Cisco防火墙安全配置基线要点.docxVIP

Cisco防火墙安全配置基线 Cisco防火墙安全配置基线 第 第 PAGE #页共29页 Cisco防火墙安全配置基线 版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012年4月 备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 1.5概述目的 1.2 1.3 1.4 1.5 概述 目的 适用范围 适用版本 实施…… 例外条款 帐号管理、认证授权安全要求 2.1.1 用户帐号分配* 2 2.1.2 删除无关的帐号* 3 2.1.3 帐户登录超时* 3 2.1.4 帐户密码错误自动锁定* 4 2.2 口令 5 2.2.1 口令复杂度要求 5 2.3 授权 6 2.3.1 远程维护的设备使用加密协议 6 帐号管理 2.1 2 日志及配置安全要求 7 3.1 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 日志安全 记录用户对设备的操作 开启记录NAT日志 开启记录 VPN日志* 配置记录流量日志 配置记录拒绝和丢弃报文规则的日志 10 告警配置要求 配置对防火墙本身的攻击或内部错误告警... 配置TCP/IP协议网络层异常报文攻击告警* 配置TCP/IP协议应用层异常攻击告警 配置DOS和DDOS攻击告警 配置关键字内容过滤功能告警* 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 安全策略配置要求 访问规则列表最后一条必须是拒绝一切流量 配置访问规则应尽可能缩小范围 VPN用户按照访问权限进行分组* 配置NAT地址转换* 隐藏防火墙字符管理界面的bannner信息...避免从内网主机直接访问外网的规则* 关闭非必要服务 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 攻击防护配置要求 拒绝常见漏洞所对应端口或者服务的访问... 防火墙各逻辑接口配置开启防源地址欺骗功能 3.4.1 3.4.2 11 11 12 13 14 15 16 16 17 18 18 19 20 21 21 21 22 第4章 IP协议安全要求 24 4.1 功能配置 4.1.1 使用SNMP V2c或者V3以上的版本对防火墙远程管理 24 24 第5章 其他安全要求 25 5.1 其他安全配置 外网口地址关闭对ping包的回应* 对防火墙的管理地址做源地址限制 配置con sol 口密码保护功能 5.1.1 5.1.2 5.1.3 25 25 25 26 28 28 第6章评审与修订 Cisco防火墙安全配置基线 Cisco防火墙安全配置基线 第 第1页共29页 第1章概述 1.1目的 本文档旨在指导系统管理人员进行 Cisco防火墙的安全配置。 1.2适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 1.3适用版本 Cisco防火墙。 1.4实施 Cisco防火墙安全配置基线 Cisco防火墙安全配置基线 第 第 PAGE #页共29页 第2章帐号管理、认证授权安全要求 2.1帐号管理 2.1.1用户帐号分配* 安全基线项目名称用户帐号分配安全基线要求项安全基线编号安全基线项说明检测操作步骤SB L-PIX-02-01-01不同等级管理员分配不同帐号，避免帐号混用。1. 参考配置操作En ter con figurati on comma nds, one per line. End with CNTL/Z. service p assword-e ncryp ti onuser name ruser1 p assword 3d-zirc 0niauser name ruser1 p rivilege 1 安全基线项目名称 用户帐号分配安全基线要求项 安全基线编号 安全基线项说明 检测操作步骤 SB L-PIX-02-01-01 不同等级管理员分配不同帐号，避免帐号混用。 1. 参考配置操作 En ter con figurati on comma nds, one per line. End with CNTL/Z. service p assword-e ncryp ti on user name ruser1 p assword 3d-zirc 0nia user name ruser1 p rivilege 1 user name ruser2 p assword 2B-or-3B user name ruser2 p rivilege 1 2.补充操作说明 前两个用户为系统默认建立的帐号。 基线符合性判定依据 1. 判定条件 用配置中没有的用户名去登录，结果是不能登录。 2.检测操作 show r