防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)

1、.安全配置作業(yè)指導(dǎo)書防火墻設(shè)備XXXX集團公司2012年7月.前 言為規(guī)范 XXXX集團公司網(wǎng)絡(luò)設(shè)備的安全管理，建立統(tǒng)一的防火墻設(shè)備安全配置標(biāo)準(zhǔn)，特制定本安全配置作業(yè)指導(dǎo)書。本技術(shù)基線由 XXXX集團公司提出并歸口本技術(shù)基線起草單位： XXXX集團公司本技術(shù)基線主要起草人：本技術(shù)基線主要審核人：.目 錄1.適用范圍 .12.規(guī)范性引用文件 .13.術(shù)語和定義 .14.防火墻安全配置規(guī)范 .24.1.防火墻自身安全性檢查 .24.1.1.檢查系統(tǒng)時間是否準(zhǔn)確 .24.1.2.檢查是否存在分級用戶管理 .24.1.3.密碼認(rèn)證登錄 .34.1.4.登陸認(rèn)證機制 .44.1.5.登陸失敗處理機制 .

2、44.1.6.檢查是否做配置的定期備份 .54.1.7.檢查雙防火墻冗余情況下，主備切換情況.64.1.8.防止信息在網(wǎng)絡(luò)傳輸過程中被竊聽.74.1.9.設(shè)備登錄地址進行限制 .84.1.10.SNMP 訪問控制 .84.1.11.防火墻自帶的病毒庫、入侵防御庫、應(yīng)用識別、web 過濾及時升級 . 94.2.防火墻業(yè)務(wù)防御檢查 .104.2.1.啟用安全域控制功能 .104.2.2.檢查防火墻訪問控制策略 .114.2.3.防火墻訪問控制粒度檢查 .124.2.4.檢查防火墻的地址轉(zhuǎn)換轉(zhuǎn)換情況.134.3.日志與審計檢查 .144.3.1.設(shè)備日志的參數(shù)配置 .144.3.2.防火墻流量日志檢

3、查 .154.3.3.防火墻設(shè)備的審計記錄 .15.1. 適用范圍本基作業(yè)指導(dǎo)書范適用于XXXX集團公司各級機構(gòu)。2. 規(guī)范性引用文件ISO27001 標(biāo)準(zhǔn) /ISO27002 指南GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T 20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求3. 術(shù)語和定義安全設(shè)備安全基線：指針對各類安全設(shè)備的安全特性，選擇合適的安全控制措施，定義

4、不同網(wǎng)絡(luò)設(shè)備的最低安全配置要求，則該最低安全配置要求就稱為安全設(shè)備安全基線。嚴(yán)重漏洞 （Critical）：攻擊者可利用此漏洞以網(wǎng)絡(luò)蠕蟲或無需用戶任何操作等方式實現(xiàn)完全控制受影響的系統(tǒng)重要漏洞 （ Important）：攻擊者可利用此漏洞實現(xiàn)破壞用戶數(shù)據(jù)和信息資源的機密性、完整性或可用性。中等漏洞 （Moderate ）：攻擊者利用此漏洞有可能未經(jīng)授權(quán)訪問信息。注意，雖然攻擊者無法利用此漏洞來執(zhí)行代碼提升他們的用戶權(quán)限，但此漏洞可用于生成有用信息，這些信息可用于進一步危及受影響系統(tǒng)的安全。輕微漏洞 （Low）：攻擊者通常難以利用此漏洞，或者幾乎不會對信息安全造成明顯損失。.4. 防火墻安全配置

5、規(guī)范4.1.防火墻自身安全性檢查4.1.1.檢查系統(tǒng)時間是否準(zhǔn)確編號要求內(nèi)容檢查系統(tǒng)時間是否準(zhǔn)確加固方法重新和北京時間做校隊1 現(xiàn)場檢查：如下截圖路徑，檢查系統(tǒng)時間是否和北京時間一致，如果相差在一分鐘之內(nèi)，則認(rèn)為符合要求，否則需要重新修正。天融信該功能截圖：路徑：系統(tǒng)管理=配置檢測方法備注4.1.2.檢查是否存在分級用戶管理編號要求內(nèi)容管理員分：超級管理員、管理用戶、審計用戶、虛擬系統(tǒng)用戶加固方法在防火墻設(shè)備上配置管理賬戶和審計賬戶1 現(xiàn)場檢查：如下截圖路徑，如果系統(tǒng)中僅存在四個賬戶，分別為：超級管理員、管理用戶、審計檢測方法用戶、虛擬系統(tǒng)用戶，且四個賬號分別對應(yīng)于各自不同級別的權(quán)限，則符合要

6、求；如果無三個，則不符合要求.天融信該功能截圖：路徑：系統(tǒng)管理=管理員備注4.1.3.密碼認(rèn)證登錄編號要求內(nèi)容檢查防火墻內(nèi)置賬戶不得存在缺省密碼或弱口令帳戶加固方法修改防火墻設(shè)備的登錄設(shè)備的口令，滿足安全性及復(fù)雜性要求1、 口令復(fù)雜度查看防火墻設(shè)備的管理員登錄設(shè)備的口令安全性及復(fù)雜性， 登錄設(shè)備驗證口令的復(fù)雜性，。如果需要輸入口令并且口令為 8 位以上，并且是包含字母、數(shù)字、特殊字符的混合體，判定結(jié)果為符合；如果不需要任何認(rèn)證過程，判定結(jié)果為不符合2、檢查賬戶不得使用缺省密碼。天融信防火墻該功能截圖：路徑：系統(tǒng)管理=管理員檢測方法備注.4.1.4.登陸認(rèn)證機制編號要求內(nèi)容檢查登陸時是否采用多重

7、身份認(rèn)證的鑒別技術(shù)加固方法采用強度高于用戶名+靜態(tài)口令的認(rèn)證機制實現(xiàn)用戶身份鑒別1、檢查：現(xiàn)場驗證登陸防火墻，查看是否支持用戶名+靜態(tài)口令；天融信防火墻登陸窗口：檢測方法備注4.1.5.登陸失敗處理機制編號要求內(nèi)容檢查登陸失敗時處理機制加固方法具有登錄失敗處理功能，可采取結(jié)束會話、登陸失敗時阻斷間隔、限制非法登錄次數(shù)和當(dāng)防火墻登錄連接超時自動退出等措施1、檢查：防火墻設(shè)備上的安全設(shè)置，查看其是否有對鑒別失敗采取相應(yīng)的措施的設(shè)置；查看是否有限制非法登錄次數(shù)的功能；管理員登錄地址進行限制；查看登陸失敗時阻斷時間；查看是否設(shè)置登錄連接超時，并自動退出；2、測試 :驗證鑒別失敗處理措施（如模擬失敗登錄

8、，觀察設(shè)備的動作等），限制非法登錄檢測方法次數(shù)（如模擬非法登錄，觀察網(wǎng)絡(luò)設(shè)備的動作等），對設(shè)備的管理員登錄地址進行限制（如使用任意地址登錄，觀察設(shè)備的動作等）等功能是否有效；驗證其網(wǎng)絡(luò)登錄連接超自動退出的設(shè)置是否有效（如長時間連接無任何操作，觀察觀察網(wǎng)絡(luò)設(shè)備的動作等）；3、產(chǎn)品舉例：天融信防火墻用戶登錄超時設(shè)置：路徑：系統(tǒng)管配置理=>維護 =>系統(tǒng)配置.備注4.1.6.檢查是否做配置的定期備份編號要求內(nèi)容檢查是否對防火墻的配置定期做備份加固方法督促管理員定期對防火墻做配置備份1 訪談方式：和管理員了解防火墻配置的備份情況2驗證:在網(wǎng)管服務(wù)器上，查看防火墻配置文件夾，確認(rèn)是否定期做配

9、置備份。3 加固：第一步：天融信防火墻配置導(dǎo)出位置截圖：路徑：系統(tǒng)管理=>維護檢測方法.第二步：網(wǎng)管機上建立防火墻配置文件備份文件夾備注4.1.7.檢查雙防火墻冗余情況下，主備切換情況編號要求內(nèi)容檢查雙防火墻冗余情況下，主備切換情況加固方法如該功能未達到要求，需廠商人員檢查、加固1 訪談方式咨詢管理員近期是否有過設(shè)備切換現(xiàn)象，切換是否成功等2 現(xiàn)場驗證拔掉主墻線纜后，備墻可以實現(xiàn)正常切換，網(wǎng)絡(luò)快速切換，應(yīng)用正常。3 加固措施第一步：如該功能未達到，檢查防火墻雙機熱備配置是否正確、監(jiān)控狀態(tài)是否正常第二步：如果配置有誤，需要盡快協(xié)商廠商人員解決天融信防火墻該功能截圖：路徑：高可用性 =雙機熱

10、備檢測方法備注.4.1.8.防止信息在網(wǎng)絡(luò)傳輸過程中被竊聽編號要求內(nèi)容加固方法當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程管理時，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽?？刹捎?HTTPS 、 SSH 等安全遠(yuǎn)程管理手段。通過 https和 ssh 登陸管理設(shè)備。1 現(xiàn)場驗證：能夠通過https和 ssh 登陸管理設(shè)備, 判定結(jié)果為符合；通過http和 telnet登陸管理設(shè)備，判定結(jié)果為不符合。2 加固措施：按照下述截圖位置，只開放HTTPS,SSH登陸方式，去除其他登陸方式。天融信防火墻該功能截圖：說明：登陸防火墻方法：檢測方法檢查如下的SSH方式及 HTTPS權(quán)限配

11、置：路徑：系統(tǒng)管理=配置 =開放服務(wù).備注4.1.9.設(shè)備登錄地址進行限制編號要求內(nèi)容對防火墻設(shè)備的管理員登錄地址進行限制加固方法創(chuàng)建允許管理員登陸的IP 限制列表1 現(xiàn)場檢查：咨詢管理員后，使用允許訪問控制列表里面的ip 地址能夠登錄管理設(shè)備，不在控制列表里的ip 不能登錄設(shè)備, 判定結(jié)果為符合2 設(shè)備檢查：登陸下述截圖路徑，確認(rèn)已經(jīng)配置了限制管理員登陸IP 列表天融信防火墻該功能截圖：路徑：配置開放服務(wù)檢測方法備注4.1.10.SNMP訪問控制編號要求內(nèi)容設(shè)置 SNMP訪問安全限制， 讀寫密碼均已經(jīng)修改，只允許特定主機通過SNMP訪問網(wǎng)絡(luò)設(shè)備。加固方法修改缺省密碼和限制IP 對防火墻的無授

12、權(quán)訪問檢測方法1 設(shè)備檢查登陸至設(shè)備的下述路徑，檢查即可。天融信防火墻該功能截圖：.路徑：網(wǎng)絡(luò)管理SNMP備注4.1.11.防火墻自帶的病毒庫、入侵防御庫、應(yīng)用識別、web過濾為模塊及時升級編號要求內(nèi)容定期為防火墻的特征庫、病毒庫、入侵防御庫、應(yīng)用識別、web 過濾模塊升級。加固方法配置為防火墻的特征庫、病毒庫、入侵防御庫、應(yīng)用識別、web 過濾模塊升級的策略。1 現(xiàn)場檢查：檢查是否定期為防火墻的特征庫、病毒庫、入侵防御庫、應(yīng)用識別、web 過濾模塊升檢測方法級。查看防火墻系統(tǒng)內(nèi)特征庫的時間和版本信息。天融信該功能的截圖：路徑：系統(tǒng)管理維護服務(wù)更新.備注4.2.防火墻業(yè)務(wù)防御檢查4.2.1.啟

13、用安全域控制功能編號要求內(nèi)容根據(jù)業(yè)務(wù)需要創(chuàng)建不同優(yōu)先級的安全區(qū)域1 現(xiàn)場檢查：首先，根據(jù)業(yè)務(wù)情況，檢查接口名稱，名稱的級別、功能應(yīng)該清晰，如“內(nèi)網(wǎng)”或者“外網(wǎng)”，否則需要重新確認(rèn)；天融信防火墻各接口區(qū)域有兩個權(quán)限一個為允許、一個是禁止。所以，檢查時，需要確認(rèn)，各個接口區(qū)域權(quán)限的設(shè)置。加固方法2 加固方法：將防火墻各個區(qū)域權(quán)限設(shè)置為禁止，這樣默認(rèn)策略全部為禁止。天融信該功能截圖：路徑：資源管理=區(qū)域.備注4.2.2.檢查防火墻訪問控制策略編號要求內(nèi)容檢查防火墻策略是否嚴(yán)格限制通信的IP 地址、協(xié)議和端口，根據(jù)需求控制源主機能夠訪問目的主機，和控制源主機不能訪問目的主機。加固方法管理員綜合分析防火

14、墻訪問控制策略，對源地址、目標(biāo)地址、開放端口進行細(xì)化，刪除無用、重復(fù)的策略。訪談： 詢問管理員防火墻配置策略配置原則，并針對可以策略進行詢問。執(zhí)行： 查看防火墻策略配置規(guī)則，是否存在過多的IP 地址段開放協(xié)議、端口的規(guī)則，是否存在無效的策略，防火墻的策略是否嚴(yán)密。檢測方法分析： 綜合分析全部防火墻策略，分析是否開放過多IP 地址段、協(xié)議和端口，為攻擊者提供了遠(yuǎn)程攻擊和入侵控制的可能。天融信該功能截圖：路徑：防火墻 =訪問控制.備注4.2.3.防火墻訪問控制粒度檢查編號要求內(nèi)容檢查防火墻上相應(yīng)安全策略設(shè)置的嚴(yán)謹(jǐn)程度。1、添加訪問控制策略阻斷常見的危險端口。加固方法2、細(xì)化訪問控制策略，所有策略的

15、源、目的、服務(wù)三項中，至少有一項不能出現(xiàn)any的情況1、查看阻斷策略中是否存在對 tcp135-139 、udp135-139 、tcp445 、udp445、tcp4444 、 tcp9995-9996 、tcp1068 、udp69、udp4899、udp1434 這些高危端口的限制策略，如果在阻斷策略里沒有，則不符合要求；2 、如果阻斷策略里沒有，針對這些端口限制的訪問出現(xiàn)在訪問控制策略的第一條，則可以認(rèn)為符合要求；檢測方法3 、訪問控制里，除上述提到的高危端口限制外，其所有策略的源、目的、服務(wù)三項中，至少有一項不能出現(xiàn)any 的情況，如果出現(xiàn)則視為不符合要求，尤其是針對某一特定服務(wù)器的

16、訪問限制，如果出現(xiàn)源是 any，服務(wù)是任何的情況，則該策略設(shè)置是不合格的。天融信該功能截圖：路徑：防火墻=阻斷策略.備注4.2.4.檢查防火墻的地址轉(zhuǎn)換情況編號要求內(nèi)容檢查防火墻地址轉(zhuǎn)換策略是否符合網(wǎng)絡(luò)的實際需求加固方法檢查防火墻地址轉(zhuǎn)換策略是否符合網(wǎng)絡(luò)的實際需求，刪除冗余的地址轉(zhuǎn)換策略1 現(xiàn)場訪談：詢問管理員防火墻地址轉(zhuǎn)換配置策略配置原則，并針對策略必要性進行分析。執(zhí)行：查看防火墻策略地址轉(zhuǎn)換配置規(guī)則，是否存在過多的IP 地址段開放協(xié)議、端檢測方法口的規(guī)則，是否存在無效的地址轉(zhuǎn)換策略，地址轉(zhuǎn)換策略是否嚴(yán)密。天融信防火墻功能截圖路徑：防火墻=地址轉(zhuǎn)換.備注s4.3.日志與審計檢查4.3.1.設(shè)備日志的參數(shù)配置編號設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。要求內(nèi)容設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如 SYSLOG。并且日志必須保存6 個月1、 現(xiàn)場檢查：在防火墻上檢查Syslog 項，是否已配置將日志傳輸?shù)饺罩痉?wù)器，否則為不符合加固方法天融信防火墻日志配置：