NetScreen防火墙安全配置基线讲解.doc

NetScreen防火墙 版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 账号管理、认证授权安全要求 2 2.1 账号管理 2 2.1.1 用户账号分配* 2 2.1.2 删除无关的账号* 2 2.1.3 帐户登录超时* 3 2.1.4 帐户密码错误自动锁定* 4 2.2 口令 4 2.2.1 静态口令以密文形式存放 4 2.3 授权 5 2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 5 第3章 日志及配置安全要求 6 3.1 日志安全 6 3.1.1 对用户登录进行记录 6 3.1.2 记录用户对设备的操作 7 3.1.3 记录与设备相关的安全事件 7 3.1.4 开启记录NAT日志 8 3.1.5 开启记录VPN日志* 9 3.1.6 配置记录流量日志 9 3.1.7 配置记录拒绝和丢弃报文规则的日志 10 3.1.8 配置记录防火墙管理员操作日志 10 3.2 告警配置要求 11 3.2.1 配置对防火墙本身的攻击或内部错误告警 11 3.2.2 配置TCP/IP协议网络层异常报文攻击告警 12 3.2.3 配置DOS和DDOS攻击告警 13 3.2.4 配置关键字内容过滤功能告警 13 3.3 安全策略配置要求 14 3.3.1 访问规则列表最后一条必须是拒绝一切流量 14 3.3.2 配置访问规则应尽可能缩小范围 15 3.3.3 VPN用户按照访问权限进行分组* 16 3.3.4 访问规则进行分组* 17 3.3.5 配置NAT地址转换 18 3.3.6 隐藏防火墙字符管理界面的bannner信息 18 3.3.7 关闭非必要服务* 19 3.3.8 防火墙各逻辑接口配置开启防源地址欺骗功能 19 第4章 IP协议安全要求 21 4.1 IP协议 21 4.1.1 过滤所有和业务不相关的流量。 21 4.2 功能配置 22 4.2.1 使用SNMP V2或V3的版本对防火墙远程管理 22 第5章 其他安全要求 23 5.1 其他安全配置 23 5.1.1 配置consol口密码保护功能 23 5.1.2 图形界面应配置自动锁屏 23 5.1.3 外网口地址关闭对ping包的回应 24 5.1.4 对防火墙的管理地址做源地址限制 24 第6章 评审与修订 26 概述 目的 本文档旨在指导系统管理人员进行的安全配置。本的使用者包括：、网络安全管理员。实施例外条款 账号管理、认证授权安全要求 账号管理 用户账号分配* 安全基线项目名称 用户账号分配安全基线要求项 安全基线编号 SBL-NetScreen-02-01-01 安全基线项说明 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 检测操作步骤 1．参考配置操作 新建用户： NetScreen- set admin user user1 password user123 NetScreen- set admin user user2 password user123 NetScreen- save 2．补充操作说明 基线符合性判定依据 1.判定条件 配置文件存在多帐号 2.检测操作 查看配置： NetScreen- get config set admin user user1 password nEJ/NqrIDN/EcWxGmsdBB2AtkNKBvn set admin user user2 password nDbuCtrzCciDck8NosFBHaOt02BnYn …… 备注 需要手工检测。 删除无关的账号* 安全基线项目名称 无关的账号安全基线要求项 安全基线编号 SBL-NetScreen-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的账号。 检测操作步骤 1．参考配置操作 删除用户： NetScreen- unset admin user user1 NetScreen- save 2．补充操作说明 基线符合性判定依据 1.判定条件 网络管理员确认所有帐号与设备运行、维护等工作有关 2.检测操作 查看配置： NetScreen- get config set admin user user2 password nDbuCtrzCciDck8NosFBHaOt02BnYn …… 备注 需要手工检测