思科防火墙安全配置风险评估检查表.doc

思科防火墙设备安全配置要求 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 第2章 账号管理、认证授权基线 2 2.1 账户基线 2 2.2 口令基线 2 2.3 认证 2 第3章 日志基线 3 第4章 IP协议安全基线要求 3 4.1 基本协议安全基线 3 4.2 路由协议安全基线 4 4.3 SNMP协议安全基线 5 第5章 其他安全基线 5 概述 目的 本文档规定了思科PIX防火墙应当遵循的数据库安全性设置标准，本文档旨在指导网络管理人员进行思科PIX防火墙的安全配置。 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 适用版本 各类思科PIX防火墙 账号管理、认证授权基线 账户基线 基线编号 基线内容 JX-CP-PZ-1 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 JX-CP-PZ-2 应删除与设备运行、维护等工作无关的账号。 口令基线 基线编号 基线内容 JX-CP-PZ-3 静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用username username password password encrypted配置用户密码，不使用password配置用户密码。 认证 基线编号 基线内容 JX-CP-PZ-7-OPT 设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。 日志基线 JX-CP-PZ-4-OPT 与记账服务器(如RADIUS 服务器或TACACS服务器)配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 JX-CP-PZ-5-OPT 与记账服务器(如TACACS服务器)配合，设备应配置日志功能，记录用户对设备的操作，如账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。 JX-CP-PZ-6-OPT 开启NTP服务，保证日志功能记录的时间的准确性。 IP协议安全基线要求 基本协议安全基线 基线编号 基线内容 JX-CP-PZ-8-OPT 配置防火墙，防止地址欺骗。 JX-CP-PZ-9 防火墙以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为TELNET服务器、web服务器、FTP服务器、SSH服务器等，应配置防火墙，只允许特定主机访问。 JX-CP-PZ-10-OPT 过滤已知攻击： 在防火墙上，设置安全访问控制，过滤掉已知安全攻击数据包，例如udp 1434端口（防止SQL slammer蠕虫）、tcp445,5800,5900（防止Della蠕虫）。 JX-CP-PZ-11 功能禁用： 禁用IP源路由功能，除非特别需要。 禁用PROXY ARP功能。 禁用直播（IP DIRECTED BROADCAST）功能 在非可信网段内禁用IP重定向功能。 在非可信网段内禁用IP 掩码响应功能 JX-CP-PZ-12-OPT 启用协议的认证，加密功能 设备与RADIUS服务器、TACACS服务器、NTP服务器、SNMP V3主机等支持认证加密功能的主机进行通信时，尽可能启用协议的认证加密功能，保证通信安全。 路由协议安全基线 基线编号 基线内容 JX-CP-PZ-13 启用动态IGP（RIPV2、OSPF、ISIS等）协议时，启用路由协议认证功能，如MD5加密，确保与可信方进行路由协议交互。 JX-CP-PZ-14 在网络边界运行IGP动态路由协议时，配置路由更新策略，只接受合法的路由更新，防止非法路由注入。只发布所需的路由更新，防止路由信息泄漏。 SNMP协议安全基线 基线编号 基线内容 JX-CP-PZ-15 修改SNMP的Community默认通行字，通行字符串应符合口令强度要求。 JX-CP-PZ-16 只与特定主机进行SNMP协议交互 JX-CP-PZ-17-OPT 未使用SNMP的WRITE功能时，禁用SNMP的写（WRITE）功能。 其他安全基线 基线编号 基线内容 JX-CP-PZ-18 关闭未使用的接口，如防火墙的AUX口。 JX-CP-PZ-19-OPT 要修改路由防火墙缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。 JX-CP-PZ-20 配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。 JX-CP-PZ-21 配置consol口密码保护功能。 JX-CP-PZ-23 关闭不必要的网络服务或