TongWeb服务器安全配置基线
1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录
第1章概述 (1)
1.1目的 (1)
1.2适用围 (1)
1.3适用版本 (1)
1.4实施 (1)
1.5例外条款 (1)
第2章账号管理、认证授权 (2)
2.1 (2)
2.1.1应用分配 (2)
2.1.2用户口令设置 (3)
2.1.3用户删除 (3)
2.2认证授权 (4)
2.2.1控制台安全 (4)
第3章日志配置操作 (7)
3.1日志配置 (7)
3.1.1日志与记录 (7)
第4章备份容错 (9)
4.1备份容错 (9)
第5章IP协议安全配置 (10)
5.1IP通信安全协议 (10)
第6章设备其他配置操作 (12)
6.1安全管理 (12)
6.1.1禁止应用程序可显 (12)
6.1.2端口设置* (13)
6.1.3错误页面处理 (14)
第7章评审与修订 (16)
第1章概述
1.1目的
本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。

1.2适用围
本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3适用版本
5.x版本的TongWeb服务器。

1.4实施
1.5例外条款
第2章账号管理、认证授权
2.1
2.1.1应用分配
说明信使用的账号共享。

检测操作步
骤
启动tongweb的控制台，选择列表中的安全域，点击管理用户,如图操作：
点击新建，建立用户账号，如图操作：
修改用户直接点击用户名，进行修改，如图：
基线符合性
判定依据
1、判定条件
各账号都可以登录TongWeb服务器为正常。

2、检测操作
访问ip:8080/twns管理页面，进行TongWeb服务器配置找安全服务下的安
全域即可。

备注
2.1.2用户口令设置
安全基线项TongWeb用户口令设置安全基线要求项
目名称
安全基线编
号
SBL-TongWeb-02-01-02
安全基线项
说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以不得设置相同的口令。

密码应至少每90天进行更换。

检测操作步
骤
进行口令的修改或者添加，如图操作：
基线符合性判定依据1、判定条件
检查口令是否符合口令复杂度要求。

2、检测操作
人工检查登录页面测试口令是否符合；
备注
2.1.3用户删除
安全基线项
目名称
TongWeb用户删除安全基线要求项
安全基线编
号
SBL-TongWeb-02-01-03
安全基线项
说明
应用删除或锁定与设备运行、维护等工作无关的账号。

检测操作步
骤
删除无关用户，如图操作：
基线符合性
1、判定条件
判定依据
删除的用户tongwebuser不能通过控制台登录界面进入主页。

2、检测操作
访问ip:8080/twns管理页面，使用删除进行登陆尝试。

备注
2.2认证授权
2.2.1控制台安全
安全基线项
TongWeb控制台安全基线要求项
目名称
安全基线编
SBL-TongWeb-02-02-01
号
限制登陆管理控制台的服务器, 外网用户访问管理控制台，进行非法操作
安全基线项
说明
检测操作步
登陆管理控制台，“服务配置”→“WEB容器”→“虚拟主机”,如下图：骤
选择“admin”，如下图：
允许访问的远程地址：具体的IP或正则表达式。

本例中为正则表达式：10\.110\.111\.([1][9][3-9]|[2][0-5][0-9])，允许
10.110.111.193-255网段的IP访问管理控制台
基线符合性
该设置需要重启TongWeb才能生效
判定依据
备注
第3章日志配置操作
3.1日志配置
3.1.1日志与记录
安全基线项
目名称
TongWeb日志记录安全基线要求项安全基线编
号
SBL- TongWeb -03-01-01
安全基线项
说明设备应配置日志功能，对用户登录进行记录，记录容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

检测操作步
骤
TongWeb默认的访问日志是关闭了的，可以修改虚拟主机打开访问日志，访问日志中记录了客户端访问的本机IP、访问时间、访问的资源、请求使用的协议以及返回的状态码等容，若发现有攻击现象可以打开访问日志，通过分析访问日志可以知道哪些IP访问了系统资源，操作如图：
日志格式如图：
基线符合性判定依据1、判定条件
查看logs目录中相关日志文件容，记录完整
2、检测操作
查看localhost_access_log.2012-03-07.log中相关日志记录
备注
第4章备份容错4.1备份容错
第5章IP协议安全配置
5.1I P通信安全协议
安全基线项
目名称
TongWeb通信安全协议安全基线要求项安全基线编
号
SBL- TongWeb -05-01-01
安全基线项
说明对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。

检测操作步
骤1、启动tongweb，并创建https通道，端口为8445(根据实际情况创建)，如图：
2、修改tongweb的配置文件twn.xml，如图所示：
重新登录tongweb控制台，结果如图：
基线符合性判定依据1、判定条件
使用https方式登陆TongWeb服务器页面，登陆成功
2、检测操作
使用https方式登陆TongWeb服务器管理页面ip：https：//ip:8445/twns
备注
第6章设备其他配置操作
6.1安全管理
6.1.1禁止应用程序可显
安全基线项
目名称
TongWeb控制台超时设置安全基线要求项
安全基线编
号
SBL-TongWeb-06-01-01
安全基线项
说明
可以避免访问应用时，暴露应用目录下有哪些文件。

检测操作步
骤
为了防止如下图所示的显示应用目录的情况的发生，TongWeb默认为不显示目录结构：
如果希望显示，可进行如图操作：
说明:不需要重启tongweb。

基线符合性判定依据1、判定条件
勾选显示目录，有详细应用列表。

2、检测操作
按照操作指南显示操作。

备注
6.1.2端口设置*
安全基线项
目名称
TongWeb默认端口安全基线要求项
安全基线编
号
SBL-TongWeb-06-01-02
安全基线项
说明
更改TongWeb服务器默认管理控制台端口和访问端口
检测操作步
骤
选择列表中的虚拟机，进行如图操作：
定制部署到该虚拟主机上的所有web应用的错误页面，每个web应用都可以在自己的web.xml里覆盖这个配置，属性值分为3个部分：code指定错
误号，path指定错误页的绝对路径，reason指定错误原因。

如code=404
path=/存放error.jsp文件的目录/error.jsp reason=MY-404-REASON。

基线符合性判定依据1、判定条件
指向指定错误页面
2、检测操作
URL地址栏中输入ip:8080/manager~~~
备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

6.1.3错误页面处理
安全基线项
目名称
TongWeb错误页面安全基线要求项
安全基线编
号
SBL-TongWeb-06-01-03
安全基线项
说明
TongWeb错误页面重定向
检测操作步
骤
选择列表中的虚拟机，进行如图操作：
定制部署到该虚拟主机上的所有web应用的错误页面，每个web应用都可以在自己的web.xml里覆盖这个配置，属性值分为3个部分：code指定错
误号，path指定错误页的绝对路径，reason指定错误原因。

如code=404
path=/存放error.jsp文件的目录/error.jsp reason=MY-404-REASON。

基线符合性1、判定条件
第7章评审与修订。