思科防火墙安全配置风险评估检查表

思科防火墙设备安全配置要求目录第1章 概述.........................................................................................................................................1 1.1 目的.........................................................................................................................................1 1.2 适用范围.................................................................................................................................1 1.3 适用版本.................................................................................................................................1 第2章 账号管理、认证授权基线.....................................................................................................2 2.1 账户基线.................................................................................................................................2 2.2 口令基线.................................................................................................................................2 2.3 认证.........................................................................................................................................2 第3章 日志基线.................................................................................................................................3 第4章 IP协议安全基线要求........................................................................................................3 4.1 基本协议安全基线.................................................................................................................3 4.2 路由协议安全基线.................................................................................................................4 4.3 SNMP协议安全基线..............................................................................................................5 第5章 其他安全基线.........................................................................................................................5 第1章概述1.1目的本文档规定了思科PIX防火墙应当遵循的数据库安全性设置标准，本文档旨在指导网络管理人员进行思科PIX防火墙的安全配置。1.2适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。1.3适用版本各类思科PIX防火墙第2章账号管理、认证授权基线2.1账户基线基线编号基线内容JX-CP-PZ-1应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。JX-CP-PZ-2应删除与设备运行、维护等工作无关的账号。2.2口令基线基线编号基线内容JX-CP-PZ-3静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用USERNAMEUSERNAMEPASSWORDPASSWORDENCRYPTED配置用户密码，不使用PASSWORD配置用户密码。2.3认证基线编号基线内容JX-CP-PZ-7-OPT设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。第3章日志基线JX-CP-PZ-4-OPT与记账服务器(如RADIUS服务器或TACACS服务器)配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。JX-CP-PZ-5-OPT与记账服务器(如TACACS服务器)配合，设备应配置日志功能，记录用户对设备的操作，如账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。JX-CP-PZ-6-OPT开启NTP服务，保证日志功能记录的时间的准确性。第4章IP协议安全基线要求4.1基本协议安全基线基线编号基线内容JX-CP-PZ-8-OPT配置防火墙，防止地址欺骗。JX-CP-PZ-9防火墙以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为TELNET服务器、WEB服务器、FTP服务器、SSH服务器等，应配置防火墙，只允许特定主机访问。JX-CP-PZ-10-OPT过滤已知攻击：在防火墙上，设置安全访问控制，过滤掉已知安全攻击数据包，例如UDP1434端口（防止SQLSLAMMER蠕虫）、TCP445,5800,5900（防止DELLA蠕虫）。JX-CP-PZ-11功能禁用：禁用IP源路由功能，除非特别需要。禁用PROXYARP功能。禁用直播（IPDIRECTEDBROADCAST）功能在非可信网段内禁用IP重定向功能。在非可信网段内禁用IP掩码响应功能JX-CP-PZ-12-OPT启用协议的认证，加密功能设备与RADIUS服务器、TACACS服务器、NTP服务器、SNMPV3主机等支持认证加密功能的主机进行通信时，尽可能启用协议的认证加密功能，保证通信安全。4.2路由协议安全基线基线编号基线内容JX-CP-PZ-13启用动态IGP（RIPV2、OSPF、ISIS等）协议时，启用路由协议认证功能，如MD5加密，确保与可信方进行路由协议交互。JX-CP-PZ-14在网络边界运行IGP动态路由协议时，配置路由更新策略，只接受合法的路由更新，防止非法路由注入。只发布所需的路由更新，防止路由信息泄漏。4.3SNMP协议安全基线基线编号基线内容JX-CP-PZ-15修改SNMP的COMMUNITY默认通行字，通行字符串应符合口令强度要求。JX-CP-PZ-16只与特定主机进行SNMP协议交互JX-CP-PZ-17-OPT未使用SNMP的WRITE功能时，禁用SNMP的写（WRITE）功能。第5章其他安全基线基线编号基线内容JX-CP-PZ-18关闭未使用的接口，如防火墙的AUX口。JX-CP-PZ-19-OPT要修改路由防火墙缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。JX-CP-PZ-20配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。JX-CP-PZ-21配置CONSOL口密码保护功能。JX-CP-PZ-23关闭不必要的网络服务或功能禁用TCPSMALLSERVERS禁用UDPSMALLSERVERS禁用FINGER禁用HTTPSERVER禁用BOOTPSERVER关闭DNS查询功能，如要使用该功能，则显式配置DNSSERVER