等级保护测评-WEB防火墙安全策略检查及加固建议

密级：秘密文档编号：项目代号：XXX网站系统WEB防火墙安全策略检查及加固建议二零一二年十月

文档信息表文档基本信息项目名称XXX信息网等级保护测评项目当前项目阶段实施阶段文档名称XXX网站系统-WEB防火墙安全策略检查及加固建议文档版本V2.0是否为正式交付件文档创建日期2012/10/17当前修订日期2012/10/30文档存放路径文档审批匕要求文档审批信息审阅人职务审阅时间审阅意见文档修订信息版本修正章节日期作者变更记录V2.0全文2012/10/30XXX文档版式修订目录.防火墙安全检查概述 检查目标 检查范围 检查流程 .设备信息 .检查内容记录 .安全加固建议 设置特权用户权限分离 加密安全管理（https） 启用威胁响应邮箱告警功能 启用IP-MAC地址绑定 防火墙安全检查概述为了保障XXX网站系统的网络安全、通畅和高效的运营，上海络安信息技术有限公司将针对XXX网站系统WEB防火墙的安全策略进行安全检查，并根据检查结果给出相应的加固建议。1.1检查目标本次WEB防火墙安全策略检查服务，主要通过完整详细的采集防火墙设备的基本信息与运行状态数据，对本次防火墙安全策略检查采集的数据进行系统的整理与分析，对XXX网络安全提出相关建议报告。对现有网络存在的问题记录；及时的反馈。＞采集防火墙设备的运行参数，通过系统整理与分析，判断设备的运行状态。＞检查防火墙的运行环境，分析和判断出口防火墙设备运行环境是否满足当前安全运行的必要条件。＞检查安全设备、配置的冗余性，确保网络系统具有抵御设备故障的能力和高可用性。＞检查防火墙记录的日志文件，回顾前期网络设备运行状态信息，寻找故障隐患。1.2检查范本次XXX网站系统WEB防火墙安全检查的范围主要包括：＞防火墙配置文件＞防火墙磁盘使用情况＞防火墙CUP负载情况＞防火墙安全策略配置

1.3检查流程本次XXX网站系统WEB防火墙安全检查的流程分为以下四个阶段:第一阶段工作内容网络环境调研调查XXX网网络环境，防火墙所在区域以及防火墙防护功能的了解第二阶段工作内容设备信息采集检查防火墙设备信息，包括设备系统版本、CUP利用率、防护功能、安全策略、ARP绑定等策略第三阶段工作内容采集数据分析对采集到的防火墙的版本、安全防护、安全策略等信息进行分析、判断，评估存在的安全风险第四阶段工作内容生成汇总报告根据对防火墙检查的过程、安全策略和评估出存在的安全风险，生产汇总报告，并提出安全加固方案设备名称所在区域设备型号IP地址业务应用WEB防火墙WEB天泰WAF-T3-20000网站应用防火墙三.检查内容记录根据等级保护要求主要从两个方面对WEB防火墙进行安全检查：功能性技术指标和安全技术指标。功能技术要求主要包含深度包检测、NAT、IP/MAC绑定、动态开放端口、双机热备、安全审计和管理等功能项；安全技术指标主要包含抗渗透、恶意代码防御和防DDOS等安全功能项。具体检查内容如下表。防火墙登陆控制检查ID具体内容符合不符合检查记录1防火墙是否具有身份标识和身份鉴别（本地认证、AAA认证）机制;V2实现特权用户的权限分离，为超级管理员、审计员、运维人员等分配不同的权限；V设置了admin、wang、titansec,3个管理员账户权限都为all3口令应具有复杂度，长度至少应为8位，并且每季度至少更换1次，更新的口令至少5次内不能重复，口令文件是否采用加密形式存储；V用户密码最小长度8位4防火墙是否具有超时退出的功能；V登陆超时20分钟5防火墙是否设置了访问鉴别失败的处理；V锁定前登陆失败次数3次6远程登陆时，是否可以防止鉴别信息在网络传输过程中被窃取；V7检查是否对管理主机的地址进行限制；V设置了“允许用户同时从不同IP登陆"，没有设置用户IP范围防火墙接入控制检查ID具体内容符合不符合检查记录1检查网络拓扑结构图，检查是否划分防火墙安全区域及IP子网规划。V2查看防火墙及链路是否有冗余，如双机热备。V3防火墙以何种方式接入网络，包括透明模式、混合模式和路由模式等。V透明方式接入防火墙系统配置检查ID具体内容符合不符合检查记录1检查系统时钟是否有权威时间源配置并保持同步；V时钟时间与标准时间保持同步2检查系统升级许可；V系统版本为最新

3检查导入导出功能是否正常；V4检查报警邮箱设置是否启用及是否正常工作；V未启用邮件告警功能5检查是否配置域名服务器。V没有配置域名服务器，使用的是外网域名服务6是否启用防欺骗的IP地址与MAC地址绑定功能V未启用MAC绑定7对于P2P的限制是否启用V未启用流控功能8针对不同端口是否配置抗攻击策略；V启用了DOS防护功能9防火墙是否启用连接限制。V设置了“允许用户同时从不同IP登陆”，没有设置用户IP范围防护墙安全策略检查ID具体内容符合不符合检查记录1检查防火墙是否只开放了必须要开放的端口；V2检查防火墙是否禁止了所有不必要开放的端口；V3检查防火墙是否设置了防DOS攻击安全策略V4防火墙抗攻击配置项阀值的设定是否合理。V防火墙安全管理检查ID具体内容符合不符合检查记录1检查防火墙的通过什么方式进行管理，是否为安全的管理方式VVhttp方式管理，建议开启https2检查防火墙是否根据权限不同进行分级管理V设置了admin、wang、titansec,3个管理员账户，权限为all3检查防火墙的口令设置情况，口令设置是否满足安全要求V4检查采用USB电子钥匙和证书通过web方式管理。V通过web方式管理5检查防火墙默认管理IP地址和管理帐户及用户名更改；V6检查否是启用多用户管理；V但没有对多用户设置不同权限防火墙日志管理ID具体内容符合不符合检查记录1防火墙日志审计记录是否包括日期和时间、用户、事件类型、事件是否成功等。V2检查防火墙的日志设置是否合理，是否有所有拒绝数据包的记录日志。V3检查防火墙的日志保存情况，所记录的日志是否有连续性；V4检查防火墙日志的查看情况，网络安全管理员是否按照防火墙管理制度对防火墙进行日常维护；V5保护防火墙的日志记录，避免未授权的覆盖、修改和删除操作，日志记录应至少保存6个月以上；V

6具备完善的日志导出和报表生成，定期审计日志记录，并生成审计报告；V7是否使用第三方的日志服务器，集中收集防火墙的日志信息并设置访问权限；V没有开启第二方syslog日志服务器防火墙访问控制检查ID具体内容符合不符合检查记录1查看防火墙安全区域的划分，在区域与区域之间是否设置了访问控制策略；V2防火墙根据数据的源IP地址、目的IP地址和端口号为数据流提供明确的允许/拒绝控制；V3查看防火墙启用的哪些服务，采取安全措施保证服务的安全性；V4关闭不必要的服务及端口：关闭CDP、PING、TELNET、HTTP、finger等服务;V5是否采用认证服务器进行用户认证。V没有第三方认证服务器，采用本地认证防火墙运行维护检查ID具体内容符合不符合检查记录1有专职人员对防火墙设备进行监控和操作；V2是否将防火墙配置文件及时保存并导出，配置文件是否有备份V3是否设置网络监控系统，实时监控网络设备的运行情况；V4设置报警机制，检测到网络异常时发出报警；V没有设置邮件报警5防火墙管理人员是否岗位互相备份；V6是否具有防火墙应急预案，并定期进行应急演练；V7有无发生过安全事件，出现安全事件后是否可以启动应急预案进行恢复；V8设备服务商提供及时的售后服务和技术支持，并对设备维护人员做设备培训。V安全加固建议4.1设置特权用户权限分离•设备现状经过检查发现防火墙系统存在admin、wang.titansec三个用户账户，账户权限都为all。这三个账户都有防火墙的最高权限，就会导致三个账户都可以随意更改防火墙设岂理用1置，而没有相应的记录。存在一定的安全管理风险。呈》:设置 5WHP管理坂作…曷班IJ岂理用1置，而没有相应的记录。存在一定的安全管理风险。呈》:设置 5WHP管理坂作…曷班IJ用妹三墉揖白腓（馀:.端痘r.'.mtit皿aq用户省♦占TilXI*in:nistr-ator[4.1-1防火墙管理账户设置】•加固建议由于同时存在3个管理员权限的账户，不便于管理和记录登陆账户的操作范围。建议根据3个用户账户的性质，分别分配不同的权限，账户类型一般如下表所示。账户权限配置方式：系统设置一设备管理一管理用户一对用户进行编辑。序号账户类型操作权限1超级管理员拥有设备的最高管理权限2日志审计员针对事件日志进行管理、查看、分析3运维人员对系统进行日常管理和查看，不给予账户管理、系统配置管理权限[4.1-2管理用户类型及权限分类】

加密安全管理（https）•设备现状检查发现防火墙web管理协议为http,http是未加密的管理协议，建议启用https加密协议的web管理方式。[4.2-1web防火墙管理协议】•加固建议在系统设置的设备管理设置中，把管理协议HTTP更换成HTTPS,其他参数不变。把web登陆方式更改成HTTPS加密协议的方式进行管理，增加设备管理的安全性。启用威胁响应邮箱告警功能•设备现状检查发现WEB防火墙的威胁响应和邮件告警功能未启用，系统设置了威胁分级阀值和可能受到的威胁的分类，以及邮箱告警功能。目的是为了当网站应用防火墙检测到

可以的威胁时，能够第一时间以邮件的方式告知管理人员，以便运维人员针对威胁内容采取抵御措施。[4.3-1web防火墙威胁响应设置】・加固建议在“WEB防护”选项的“威胁响应”设置中，启用威胁响应功能，并设置邮件告警的邮箱地址，邮箱地址尽量设置为管理员人员地址。4.4启用IP-MAC地址绑