NETSCREEN防火墙安全配置风险评估检查表.doc

NETSCREEN防火墙安全配置风险评估检查表.docNetscreen防火墙设备安全配置要求目录第1章概述 1目的 1适用范国 1适用版本 1第2章 适用性安全要求 2帐号 2口令 4授权 5日志 6访问控制 7第3章增强安全要求 9认证 9Banner定义 9登录1P ,screen防火墙的安全配置。:数据库管理员、应用管理员、网络安全管理员。;配置示例基于Version5丄0。:JX-TY-PZ-l-opt要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共亨。操作指南参考配置操作setadminname<name>setadminpassword<password> ;修改根用户管理口令和密码setadminusername〈name>password<password>privilege[al1read-only] ;建立系统管理员口令和密码,分只读和读写权限补充操作说明检测方法•,•检测操作getconfigall编号:JX-TY-PZ-2-opt要求内容应删除与设备运行、维护等工作无关的账号。<name>检测方法1•、维护等工作有关2•检测操作getconfigal1编号:JX-TY-PZ-3-opt要求内容限制具备根管理员权限的用户远程登录。操作指南参考配置操作setadminname<name>setadminpassword<password> ;修改根用户管理口令和密码setadminusername<name>password<password>privilege[all|read-only] ;建立系统管理员口令和密码,essconsole;只能从console登录setadminauthconsoletimeout300补充操作说明设定账号密码加密保存设定超时时间为5分钟;检测方法•判定条件配置root从console登录限定普通帐号的权限•检测操作getconfigall编号:JX-TY-PZ-7-opt要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。要求内容~对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。essattempts6补充操作说明检测方法•判定条件是否对失败登录限制的配置•:JX-TY-PZ-4要求内容对于釆用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号等。操作指南参考配置操作setadminpasswordrestrictlength6补充操作说明设备本身无法实施,可通过管理制度强制要求口令必须包括数字、小写字母、大写字母和特殊符号等检测方法•判定条件是否对密码长度限制的配置•:JX-TY-PZ-9-opt要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。操作指南参考配置操作setadminusername<name>password<password>privilege[al1read-only] :建立系统管理员口令和密码,分只读和读写权限补充操作说明检测方法••:JX-TY-PZ-12-opt要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录吋间,以及远程登录吋,用户使用的IP地址。操作指南参考配置操作setlogmoduleeventlevelinformationdestinationsyslogsetsyslogenable补充操作说明检测方法•判定条件Syslog"enabled"启用eventEl志TIT. 通常记录日志数不为0•检测操作getconfigall编号:JX-TY-PZ-14-opt要求内容设备应支持远程H志功能。所有设备H志均能通过远程H志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。•判定条件Syslogenabledv指定日志服务器通常记录日志数不为0