防火墙设备安全配置作业指导书(安全加固).docVIP

安全配置作业指导书 防火墙设备 XXXX集团公司 2012年7月 PAGE 12 前 言 为规范XXXX集团公司网络设备的安全管理，建立统一的防火墙设备安全配置标准，特制定本安全配置作业指导书。 本技术基线由XXXX集团公司提出并归口 本技术基线起草单位：XXXX集团公司 本技术基线主要起草人： 本技术基线主要审核人： 目 录 TOC \o 1-4 \u 1. 适用范围 1 2. 规范性引用文件 1 3. 术语和定义 1 4. 防火墙安全配置规范 2 4.1. 防火墙自身安全性检查 2 4.1.1. 检查系统时间是否准确 2 4.1.2. 检查是否存在分级用户管理 2 4.1.3. 密码认证登录 3 4.1.4. 登陆认证机制 4 4.1.5. 登陆失败处理机制 4 4.1.6. 检查是否做配置的定期备份 5 4.1.7. 检查双防火墙冗余情况下，主备切换情况 6 4.1.8. 防止信息在网络传输过程中被窃听 7 4.1.9. 设备登录地址进行限制 8 4.1.10. SNMP访问控制 9 4.1.11. 防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级 10 4.2. 防火墙业务防御检查 11 4.2.1. 启用安全域控制功能 11 4.2.2. 检查防火墙访问控制策略 12 4.2.3. 防火墙访问控制粒度检查 12 4.2.4. 检查防火墙的地址转换转换情况 13 4.3. 日志与审计检查 13 4.3.1. 设备日志的参数配置 14 4.3.2. 防火墙流量日志检查 14 4.3.3. 防火墙设备的审计记录 14 适用范围 本基作业指导书范适用于XXXX集团公司各级机构。 规范性引用文件 ISO27001标准/ISO27002指南 GB 17859-1999 《计算机信息系统安全保护等级划分准则》 GB/T 20271-2006 《信息安全技术 信息系统通用安全技术要求》 GB/T 20272-2006 《信息安全技术 操作系统安全技术要求》 GB/T 20273-2006 《信息安全技术 数据库管理系统安全技术要求》 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 术语和定义 安全设备安全基线：指针对各类安全设备的安全特性，选择合适的安全控制措施，定义不同网络设备的最低安全配置要求，则该最低安全配置要求就称为安全设备安全基线。 严重漏洞（Critical）：攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统 重要漏洞（Important）：攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。 中等漏洞（Moderate）：攻击者利用此漏洞有可能未经授权访问信息。注意，虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限，但此漏洞可用于生成有用信息，这些信息可用于进一步危及受影响系统的安全。 轻微漏洞（Low）：攻击者通常难以利用此漏洞，或者几乎不会对信息安全造成明显损失。 防火墙安全配置规范 防火墙自身安全性检查 检查系统时间是否准确 编 号 要求内容 检查系统时间是否准确 加固方法 重新和北京时间做校队 检测方法 1现场检查： 如下截图路径，检查系统时间是否和北京时间一致，如果相差在一分钟之内，则认为符合要求，否则需要重新修正。 天融信该功能截图： 路径：系统管理=》配置 备 注 检查是否存在分级用户管理 编 号 要求内容 管理员分：超级管理员、管理用户、审计用户、虚拟系统用户 加固方法 在防火墙设备上配置管理账户和审计账户 检测方法 1现场检查： 如下截图路径，如果系统中仅存在四个账户，分别为：超级管理员、管理用户、审计用户、虚拟系统用户，且四个账号分别对应于各自不同级别的权限，则符合要求；如果无三个，则不符合要求 天融信该功能截图： 路径：系统管理=》管理员 备 注 密码认证登录 编 号 要求内容 检查防火墙内置账户不得存在缺省密码或弱口令帐户 加固方法 修改防火墙设备的登录设备的口令，满足安全性及复杂性要求 检测方法 口令复杂度 查看防火墙设备的管理员登录设备的口令安全性及复杂性，登录设备验证口令的复杂性，。 如果需要输入口令并且口令为8位以上，并且是包含字母、数字、特殊字符的混合体，判定结果为符合；如果不需要任何认证过程，判定结果为不符合 2、检查账户不得使用缺省密码。 天融信防火墙该功能截图： 路径：系统管理=》管理员 备 注 登陆认证机制 编 号 要求内容 检查登陆时是否采用多重身份认证的鉴别技术 加固方法 采用强度高于用户名+静态口令的认证机制实现用户身份鉴别 检测方法 1、检查： 现场验证登陆防火墙，查看是否支持