防火墻設(shè)備安全配置作業(yè)指導(dǎo)書安全加固

1、安全配置作業(yè)指導(dǎo)書防火墻設(shè)備XXX集團(tuán)公司2012年7月為規(guī)范XXX集團(tuán)公司網(wǎng)絡(luò)設(shè)備的安全管理，建立統(tǒng)一的防火墻設(shè)備安全配置標(biāo) 準(zhǔn)，特制定本安全配置作業(yè)指導(dǎo)書。本技術(shù)基線由XXX凍團(tuán)公司提出并歸口 本技術(shù)基線起草單位：XXX集團(tuán)公司 本技術(shù)基線主要起草人：本技術(shù)基線主要審核人：1. 適用范圍12. 規(guī)范性引用文件13. 術(shù)語和定義14. 防火墻安全配置規(guī)范24.1. 防火墻自身安全性檢查 24.1.1. 檢查系統(tǒng)時(shí)間是否準(zhǔn)確 24.1.2. 檢查是否存在分級(jí)用戶管理 24.1.3. 密碼認(rèn)證登錄34.1.4. 登陸認(rèn)證機(jī)制 44.1.5. 登陸失敗處理機(jī)制 44.1.6. 檢查是否做配置的定期

2、備份 54.1.7. 檢查雙防火墻冗余情況下，主備切換情況 64.1.8. 防止信息在網(wǎng)絡(luò)傳輸過程中被竊聽 74.1.9. 設(shè)備登錄地址進(jìn)行限制 84.1.10. SNM肪問控制84.1.11. 防火墻自帶的病毒庫、入侵防御庫、應(yīng)用識(shí)別、web過濾及時(shí)升級(jí).94.2. 防火墻業(yè)務(wù)防御檢查 104.2.1. 啟用安全域控制功能 104.2.2. 檢查防火墻訪問控制策略 114.2.3. 防火墻訪問控制粒度檢查 124.2.4. 檢查防火墻的地址轉(zhuǎn)換轉(zhuǎn)換情況 134.3. 日志與審計(jì)檢查144.3.1. 設(shè)備日志的參數(shù)配置 144.3.2. 防火墻流量日志檢查 154.3.3. 防火墻設(shè)備的審計(jì)記

3、錄 151. 適用范圍本基作業(yè)指導(dǎo)書范適用于 XXXX集團(tuán)公司各級(jí)機(jī)構(gòu)。2. 規(guī)范性引用文件IS027001 標(biāo)準(zhǔn) /IS027002 指南GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T 20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求3. 術(shù)語和定義安全設(shè)備安全基線：指針對(duì)各類安全設(shè)備的安全特性，選擇合適的安全控制措施，定義不 同網(wǎng)絡(luò)設(shè)備的最低安全配置要求，則該最低

4、安全配置要求就稱為安全設(shè)備安全基線。嚴(yán)重漏洞(Critical )：攻擊者可利用此漏洞以網(wǎng)絡(luò)蠕蟲或無需用戶任何操作等方式實(shí)現(xiàn)完全控制受影響的系統(tǒng)完整重要漏洞(Important):攻擊者可利用此漏洞實(shí)現(xiàn)破壞用戶數(shù)據(jù)和信息資源的機(jī)密性、 性或可用性。中等漏洞(Moderate)：攻擊者利用此漏洞有可能未經(jīng)授權(quán)訪問信息。注意，雖然攻擊者無 法利用此漏洞來執(zhí)行代碼提升他們的用戶權(quán)限，但此漏洞可用于生成有用信息，這些信息可用 于進(jìn)一步危及受影響系統(tǒng)的安全。輕微漏洞(Low)：攻擊者通常難以利用此漏洞，或者幾乎不會(huì)對(duì)信息安全造成明顯損失。4. 防火墻安全配置規(guī)范4.1. 防火墻自身安全性檢查4.1.1.

5、 檢查系統(tǒng)時(shí)間是否準(zhǔn)確編 號(hào) 要求內(nèi)容 加固方法檢查系統(tǒng)時(shí)間是否準(zhǔn)確重新和北京時(shí)間做校隊(duì)1現(xiàn)場檢查：如下截圖路徑，檢查系統(tǒng)時(shí)間是否和北京時(shí)間一致，如果相差在一分鐘之內(nèi)，則認(rèn)為 符合要求，否則需要重新修正。天融信該功能截圖：路徑：系統(tǒng)管理=配置檢測方法4.1.2.檢查是否存在分級(jí)用戶管理編號(hào)要求內(nèi)容管理員分：超級(jí)管理員、管理用戶、審計(jì)用戶、虛擬系統(tǒng)用戶加固方法在防火墻設(shè)備上配置管理賬戶和審計(jì)賬戶檢測方法1現(xiàn)場檢查：如下截圖路徑，如果系統(tǒng)中僅存在四個(gè)賬戶，分別為：超級(jí)管理員、管理用戶、審計(jì) 用戶、虛擬系統(tǒng)用戶，且四個(gè)賬號(hào)分別對(duì)應(yīng)于各自不冋級(jí)別的權(quán)限，則符合要求；如 果無三個(gè)，則不符合要求天融信該功

6、能截圖：路徑：系統(tǒng)管理=管理員管理費(fèi)列表添加1用尸名權(quán)限描謹(jǐn)修改iup«rmui00hh安全審計(jì)hh0kk虛系頸用戶陽】0_(0)4.1.3.密碼認(rèn)證登錄編 號(hào) 要求內(nèi)容 加固方法檢查防火墻內(nèi)置賬戶不得存在缺省密碼或弱口令帳戶修改防火墻設(shè)備的登錄設(shè)備的口令，滿足安全性及復(fù)雜性要求1、口令復(fù)雜度查看防火墻設(shè)備的管理員登錄設(shè)備的口令安全性及復(fù)雜性， 復(fù)雜性，。如果需要輸入口令并且口令為 8位以上，并且是包含字母、數(shù)字、特殊字符的混合 體，判定結(jié)果為符合；如果不需要任何認(rèn)證過程，判定結(jié)果為不符合2、檢查賬戶不得使用缺省密碼。 天融信防火墻該功能截圖：路徑：系統(tǒng)管理=管理員登錄設(shè)備驗(yàn)證口令的

7、檢測方法用戶名稱：新的超皺用戸名： 新口令：確認(rèn)口令:用戶描述：用戶權(quán)限：* 巒碼驚藪不小丹位*確定取消編 號(hào) 要求內(nèi)容 加固方法4.14 登陸認(rèn)證機(jī)制檢查登陸時(shí)是否采用多重身份認(rèn)證的鑒別技術(shù)采用強(qiáng)度高于用戶名+靜態(tài)口令的認(rèn)證機(jī)制實(shí)現(xiàn)用戶身份鑒別1、檢查：現(xiàn)場驗(yàn)證登陸防火墻，查看是否支持用戶名+靜態(tài)口令;天融信防火墻登陸窗口:檢測方法4.1.5.登陸失敗處理機(jī)制編號(hào)要求內(nèi)容檢查登陸失敗時(shí)處理機(jī)制加固方法具有登錄失敗處理功能，可采取結(jié)束會(huì)話、登陸失敗時(shí)阻斷間隔、限制非法登錄次數(shù) 和當(dāng)防火墻登錄連接超時(shí)自動(dòng)退出等措施檢測方法1、檢查:防火墻設(shè)備上的安全設(shè)置，查看其是否有對(duì)鑒別失敗采取相應(yīng)的措施的設(shè)

8、置；查 看是否有限制非法登錄次數(shù)的功能；管理員登錄地址進(jìn)行限制；查看登陸失敗時(shí)阻斷時(shí)間；查看是否設(shè)置登錄連接超時(shí)，并自動(dòng)退出；2、測試：驗(yàn)證鑒別失敗處理措施（如模擬失敗登錄，觀察設(shè)備的動(dòng)作等），限制非法登錄次數(shù)（如模擬非法登錄，觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等），對(duì)設(shè)備的管理員登錄地址進(jìn)行限制（如使用任意地址登錄，觀察設(shè)備的動(dòng)作等）等功能是否有效；驗(yàn)證其網(wǎng)絡(luò)登錄連 接超自動(dòng)退出的設(shè)置是否有效（如長時(shí)間連接無任何操作，觀察觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作 等）；3、產(chǎn)品舉例：天融信防火墻用戶登錄超時(shí)設(shè)置： 路徑：系統(tǒng)管配置理=> 維護(hù)=>系統(tǒng)配置展拆手取1開EC財(cái)背0Ha | ibmiAuf1 TPilfff

9、i 謖呂編：TopucOS*TfEBUl超時(shí)時(shí)何；Q|時(shí)-380口蓉咸D觀亦承種B1J圖一書尸最K奔?jí)喂贇巢茫? 同一再戶廿SEJJHfc點(diǎn)：叵 憬尢輩錄失毆農(nóng)數(shù)：s* 不犬于騒"M 1不寅于32個(gè)】不犬于2000C1*環(huán)大于inltl4.1.6.檢查是否做配置的定期備份要求內(nèi)容 加固方法檢查是否對(duì)防火墻的配置定期做備份 督促管理員定期對(duì)防火墻做配置備份1訪談方式：和管理員了解防火墻配置的備份情況2驗(yàn)證：在網(wǎng)管服務(wù)器上，查看防火墻配置文件夾，確認(rèn)是否定期做配置備份。3加固：第一步：天融信防火墻配置導(dǎo)出位置截圖： 路徑：系統(tǒng)管理=> 維護(hù)IESM護(hù)I備惜和I升版I畫啟I健旗記象恢

10、堂品初出廠配畫 蛀竜:低亶岀廠配置后，原有配量梧全毎丟失，詁廉珂導(dǎo)出當(dāng)苗配畫I)檢測方法SfiAHCS. L上傳配賈下簣配査 邸扯L 按務(wù)廠 時(shí)嵐廠阻區(qū)策露L訪同握制衆(zhòng)BS廠用戶鶴色LGiE竝護(hù)詢1£ .旨按運(yùn)行睨豊|保薦配香丨類型丨昭文.二配賈替導(dǎo)，配査下卷:査暑運(yùn)檔豪看僅再第二步：網(wǎng)管機(jī)上建立防火墻配置文件備份文件夾備注4.1.7.檢查雙防火墻冗余情況下，主備切換情況編號(hào)要求內(nèi)容檢查雙防火墻冗余情況下，主備切換情況加固方法如該功能未達(dá)到要求，需廠商人員檢查、加固1訪談方式咨詢管理員近期是否有過設(shè)備切換現(xiàn)象，切換是否成功等2現(xiàn)場驗(yàn)證拔掉主墻線纜后，備墻可以實(shí)現(xiàn)正常切換，網(wǎng)絡(luò)快速切換

11、，應(yīng)用正常。3加固措施第一步：如該功能未達(dá)到，檢查防火墻雙機(jī)熱備配置是否正確、監(jiān)控狀態(tài)是否正常 第二步：如果配置有誤，需要盡快協(xié)商廠商人員解決天融信防火墻該功能截圖：路徑： 高可用性=雙機(jī)熱備當(dāng)前伏蠱狀態(tài):沒有啟動(dòng)基本設(shè)置本地地址對(duì)端地址心跳間隔熱備姐搶占對(duì)端機(jī)同步到本機(jī) 本機(jī)司步到對(duì)端機(jī) 工P探測冷取機(jī)熱備廠負(fù)載均衡連接保護(hù)檢測方法廠直皺配置O停止 1應(yīng)用魚備蛆添加Vrid憂先級(jí)搶占狀態(tài)度墾值接口修改刪除2254電ndbl電0054.1.8.防止信息在網(wǎng)絡(luò)傳輸過程中被竊聽要求內(nèi)容當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊 聽?？刹捎肏TTPS SSH等安全遠(yuǎn)程管

12、理手段。加固方法 通過https和ssh登陸管理設(shè)備。1現(xiàn)場驗(yàn)證：能夠通過https和ssh登陸管理設(shè)備,判定結(jié)果為符合；通過 http和tel net登陸管 理設(shè)備，判定結(jié)果為不符合。2加固措施：按照下述截圖位置，只開放HTTPS,SSH登陸方式，去除其他登陸方式。天融信防火墻該功能截圖：說明：登陸防火墻方法：£天融信TOP檢測方法supermdn電*申噸用戶名:檢查如下的SSH方式及HTTPS權(quán)限配置: 路徑：系統(tǒng)管理=配置=開放服務(wù)啟動(dòng)1停止啟動(dòng)1宕動(dòng)停止啟Sb序止<LtJ秦加SSKBR 絡(luò)-TEUTET1R 藩:歩蜒審數(shù)I瑋悼服捋I

13、時(shí)1間I證I TFrTfH |常用工具JS倒地址u- «!<_« HbJO5#qp«wiu- 二七1&£1nyW «1>U1*ir HhHv*l *_* 髯 hO1*ny牙1sJLypxm 口rjut _<elLbOJFJtt磐fTTFJIR 務(wù)-0 000303 lL£l一!. IjulJ 二-JIL一4.1.9.設(shè)備登錄地址進(jìn)行限制要求內(nèi)容加固方法對(duì)防火墻設(shè)備的管理員登錄地址進(jìn)行限制 創(chuàng)建允許管理員登陸的IP限制列表1現(xiàn)場檢查:咨詢管理員后，使用允許訪問控制列表里面的 列表里的ip不能登錄設(shè)備，判定結(jié)果為

14、符合 2設(shè)備檢查：ip地址能夠登錄管理設(shè)備，不在控制登陸下述截圖路徑，確認(rèn)已經(jīng)配置了限制管理員登陸IP列表天融信防火墻該功能截圖：路徑：配置一開放服務(wù)丟統(tǒng)參數(shù)I開放服務(wù)I時(shí)間I恥bui認(rèn)證| TF注冊|檢測方法服務(wù)名稱:WEBUIV控制區(qū)域：管理員V控制地址:10.38.8£f 主機(jī)V4.1.10. SNM肪問控制編號(hào)要求內(nèi)容設(shè)置SNM肪問安全限制，讀寫密碼均已經(jīng)修改，只允許特定主機(jī)通過 設(shè)備。SNM肪問網(wǎng)絡(luò)加固方法修改缺省密碼和限制IP對(duì)防火墻的無授權(quán)訪問檢測方法1設(shè)備檢查登陸至設(shè)備的下述路徑，檢查即可。天融信防火墻該功能截圖： 路徑：網(wǎng)絡(luò)管理一SNMPsw推務(wù)拄制I嚴(yán)聲芒機(jī)【背獨(dú)

15、機(jī)I沏f咲闿尸SMPlfeSF主瓠（漲加名稱iFiait216TPS4rv4r1弦83 22431 P6碟主機(jī)1曽理主機(jī)I tnrp#3廚戶主機(jī)若稱： 主機(jī)TF：*®定|理狷14.1.11.防火墻自帶的病毒庫、入侵防御庫、應(yīng)用識(shí)別、web過濾為模塊及時(shí)升級(jí)編號(hào)要求內(nèi)容定期為防火墻的特征庫、病毒庫、入侵防御庫、應(yīng)用識(shí)別、web過濾模塊升級(jí)。加固方法配置為防火墻的特征庫、病毒庫、入侵防御庫、應(yīng)用識(shí)別、 略。web過濾模塊升級(jí)的策檢測方法1現(xiàn)場檢查：檢查是否定期為防火墻的特征庫、病毒庫、入侵防御庫、應(yīng)用識(shí)別、 級(jí)。查看防火墻系統(tǒng)內(nèi)特征庫的時(shí)間和版本信息。天融信該功能的截圖：路徑：系統(tǒng)管理一

16、維護(hù)一服務(wù)更新web過濾模塊升肝和雖誦時(shí)民4： 一丄以呵II H專亙丸利詔庇訶白在丈覷國的 浪樸烹赫時(shí)4觀凰瓦記E妹期時(shí)問.ais 3 ir2090-ir>lip.i去丁 i,：馴maSAfiSU ISsmiL42防火墻業(yè)務(wù)防御檢查4.2.1.啟用安全域控制功能編號(hào)要求內(nèi)容根據(jù)業(yè)務(wù)需要?jiǎng)?chuàng)建不冋優(yōu)先級(jí)的安全區(qū)域加固方法1現(xiàn)場檢查：首先，根據(jù)業(yè)務(wù)情況，檢查接口名稱，名稱的級(jí)別、功能應(yīng)該清晰，如“內(nèi)網(wǎng)”或者 “外網(wǎng)”，否則需要重新確認(rèn)；天融信防火墻各接口區(qū)域有兩個(gè)權(quán)限一個(gè)為允許、一 個(gè)是禁止。所以，檢查時(shí)，需要確認(rèn)，各個(gè)接口區(qū)域權(quán)限的設(shè)置。2加固方法：將防火墻各個(gè)區(qū)域權(quán)限設(shè)置為禁止，這樣默認(rèn)策

17、略全部為禁止。天融信該功能截圖：路徑：資源管理=區(qū)域區(qū)站添邙渚空名稱甥迄屬性回冬選）權(quán)限連釋修改ar&i_«thOethO荼止&外網(wǎng)sthll禁止0ilhlQ禁止回arvereth4荼止運(yùn)1mSEFVERathl5禁止E內(nèi)網(wǎng)奈止0ithlT荼止何4.2.2.檢查防火墻訪問控制策略編號(hào)要求內(nèi)容檢查防火墻策略是否嚴(yán)格限制通信的ip地址、協(xié)議和端口，根據(jù)需求控制源主機(jī)能夠訪問目的主機(jī)，和控制源主機(jī)不能訪問目的主機(jī)。加固方法管理員綜合分析防火墻訪問控制策略，對(duì)源地址、目標(biāo)地址、開放端口進(jìn)行細(xì)化，刪 除無用、重復(fù)的策略。檢測方法訪談：詢問管理員防火墻配置策略配置原則，并針對(duì)可以

18、策略進(jìn)行詢問。執(zhí)行：查看防火墻策略配置規(guī)則，是否存在過多的ip地址段開放協(xié)議、端口的規(guī)則，是否存在無效的策略，防火墻的策略是否嚴(yán)密。分析：綜合分析全部防火墻策略，分析是否開放過多ip地址段、協(xié)議和端口，為攻擊者提供了遠(yuǎn)程攻擊和入侵控制的可能。天融信該功能截圖：路徑：防火墻=訪問控制(甌扯sa it運(yùn)詢站【淆至黒蹌j目驗(yàn)城|新香區(qū)壩3策略組|耐扯H 直我'.1無萸全那Ztijin 控制用目的JK務(wù)前間 自若速城 冋復(fù)詡暮動(dòng)趙ffll除畑rss«iHrch地trknykftJjt-anyyipE 伊ti*j1.3 l昂8101戢認(rèn)粗8060KU.tthl 世址)0. 10 l&a

19、mp; £2：itut：KT.K&HTTP0 血tsmoa$世址vy維址 53納0 E*sUJ810T電址10 0 . DMMS3呂別ICHF0 E甘電U94.2.3.防火墻訪問控制粒度檢查編號(hào)要求內(nèi)容檢查防火墻上相應(yīng)安全策略設(shè)置的嚴(yán)謹(jǐn)程度。加固方法1、添加訪問控制策略阻斷常見的危險(xiǎn)端口。2、 細(xì)化訪冋控制策略，所有策略的源、目的、服務(wù)二項(xiàng)中，至少有一項(xiàng)不能出現(xiàn)any 的情況檢測方法1、 查看阻斷策略中是否存在對(duì)tcp135-139、udp135-139、tcp445、udp445、tcp4444、 tcp9995-9996、tcp1068、udp69、udp4899、udp

20、1434 這些高危端口的限制策略，如果 在阻斷策略里沒有，則不符合要求；2、如果阻斷策略里沒有，針對(duì)這些端口限制的訪問出現(xiàn)在訪問控制策略的第一條， 則可以認(rèn)為符合要求；3、訪問控制里，除上述提到的高危端口限制外，其所有策略的源、目的、服務(wù)三項(xiàng)中，至少有一項(xiàng)不能出現(xiàn)any的情況，如果出現(xiàn)則視為不符合要求，尤其是針對(duì)某一特定服務(wù)器的訪問限制，如果出現(xiàn)源是any,服務(wù)是任何的情況，則該策略設(shè)置是不合格的。天融信該功能截圖： 路徑：防火墻=阻斷策略阻略策略【設(shè)醫(yī)狀認(rèn)規(guī)則【拆加Tn 控二層添目的三層10 制協(xié)謂 HAC HAC 協(xié)觀當(dāng)罰默認(rèn)規(guī)則為:允許通過不記錄曰志目的IT源IF遲目的端區(qū)】【渚空日修稻

21、刪狀志改動(dòng)除態(tài)80TT勺 0&00TCT60E00&MTCTS0B10900TCT8082 Q0800W8083 QoatxjTd6064 oeoom6065 鳥0300rcr6066 0900UDT135139445414444510884899999599961434否否否否否否否P圖O)0 (3.1lulUD叩DDDDJUQD4.2.4.檢查防火墻的地址轉(zhuǎn)換情況編號(hào)要求內(nèi)容檢查防火墻地址轉(zhuǎn)換策略是否符合網(wǎng)絡(luò)的實(shí)際需求加固方法檢查防火墻地址轉(zhuǎn)換策略是否符合網(wǎng)絡(luò)的實(shí)際需求，刪除冗余的地址轉(zhuǎn)換策略檢測方法1現(xiàn)場訪談：詢問管理員防火墻地址轉(zhuǎn)換配置策略配置原則，并針對(duì)策略必要性進(jìn)行

22、分析。執(zhí)行：查看防火墻策略地址轉(zhuǎn)換配置規(guī)則，是否存在過多的IP地址段開放協(xié)議、端口的規(guī)則，是否存在無效的地址轉(zhuǎn)換策略，地址轉(zhuǎn)換策略是否嚴(yán)密。天融信防火墻功能截圖 路徑：防火墻=地址轉(zhuǎn)換地址烏換靠加涪空目的區(qū)域所有區(qū)域V每貢全部V區(qū)域-地址 w色tr server目的區(qū)域: 外網(wǎng)tttlt：mp-veb-221.214.21fl. LOB服務(wù)轉(zhuǎn)換HHFethll修復(fù)格插刪狀 改制動(dòng)入除窸JL1目的. webserver 服霧: HTTPI43日志與審計(jì)檢查4.3.1.設(shè)備日志的參數(shù)配置編號(hào)要求內(nèi)容設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)

23、程標(biāo)準(zhǔn)日志接口，如SYSLOG并且日志必須保存 6個(gè)月加固方法1、現(xiàn)場檢查：在防火墻上檢查 Syslog項(xiàng)，是否已配置將日志傳輸?shù)饺罩痉?wù)器，否則為不符合 天融信防火墻日志配置：路徑：日志與報(bào)警 =日志配置4.3.2.防火墻流量日志檢查編號(hào)要求內(nèi)容查看日志服務(wù)器是否正常接收日志，并且日志必須保存6個(gè)月加固方法1現(xiàn)場檢查：登陸至天融信集中控制中心或第三方日志服務(wù)軟件，查看是否正常接收日志，且是否 有近6個(gè)月內(nèi)的日志；確認(rèn)服務(wù)器的存儲(chǔ)空間是否足夠備注4.3.3.防火墻設(shè)備的審計(jì)記錄編號(hào)要求內(nèi)容能夠查看設(shè)備的登錄審計(jì)記錄加固方法查看設(shè)備的登錄審計(jì)記錄。檢測方法查看設(shè)備的相關(guān)登錄審計(jì)記錄，包含登錄成功、登錄失敗、接口的up記錄等。天融信該功能截圖：路徑：日志與報(bào)警 =日志查看爾