Cisco防火墙安全配置基线要点Word格式文档下载.docx
- 文档编号:19530834
- 上传时间:2023-01-07
- 格式:DOCX
- 页数:36
- 大小:25.17KB
Cisco防火墙安全配置基线要点Word格式文档下载.docx
《Cisco防火墙安全配置基线要点Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Cisco防火墙安全配置基线要点Word格式文档下载.docx(36页珍藏版)》请在冰豆网上搜索。
2.1.3帐户登录超时*3
2.1.4帐户密码错误自动锁定*4
2.2口令5
2.2.1口令复杂度要求5
2.3授权6
2.3.1远程维护的设备使用加密协议6
第3章日志及配置安全要求7
3.1日志安全7
3.1.1记录用户对设备的操作7
3.1.2开启记录NAT日志8
3.1.3开启记录VPN日志*9
3.1.4配置记录流量日志9
3.1.5配置记录拒绝和丢弃报文规则的日志10
3.2告警配置要求11
3.2.1配置对防火墙本身的攻击或内部错误告警11
3.2.2配置TCP/IP协议网络层异常报文攻击告警*12
3.2.3配置TCP/IP协议应用层异常攻击告警13
3.2.4配置DOS和DDOS攻击告警14
3.2.5配置关键字内容过滤功能告警*15
3.3安全策略配置要求16
3.3.1访问规则列表最后一条必须是拒绝一切流量16
3.3.2配置访问规则应尽可能缩小范围17
3.3.3VPN用户按照访问权限进行分组*18
3.3.4配置NAT地址转换*18
3.3.5隐藏防火墙字符管理界面的bannner信息19
3.3.6避免从内网主机直接访问外网的规则*20
3.3.7关闭非必要服务21
3.4攻击防护配置要求21
3.4.1拒绝常见漏洞所对应端口或者服务的访问21
3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能22
第4章IP协议安全要求24
4.1功能配置24
4.1.1使用SNMPV2c或者V3以上的版本对防火墙远程管理24
第5章其他安全要求25
5.1其他安全配置25
5.1.1外网口地址关闭对ping包的回应*25
5.1.2对防火墙的管理地址做源地址限制25
5.1.3配置consol口密码保护功能26
第6章评审与修订28
第1章概述
1.1目的
本文档旨在指导系统管理人员进行Cisco防火墙的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
Cisco防火墙。
1.4实施
1.5例外条款
第2章帐号管理、认证授权安全要求
2.1帐号管理
2.1.1用户帐号分配*
安全基线项目名称
用户帐号分配安全基线要求项
安全基线编号
SBL-PIX-02-01-01
安全基线项说明
不同等级管理员分配不同帐号,避免帐号混用。
检测操作步骤
1.参考配置操作
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
servicepassword-encryption
usernameruser1password3d-zirc0nia
usernameruser1privilege1
usernameruser2password2B-or-3B
usernameruser2privilege1
2.补充操作说明
前两个用户为系统默认建立的帐号。
基线符合性判定依据
1.判定条件
用配置中没有的用户名去登录,结果是不能登录。
2.检测操作
showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
servicepassword-encryption
usernameruser1password3d-zirc0nia
usernameruser1privilege1
usernameruser2password2B-or-3B
usernameruser2privilege1
3.补充说明
无。
备注
有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。
2.1.2删除无关的帐号*
无关的帐号安全基线要求项
SBL-PIX-02-01-02
应删除或锁定与设备运行、维护等工作无关的帐号。
configt
nousernameruser3
配置中用户信息被删除。
usernameuser1privilege1passwordpassword1
usernamenobodyuseprivilege1passwordpassword1
建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。
2.1.3帐户登录超时*
帐户登录超时安全基线要求项
SBL-PIX-02-01-03
配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需再次登录才能进入系统。
1、参考配置操作
设置超时时间为5分钟
2、补充说明
在超出设定时间后,用户自动登出设备。
2.参考检测操作
需要手工检查。
2.1.4帐户密码错误自动锁定*
帐户密码错误自动锁定安全基线要求项
SBL-PIX-02-01-04
在10次尝试登录失败后锁定帐户,不允许登录。
解锁时间设置为300秒
设置尝试失败锁定次数为10次
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。
注意!
此项设置会影响性能,建议设置后对访问此设备做源地址做限制。
2.2口令
2.2.1口令复杂度要求
口令复杂度要求安全基线要求项
SBL-PIX-02-02-01
防火墙管理员帐号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
configureterminal
Router(config)#aaanew-model
Router(config)#aaaauthenticationlogindefaultgrouptacacs+
Router(config)#aaaauthenticationenabledefaultgrouptacacs+
Router(config)#tacacs-serverhost192.168.6.18
Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swD
口令字符不完全符合要求。
该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。
此项无法通过配置实现,建议通过管理实现。
2.3授权
2.3.1远程维护的设备使用加密协议
远程维护使用加密协议安全基线要求项
SBL-PIX-02-03-01
对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH或者WEB
SSL,如果只允许从防火墙内部进行管理,应该限定管理IP。
系统默认支持telnet及SSH两种加密管理方式,查看及增加管理IP操作如下:
Cryptokeygeneratersamodulus1024
ciscoasa(config)#writemem
ciscoasa(config)#ssh0.0.0.00.0.0.0outside
ciscoasa(config)#sshtimeout30
ciscoasa(config)#sshversion1
查看是否启用SSH连接。
showssh
showcryptokeymypubkeyrsa
cryptokeyzeroize
第3章日志及配置安全要求
3.1日志安全
3.1.1记录用户对设备的操作
用户对设备记录安全基线要求项
SBL-PIX-03-01-01
配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号解锁等信息。
配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。
1.参考配置操作
hostname(config)#loggingenable
hostname(config)#logginghostinterface_namesyslog_ip
hostname(config)#loggingtrap6
hostname(config)#loggingbuffered6
2.补充操作说明
在启动日志记录的情况下,PIX会记录相关的日志,无需额外配置。
1.判定条件
检查配置中的logging相关配置
2.检测操作
使用showlogging检查:
hostname(config)#showlogging
Sysloglogging:
enabled
Facility:
20
Timestamplogging:
disabled
Standbylogging:
DenyConnwhenQueueFull:
Consolelogging:
Monitorlogging:
Bufferlogging:
Traplogging:
Historylogging:
DeviceID:
Maillogging:
ASDMlogging:
3.1.2开启记录NAT日志
开启记录NAT日志安全基线要求项
SBL-PIX-03-01-02
开启记录NAT日志,记录转换前后IP地址的对应关系。
I.启动日志记录
hostname(config)#loggingbuffered
在启动日志记录的情况下,PIX会记录NAT的日志,无需额外配置。
3.1.3开启记录VPN日志*
开启记录VPN日志安全基线要求项
SBL-PIX-03-01-03
开启记录VPN日志,记录VPN访问登陆、退出等信息。
在启动日志记录的情况下,PIX会记录VPN的日志,无需额外配置。
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.1.4配置记录流量日志
配置记录流量日志安全基线要求项
SBL-PIX-03-01-04
配置记录流量日志,记录通过防火墙的网络连接的信息。
PIX防火墙上无流量日志。
网络连接日志通过只需要启动日志记录
可以通过showconnlong来检查连接情况。
3.1.5配置记录拒绝和丢弃报文规则的日志
配置记录拒绝和丢弃报文规则的日志安全基线要求项
SBL-PIX-03-01-05
配置防火墙规则,记录防火墙拒绝和丢弃报文的日志。
PIX防火墙自动将在访问控制列表(access-list)中拒绝(deny)的数据包生成syslog信息。
只需要启动日志记录
3.2告警配置要求
3.2.1配置对防火墙本身的攻击或内部错误告警
配置对防火墙本身的攻击或内部错误告警安全基线要求项
SBL-PIX-03-02-01
配置告警功能,报告对防火墙本身的攻击或者防火墙的系统内部错误。
3.2.2配置TCP/IP协议网络层异常报文攻击告警*
配置TCP/IP协议网络层异常报文攻击告警安全基线要求项
SBL-PIX-03-02-02
配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。
disable
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Cisco 防火墙 安全 配置 基线 要点