防火墙设备安全配置作业指导书安全加固

安全配置作业指导书防火墙设备XXXX集团公司2012年7月1前言为规范XXXX集团公司网络设备的安全管理，建立统一的防火墙设备安全配置标准，特制定本安全配置作业指导书。本技术基线由XXXX集团公司提出并归口本技术基线起草单位：XXXX集团公司本技术基线主要起草人：本技术基线主要审核人：1目录1.适用范围.........................................................................................................................................12.规范性引用文件.............................................................................................................................13.术语和定义.....................................................................................................................................14.防火墙安全配置规范.....................................................................................................................24.1.防火墙自身安全性检查.................................................................................................24.1.1.检查系统时间是否准确.........................................................................................24.1.2.检查是否存在分级用户管理.................................................................................24.1.3.密码认证登录.........................................................................................................34.1.4.登陆认证机制.........................................................................................................44.1.5.登陆失败处理机制.................................................................................................44.1.6.检查是否做配置的定期备份.................................................................................54.1.7.检查双防火墙冗余情况下，主备切换情况.........................................................64.1.8.防止信息在网络传输过程中被窃听.....................................................................74.1.9.设备登录地址进行限制.........................................................................................84.1.10.SNMP访问控制..............................................................................................84.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级.....94.2.防火墙业务防御检查...................................................................................................104.2.1.启用安全域控制功能...........................................................................................104.2.2.检查防火墙访问控制策略...................................................................................114.2.3.防火墙访问控制粒度检查...................................................................................124.2.4.检查防火墙的地址转换转换情况.......................................................................134.3.日志与审计检查...........................................................................................................144.3.1.设备日志的参数配置...........................................................................................144.3.2.防火墙流量日志检查...........................................................................................154.3.3.防火墙设备的审计记录.......................................................................................1511.适用范围本基作业指导书范适用于XXXX集团公司各级机构。2.规范性引用文件ISO27001标准/ISO27002指南GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T20271-2006《信息安全技术信息系统通用安全技术要求》GB/T20272-2006《信息安全技术操作系统安全技术要求》GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》3.术语和定义安全设备安全基线：指针对各类安全设备的安全特性，选择合适的安全控制措施，定义不同网络设备的最低安全配置要求，则该最低安全配置要求就称为安全设备安全基线。严重漏洞（Critical）：攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统重要漏洞（Important）：攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。中等漏洞（Moderate）：攻击者利用此漏洞有可能未经授权访问信息。注意，虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限，但此漏洞可用于生成有用信息，这些信息可用于进一步危及受影响系统的安全。轻微漏洞（Low）：攻击者通常难以利用此漏洞，或者几乎不会对信息安全造成明显损失。24.防火墙安全配置规范4.1.防火墙自身安全性检查4.1.1.检查系统时间是否准确编号要求内容检查系统时间是否准确加固方法重新和北京时间做校队检测方法1现场检查：如下截图路径，检查系统时间是否和北京时间一致，如果相差在一分钟之内，则认为符合要求，否则需要重新修正。天融信该功能截图：路径：系统管理=》配置备注4.1.2.检查是否存在分级用户管理编号要求内容管理员分：超级管理员、管理用户、审计用户、虚拟系统用户加固方法在防火墙设备上配置管理账户和审计账户检测方法1现场检查：如下截图路径，如果系统中仅存在四个账户，分别为：超级管理员、管理用户、审计用户、虚拟系统用户，且四个账号分别对应于各自不同级别的权限，则符合要求；如果无三个，则不符合要求3天融信该功能截图：路径：系统管理=》管理员备注4.1.3.密码认证登录编号要求内容检查防火墙内置账户不得存在缺省密码或弱口令帐户加固方法修改防火墙设备的登录设备的口令，满足安全性及复杂性要求检测方法1、口令复杂度查看防火墙设备的管理员登录设备的口令安全性及复杂性，登录设备验证口令的复杂性，。如果需要输入口令并且口令为8位以上，并且是包含字母、数字、特殊字符的混合体，判定结果为符合；如果不需要任何认证过程，判定结果为不符合2、检查账户不得使用缺省密码。天融信防火墙该功能截图：路径：系统管理=》管理员备注44.1.4.登陆认证机制编号要求内容检查登陆时是否采用多重身份认证的鉴别技术加固方法采用强度高于用户名+静态口令的认证机制实现用户身份鉴别检测方法1、检查：现场验证登陆防火墙，查看是否支持用户名+静态口令；天融信防火墙登陆窗口：备注4.1.5.登陆失败处理机制编号要求内容检查登陆失败时处理机制加固方法具有登录失败处理功能，可采取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施检测方法1、检查：防火墙设备上的安全设置，查看其是否有对鉴别失败采取相应的措施的设置；查看是否有限制非法登录次数的功能；管理员登录地址进行限制；查看登陆失败时阻断时间；查看是否设置登录连接超时，并自动退出；2、测试:验证鉴别失败处理措施（如模拟失败登录，观察设备的动作等），限制非法登录次数（如模拟非法登录，观察网络设备的动作等），对设备的管理员登录地址进行限制（如使用任意地址登录，观察设备的动作等）等功能是否有效；验证其网络登录连接超自动退出的设置是否有效（如长时间连接无任何操作，观察观察网络设备的动作等）；3、产品举例：天融信防火墙用户登录超时设置：路径：系统管配置理=维护=系统配置5备注4.1.6.检查是否做配置的定期备份编号要求内容检查是否对防火墙的配置定期做备份加固方法督促管理员定期对防火墙做配置备份检测方法1访谈方式：和管理员了解防火墙配置的备份情况2验证:在网管服务器上，查看防火墙配置文件夹，确认是否定期做配置备份。3加固：第一步：天融信防火墙配置导出位置截图：路径：系统管理=维护6第二步：网管机上建立防火墙配置文件备份文件夹备注4.1.7.检查双防火墙冗余情况下，主备切换情况编号要求内容检查双防火墙冗余情况下，主备切换情况加固方法如该功能未达到要求，需厂商人员检查、加固检测方法1访谈方式咨询管理员近期是否有过设备切换现象，切换是否成功等2现场验证拔掉主墙线缆后，备墙可以实现正常切换，网络快速切换，应用正常。3加固措施第一步：如该功能未达到，检查防火墙双机热备配置是否正确、监控状态是否正常第二步：如果配置有误，需要尽快协商厂商人员解决天融信防火墙该功能截图：路径：高可用性=》双机热备备注74.1.8.防止信息在网络传输过程中被窃听编号要求内容当对网络设备进行远程管理时，采取必要措施防止鉴别信息在网络传输过程中被窃听。可采用HTTPS、SSH等安全远程管理手段。加固方法