安全配置作业指导书防火墙设备XXXX集团公司2012年7月前言为规范XXXX集团公司网络设备的安全管理，建立统一的防火墙设备安全配置标准，特制定本安全配置作业指导书。

本技术基线由XXXX集团公司提出并归口本技术基线起草单位：XXXX集团公司本技术基线主要起草人：本技术基线主要审核人：目录1.适用范围 (1)2.规范性引用文件 (1)3.术语和定义 (1)4.防火墙安全配置规范 (2)4.1.防火墙自身安全性检查 (2)4.1.1.检查系统时间是否准确 (2)4.1.2.检查是否存在分级用户管理 (3)4.1.3.密码认证登录 (3)4.1.4.登陆认证机制 (4)4.1.5.登陆失败处理机制 (5)4.1.6.检查是否做配置的定期备份 (6)4.1.7.检查双防火墙冗余情况下，主备切换情况 (7)4.1.8.防止信息在网络传输过程中被窃听 (8)4.1.9.设备登录地址进行限制 (9)4.1.10.SNMP访问控制 (10)4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级114.2.防火墙业务防御检查 (12)4.2.1.启用安全域控制功能 (12)4.2.2.检查防火墙访问控制策略 (13)4.2.3.防火墙访问控制粒度检查 (14)4.2.4.检查防火墙的地址转换情况 (15)4.3.日志与审计检查 (16)4.3.1.设备日志的参数配置 (16)4.3.2.防火墙流量日志检查 (17)4.3.3.防火墙设备的审计记录 (17)1.适用范围本基作业指导书范适用于XXXX集团公司各级机构。

2.规范性引用文件ISO27001标准/ISO27002指南GB 17859-1999 《计算机信息系统安全保护等级划分准则》GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》GB/T 20272-2006 《信息安全技术操作系统安全技术要求》GB/T 20273-2006 《信息安全技术数据库管理系统安全技术要求》GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》3.术语和定义安全设备安全基线：指针对各类安全设备的安全特性，选择合适的安全控制措施，定义不同网络设备的最低安全配置要求，则该最低安全配置要求就称为安全设备安全基线。

严重漏洞（Critical）：攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统重要漏洞（Important）：攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。

中等漏洞（Moderate）：攻击者利用此漏洞有可能未经授权访问信息。

注意，虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限，但此漏洞可用于生成有用信息，这些信息可用于进一步危及受影响系统的安全。

轻微漏洞（Low）：攻击者通常难以利用此漏洞，或者几乎不会对信息安全造成明显损失。

4.防火墙安全配置规范4.1.防火墙自身安全性检查4.1.1.检查系统时间是否准确编号要求内容检查系统时间是否准确加固方法重新和北京时间做校队检测方法1现场检查：如下截图路径，检查系统时间是否和北京时间一致，如果相差在一分钟之内，则认为符合要求，否则需要重新修正。

天融信该功能截图：路径：系统管理=》配置备注4.1.2.检查是否存在分级用户管理编号要求内容管理员分：超级管理员、管理用户、审计用户、虚拟系统用户加固方法在防火墙设备上配置管理账户和审计账户检测方法1现场检查：如下截图路径，如果系统中仅存在四个账户，分别为：超级管理员、管理用户、审计用户、虚拟系统用户，且四个账号分别对应于各自不同级别的权限，则符合要求；如果无三个，则不符合要求天融信该功能截图：路径：系统管理=》管理员备注4.1.3.密码认证登录编号要求内容检查防火墙内置账户不得存在缺省密码或弱口令帐户加固方法修改防火墙设备的登录设备的口令，满足安全性及复杂性要求检测方法1、口令复杂度查看防火墙设备的管理员登录设备的口令安全性及复杂性，登录设备验证口令的复杂性，。

如果需要输入口令并且口令为8位以上，并且是包含字母、数字、特殊字符的混合体，判定结果为符合；如果不需要任何认证过程，判定结果为不符合2、检查账户不得使用缺省密码。

天融信防火墙该功能截图：路径：系统管理=》管理员备注4.1.4.登陆认证机制编号要求内容检查登陆时是否采用多重身份认证的鉴别技术加固方法采用强度高于用户名+静态口令的认证机制实现用户身份鉴别检测方法1、检查：现场验证登陆防火墙，查看是否支持用户名+静态口令；天融信防火墙登陆窗口：4.1.5.登陆失败处理机制1、检查：防火墙设备上的安全设置，查看其是否有对鉴别失败采取相应的措施的设置；查看是否有限制非法登录次数的功能；管理员登录地址进行限制；查看登陆失败时阻断时间；查看是否设置登录连接超时，并自动退出；2、测试:验证鉴别失败处理措施（如模拟失败登录，观察设备的动作等），限制非法登录次数（如模拟非法登录，观察网络设备的动作等），对设备的管理员登录地址进行限制（如使用任意地址登录，观察设备的动作等）等功能是否有效；验证其网络登录连接超自动退出的设置是否有效（如长时间连接无任何操作，观察观察网络设备的动作等）；3、产品举例：天融信防火墙用户登录超时设置：路径：系统管配置理=>维护=>系统配置备注4.1.6.检查是否做配置的定期备份编号要求内容检查是否对防火墙的配置定期做备份加固方法督促管理员定期对防火墙做配置备份检测方法1访谈方式：和管理员了解防火墙配置的备份情况2验证:在网管服务器上，查看防火墙配置文件夹，确认是否定期做配置备份。

3加固：第一步：天融信防火墙配置导出位置截图：路径：系统管理=>维护第二步：网管机上建立防火墙配置文件备份文件夹备注4.1.7.检查双防火墙冗余情况下，主备切换情况编号要求内容检查双防火墙冗余情况下，主备切换情况加固方法如该功能未达到要求，需厂商人员检查、加固检测方法1访谈方式咨询管理员近期是否有过设备切换现象，切换是否成功等2现场验证拔掉主墙线缆后，备墙可以实现正常切换，网络快速切换，应用正常。

3加固措施第一步：如该功能未达到，检查防火墙双机热备配置是否正确、监控状态是否正常第二步：如果配置有误，需要尽快协商厂商人员解决天融信防火墙该功能截图：路径：高可用性=》双机热备备注4.1.8.防止信息在网络传输过程中被窃听编号要求内容当对网络设备进行远程管理时，采取必要措施防止鉴别信息在网络传输过程中被窃听。

可采用HTTPS、SSH等安全远程管理手段。

加固方法通过https和ssh登陆管理设备。

检测方法1现场验证：能够通过https和ssh登陆管理设备,判定结果为符合；通过http和telnet登陆管理设备，判定结果为不符合。

2加固措施：按照下述截图位置，只开放HTTPS,SSH登陆方式，去除其他登陆方式。

天融信防火墙该功能截图：说明：登陆防火墙方法：检查如下的SSH方式及HTTPS权限配置：路径：系统管理=》配置=》开放服务备注4.1.9.设备登录地址进行限制编号要求内容对防火墙设备的管理员登录地址进行限制加固方法创建允许管理员登陆的IP限制列表检测方法1现场检查：咨询管理员后，使用允许访问控制列表里面的ip地址能够登录管理设备，不在控制列表里的ip不能登录设备,判定结果为符合2设备检查：登陆下述截图路径，确认已经配置了限制管理员登陆IP列表天融信防火墙该功能截图：路径：配置—开放服务备注4.1.10.SNMP访问控制编号要求内容设置SNMP访问安全限制，读写密码均已经修改，只允许特定主机通过SNMP访问网络设备。

加固方法修改缺省密码和限制IP对防火墙的无授权访问检测方法1设备检查登陆至设备的下述路径，检查即可。

天融信防火墙该功能截图：路径：网络管理—SNMP备注4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级编号要求内容定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。

加固方法配置为防火墙的特征库、、病毒库、入侵防御库、应用识别、web过滤模块升级的策略。

检测方法1现场检查：检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。

查看防火墙系统内特征库的时间和版本信息。

天融信该功能的截图：路径：系统管理—维护—服务更新备注4.2.防火墙业务防御检查4.2.1.启用安全域控制功能编号要求内容根据业务需要创建不同优先级的安全区域加固方法1现场检查：首先，根据业务情况，检查接口名称，名称的级别、功能应该清晰，如“内网”或者“外网”，否则需要重新确认；天融信防火墙各接口区域有两个权限一个为允许、一个是禁止。

所以，检查时，需要确认，各个接口区域权限的设置。

2加固方法：将防火墙各个区域权限设置为禁止，这样默认策略全部为禁止。

天融信该功能截图：路径：资源管理=》区域备注4.2.2.检查防火墙访问控制策略编号要求内容检查防火墙策略是否严格限制通信的IP地址、协议和端口，根据需求控制源主机能够访问目的主机，和控制源主机不能访问目的主机。

加固方法管理员综合分析防火墙访问控制策略，对源地址、目标地址、开放端口进行细化，删除无用、重复的策略。

检测方法访谈：询问管理员防火墙配置策略配置原则，并针对可以策略进行询问。

执行：查看防火墙策略配置规则，是否存在过多的IP地址段开放协议、端口的规则，是否存在无效的策略，防火墙的策略是否严密。

分析：综合分析全部防火墙策略，分析是否开放过多IP地址段、协议和端口，为攻击者提供了远程攻击和入侵控制的可能。

天融信该功能截图：路径：防火墙=》访问控制备注4.2.3.防火墙访问控制粒度检查编号要求内容检查防火墙上相应安全策略设置的严谨程度。

加固方法1、添加访问控制策略阻断常见的危险端口。

2、细化访问控制策略，所有策略的源、目的、服务三项中，至少有一项不能出现any 的情况检测方法1、查看阻断策略中是否存在对tcp135-139、udp135-139、tcp445、udp445、tcp4444、tcp9995-9996、tcp1068、udp69、udp4899、udp1434这些高危端口的限制策略，如果在阻断策略里没有，则不符合要求；2、如果阻断策略里没有，针对这些端口限制的访问出现在访问控制策略的第一条，则可以认为符合要求；3、访问控制里，除上述提到的高危端口限制外，其所有策略的源、目的、服务三项中，至少有一项不能出现any的情况，如果出现则视为不符合要求，尤其是针对某一特定服务器的访问限制，如果出现源是any，服务是任何的情况，则该策略设置是不合格的。

天融信该功能截图：路径：防火墙=》阻断策略备注编号要求内容检查防火墙地址转换策略是否符合网络的实际需求加固方法检查防火墙地址转换策略是否符合网络的实际需求，删除冗余的地址转换策略检测方法1现场访谈：询问管理员防火墙地址转换配置策略配置原则，并针对策略必要性进行分析。