陆窗口:

备注

4.1.

5.登陆失败处理机制

编号

要求内容检查登陆失败时处理机制

加固方法具有登录失败处理功能,可采取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施

检测方法1、检查:

防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置;查看是否有限制非法登录次数的功能;管理员登录地址进行限制;查看登陆失败时阻断时间;查看是否设置登录连接超时,并自动退出;

2、测试:

验证鉴别失败处理措施(如模拟失败登录,观察设备的动作等),限制非法登录次数(如模拟非法登录,观察网络设备的动作等),对设备的管理员登录地址进行限制(如使用任意地址登录,观察设备的动作等)等功能是否有效;验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作等);

3、产品举例:

天融信防火墙用户登录超时设置:

路径:系统管配置理=>维护=>系统配置

相关文档
最新文档