思科防火墙安全配置风险评估检查表.doc

目录第1章 概述 目的 适用范围 适用版本 1第2章 账号管理、认证授权基线 账户基线 口令基线 认证 2第3章 日志基线 3第4章 IP协议安全基线要求 基本协议安全基线 路由协议安全基线 SNMP协议安全基线 5第5章 其他安全基线 5概述目的本文档规定了思科PIX防火墙应当遵循的数据库安全性设置标准,本文档旨在指导网络管理人员进行思科PIX防火墙的安全配置。适用范围本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。适用版本各类思科PIX防火墙账号管理、认证授权基线账户基线基线编号基线内容JX-CP-PZ-1应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。JX-CP-PZ-2应删除与设备运行、维护等工作无关的账号。口令基线基线编号基线内容JX-CP-PZ-3静态口令必须使用不可逆加密算法加密,以密文形式存放。如使用USERNAMEUSERNAMEPASSWORDPASSWORDENCRYPTED配置用户密码,不使用PASSWORD配置用户密码。认证基线编号基线内容JX-CP-PZ-7-OPT设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。日志基线JX-CP-PZ-4-OPT与记账服务器(如RADIUS服务器或TACACS服务器)配合,设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。JX-CP-PZ-5-OPT与记账服务器(如TACACS服务器)配合,设备应配置日志功能,记录用户对设备的操作,如账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。JX-CP-PZ-6-OPT开启NTP服务,保证日志功能记录的时间的准确性。IP协议安全基线要求基本协议安全基线基线编号基线内容JX-CP-PZ-8-OPT配置防火墙,防止地址欺骗。JX-CP-PZ-9防火墙以UDP/TCP协议对外提供服务,供外部主机进行访问,服务器、WEB服务器、FTP服务器、SSH服务器等,应配置防火墙,只允许特定主机访问。JX-CP-PZ-10-OPT过滤已知攻击:在防火墙上,设置安全访问控制,过滤掉已知安全攻击数据包,例如UDP1434端口(防止SQLSLAMMER蠕虫)、TCP445,5800,5900(防止DELLA蠕虫)。JX-CP-PZ-11功能禁用:禁用IP源路由功能,除非特别需要。禁用PROXYARP功能。禁用直播(IPDIRECTEDBROADCAST)功能在非可信网段内禁用IP重定向功能。在非可信网段内禁用IP掩码响应功能JX-CP-PZ-12-OPT启用协议的认证,加密功能设备与RADIUS服务器、TACACS服务器、NTP服务器、SNMPV3主机等支持认证加密功能的主机进行通信时,尽可能启用协议的认证加密功能,保证通信安全。路由协议安全基线基线编号基线内容JX-CP-PZ-13启用动