NETSCREEN防火墙安全配置风险评估检查表_第1页
NETSCREEN防火墙安全配置风险评估检查表_第2页
NETSCREEN防火墙安全配置风险评估检查表_第3页
NETSCREEN防火墙安全配置风险评估检查表_第4页
NETSCREEN防火墙安全配置风险评估检查表_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、netscreen 防火墙设备安全配置要求目录第1章概述11.1 目的11.2 适用范国11.3 适用版本1第2章适用性安全要求22.1 帐号22.2 口令42.3 授权52.4 日志62.5 访问控制7第3章增强安全要求93.1 认证93.2 banner 定义93.3 登录 1p10第1章概述1.1目的本文档规定了 netscreen防火墙应当遵循的数据库安全性设置标准,本文档旨在指导网 络管理人员进行netscreen防火墙的安全配置。1.2适用范围本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。1.3适用版本netscreen防火墙;配置示例基于version 5丄0

2、。第2章适用性安全要求2.1帐号编号:jx-ty-pz-l-opt要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备 间通信使用的账号共亨。操作指南1. 参考配置操作set admin name <name>set admin password <password>;修改根用户管理口令和密码set admin user namename> password <password> privilege al 1 read-only;建立系统管理员口令和密码,分只读和读写权限2. 补充操作说明检测方法1 判定条件t.配置文件中,存在不同的

3、帐号分配tt.网络管理员确认用户与帐号分配关系明确2 检测操作get config all编号:jx-ty-pz-2-opt要求内容应删除与设备运行、维护等工作无关的账号。操作指南1.参考配置操作unset admin name <name>检测方法1 判定条件t.配置文件存在多帐号tt.网络管理员确认所有帐号与设备运行、维护等工作有关2 检测操作get config al 1编号:jx-ty-pz-3-opt要求内容限制具备根管理员权限的用户远程登录。操作指南1. 参考配置操作set admin name <name>set admin password <pa

4、ssword>修改根用户管理口令和密码set admin user name <name> password <password> privilege all | read-only;建立系统管理员口令和密码,分只读和读写权限set adinin root access console ;只能从 console 登录set admin auth console timeout 3002. 补充操作说明设定账号密码加密保存设定超时时间为5分钟;检测方法1 判定条件i. 配置root从console登录ii. 限定普通帐号的权限2 检测操作get config all

5、编号:jx-ty-pz-7-opt要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超 过6次(不含6次),锁定该用户使用的账号。要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。操作指南1. 参考配置操作set admin access attempts 62. 补充操作说明检测方法1 判定条件是否对失败登录限制的配置2 检测操作get config all2.2 口令编号:jx-ty-pz-4要求内容对于釆用静态口令认证技术的设备,口令长度至少6位,并包括数字、 小写字母、大写字母和特殊符号等。操作指南2. 参

6、考配置操作set admin password restrict length 63. 补充操作说明设备本身无法实施,可通过管理制度强制要求口令必须包括数字、小写字母、大写字母和特殊符号等检测方法1 判定条件是否对密码长度限制的配置2 检测操作get config all2.3授权编号:jx-ty-pz-9-opt要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。操作指南1. 参考配置操作set admin user name <name> password <password> privilege al 1 read-only:建立系统管理员口令

7、和密码,分只读和读写权限2. 补充操作说明检测方法1 判定条件i.用户名绑定权限级别2 检测操作get config all2.4日志编号:jx-ty-pz-12-opt要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使 用的账号,登录是否成功,登录吋间,以及远程登录吋,用户使用的ip 地址。操作指南1. 参考配置操作set log module event level information destination syslog set syslog enable2. 补充操作说明检测方法1 判定条件i. syslog "enabled"ii. 启用

8、event el 志tit.通常记录日志数不为02 检测操作get config all编号:jx-ty-pz-14-opt要求内容设备应支持远程h志功能。所有设备h志均能通过远程h志功能传输到 日志服务器。设备应支持至少一种通用的远程标准日志接口,如 syslog、ftp 等。操作指南1. 参考配置操作set syslog config hx.x.x.xm log all set syslog enable2. 补充操作说明检测方法1 判定条件iv. syslog enabled vv. 指定日志服务器vi. 通常记录日志数不为02 检测操作get config all2.5访问控制编号:j

9、x-ty-pz-16-opt要求内容对于具备tcp/udp协议功能的设备,设备应根据业务需要,配置基于源 tp地址、通信协议tcp或udp、目的ip地址、源端口、目的端口的流量 过滤,过滤所有和业务不相关的流量。操作指南1.参考配置操作例如:set interface ethernetl zone trustset interface ethernet2 zone untrustset policy from trust to untrust source destination destport permitset service "445" protocol tcp s

10、rc-port 0-65535 dst-port 445-445 group “other”set policy id 107 from “trust “ to “dmz”192.168235/32”t3/32” “any” permit2.补充操作说明检测方法1 判定条件i. 针对每个业务所需通讯,存在一条acl;ii. 对于非公共性服务,源1p和目标ip不能含有anyiii. 目标端口明确2 检测操作get config all编号:jx-ty-pz-17-opt要求内容防火墙设备应配置使用ssh等加密协议进行远程管理。操作指南1. 参考配置操作set ss1 po

11、rt numset ssl enable (disable);设置https管理的端口和打开此功能set http port numset http enable (disable);设置http管理的端口和打开此功能set telnet enable (disable);设置telnet的管理功能是否打开set ssh enable (disable);设置ssh的管理功能是否打开set adinin manager-ip x. x. x. x ;只是远端受信管理地址 set interface et herne tl man age ssh ;在接口启用 ssh2. 补充操作说明检测方法1

12、 判定条件启用ssh,并在接口绑定2 检测操作get config all第3章增强安全要求3.1认证anner定义编号:jx-nf-pz-1要求内容设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强 制要求。操作指南1.参考配置操作1. set auth-server radiusl type radius2. set auth-server radiusl account-type auth3. set auth-server radiusl server-name 004. set auth-server radiusl backup1 1

13、05. set auth-server radiusl backup2 206 set auth-server radiusl radius-port 45007. set auth-server radiusl timeout 308. set auth-server radiusl secret a56htyy97kl 外部用户组9. set user-group auth_grp2 location external10 set user-group auth_grp2 type auth 地址11. set address trust midas 0/

14、32策略12 set policy top from untrust to trust any midas any permit auth server radiusl user-group auth grp213 save2.补充操作说明检测方法1 判定条件帐号、口令配置,指定了认证系统2 检测操作get config all编号:jx-nf-pz-3-要求内容设备通过相关参数配置,更改banner信息操作指南1. 参考配置操作1 set admin auth banner console login string2. set admin auth barmer telnet login string3.

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论