NETSCREEN防火墙安全配置风险评估检查表.doc

NetscreenNetscreen防火墙设备安全配置要求防火墙设备安全配置要求 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 第第 2 章章适用性安全要求适用性安全要求 2 2 1帐号 2 2 2口令 4 2 3授权 5 2 4日志 6 2 5访问控制 7 第第 3 章章增强安全要求增强安全要求 9 3 1认证 9 3 2BANNER定义 9 3 3登录 IP 10 第第 1 章章概述概述 1 1 目的目的 本文档规定了 netscreen 防火墙应当遵循的数据库安全性设置标准 本文档旨在指导网 络管理人员进行 netscreen 防火墙的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 数据库管理员 应用管理员 网络安全管理员 1 3 适用版本适用版本 netscreen 防火墙 配置示例基于 Version 5 1 0 第第 2 章章适用性安全要求适用性安全要求 2 1 帐号帐号 编号 编号 JX TY PZ 1 opt 要求内容要求内容 应按照用户分配账号 避免不同用户间共享账号 避免用户账号和设备 间通信使用的账号共享 操作指南操作指南 1 参考配置操作 参考配置操作 set admin name set admin password 修改根用户管理口令和密码 set admin user name password privilege all read only 建立系统管理员口令和密码 分只读和读写权 限 2 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 I 配置文件中 存在不同的帐号分配 II 网络管理员确认用户与帐号分配关系明确 2 检测操作检测操作 get config all 编号 编号 JX TY PZ 2 opt 要求内容要求内容 应删除与设备运行 维护等工作无关的账号 操作指南操作指南 1 参考配置操作 参考配置操作 unset admin name 检测方法检测方法 1 判定条件判定条件 I 配置文件存在多帐号 II 网络管理员确认所有帐号与设备运行 维护等工作有关 2 检测操作检测操作 get config all 编号 编号 JX TY PZ 3 opt 要求内容要求内容 限制具备根管理员权限的用户远程登录 操作指南操作指南 1 参考配置操作 参考配置操作 set admin name set admin password 修改根用户管理口令和密码 set admin user name password privilege all read only 建立系统管理员口令和密码 分只读和读写权 限 set admin root access console 只能从 console 登录 set admin auth console timeout 300 2 补充操作说明 补充操作说明 设定账号密码加密保存 设定超时时间为 5 分钟 检测方法检测方法 1 判定条件判定条件 I 配置 root 从 console 登录 II 限定普通帐号的权限 2 检测操作检测操作 get config all 编号编号 JX TY PZ 7 opt 要求内容要求内容 对于采用静态口令认证技术的设备 应配置当用户连续认证失败次数超 过 6 次 不含 6 次 锁定该用户使用的账号 操作指南操作指南 1 参考配置操作参考配置操作 set admin access attempts 6 2 补充操作说明补充操作说明 检测方法检测方法 1 判定条件判定条件 是否对失败登录限制的配置 2 检测操作检测操作 get config all 2 2 口令口令 编号编号 JX TY PZ 4 要求内容要求内容 对于采用静态口令认证技术的设备 口令长度至少 6 位 并包括数字 小写字母 大写字母和特殊符号等 操作指南操作指南 2 参考配置操作参考配置操作 set admin password restrict length 6 3 补充操作说明补充操作说明 设备本身无法实施 可通过管理制度强制要求口令必须包括数字 小 写字母 大写字母和特殊符号等 检测方法检测方法 1 判定条件判定条件 是否对密码长度限制的配置 2 检测操作检测操作 get config all 2 3 授权授权 编号 编号 JX TY PZ 9 opt 要求内容要求内容 在设备权限配置能力内 根据用户的业务需要 配置其所需的最小权限 操作指南操作指南 1 参考配置操作 参考配置操作 set admin user name password privilege all read only 建立系统管理员口令和密码 分只读和读写权 限 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 I 用户名绑定权限级别 2 检测操作检测操作 get config all 2 4 日志日志 编号 编号 JX TY PZ 12 opt 要求内容要求内容 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使 用的账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 操作指南操作指南 1 参考配置操作 参考配置操作 set log module event level information destination syslog set syslog enable 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 I Syslog enabled II 启用 event 日志 III 通常记录日志数不为 0 2 检测操作检测操作 get config all 编号 编号 JX TY PZ 14 opt 要求内容要求内容 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到 日志服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 操作指南操作指南 1 参考配置操作 参考配置操作 set syslog config x x x x log all set syslog enable 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 IV Syslog enabled V 指定日志服务器 VI 通常记录日志数不为 0 2 检测操作检测操作 get config all 2 5 访问控制访问控制 编号 编号 JX TY PZ 16 opt 要求内容要求内容 对于具备 TCP UDP 协议功能的设备 设备应根据业务需要 配置基于源 IP 地址 通信协议 TCP 或 UDP 目的 IP 地址 源端口 目的端口的流 量过滤 过滤所有和业务不相关的流量 操作指南操作指南 1 参考配置操作 参考配置操作 例如 Set interface ethernet1 zone trust Set interface ethernet2 zone untrust Set policy from trust to untrust source destination destport permit set service 445 protocol tcp src port 0 65535 dst port 445 445 group other set policy id 107 from Trust to DMZ 192 168 2 35 32 192 168 254 13 32 ANY Permit 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 I 针对每个业务所需通讯 存在一条 acl II 对于非公共性服务 源 IP 和目标 IP 不能含有 any III 目标端口明确 2 检测操作检测操作 get config all 编号 编号 JX TY PZ 17 opt 要求内容要求内容 防火墙设备应配置使用 SSH 等加密协议进行远程管理 操作指南操作指南 1 参考配置操作 参考配置操作 set ssl port num set ssl enable disable 设置 HTTPS 管理的端口和打开此功能 set http port num set http enable disable 设置 HTTP 管理的端口和打开此功能 set telnet enable disable 设置 telnet 的管理功能是否打开 set ssh enable disable 设置 ssh 的管理功能是否打开 set admin manager ip x x x x 只是远端受信管理地址 set interface ethernet1 manage ssh 在接口启用 ssh 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 启用 ssh 并在接口绑定 2 检测操作检测操作 Get config all 第第 3 章章增强安全要求增强安全要求 3 1 认证认证 编号 编号 JX NF PZ 1 要求内容要求内容 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强 制要求 操作指南操作指南 1 参考配置操作 参考配置操作 1 set auth server radius1 type radius 2 set auth server radius1 account type auth 3 set auth server radius1 server name 10 20 1 100 4 set auth server radius1 backup1 10 20 1 110 5 set auth server radius1 backup2 10 20 1 120 6 set auth server radius1 radius port 4500 7 set auth server radius1 timeout 30 8 set auth server radius1 secret A56htYY97kl 外部用户组 9 set user group auth grp2 location external 10 set user group auth grp2 type auth 地址 11 set address trust midas 10 1 1 80 32 策略 12 set policy top from untrust to trust any midas any permit auth server radius1 user group auth grp2 13 save 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 帐号 口令配置 指定了认证系统 2 检测操作检测操作 Get config all 3 2 Banner 定义定义 编号 编号 JX NF PZ 3 要求内容要求内容 设备通过相关参数配置 更改 banner 信息 操作指南操作指南 1 参考配置操作 参考配置操作 1 set admin auth banner console login string 2 set admin auth banner telnet login string 3 save 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 telne