系統(tǒng)安全配置技術(shù)規(guī)范-Cisco防火墻

1、系統(tǒng)安全配置技術(shù)規(guī)范 一Cisco防火墻版本V0.9日期2013-06-03文檔編號文檔發(fā)布文檔說明（一）變更信息版本號變更日期變更者變更理由/變更內(nèi)容備注（二）文檔審核人姓名職位簽名日期 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 適用范圍4 HYPERLINK l bookmark4 o Current Document 賬號管理與授權(quán)4 HYPERLINK l bookmark6 o Current Document 【基本】設(shè)置非特權(quán)模式密碼 4 HYPERLINK l bookmark8 o Current Docum

2、ent 【基本】enable password的使用4 HYPERLINK l bookmark10 o Current Document 【基本】設(shè)置與認證系統(tǒng)聯(lián)動 5 HYPERLINK l bookmark12 o Current Document 【基本】設(shè)置登錄失敗處理功能 5 HYPERLINK l bookmark14 o Current Document 認證授權(quán)最小化 6 HYPERLINK l bookmark16 o Current Document 日志配置要求 7 HYPERLINK l bookmark18 o Current Document 【基本】設(shè)置日志服務(wù)

3、器 7 HYPERLINK l bookmark20 o Current Document IP協(xié)議安全要求7 HYPERLINK l bookmark22 o Current Document 【基本】設(shè)置SSH方式訪問系統(tǒng)7 HYPERLINK l bookmark24 o Current Document 【基本】遠程訪問源地址限制 8 HYPERLINK l bookmark26 o Current Document 【基本】設(shè)置 FAILOVER KEY 8 HYPERLINK l bookmark28 o Current Document 【基本】關(guān)閉不使用的 SNMP服務(wù)或更正不

4、當權(quán)限設(shè)置 9 HYPERLINK l bookmark30 o Current Document 【基本】SNMP服務(wù)的共同體字符串設(shè)置 9 HYPERLINK l bookmark32 o Current Document 【基本】SNMP服務(wù)的訪問控制設(shè)置 9 HYPERLINK l bookmark34 o Current Document 【基本】防火墻策略修訂 10 HYPERLINK l bookmark36 o Current Document 常見攻擊防護 10 HYPERLINK l bookmark38 o Current Document VPN安全加固10 HYPER

5、LINK l bookmark40 o Current Document 服務(wù)配置要求 11 HYPERLINK l bookmark42 o Current Document 【基本】啟用NTP服務(wù)11禁用HTTP配置方式 11 HYPERLINK l bookmark44 o Current Document 禁用DHCP服務(wù)12 HYPERLINK l bookmark46 o Current Document 啟用SERVICE RESETOUTSIDE 12 HYPERLINK l bookmark48 o Current Document 啟用floodguard 12 HYPER

6、LINK l bookmark50 o Current Document 啟用fragment chain保護 13 HYPERLINK l bookmark52 o Current Document 啟用RPF保護 13 HYPERLINK l bookmark54 o Current Document 其他配置要求 13 HYPERLINK l bookmark56 o Current Document 【基本】系統(tǒng)漏洞檢測 13 HYPERLINK l bookmark58 o Current Document 【基本】設(shè)置登錄超時時間 14 HYPERLINK l bookmark60

7、 o Current Document 【基本】檢查地址轉(zhuǎn)換超時時間 14 HYPERLINK l bookmark62 o Current Document 信息內(nèi)容過濾 141適用范圍如無特殊說明，本規(guī)范所有配置項適用于 Cisco ASA/FWSM 7.x系列版本。其中有 基本” 字樣的配置項，均為本公司對此類系統(tǒng)的基本安全配置要求；未涉及 基本”字樣的配置項，請各系統(tǒng)管理員視實際需求酌情遵從。2賬號管理與授權(quán)【基本】設(shè)置非特權(quán)模式密碼配置項描述查看是否設(shè)置非特權(quán)模式密碼，且密碼長度和強度符合規(guī)范要求。檢查方法查看配置文件中是否存在：passwd * encrypted操作步驟1、參考配

8、置操作：(config)# username xxx passwd * encrypted2、補充操作說明：建議設(shè)定本地passwd,并使用了加密命令。密碼不少于8位，包含大小寫字母、數(shù)字和特殊符號?；赝瞬僮?config)#no username xxx操作風險低風險【基本】enable password的使用配置項描述啟用enable password,使用encrypted關(guān)鍵字，同時應(yīng)保證密他不少于8位，包含大小寫字母、數(shù)字和特殊符號。檢查方法查看配置文件中是否用如卜配置：enable password * encrypted操作步驟1、參考配置操作：(config)# enable

9、password * encrypted2、補充操作說明：建議使用enable password,并進行加密，密他不少于8位，包含大小寫字母、數(shù)字和特殊符號?；赝瞬僮?config)# no enable password操作風險低風險【基本】設(shè)置與認證系統(tǒng)聯(lián)動配置項描述設(shè)置與認證系統(tǒng)聯(lián)動，對登陸網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別。檢查方法Show running-config aaa 查看配置：#aaa authentication enable console TACACS+ LOCAL#aaa authentication ssh console TACACS+ LOCAL#aaa author

10、ization command TACACS+ LOCAL#aaa accounting enable console TACACS+#aaa accounting serial console TACACS+#aaa accounting ssh console TACACS+操作步驟1、參考配置操作：#aaa server server_tag protocol tacacs+ | radius#aaa server server_tag if_name host server_ip#aaa authentication serial console TACACS+ LOCAL#aaa a

11、uthentication enable console TACACS+ LOCAL#aaa authentication ssh console TACACS+ LOCAL#aaa authorization command TACACS+ LOCAL#aaa accounting enable console TACACS+#aaa accounting ssh console TACACS+2、補充操作說明：如果遠程認證服務(wù)器發(fā)生故障，防火墻不能與之取得聯(lián)系，則該用戶驗證就會失 敗，意味著不能更改防火墻任何配置或者執(zhí)行任何命令，作為補救措施，建議添 加關(guān)鍵字LOCAL ,在防火墻嘗試 A

12、AA服務(wù)器組之后，啟用本地驗證?；赝瞬僮?no aaa-server server-tag protocol radius | TACACS+操作風險低風險【基本】設(shè)置登錄失敗處理功能配置項描述配置登錄失敗處理功能，可米取結(jié)束會話、限制非法登錄次數(shù)、隱藏防火墻字符 管理界面的banner信息和當網(wǎng)絡(luò)登錄連接超時自動退出等措施。檢查方法Show running-config查看是否存在#banner login#banner motd text#aaa-server TACACS+protocol tacacs+#reactivation-mode depletion deadtime 1#aa

13、a-server TACACS+ (inside) host max-failed attempts 2操作步驟1、參考配置操作：#banner login *#aaa-server TACACS+protocol tacacs+#reactivation-mode depletion deadtime 1#aaa-server TACACS+ (inside) host #max-failed attempts 2回退操作#no aaa-server server-tag protocol radius | TACACS+操作風險低風險認證授權(quán)最小化配置項描述對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別

14、，實現(xiàn)網(wǎng)絡(luò)設(shè)備管理帳戶分級，在設(shè)備權(quán)限 配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢查方法show running-config all privilege all 查看賬號分級權(quán)限:本地認證授權(quán)部分配置諸如：username admin password XXXfMQ/rjnxl9Vwe9mv encrypted privilege 15;privilege cmd level 0 mode enable command enableprivilege show level 15 mode cmd command enableTacacs+配置部分配置如：aaa authoriz

15、ation command tacacs+_server_group LOCAL操作步驟1、參考配置操作：# aaa authorization command tacacs+_server_group LOCAL2、補充操作說明：權(quán)限設(shè)置需要在ACS上面完成回退操作#no aaa-server RADIUS protocol radius | TACACS+操作風險低風險3日志配置要求3.1【基本】設(shè)置日志服務(wù)器配置項描述設(shè)置日志服務(wù)器，對系統(tǒng)運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄，問時 應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務(wù)器同步檢查方法檢查配置文件中是否存在如

16、卜配置：logging onlogging host inside *.*.*.*logging timestamplogging facility 20logging trap 7logging console 2logging history 6logging buffered 6操作步驟1、參考配置操作：建議對設(shè)備啟用Logging的配置，并設(shè)置正確的syslog服務(wù)器。保存系統(tǒng)日志。命令為：(config)# logging on(config)# logging host inside *.*.*.*(config)#logging timestamp(config)#logging

17、 facility 20(config)#logging trap 7(config)#logging console 2(config)#logging history 6(config)# logging buffered 6回退操作回退對配置文件中日志設(shè)置的修改。操作風險低風險，需要日志服務(wù)器4 IP協(xié)議安全要求【基本】設(shè)置 SSH方式訪問系統(tǒng)配置項描述SSH連接，防止設(shè)置SSH方式訪問系統(tǒng)。當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，采用 鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。檢查方法查看配置文件中的 SSH配置操作步驟參考配置操作：(config)#domain-name name(config)#cry

18、pto key generate rsa modulus 1024(config)#ca generate rsa key 1024(config)#ca save all(config)# ssh ip_address masl interface(config)# ssh version 2回退操作無操作風險低風險，改變維護管理習慣【基本】遠程訪問源地址限制配置項描述配置遠程訪問源地址，對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制。檢查方法查看配置文件中，如下的類似配置：ssh *.*.*.* x.x.x.x insidetelnet *.*.*.* x.x.x.x inside操作步驟對遠程訪問進

19、行了嚴格的源地址控制，保證授權(quán)的地址才可以訪問設(shè)備。命令為：參考配置操作：(config)#ssh *.*.*.* x.x.x.x inside(config)#telnet *.*.*.* x.x.x.x inside回退操作(config)#no ssh *.*.*.* x.x.x.x inside(config)#no telnet *.*.*.* x.x.x.x inside操作風險低風險【基本】設(shè)置Failover KEY配置項描述設(shè)置Failover KEY ,對Failover進行加密保護，保護用戶名、密碼、共學密鑰等 重要信息。檢查方法查看配直文中關(guān)于Failover的設(shè)置情況

20、：show run failover操作步驟Failover承載了用戶名、密碼、共享密鑰等重要信息，需要進行必要的加密保護 命令為：(config)# failover key password回退操作(config)#no failover key password操作風險低風險【基本】關(guān)閉不使用的 SNMP服務(wù)或更正不當權(quán)限設(shè)置配置項描述關(guān)閉不使用的SNMP服務(wù)或更正不當權(quán)限設(shè)置， 系統(tǒng)功能最小化，降低被供給的 風險O檢查方法查看配置文中關(guān)于 SNMP服務(wù)的設(shè)置情況： 內(nèi)容為：snmp-server操作步驟如果用戶不米用 SNMP方式管理防火墻，則應(yīng)關(guān)閉SNMP服務(wù)。如采用SNMP此項忽略

21、但應(yīng)修改 community及讀寫權(quán)限命令為：(config)# clear configure snmp-server(config)#no snmp-server回退操作無操作風險低風險，關(guān)閉前應(yīng)確認該功能不被使用【基本】SNMP服務(wù)的共同體字符串設(shè)置配置項描述檢查SNMP服務(wù)的共同體字符串設(shè)置，取消字符串默認設(shè)置，防止窮舉攻擊。檢查方法查看配置文中關(guān)于 SNMP服務(wù)的共同體字符串設(shè)置情況：snmp-server community *操作步驟在開啟了 SNMP服務(wù)的前提下，檢查SNMP服務(wù)的共同體字符串設(shè)置情況，應(yīng)該取消使用默認的public和private,建議設(shè)置復雜一些的字符串，命

22、令為：(config)# snmp-server community *回退操作(config)# no snmp-server community *操作風險低風險，需要更改訪問此設(shè)備的SNMP信息配置【基本】SNMP服務(wù)的訪問控制設(shè)置配置項描述SNMP服務(wù)的訪問控制設(shè)置，限制可訪問的源IP地址。檢查方法查看配置文中關(guān)于SNMP服務(wù)的訪問控制設(shè)置情況：snmp-server host * community操作步驟對SNMP訪問進行地址控制，保證指定的地址才可以訪問設(shè)備。命令為： (config)# snmp-server host * community回退操作(config)#no sn

23、mp-server host * community操作風險低風險【基本】防火墻策略修訂配置項描述配置防火墻策略，根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級，按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶檢查方法根據(jù)配置中的防火墻策略，分析各種自定義的服務(wù)、對象和策略。主要注意由外向內(nèi)方向的策略。注意源地址為any目的地址為any服務(wù)為any的其中兩項的組 合策略。需要防火墻管理員的配合。遵循服務(wù)最小化的原則。操作步驟遵循服務(wù)最小化的原則?；赝瞬僮骰赝朔阑饓ε渲茫謴统跏寂渲?。操作風險高風險，需要確認具體使用的端口、I

24、P和流向常見攻擊防護配置項描述配置攻擊防護策略，屏蔽常見漏洞端口，確認病毒防護措施，提高系統(tǒng)的可用性。檢查方法Show access-list 查看對 135,136,137,138,139,445 等端口訪問限制獨立的病毒防范措施；日常工作流程及落實程度操作步驟屏蔽常見的漏洞端口，應(yīng)根據(jù)實際情況調(diào)整。hostname(config)# access-list ACL_IN extended deny tcp any inside_server eq xxx回退操作開啟被禁用的端口 .操作風險高風險，需要確認是否有業(yè)務(wù)在使用該端口VPN安全加固配置項描述VPN安全優(yōu)化，提高算法強度，優(yōu)化協(xié)議性

25、能。1、啟用VPN斷開告警2、hash配置成sha檢查方法3、Lifetime 設(shè)置成 3600,默認 86,4004、IKE階段一預(yù)共享密鑰默認米用侵略模式，建議米用主模式，防重放攻擊5、實施PFS6、DH組變換配置成=1024操作步驟1、啟用VPN斷開告警crypto isakmp disconnect-notify102、設(shè)置hash為shahash sha3、設(shè)置 LifetimeSet security-association lifetime 36004、IKE階段一設(shè)置為主模式crypto isakmp am-disable5、實施PFScrypto map map_name e

26、ntry_# set pfs group1 | group2 | group5 | group7回退操作無操作風險中風險，IKE模式修改，需對等體兩端同時修改，修改過程中存在斷網(wǎng)風險5服務(wù)配置要求【基本】啟用 NTP服務(wù)配置項描述啟用NTP服務(wù)，并啟用相應(yīng)認證。檢查方法查看配置文件中是否包含如下內(nèi)容：#ntp server key 1 prefer#ntp authenticate#ntp trusted-key#ntp authentication-key 1 md5 aNiceKey操作步驟建議啟用NTP服務(wù)。命令為：#ntp server key 1 prefer#ntp authent

27、icate#ntp trusted-key 1#ntp authentication-key 1 md5 aNiceKey回退操作關(guān)閉NTP服務(wù)。操作風險中風險，需要時間源，系統(tǒng)時間更改禁用HTTP配置方式配置項描述查看是否關(guān)閉了 http的配置方式，禁止使用http配置系統(tǒng)。檢查方法查看是否存在如卜配置：no http server enable操作步驟建議關(guān)閉http配置方式，執(zhí)行：(config)# no http server enable回退操作(config)# http server enable操作風險低風險，管理員需確認是否需要開啟http服務(wù)禁用DHCP服務(wù)配置項描述查看D

28、HCP服務(wù)的設(shè)置情況，禁用DHCP服務(wù)，防止偽DHCP Server攻擊和針對DHCP服務(wù)的DOS攻擊等檢查方法查看配置文件中是否包含如下內(nèi)容：dhcpd enable操作步驟建議關(guān)閉DHCP服務(wù).命令為：(config)# clear configure dhcpd(config)# no dhcpd enable回退操作(config)# dhcpd enable操作風險低風險，啟用 service resetoutside配置項描述啟用service resetoutside,加速 Webvpn及SVC連接失敗重連速度、檢查方法查看配置文件中是否包含如下內(nèi)容：service reseto

29、utside操作步驟建議啟用service resetoutside服務(wù)。命令為：service resetoutside回退操作關(guān)閉 service resetoutiside。操作風險低風險啟用 Floodguard配置項描述啟用Floodguard ,防止洪水攻擊檢查方法查看配置文件中是否包含如下內(nèi)容：floodguard enable操作步驟配置文件中添加如下內(nèi)容floodguard enable回退操作關(guān)閉floodguard功能。操作風險中風險，影響設(shè)備性能12啟用 Fragment chain 保護配置項描述啟用Fragment chain保護，禁止數(shù)據(jù)包拆包后穿越防火墻檢查方法

30、查看配置文件中是否包含如下內(nèi)容：fragment chain 1 outside操作步驟建議啟用 fragguard chain ,命令為： (config)#fragment chain 1 outside回退操作停用Fragment chain保護功能。操作風險中風險，影響設(shè)備性能啟用RPF保護配置項描述啟用 Require Unicast Reverse-Path Forwarding 保護，防止惡意偽造源地址以及 DDOS攻擊。檢查方法查看配置文件中是否包含如下內(nèi)容：ip verify reverse-path操作步驟建議啟用 Require Unicast Reverse-Path Forwarding ,這個功能檢查隼-個經(jīng)過路由 器的數(shù)據(jù)包。當路由器接收到一個數(shù)據(jù)包，它檢查路由表，確定返回數(shù) 據(jù)包的源IP地址的路由是否從接收到該數(shù)據(jù)包的接口進入，如果是， 則正常轉(zhuǎn)發(fā)該數(shù)據(jù)包，否則，就會丟棄數(shù)據(jù)包。反向路由轉(zhuǎn)發(fā)在防止 惡意偽造源地址以 及DDoS攻擊方面頗有成效。命令為：(config)#interface