防火墙设备安全配置作业指导说明书安全加固.docVIP

安全配置作业指导书

防火墙设备

XXXX集团企业

7月

前言

为规范XXXX集团企业网络设备安全管理，建立统一防火墙设备安全配置标准，特制订本安全配置作业指导书。

本技术基线由XXXX集团企业提出并归口

本技术基线起草单位：XXXX集团企业

本技术基线关键起草人：

本技术基线关键审核人：

目录

TOC\o1-4\u1. 适用范围 1

2. 规范性引用文件 1

3. 术语和定义 1

4. 防火墙安全配置规范 2

4.1. 防火墙本身安全性检验 2

4.1.1. 检验系统时间是否正确 2

4.1.2. 检验是否存在分级用户管理 2

4.1.3. 密码认证登录 3

4.1.4. 登陆认证机制 4

4.1.5. 登陆失败处理机制 4

4.1.6. 检验是否做配置定时备份 5

4.1.7. 检验双防火墙冗余情况下，主备切换情况 6

4.1.8. 预防信息在网络传输过程中被窃听 7

4.1.9. 设备登录地址进行限制 8

4.1.10. SNMP访问控制 9

4.1.11. 防火墙自带病毒库、入侵防御库、应用识别、web过滤立即升级 10

4.2. 防火墙业务防御检验 11

4.2.1. 启用安全域控制功效 11

4.2.2. 检验防火墙访问控制策略 12

4.2.3. 防火墙访问控制粒度检验 12

4.2.4. 检验防火墙地址转换转换情况 13

4.3. 日志和审计检验 13

4.3.1. 设备日志参数配置 14

4.3.2. 防火墙流量日志检验 14

4.3.3. 防火墙设备审计统计 14

适用范围

本基作业指导书范适适用于XXXX集团企业各级机构。

规范性引用文件

ISO27001标准/ISO27002指南

GB17859-1999《计算机信息系统安全保护等级划分准则》

GB/T20271-《信息安全技术信息系统通用安全技术要求》

GB/T20272-《信息安全技术操作系统安全技术要求》

GB/T20273-《信息安全技术数据库管理系统安全技术要求》

GB/T22239-《信息安全技术信息系统安全等级保护基础要求》

术语和定义

安全设备安全基线：指针对各类安全设备安全特征，选择适宜安全控制方法，定义不一样网络设备最低安全配置要求，则该最低安全配置要求就称为安全设备安全基线。

严重漏洞（Critical）：攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方法实现完全控制受影响系统

关键漏洞（Important）：攻击者可利用此漏洞实现破坏用户数据和信息资源机密性、完整性或可用性。

中等漏洞（Moderate）：攻击者利用此漏洞有可能未经授权访问信息。注意，即使攻击者无法利用此漏洞来实施代码提升她们用户权限，但此漏洞可用于生成有用信息，这些信息可用于深入危及受影响系统安全。

轻微漏洞（Low）：攻击者通常难以利用此漏洞，或几乎不会对信息安全造成显著损失。

防火墙安全配置规范

防火墙本身安全性检验

检验系统时间是否正确

编号

要求内容

检验系统时间是否正确

加固方法

重新和北京时间做校队

检测方法

1现场检验：

以下截图路径，检验系统时间是否和北京时间一致，假如相差在一分钟之内，则认为符合要求，不然需要重新修正。

天融信该功效截图：

路径：系统管理=》配置

备注

检验是否存在分级用户管理

编号

要求内容

管理员分：超级管理员、管理用户、审计用户、虚拟系统用户

加固方法

在防火墙设备上配置管理账户和审计账户

检测方法

1现场检验：

以下截图路径，假如系统中仅存在四个账户，分别为：超级管理员、管理用户、审计用户、虚拟系统用户，且四个账号分别对应于各自不一样等级权限，则符合要求；假如无三个，则不符合要求

天融信该功效截图：

路径：系统管理=》管理员

备注

密码认证登录

编号

要求内容

检验防火墙内置账户不得存在缺省密码或弱口令帐户

加固方法

修改防火墙设备登录设备口令，满足安全性及复杂性要求

检测方法

口令复杂度

查看防火墙设备管理员登录设备口令安全性及复杂性，登录设备验证口令复杂性，。

假如需要输入口令而且口令为8位以上，而且是包含字母、数字、特殊字符混合体，判定结果为符合；假如不需要任何认证过程，判定结果为不符合

2、检验账户不得使用缺省密码。

天融信防火墙该功效截图：

路径：系统管理=》管理员

备注

登陆认证机制

编号

要求内容

检验登陆时是否采取多重身份认证判别技术

加固方法

采取强度高于用户名+静态口令认证机制实现用户身份判别

检测方法

1、检验：

现场验证登陆防火墙，查看是否支持用户名+静态口令；

天融信防火墙登陆窗口：

备注

登陆失败处理机制

编号

要求内容

检验