NETSCREEN防火墙安全配置风险评估检查表.docVIP

Netscreen防火墙设备安全配置要求 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 第2章 适用性安全要求 2 2.1 帐号 2 2.2 口令 4 2.3 授权 5 2.4 日志 6 2.5 访问控制 7 第3章 增强安全要求 9 3.1 认证 9 3.2 Banner定义 9 3.3 登录IP 10 概述 目的 本文档规定了应当遵循的安全性设置标准，本文档旨在指导管理人员进行的安全配置。本的使用者包括：管理员、应用管理员、网络安全管理员。Version 5.1.0。 适用性安全要求 帐号 编号：JX-TY-PZ-1-opt 要求内容 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 set admin name name set admin password password ;修改根用户管理口令和密码 set admin user name name password password privilege [all | read-only] ；建立系统管理员口令和密码，分只读和读写权限 2．补充操作说明 检测方法 1.判定条件 配置文件中，存在不同的帐号分配 网络管理员确认用户与帐号分配关系明确 2.检测操作 get config all 编号：JX-TY-PZ-2-opt 要求内容 应删除与设备运行、维护等工作无关的账号。 操作指南 1．参考配置操作 unset admin name name 检测方法 1.判定条件 配置文件存在多帐号 网络管理员确认所有帐号与设备运行、维护等工作有关 2.检测操作 get config all 编号：JX-TY-PZ-3-opt 要求内容 限制具备根管理员权限的用户远程登录。 操作指南 1．参考配置操作 set admin name name set admin password password ;修改根用户管理口令和密码 set admin user name name password password privilege [all | read-only] ；建立系统管理员口令和密码，分只读和读写权限 set admin root access console ;只能从console登录 set admin auth console timeout 300 2．补充操作说明 设定账号密码加密保存 设定超时时间为5分钟； 检测方法 1.判定条件 配置root从console登录 限定普通帐号的权限 2.检测操作 get config all 编号: JX-TY-PZ-7-opt 要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 操作指南 参考配置操作 set admin access attempts 6 补充操作说明 　 检测方法 1.判定条件 是否对失败登录限制的配置 2.检测操作 get config all 口令 编号: JX-TY-PZ-4 要求内容 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号等。 操作指南 参考配置操作 set admin password restrict length 6 补充操作说明 　设备本身无法实施，可通过管理制度强制要求口令必须包括数字、小写字母、大写字母和特殊符号等 检测方法 1.判定条件 是否对密码长度限制的配置 2.检测操作 get config all 授权 编号：JX-TY-PZ-9-opt 要求内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 操作指南 1．参考配置操作 set admin user name name password password privilege [all | read-only] ；建立系统管理员口令和密码，分只读和读写权限 2．补充操作说明 检测方法 1.判定条件 用户名绑定权限级别 2.检测操作 get config all 日志 编号：JX-TY-PZ-12-opt 要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 操作指南 1．参考配置操作 set log module event level information destination syslog set syslog enable 2．补充操作说明 检测方法 1.判定条件 Syslog