系统安全配置技术规范—Cisco防火墙
文档说明（一）变更信息
（二）文档审核人
目录
1适用范围 (4)
2账号管理与授权 (4)
2.1【基本】设置非特权模式密码 (4)
2.2【基本】ENABLE PASSWORD的使用 (4)
2.3【基本】设置与认证系统联动 (5)
2.4【基本】设置登录失败处理功能 (5)
2.5认证授权最小化 (6)
3日志配置要求 (7)
3.1【基本】设置日志服务器 (7)
4IP协议安全要求 (7)
4.1【基本】设置SSH方式访问系统 (7)
4.2【基本】远程访问源地址限制 (8)
4.3【基本】设置F AILOVER KEY (8)
4.4【基本】关闭不使用的SNMP服务或更正不当权限设置 (9)
4.5【基本】SNMP服务的共同体字符串设置 (9)
4.6【基本】SNMP服务的访问控制设置 (9)
4.7【基本】防火墙策略修订 (10)
4.8常见攻击防护 (10)
4.9VPN安全加固 (10)
5服务配置要求 (11)
5.1【基本】启用NTP服务 (11)
5.2禁用HTTP配置方式 (11)
5.3禁用DHCP服务 (12)
5.4启用SERVICE RESETOUTSIDE (12)
5.5启用F LOODGUARD (12)
5.6启用F RAGMENT CHAIN保护 (13)
5.7启用RPF保护 (13)
6其他配置要求 (13)
6.1【基本】系统漏洞检测 (13)
6.2【基本】设置登录超时时间 (14)
6.3【基本】检查地址转换超时时间 (14)
6.4信息内容过滤 (14)
1适用范围
如无特殊说明，本规范所有配置项适用于Cisco ASA/FWSM 7.x系列版本。

其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。

2账号管理与授权
2.1【基本】设置非特权模式密码
2.2【基本】enable password的使用
2.3【基本】设置与认证系统联动
2.4【基本】设置登录失败处理功能
2.5认证授权最小化
3日志配置要求
3.1【基本】设置日志服务器
4IP协议安全要求
4.1【基本】设置SSH方式访问系统
4.2【基本】远程访问源地址限制
4.3【基本】设置Failover KEY
4.4【基本】关闭不使用的SNMP服务或更正不当权限设置
【基本】SNMP服务的共同体字符串设置
4.5
4.6【基本】SNMP服务的访问控制设置
4.7【基本】防火墙策略修订
4.8常见攻击防护
4.9VPN安全加固
5服务配置要求
5.1【基本】启用NTP服务
5.2禁用HTTP配置方式
5.3禁用DHCP服务
5.4启用service resetoutside
5.5启用Floodguard
5.6启用Fragment chain保护
5.7启用RPF保护
6其他配置要求
6.1【基本】系统漏洞检测
6.2【基本】设置登录超时时间
6.3【基本】检查地址转换超时时间
6.4信息内容过滤。