系统安全配置技术规范-Cisco防火墙.doc

系统安全配置技术规范Cisco防火墙版本V0.9日期2013-06-03文档编号文档发布文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期目 录1适用范围42账号管理与授权42.1【基本】设置非特权模式密码42.2【基本】enable password的使用42.3【基本】设置与认证系统联动52.4【基本】设置登录失败处理功能52.5认证授权最小化63日志配置要求73.1【基本】设置日志服务器74IP协议安全要求74.1【基本】设置SSH方式访问系统74.2【基本】远程访问源地址限制84.3【基本】设置Failover KEY84.4【基本】关闭不使用的SNMP服务或更正不当权限设置94.5【基本】SNMP服务的共同体字符串设置94.6【基本】SNMP服务的访问控制设置94.7【基本】防火墙策略修订104.8常见攻击防护104.9VPN安全加固105服务配置要求115.1【基本】启用NTP服务115.2禁用HTTP配置方式115.3禁用DHCP服务125.4启用service resetoutside125.5启用Floodguard125.6启用Fragment chain保护135.7启用RPF保护136其他配置要求136.1【基本】系统漏洞检测136.2【基本】设置登录超时时间146.3【基本】检查地址转换超时时间146.4信息内容过滤141 适用范围如无特殊说明，本规范所有配置项适用于Cisco ASA/FWSM 7.x系列版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2 账号管理与授权2.1 【基本】设置非特权模式密码配置项描述查看是否设置非特权模式密码，且密码长度和强度符合规范要求。检查方法查看配置文件中是否存在：passwd * encrypted操作步骤1、参考配置操作：(config)# username xxx passwd * encrypted2、补充操作说明：建议设定本地passwd，并使用了加密命令。密码不少于8位，包含大小写字母、数字和特殊符号。回退操作(config)#no username xxx操作风险低风险2.2 【基本】enable password的使用配置项描述启用enable password，使用encrypted关键字，同时应保证密码不少于8位，包含大小写字母、数字和特殊符号。检查方法查看配置文件中是否有如下配置：enable password * encrypted 操作步骤1、参考配置操作：(config)# enable password * encrypted2、补充操作说明：建议使用enable password，并进行加密，密码不少于8位，包含大小写字母、数字和特殊符号。回退操作(config)# no enable password操作风险低风险2.3 【基本】设置与认证系统联动配置项描述设置与认证系统联动，对登陆网络设备的用户进行身份鉴别。检查方法Show running-config aaa 查看配置：#aaa authentication enable console TACACS+ LOCAL#aaa authentication ssh console TACACS+ LOCAL#aaa authorization command TACACS+ LOCAL#aaa accounting enable console TACACS+#aaa accounting serial console TACACS+#aaa accounting ssh console TACACS+操作步骤1、参考配置操作：#aaa server server_tag protocol tacacs+ | radius#aaa server server_tag if_name host server_ip#aaa authentication serial console TACACS+ LOCAL#aaa authentication enable console TACACS+ LOCAL#aaa authentication ssh console TACACS+ LOCAL#aaa authorization command TACACS+ LOCAL#aaa accounting enable console TACACS+#aaa accounting ssh console TACACS+2、补充操作说明：如果远程认证服务器发生故障，防火墙不能与之取得联系，则该用户验证就会失败，意味着不能更改防火墙任何配置或者执行任何命令，作为补救措施，建议添加关键字LOCAL，在防火墙尝试AAA服务器组之后，启用本地验证。回退操作#no aaa-server server-tag protocol radius | TACACS+操作风险低风险2.4 【基本】设置登录失败处理功能配置项描述配置登录失败处理功能，可采取结束会话、限制非法登录次数、隐藏防火墙字符管理界面的banner信息和当网络登录连接超时自动退出等措施。检查方法Show running-config查看是否存在#banner login#banner motd text#aaa-server TACACS+protocol tacacs+#reactivation-mode depletion deadtime 1#aaa-server TACACS+ (inside) host max-failed attempts 2操作步骤1、参考配置操作：#banner login *#aaa-server TACACS+protocol tacacs+#reactivation-mode depletion deadtime 1#aaa-server TACACS+ (inside) host #max-failed attempts 2回退操作#no aaa-server server-tag protocol radius | TACACS+操作风险低风险2.5 认证授权最小化配置项描述对登录网络设备的用户进行身份鉴别，实现网络设备管理帐户分级，在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检查方法show running-config all privilege all查看账号分级权限：本地认证授权部分配置诸如：username admin password XXXfMQ/rjnxl9Vwe9mv encrypted privilege 15；privilege cmd level 0 mode enable command enableprivilege show level 15 mode cmd command enableTacacs+配置部分配置如：aaa authorization command tacacs+_server_group LOCAL操作步骤1、参考配置操作：# aaa authorization command tacacs+_server_group LOCAL2、补充操作说明：权限设置需要在ACS上面完成回退操作#no aaa-server RADIUS protocol radius | TACACS+操作风险低风险3 日志配置要求3.1 【基本】设置日志服务器配置项描述设置日志服务器，对系统运行状况、网络流量、用户行为等进行日志记录，同时应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步检查方法检查配置文件中是否存在如下配置：logging onlogging host inside *.*.*.*logging timestamplogging facility 20logging trap 7logging console 2logging history 6logging buffered 6操作步骤1、参考配置操作：建议对设备启用Logging的配置，并设置正确的syslog服务器。保存系统日志。命令为：(config)# logging on(config)# logging host inside *.*.*.*(config)#logging timestamp(config)#logging facility 20(config)#logging trap 7(config)#logging console 2(config)#logging history 6(config)# logging buffered 6回退操作回退对配置文件中日志设置的修改。操作风险低风险，需要日志服务器4 IP协议安全要求4.1 【基本】设置SSH方式访问系统配置项描述设置SSH方式访问系统。当对网络设备进行远程管理时，采用SSH连接，防止鉴别信息在网络传输过程中被窃听。检查方法查看配置文件中的SSH配置操作步骤参考配置操作：(config)#domain-name name(config)#crypto key generate rsa modulus 1024(config)#ca generate rsa key 1024(config)#ca save all(config)# ssh ip_address mask interface(config)# ssh version 2回退操作无操作风险低风险，改变维护管理习惯4.2 【基本】远程访问源地址限制配置项描述配置远程访问源地址，对网络设备的管理员登录地址进行限制。检查方法查看配置文件中，如下的类似配置：ssh *.*.*.* x.x.x.x insidetelnet *.*.*.* x.x.x.x inside操作步骤对远程访问进行了严格的源地址控制，保证授权的地址才可以访问设备。命令为：参考配置操作：(config)#ssh *.*.*.* x.x.x.x inside(config)#telnet *.*.*.* x.x.x.x inside回退操作(config)#no ssh *.*.*.* x.x.x.x inside(config)#no telnet *.*.*.* x.x.x.x inside操作风险低风险4.3 【基本】设置Failover KEY配置项描述设置Failover KEY，对Failover进行加密保护，保护用户名、密码、共享密钥等重要信息。检查方法查看配置文中关于Failover的设置情况：show run failover操作步骤Failover承载了用户名、密码、共享密钥等重要信息，需要进行必要的加密保护命令为：(config)# failover key password回退操作(config)#no failover key password操作风险低风险4.4 【基本】关闭不使用的SNMP服务或更正不当权限设置配置项描述关闭不使用的SNMP服务或更正不当权限设置，系统功能最小化，降低被供给的风险。检查方法查看配置文中关于SNMP服务的设置情况：内容为：snmp-server 操作步骤如果用户不采用SNMP方式管理防火墙，则应关闭SNMP服务。如采用SNMP此项忽略但应修改community及读写权限命令为：(config)# clear configure snmp-server(config)#no snmp-server回退操作无操作风险低风险，关闭前应确认该功能不被使用4.5 【基本】SNMP服务的共同体字符串设置配置项描述检查SNMP服务的共同体字符串设置， 取消字符串默认设置，防止穷举攻击。检查方法查看配置文中关于SNMP服务的共同体字符串设置情况：snmp-server community *操作步骤在开启了SNMP服务的前提下，检查SNMP服务的共同体字符串设置情况，应该取消使用默认的public和private，建议设置复杂一些的字符串,命令为：(config)# snmp-server community *回退操作(config)# no snmp-server community *操作风险低风险，需要更改访问此设备的SNMP信息配置4.6 【基本】SNMP服务的访问控制设置配置项描述SNMP服务的访问控制设置，限制可访问的源IP地址。检查方法查看配置文中关于SNMP服务的访问控制设置情况：snmp-server host * community操作步骤对SNMP访问进行地址控制，保证指定的地址才可以访问设备。命令为：(config)# snmp-server host * community回退操作(config)#no snmp-server host * community操作风险低风险4.7 【基本】防火墙策略修订配置项描述配置防火墙策略，根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级，按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户检查方法根据配置中的防火墙策略，分析各种自定义的服务、对象和策略。主要注意由外向内方向的策略。注意源地址为any 目的地址为any 服务为any的其中两项的组合策略。需要防火墙管理员的配合。遵循服务最小化的原则。操作步骤遵循服务最小化的原则。回退操作回退防火墙配置，恢复初始配置。操作风险高风险，需要确认具体使用的端口、IP和流向4.8 常见攻击防护配置项描述配置攻击防护策略，屏蔽常见漏洞端口，确认病毒防护措施，提高系统的可用性。检查方法Show access-list 查看对135,136,137,138,139,445等端口访问限制独立的病毒防范措施；日常工作流程及落实程度操作步骤屏蔽常见的漏洞端口，应根据实际情况调整。hostname(config)# access-list ACL_IN extended deny tcp any inside_server eq xxx回退操作开启被禁用的端口.操作风险高风险，需要确认是否有业务在使用该端口4.9 VPN安全加固配置项描述VPN 安全优化，提高算法强度，优化协议性能。检查方法1、 启用VPN 断开告警2、 hash配置成sha3、 Lifetime设置成3600，默认86,4004、 IKE 阶段一预共享密钥默认采用侵略模式，建议采用主模式，防重放攻击5、 实施PFS6、 DH组变换配置成=1024操作步骤1、 启用VPN 断开告警crypto isakmp disconnect-notify2、 设置hash为shahash sha3、 设置LifetimeSet security-association lifetime 36004、 IKE 阶段一设置为主模式crypto isakmp am-disable5、 实施PFScrypto map map_name entry_# set pfs group1 | group2 | group5 | group7回退操作无操作风险中风险，IKE 模式修改，需对等体两端同时修改，修改过程中存在断网风险5 服务配置要求5.1 【基本】启用NTP服务配置项描述启用NTP服务，并启用相应认证。检查方法查看配置文件中是否包含如下内容：#ntp server key 1 prefer#ntp authenticate#ntp trusted-key#ntp authentication-key 1 md5 aNiceKey操作步骤建议启用NTP服务。命令为：#ntp server key 1 prefer#ntp authenticate#ntp trusted-key 1#ntp authentication-key 1 md5 aNiceKey回退操作关闭NTP服务。操作风险中风险，需要时间源，系统时间更改5.2 禁用HTTP配置方式配置项描述查看是否关闭了http的配置方式，禁止使用http配置系统。检查方法查看是否存在如下配置：no http server enable 操作步骤建议关闭http配置方式,执行：(config)# no http server enable回退操作(config)# http server enable操作风险低风险，管理员需确认是否需要开启http服务5.3 禁用DHCP服务 配置项描述查看DHCP服务的设置情况，禁用DHCP服务，防止伪DHCP Server攻击和针对DHCP服务的DOS攻击等检查方法查看配置文件中是否包含如下内容：dhcpd enable操作步骤建议关闭DHCP服务. 命令为：(config)# clear configure dhcpd(config)# no dhcpd enable回退操作(config)# dhcpd enable操作风险低风险， 5.4 启用service resetoutside 配置项描述启用service resetoutside，加速Webvpn及SVC连接失败重连速度、检查方法查看配置文件中是否包含如下内容：service resetoutside操作步骤建议启用service resetoutside服务。命令为：service resetoutside回退操作关闭service resetoutiside。操作风险低风险5.5 启用Floodguard配置项描述启用Floodguard，防止洪水攻击检查方法查看配置文件中是否包含如下内容：floodguard enable操作步骤配置文件中添加如下内容floodguard enable回退操作关闭floodguard功能。操作风险中风险，影响设备性能5.6 启用Fragment chain保护配置项描述启用Fragment chain保护，禁止数据包拆包后穿越防火墙检查方法查看配置文件中是否包含如下内容：fragment chain 1 outside操作步骤建议启用fragguard chain，命令为：(config)#fragment chain 1 outside回退操作停用Fragment chain保护功能。操作风险中风险，影响设备性能5.7 启用RPF保护配置项描述启用Require Unicast Reverse-Path Forwarding保护，防止恶意伪造源地址以及DDOS攻击。检查方法查看配置文件中是否包含如下内容：ip verify reverse-path操作步骤建议启用Require Unicast Reverse-Path Forwarding，这个功能检查每一个经过路由器的数据包。当路由器接收到一个数据包，它检查路由表，确定返回数据包的源IP地址的路由是否从接收到该数据包的接口进入，如果是，则正常转发该数据包，否则，就会丢弃数据包。反向路由转发在防止恶意伪造源地址以及DDoS攻击方面颇有成效。命令为：(config)#interface f0/1(config-if)# ip verify reverse-path interface 0/1回退操作关闭RPF保护功能。操作风险高风险，影响设备性能，不建议启用此配置，可用白名单代替6 其他配置要求6.1 【基本】系统漏洞检测配置项描述系统漏洞检测，查看系统版本，及时更新补丁操作步骤查看系统的版本信息，并根据版本