防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)

防火墻設(shè)備安全配置作業(yè)指導(dǎo)安全配置作業(yè)指導(dǎo)書防火墻設(shè)備2012年7月防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)11.適用范圍 1 1 1 3334.1.2.檢查是否存在分級(jí)用戶管理5674.1.5.登陸失敗處理機(jī)制94.1.6.檢查是否做配置的定期備份 2 庫(kù)、應(yīng)用識(shí)別、web過(guò)濾及時(shí)升級(jí)..184.2.4.檢查防火墻的地址轉(zhuǎn)換轉(zhuǎn)換情況防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)1.適用范圍本基作業(yè)指導(dǎo)書范適用于XXXX集團(tuán)公司各級(jí)2.規(guī)范性引用文件GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)GB/T20272-2006《信息安全技術(shù)操作系統(tǒng)GB/T20273-2006《信息安全技術(shù)數(shù)據(jù)庫(kù)管GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)3.術(shù)語(yǔ)和定義2全特性，選擇合適的安全控制措施，定義不同網(wǎng)絡(luò)設(shè)備的最低安全配置要求，則該最低安全配置以網(wǎng)絡(luò)蠕蟲或無(wú)需用戶任何操作等方式實(shí)現(xiàn)完全實(shí)現(xiàn)破壞用戶數(shù)據(jù)和信息資源的機(jī)密性、完整性可能未經(jīng)授權(quán)訪問(wèn)信息。注意，雖然攻擊者無(wú)法利用此漏洞來(lái)執(zhí)行代碼提升他們的用戶權(quán)限，但此漏洞可用于生成有用信息，這些信息可用于進(jìn)3防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)或者幾乎不會(huì)對(duì)信息安全造成明顯損失。4.防火墻安全配置規(guī)范4.1.防火墻自身安全性檢查4.1.1.檢查系統(tǒng)時(shí)間是否準(zhǔn)確4防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)加固加固檢測(cè)檢測(cè)天融信該功能截圖：系統(tǒng)參數(shù)系統(tǒng)參數(shù)|開效服勞1時(shí)間|Wabui認(rèn)證|TP注冊(cè)丨常用工具[輸入服務(wù)器地址]5防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)備注4.1.2.檢查是否存在分級(jí)用戶管理編號(hào)要求管理員分：超級(jí)管理員、管理用戶、審計(jì)用戶、虛擬系統(tǒng)用戶加固方法加固在防火墻設(shè)備上配置管理賬戶和審計(jì)賬戶檢測(cè)方法6防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)用戶名超級(jí)管理員虛系統(tǒng)用戶[8]0備注4.1.3.密碼認(rèn)證登錄編號(hào)要檢查防火墻內(nèi)置賬戶不得存在缺省密碼或弱口令帳戶加固修改防火墻設(shè)備的登錄設(shè)備的口令，滿足安全性及復(fù)雜性要求檢測(cè)方7防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固) *[密碼位數(shù)不小于8位]超級(jí)管理員4.1.4.登陸認(rèn)證機(jī)制8防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)編號(hào)容容加固方法加固檢測(cè)方法檢測(cè)戶名+靜態(tài)口令；9防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)備注4.1.5.登陸失敗處理機(jī)制編號(hào)加固方法加固具有登錄失敗處理功能，可采取結(jié)束會(huì)話、檢測(cè)方法地址進(jìn)行限制；查看登陸失敗時(shí)阻斷時(shí)間；查看是否設(shè)置登錄連接超時(shí)，并自動(dòng)退出；防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)觀察觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等);系統(tǒng)參數(shù)|開放服務(wù)|時(shí)間|Webui認(rèn)證|TP注冊(cè)丨常用工具WEBUI超時(shí)時(shí)間：0[30--3600秒或0表示永不超時(shí)]*[不大于64個(gè)]*[不大于32個(gè)]*[不大于64個(gè)]*[不大于32個(gè)]*[不大于2000個(gè)]同一用戶最大并發(fā)管理數(shù)：5同一用戶最大登錄地點(diǎn)：10最大登錄失敗次數(shù)：5*[不大于10次]備注4.1.6.檢查是否做配置的定期備份編號(hào)要求內(nèi)檢查是否對(duì)防火墻的配置定期做備份防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)配置維護(hù)配置維護(hù)|備份和恢復(fù)1升級(jí)1重啟1健康記錄下載配置：地址廠服務(wù)廠時(shí)間廠阻斷策略廠訪問(wèn)控制策略廠用戶角色廠下載 防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)備注4.1.7.檢查雙防火墻冗余情況下，主備切換情況編號(hào)要求內(nèi)容要求檢查雙防火墻冗余情況下，主備切換情況加固方法加固如該功能未達(dá)到要求，需廠商人員檢查、加固檢測(cè)方法防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)第一步：如該功能未達(dá)到，檢查防火墻雙機(jī)熱備配置是否正確、監(jiān)控狀態(tài)是否正常第二步：如果配置有誤，需要盡快協(xié)商廠商人員解決當(dāng)前狀態(tài)◎雙機(jī)熱備C負(fù)載均衡C連接保護(hù)搶占接口20備注防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)4.1.8.防止信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽編號(hào)要求容加固方法加固檢測(cè)方法防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)路徑：系統(tǒng)管理=》配置=》開放服務(wù)webuiaraaatho備注4.1.9.設(shè)備登錄地址進(jìn)行限制防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)檢測(cè) 防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)備注4.1.10.SNMP訪問(wèn)控制編號(hào)要求容方加固方修改缺省密碼和限制IP對(duì)防火墻的無(wú)授權(quán)訪問(wèn)檢測(cè)公防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)SNWP服務(wù)控制|陷阱主機(jī)|管理主機(jī)Isnnpv3用戶SHNP膜務(wù)控制|陷阱主機(jī)|管理主機(jī)|SBMPV3用戶SNWP服務(wù)控制|陷阱主機(jī)|管理主機(jī)Innpv3用戶主機(jī)IP:確定取消備注4.1.11.防火墻自帶的病毒庫(kù)、入侵防御庫(kù)、應(yīng)防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)方加固方檢測(cè)方檢查是否定期為防火墻的特征庫(kù)、病毒庫(kù)、防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)最新更新時(shí)間許可證到期時(shí)月自定義規(guī)貝數(shù)最新更新時(shí)間許可證到期時(shí)間最新更新時(shí)間許可證到期時(shí)間0更新]入規(guī)[導(dǎo)出規(guī)則]更班]備注4.2.防火墻業(yè)務(wù)防御檢查4.2.1.啟用安全域控制功能編號(hào)根據(jù)業(yè)務(wù)需要?jiǎng)?chuàng)建不同優(yōu)先級(jí)的安全區(qū)域網(wǎng)”,否則需要重新確認(rèn)；天融信防火墻各綁定屬性(可多選)外網(wǎng)內(nèi)網(wǎng)管理員備注防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)4.2.2.檢查防火墻訪問(wèn)控制策略編號(hào)要檢查防火墻策略是否嚴(yán)格限制通信的IP地址、協(xié)議和端口，根據(jù)需求控制源主機(jī)能夠訪問(wèn)目的主機(jī)，和控制源主機(jī)不能訪問(wèn)目的加固法管理員綜合分析防火墻訪問(wèn)控制策略，對(duì)源檢測(cè)方法防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)路徑：防火墻=》訪問(wèn)控制控制規(guī)則[添加控制規(guī)則[添加俎][添加策略][潔空策略]目的區(qū)城所有區(qū)域策略組所有組查源時(shí)間日志復(fù)制1Y區(qū)城有5有G備備注4.2.3.防火墻訪問(wèn)控制粒度檢查編號(hào)要求檢查防火墻上相應(yīng)安全策略設(shè)置的嚴(yán)謹(jǐn)程防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)加固檢測(cè)1、查看阻斷策略中是否存在對(duì)tcp135-139、阻斷策略里沒有，則不符合要求；以認(rèn)為符合要求；防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)略[設(shè)置默認(rèn)規(guī)則][添加][清空]控制二層源源目的源端口區(qū)域日志修改移動(dòng)刪除狀態(tài)否t1否否否否1否否」否備備注4.2.4.檢查防火墻的地址轉(zhuǎn)換情況編號(hào)內(nèi)檢查防火墻地址轉(zhuǎn)換策略是否符合網(wǎng)絡(luò)的實(shí)加固檢查防火墻地址轉(zhuǎn)換策略是否符合網(wǎng)絡(luò)的實(shí)防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)檢測(cè)法執(zhí)行：查看防火墻策略地址轉(zhuǎn)換配置規(guī)則，是否存在過(guò)多的IP地址段開放協(xié)議、端口的規(guī)則，是否存在無(wú)效的地址轉(zhuǎn)換策略，地址狀態(tài)刪除插入移動(dòng)復(fù)制修改V強(qiáng)web-外網(wǎng)區(qū)域：web-備注防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)S4.3.日志與審計(jì)檢查4.3.1.設(shè)備日志的參數(shù)配置編號(hào)要求容設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)加固法防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)日志沒置日志沒置配置管理?用戶認(rèn)證口VEB轉(zhuǎn)發(fā)□系統(tǒng)運(yùn)行?系統(tǒng)廠連接廠防病毒[文件共享□備備注4.3.2.防火墻流量日志檢查編號(hào)查看日志服務(wù)器是否正常接收日志，并且日志必須保存6個(gè)月加固1現(xiàn)場(chǎng)檢查：防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)近6個(gè)月內(nèi)的日志；確認(rèn)服務(wù)器的存儲(chǔ)空間備注4.3.3.防火墻設(shè)備的審計(jì)記錄編號(hào)要能夠查看設(shè)備的登錄審計(jì)記錄加固法檢測(cè)查看設(shè)備的相關(guān)登錄審計(jì)記錄，包含登錄成防火墻設(shè)備安全配置作業(yè)指導(dǎo)書(安全加固)日志查詢[刷新日志][清空日志] EQ\*jc3\*hps14\o\al(\s\up3(i),i)EQ\*jc3\*hps14\o\al(\s\up3(d),e)EQ\*jc3\*hps14\o\al(\s\up3(=t),en)EQ\*jc3\*hps14\o\al(\s\up3(o),t)EQ\*jc3\*hps14\o\al(\s\up3(s),e)EQ\*jc3\*hps14\o\al(\s\up3(v),e)EQ\*jc3\*hps14\o\al(\s\up3(=To),nul)EQ\*jc3\*hps14\o\al(\s\up3(p),t)EQ\*jc3\*hps14\o\al(\s\up3(d),0)EQ\*jc3\*hps14\o\al(\s\up3(S),r)EQ\*jc3\*hps14\o\al(\s\up3(u),c)EQ\*jc3\*hps14\o\al(\s\up3(s),o)EQ\*jc3\*hps14\o\al(\s\up3(r=),de)EQ\*jc3\*hps14\o\al(\s\up3(