还剩32页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
网络安全设备配置规范XXX2011年1月文档信息标题文档全名版本号
1.0版本日期2011年1月文件名网络安全设备配置规范所有者XXX作者XXX修订记录日期描述作者版本号2011-1创建XXX
1.0文档审核/审批(此文档需如下审核)姓名公司/部门职务/职称文档分发(此文档将分发至如下各人)姓名公司/部门职务/职称网络安全设备配置规范1防火墙
1.1防火墙配置规范
1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等,并定义相应的职责,维护相应的文档和记录
2.防火墙管理人员应定期接受培训
3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等,以及使用SSH而不是telnet远程管理防火墙
4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如何进行口令变更?
1.2变化控制
1.防火墙配置文件是否备份?如何进行配置同步?
2.改变防火墙缺省配置
3.是否有适当的防火墙维护控制程序?
4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可靠
5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查
1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标
2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性防火墙访问控制规则集的一般次序为反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地址)用户允许规则(如,允许HTTP到公网Web服务器)管理允许规则拒绝并报警(如,向管理员报警可疑通信)拒绝并记录(如,记录用于分析的其它通信)防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的
3.防火墙访问控制规则中是否有保护防火墙自身安全的规则
4.防火墙是否配置成能抵抗DoS/DDoS攻击?
5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址标准的不可路由地址(
255.
255.
255.
255、
127.
0.
0.0)私有(RFC1918)地址(
10.
0.
0.0–
10.
255.
255.
255、
172.
16.
0.0–
172.
31..
255.
255、
192.
168.
0.0–
192.
168.
255.255)保留地址(
224.
0.
0.0)非法地址(
0.
0.
0.0)
6.是否确保外出的过滤?确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则,并确保任何源IP不是内部网的通信被记录
7.是否执行NAT,配置是否适当?任何和外网有信息交流的机器都必须经过地址转换(NAT)才允许访问外网,同样外网的机器要访问内部机器,也只能是其经过NAT后的IP,以保证系统的内部地址、配置和有关的设计信息如拓扑结构等不能泄露到不可信的外网中去
8.在适当的地方,防火墙是否有下面的控制?如,URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病毒等
9.防火墙是否支持“拒绝所有服务,除非明确允许”的策略?
1.4审计监控
1.具有特权访问防火墙的人员的活动是否鉴别、监控和检查?对防火墙的管理人员的活动,防火墙应该有记录,并要求记录不能修改,以明确责任,同时能检查对防火墙的变化
2.通过防火墙的通信活动是否日志?在适当的地方,是否有监控和响应任何不适当的活动的程序?确保防火墙能够日志,并标识、配置日志主机,确保日志安全传输管理员通过检查日志来识别可能显示攻击的任何潜在模式,使用审计日志可以监控破坏安全策略的进入服务、外出服务和尝试访问
3.是否精确设置并维护防火墙时间?配置防火墙使得在日志记录中包括时间信息精确设置防火墙的时间,使得管理员追踪网络攻击更准确
4.是否按照策略检查、回顾及定期存档日志,并存储在安全介质上?确保对防火墙日志进行定期存储并检查,产生防火墙报告,为管理人员提供必需的信息以帮助分析防火墙的活动,并为管理部门提供防火墙效率情况
1.5应急响应
1.重大事件或活动是否设置报警?是否有对可以攻击的响应程序?如适当设置入侵检测功能,或者配合使用IDS(入侵检测系统),以防止某些类型的攻击或预防未知的攻击
2.是否有灾难恢复计划?恢复是否测试过?评估备份和恢复程序(包括持续性)的适当性,考虑对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等2交换机
2.1交换机配置文件是否离线保存、注释、保密、有限访问,并保持与运行配置同步
2.2是否在交换机上运行最新的稳定的IOS版本
2.3是否定期检查交换机的安全性?特别在改变重要配置之后
2.4是否限制交换机的物理访问?仅允许授权人员才可以访问交换机
2.5VLAN1中不允许引入用户数据,只能用于交换机内部通讯
2.6考虑使用PVLANs,隔离一个VLAN中的主机
2.7考虑设置交换机的SecurityBanner,陈述“未授权的访问是被禁止的”
2.8是否关闭交换机上不必要的服务?包括TCP和UDP小服务、CDP、finger等
2.9必需的服务打开,是否安全地配置这些服务?
2.10保护管理接口的安全
2.11shutdown所有不用的端口并将所有未用端口设置为第3层连接的vlan
2.12加强con、aux、vty等端口的安全
2.13将密码加密,并使用用户的方式登陆
2.14使用SSH代替Telnet,并设置强壮口令无法避免Telnet时,是否为Telnet的使用设置了一些限制?
2.15采用带外方式管理交换机如果带外管理不可行,那么应该为带内管理指定一个独立的VLAN号
2.16设置会话超时,并配置特权等级
2.17使HTTPserver失效,即,不使用Web浏览器配置和管理交换机
2.18如果使用SNMP,建议使用SNMPv2,并使用强壮的SNMPcommunitystrings或者不使用时,使SNMP失效
2.19实现端口安全以限定基于MAC地址的访问使端口的auto-trunking失效
2.20使用交换机的端口映像功能用于IDS的接入
2.21使不用的交换机端口失效,并在不使用时为它们分配一个VLAN号
2.22为TRUNK端口分配一个没有被任何其他端口使用的nativeVLAN号
2.23限制VLAN能够通过TRUNK传输,除了那些确实是必需的
2.24使用静态VLAN配置
2.25如果可能,使VTP失效否则,为VTP设置管理域、口令和pruning然后设置VTP为透明模式
2.26在适当的地方使用访问控制列表
2.27打开logging功能,并发送日志到专用的安全的日志主机
2.28配置logging使得包括准确的时间信息,使用NTP和时间戳
2.29依照安全策略的要求对日志进行检查以发现可能的事件并进行存档
2.30为本地的和远程的访问交换机使用AAA特性3路由器
1.是否有路由器的安全策略? 明确各区域的安全策略物理安全设计谁有权安装、拆除、移动路由器设计谁有权维护和更改物理配置设计谁有权物理连接路由器设计谁有权物理在Console端口连接路由器设计谁有权恢复物理损坏并保留证据静态配置安全设计谁有权在Console端口登录路由器设计谁有权管理路由器设计谁有权更改路由器配置设计口令权限并管理口令更新设计允许进出网络的协议、IP地址设计日志系统限制SNMP的管理权限定义管理协议(NTPTACACS+RADIUSandSNMP)与更新时限定义加密密钥使用时限动态配置安全识别动态服务,并对使用动态服务作一定的限制识别路由器协议,并设置安全功能设计自动更新系统时间的机制(NTP)如有VPN,设计使用的密钥协商和加密算法网络安全列出允许和过滤的协议、服务、端口、对每个端口或连接的权限危害响应列出危害响应中个人或组织的注意事项定义系统被入侵后的响应过程收集可捕获的和其遗留的信息没有明确允许的服务和协议就拒绝
2.路由器的安全策略的修改内网和外网之间增加新的连接管理、程序、和职员的重大变动网络安全策略的重大变动增强了新的功能和组件(VPNorfirewall察觉受到入侵或特殊的危害
3.定期维护安全策略访问安全
1.保证路由器的物理安全
2.严格控制可以访问路由器的管理员
3.口令配置是否安全Example:Enablesecret53424er2w
4.使路由器的接口更安全
5.使路由器的控制台、辅助线路和虚拟终端更安全控制台#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#linecon0config-line#transportinputnoneconfig-line#loginlocalconfig-line#exec-timeout50config-line#exitconfig#设置一个用户config#usernamebrianprivilege1passwordg00d+pa55w0rdconfig#end#关闭辅助线路#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#lineaux0config-line#transportinputnoneconfig-line#loginlocalconfig-line#exec-timeout01config-line#noexecconfig-line#exit关闭虚拟终端#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#noaccess-list90config#access-list90denyanylogconfig#linevty04config-line#access-class90inconfig-line#transportinputnoneconfig-line#loginlocalconfig-line#exec-timeout01config-line#noexecconfig-line#end#访问列表
1.实现访问列表及过滤拒绝从内网发出的源地址不是内部网络合法地址的信息流config#noaccess-list102config#access-list102permitip
14.
2.
6.
00.
0.
0.255anyconfig#access-list102denyipanyanylogconfig#interfaceeth0/1config-if#descriptioninternalinterfaceconfig-if#ipaddress
14.
2.
6.
250255.
255.
255.0config-if#ipaccess-group102in拒绝从外网发出的源地址是内部网络地址的信息流拒绝所有从外网发出的源地址是保留地址、非法地址、广播地址的信息流InboundTrafficconfig#noaccess-list100config#access-list100denyip
14.
2.
6.
00.
0.
0.255anylogconfig#access-list100denyip
127.
0.
0.
00.
255.
255.255anylogconfig#access-list100denyip
10.
0.
0.
00.
255.
255.255anylogconfig#access-list100denyip
0.
0.
0.
00.
255.
255.255anylogconfig#access-list100denyip
172.
16.
0.
00.
15.
255.255anylogconfig#access-list100denyip
192.
168.
0.
00.
0.
255.255anylogconfig#access-list100denyip
192.
0.
2.
00.
0.
0.255anylogconfig#access-list100denyip
169.
254.
0.
00.
0.
255.255anylogconfig#access-list100denyip
224.
0.
0.
015.
255.
255.255anylogconfig#access-list100denyiphost
255.
255.
255.255anylogconfig#access-list100permitipany
14.
2.
6.
00.
0.
0.255config#interfaceeth0/0config-if#descriptionexternalinterfaceconfig-if#ipaddress
14.
1.
1.
20255.
255.
0.0config-if#ipaccess-group100inconfig-if#exitconfig#interfaceeth0/1config-if#descriptioninternalinterfaceconfig-if#ipaddress
14.
2.
6.
250255.
255.
255.0config-if#end入路由器外部接口阻塞下列请求进入内网的端口1TCPUDPtcpmux7TCPUDPecho9TCPUDPdiscard11TCPsystat13TCPUDPdaytime15TCPnetstat19TCPUDPchargen37TCPUDPtime43TCPwhois67UDPbootp69UDPtftp93TCPsupdup111TCPUDPsunrpc135TCPUDPloc-srv137TCPUDPnetbios-ns138TCPUDPnetbios-dgm139TCPUDPnetbios-ssn177UDPxdmcp445TCPnetbiosds512TCPrexec515TCPlpr517UDPtalk518UDPntalk540TCPuucp19005000TCPUDPMicrosoftUPnPSSDP2049UDPnfs6000-6063TCPXWindowSystem6667TCPirc12345TCPNetBus12346TCPNetBus31337TCPUDPBackOrifice161TCPUDPsnmp162TCPUDPsnmptrap513TCPrlogin513UDPwho514TCPrshrcprdistrdump514UDPsyslog
2.关闭路由器上不必要的服务(可运行showproc命令显示)CiscoDiscoveryProtocolTcpsmallserversUDPsmallserversFingerhttpserverbootpserverconfigurationautoloadingipsourceroutingproxyARPIPdirectedbroadcastIPunreachablenotificationIPremarkreplyIPredirectsNTPserviceSimpleNetworkmgmtprotocolDomainNameservice
3.是否过滤通过路由器的通信?1是否设置IP地址欺骗保护?2是否设置漏洞保护(ExploitsProtection)?TCPSYN功击设置在ROUTER的外网口,只允许从内部建立TCP连接config#access-list106permittcpany
14.
2.
6.
00.
0.
0.255establishedconfig#access-list106denyipanyanylogconfig#interfaceeth0/0config-if#descriptionexternalinterfaceconfig-if#ipaccess-group106in只允许到达可达用户config#access-list100denyiphost
14.
1.
1.20host
14.
1.
1.20logconfig#access-list100permitipanyanyconfig#interfaceeth0/0config-if#descriptionExternalinterfaceto
14.
1.
0.0/16config-if#ipaddress
14.
1.
1.
20255.
255.
0.0config-if#ipaccess-group100inconfig-if#exitSmurfAttack不允许向内部网络发送IP广播包config#access-list110denyipanyhost
14.
2.
6.255logconfig#access-list110denyipanyhost
14.
2.
6.0logconfig#interfaceinterfaceeth0/0config-if#ipaccess-group110inconfig-if#exitICMP和TRACEROUTE功能的设置禁止PING内网config#access-list100denyicmpanyanyechologconfig#access-list100denyicmpanyanyredirectlogconfig#access-list100denyicmpanyanymask-requestlogconfig#access-list100permiticmpany
14.
2.
6.
00.
0.
0.255config#access-list100denyudpanyanyrange3340034400log允许PING外网config#access-list102permiticmpanyanyechoconfig#access-list102permiticmpanyanyparameter-problemconfig#access-list102permiticmpanyanypacket-too-bigconfig#access-list102permiticmpanyanysource-quenchconfig#access-list102denyicmpanyanylogconfig#access-list102permitudpanyanyrange3340034400logDistributedDenialofServiceDDoSAttacksaccess-list170denytcpanyanyeq27665logaccess-list170denyudpanyanyeq31335logaccess-list170denyudpanyanyeq27444log!theStacheldrahtDDoSsystemaccess-list170denytcpanyanyeq16660logaccess-list170denytcpanyanyeq65000log!theTrinityV3systemaccess-list170denytcpanyanyeq33270logaccess-list170denytcpanyanyeq39168log!theSubsevenDDoSsystemandsomevariantsaccess-list170denytcpanyanyrange67116712logaccess-list170denytcpanyanyeq6776logaccess-list170denytcpanyanyeq6669logaccess-list170denytcpanyanyeq2222logaccess-list170denytcpanyanyeq7000log
4.是否过滤访问路由器自身的通信?路由协议安全RoutedProtocolsTCP/IP协议、RIP、OSPF、IGRP、EIGRP、BGPRouteTablesandRoutingProtocols
1.Directconnection:
2.Staticrouting.
3.Dynamicrouting.
4.Defaultrouting.建议
1.小型网络应用静态路由#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#iproute
14.
2.
6.
0255.
255.
255.
014.
1.
1.20120config#end#
2.使用动态路由设置带权限的路由信息更新RouterNeighborAuthenticationOSPFAuthentication#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#routerospf1config-router#network
14.
1.
0.
00.
0.
255.255area0config-router#area0authenticationmessage-digestconfig-router#exitconfig#inteth0/1config-if#ipospfmessage-digest-key1md5r0utes-4-allconfig-if#end##configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#routerospf1config-router#area0authenticationmessage-digestconfig-router#network
14.
1.
0.
00.
0.
255.255area0config-router#network
14.
2.
6.
00.
0.
0.255area0config-router#exitconfig#inteth0config-if#ipospfmessage-digest-key1md5r0utes-4-allconfig-if#endRIPAuthenticationRIP2支持此功能#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#keychain-KCconfig-keychain#key1config-keychain-key#key-stringmy-supersecret-keyconfig-keychain-key#exitconfig-keychain#key2config-keychain-key#key-stringmy-othersecret-keyconfig-keychain-key#end##configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#keychain-KCconfig-keychain#key1config-keychain-key#key-stringmy-supersecret-keyconfig-keychain-key#exitconfig-keychain#key2config-keychain-key#key-stringmy-othersecret-keyconfig-keychain-key#end#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#intethernet0/1config-if#ipripauthenticationkey-chain-KCconfig-if#ipripauthenticationmodemd5config-if#end##configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#intethernet0/0config-if#ipripauthenticationkey-chain-KCconfig-if#ipripauthenticationmodemd5config-if#end#EIGRPAuthentication#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#routereigrp100config-router#network
14.
1.
0.
0255.
255.
0.0config-router#exitconfig#interfaceeth0/1config-if#ipauthenticationmodeeigrp100md5config-if#ipauthenticationkey-chaineigrp100-KCconfig-if#exitconfig#keychain-KCconfig-keychain#key1config-keychain-key#key-stringsecret-keyconfig-keychain-key#send-lifetime00:00:00Oct1200200:00:00Jan12003config-keychain-key#accept-lifetime00:00:00Oct1200200:00:00Jan72003config-keychain-key#end##configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#routereigrp100config-router#network
14.
1.
0.
0255.
255.
0.0config-router#network
14.
2.
6.
0255.
255.
255.0config-router#passive-interfaceeth1config-router#exitconfig#interfaceeth0config-if#ipauthenticationmodeeigrp100md5config-if#ipauthenticationkey-chaineigrp100-KCconfig-if#exitconfig#keychain-KCconfig-keychain#key1config-keychain-key#key-stringsecret-keyconfig-keychain-key#send-lifetime00:00:00Oct1200200:00:00Jan12003config-keychain-key#accept-lifetime00:00:00Oct1200200:00:00Jan72003config-keychain-key#end#关闭ARPPROXY功能#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#interfaceethernet0/0config-if#noipproxy-arpconfig-if#exitconfig#interfaceethernet0/1config-if#noipproxy-arpconfig-if#endDisablingunneededrouting-relatedservicesPassiveInterfaces被动态接口Router1#showconfig..interfaceethernet0descriptionActiveroutinginterfacefor
14.
1.
0.0netipaddress
14.
1.
15.
250255.
255.
0.0!interfaceethernet1descriptionActiveroutinginterfacefor
14.
2.
0.0netipaddress
14.
2.
13.
150255.
255.
0.0!interfaceethernet2descriptionPassiveinterfaceonthe
14.
3.
0.0netipaddress
14.
3.
90.
50255.
255.
0.0!routerospf1network
14.
0.
0.
00.
0.
0.255area0passive-interfaceethernet2说明只在ETHERNET
1、ETHERNET2上运行OSPF协议在ETHERNET2上禁止#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#routerripconfig-router#passive-interfaceethernet0/0config-router#end#Usingfilterstoblockroutingupdates#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#access-list55deny
14.
2.
10.
00.
0.
0.255config#access-list55permitanyconfig#end##configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#routerospf1config-router#distribute-list55outconfig-router#end#Rip协议#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#access-list55deny
14.
2.
10.
00.
0.
0.255config#access-list55permitanyconfig#routerripconfig-router#distribute-list55outconfig-router#end#BGPandMD5Authentication#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.config#routerbgp26625config-router#neighbor
14.
2.
0.250remote-as27701config-router#neighbor
14.
2.
0.250passwordr0utes4allconfig-router#end#ISPCust7#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Z.ISPCust7config#routerbgp27701ISPCust7config-router#neighbor
14.
2.
0.20remote-as26625ISPCust7config-router#neighbor
14.
2.
0.20passwordr0utes4allISPCust7config-router#endISPCust7#管理路由器
1.设置管理路由器的登录机制在专用的管理子网只允许本地固定IP管理路由器管理路由器的主机与路由器间的信息加密VTY使用SSH
2.更新路由器只有在下列情况下更新路由器修复安全脆弱性增加新的功能增加内存设置和测试管理主机和路由器间的文件传输能力按计划停止运行路由器和网络重启后关停端口备份配置文件安装新的配置文件日志审计
1.日志访问列表中端口是否正确
2.设置日志,并标识、配置日志主机
3.精确设置并维护路由器时间
4.按照策略定期检查、分析并存档日志4入侵检测
1.配置IDS产品安全策略策略包括需要保护对象的优先顺序、规定谁可以对IDS产品进行配置管理、以及根据操作系统、应用服务或部署位置等来制定的IDS检测策略
2.定期维护IDS安全策略IDS的安全策略应该是活动的,当环境发生变化时,安全策略应该改变,并应该通知相关人员
3.将IDS产品(传感器和管理器)放置在一个环境安全且可控的区域,以保证IDS产品的物理安全
4.安全地配置装有IDS的主机系统
5.IDS配置文件离线保存、注释、有限访问,并保持与运行配置同步
6.使用IDS产品的最新稳定版本或补丁
7.保持IDS产品的最新的签名数据库
8.定期检查IDS产品自身的安全性,特别在改变重要配置之后
9.对管理用户进行权限分级,并对用户进行鉴别要求不同权限级别的用户应该具有相应的技术能力(掌握信息安全知识)及非技术能力(责任心、管理能力、分析能力等)
10.口令配置安全例如,使用难以猜测的口令、限制知晓范围、重要员工辞职时更换口令
11.精确设置并维护IDS时间(生产系统变更窗口)
12.在发生报警时,能进行快速响应对于报警事件,应该首先进行分析,判断事件是攻击事件还是正常事件,然后对攻击事件进行处理
13.当非法入侵行为时,有相应的处理措施
14.管理员的日常工作1定时检查传感器和管理器连接状态(每天至少两次)2定时查看管理器的日志,并检查近期日志同步是否成功(每天一次)3定期对数据库进行维护,检查记录数和文件大小?每周两次)4经常检查事件报警,查看是否有入侵事件的发生(不定时的)5定时导出最近的事件报表,进行事后的详细分析,以确定是否存在可疑的网络攻击行为(每天一次)6定期检查传感器是否正常运行(一周两次)。