思科防火墙安全配置风险评估检查表 .pdf

思科防火墙设备安全配置要求 目 录 第 1 章  概述 1  1.1  目的 1  1.2  适用范围 1  1.3  适用版本 1  第 2 章  账号管理、认证授权基线 2  2.1  账户基线 2  2.2  口令基线 2  2.3  认证 2  第 3 章  日志基线 3  第 4 章  IP 协议安全基线要求 3  4.1  基本协议安全基线 3  4.2  路由协议安全基线 4  4.3  SNMP 协议安全基线 5  第 5 章  其他安全基线 5  /hzhzhz 第1章 概述 1.1 目的 本文档规定了思科 PIX 防火墙应当遵循的数据库安全性设置标准，本文档旨在指导网 络管理人员进行思科 PIX 防火墙的安全配置。 1.2 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 1.3 适用版本 各类思科 PIX 防火墙 /hzhzhz 第2章 账号管理、认证授权基线 2.1 账户基线 基线编号 基线内容 JX-CP-PZ-1 应按照用户分配账号。避免不同用户间共享账号。避免 用户账号和设备间通信使用的账号共享。 JX-CP-PZ-2 应删除与设备运行、维护等工作无关的账号。 2.2 口令基线 基线编号 基线内容 JX-CP-PZ-3 静态口令必须使用不可逆加密算法加密，以密文形式存 放 。 如 使 用 USERNAME USERNAME PASSWORD PASSWORD ENCRYPTED 配 置 用 户 密 码 ， 不 使 用 PASSWORD 配置用户密码。 2.3 认证 基线编号 基线内容 JX-CP-PZ-7-OPT 设备通过相关参数配置，与认证系统联动，满足帐号、 口令和授权的强制要求。 /hzhzhz 第3章 日志基线 JX-CP-PZ-4-OPT 与记账服务器(如 RADIUS 服务器或 TACACS 服务器) 配合，设备应配置日志功能，对用户登录进行记录，记 录内容包括用户登录使用的账号，登录是否成功，登录 时间，以及远程登录时，用户使用的 IP 地址。 JX-CP-PZ-5-OPT 与记账服务器(如 TACACS 服务器)配合，设备应配置日 志功能，记录用户对设备的操作，如账号创建、删除和 权限修改，口令修改，读取和修改设备配置，读取和修 改业务用户的话费数据、身份数据、涉及通信隐私数据。 记录需要包含用户账号，操作时间，操作内容以及操作 结果。 JX-CP-PZ-6-OPT 开启 NTP 服务