系统安全配置技术规范-Cisco防火墙.doc

系统安全配置技术规范—Cisco防火墙 版本 V 日期 文档编号 文档发布 文档说明 （一）变更信息 版本号 变更日期 变更者 变更理由/变更内容 备注 （二）文档审核人 姓名 职位 签名 日期 目 录1 适用范围 4 2 账号管理与授权 4 2.1 【基本】设置非特权模式密码 4 2.2 【基本】enable password的使用 4 2.3 【基本】设置与认证系统联动 5 2.4 【基本】设置登录失败处理功能 5 2.5 认证授权最小化 6 3 日志配置要求 7 3.1 【基本】设置日志服务器 7 4 IP协议安全要求 7 4.1 【基本】设置SSH方式访问系统 7 4.2 【基本】远程访问源地址限制 8 4.3 【基本】设置Failover KEY 8 4.4 【基本】关闭不使用的SNMP服务或更正不当权限设置 9 4.5 【基本】SNMP服务的共同体字符串设置 9 4.6 【基本】SNMP服务的访问控制设置 9 4.7 【基本】防火墙策略修订 10 4.8 常见攻击防护 10 4.9 VPN安全加固 10 5 服务配置要求 11 5.1 【基本】启用NTP服务 11 5.2 禁用HTTP配置方式 11 5.3 禁用DHCP服务 12 5.4 启用service resetoutside 12 5.5 启用Floodguard 12 5.6 启用Fragment chain保护 13 5.7 启用RPF保护 13 6 其他配置要求 13 6.1 【基本】系统漏洞检测 13 6.2 【基本】设置登录超时时间 14 6.3 【基本】检查地址转换超时时间 14 6.4 信息内容过滤 14  适用范围 如无特殊说明，本规范所有配置项适用于Cisco ASA/FWSM 7.x系列版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。 账号管理与授权 【基本】设置非特权模式密码 配置项描述 查看是否设置非特权模式密码，且密码长度和强度符合规范要求 检查方法 查看配置文件中是否存在passwd ******** encrypted 操作步骤 1、参考配置操作： (config)# username xxx passwd ******** encrypted 2、补充操作说明： 建议设定本地passwd，并使用了加密命令。密码不少于8位，包含大小写字母、数字和特殊符号。 回退操作 (config)#no username xxx 操作风险 低风险 【基本】enable password的使用 配置项描述 启用enable password，使用encrypted关键字，同时应保证密码不少于8位，包含大小写字母、数字和特殊符号 检查方法 查看配置文件中是否有如下配置： enable password ******** encrypted 操作步骤 1、参考配置操作： (config)# enable password ******** encrypted 2、补充操作说明： 建议使用enable password并进行加密，密码不少于8位，包含大小写字母、数字和特殊符号。 回退操作 (config)# no enable password 操作风险 低风险 【基本】设置与认证系统联动 配置项描述 设置与认证系统联动，对登陆网络设备的用户进行身份鉴别 检查方法 Show running-config aaa 查看 #aaa authentication enable console TACACS+ LOCAL #aaa authentication ssh console TACACS+ LOCAL #aaa authorization command TACACS+ LOCAL? #aaa accounting enable console TACACS+ #aaa accounting serial console TACACS+ #aaa accounting ssh console TACACS+ 操作步骤 1、参考配置操作： #aaa server server_tag protocol {tacacs+ | radius} #aaa server server_tag if_name host server_ip #aaa authentication serial console TACACS+ LOCAL? #aaa authentication enable console TACACS+