14网络设备配置安全审计报告.docx
- 文档编号:28366066
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:18
- 大小:153.51KB
14网络设备配置安全审计报告.docx
《14网络设备配置安全审计报告.docx》由会员分享,可在线阅读,更多相关《14网络设备配置安全审计报告.docx(18页珍藏版)》请在冰豆网上搜索。
14网络设备配置安全审计报告
X信息委安全运维项目
网络设备配置安全审计
生命周期
发行
工作角色
安全审计
客体对象
信息中心机房
提交时间
X-05-04
最新版本
V1.0
XX信息技术有限公司
文档审批信息
审阅人
审阅时间
审阅意见
文档修订记录
版本
日期
准备
修订
修订描述
V1.0
X-05-04
X
第一章概述
1.1审计背景
随着网络规模的日益壮大,导致网络设备类型和数量急剧上升,其中在管理上面临的一个重要问题就是大量网络设备配置的规范性、安全性问题。
1.2审计目的
配置审计工作主要集中在两个方面,即:
Ø功能配置审计:
验证配置项的实际功能是否与其软件需求一致。
Ø物理配置审计:
确定配置项符合预期的物理特性。
这里所说的物理特性是指特定的媒体形式。
为了保障X区X网X全、通畅和高效的运营,XX信息技术有限公司将针对贵公司网络设备配置进行安全审计,并根据审计结果给出相应的建议。
1.3巡检目标
本次网络巡检服务,通过完整详细的采集相关网络设备的基本信息与运行状态数据,对本次网络巡检采集的数据进行系统的整理与分析,对X区安全设备的运行状态提供数据采集与分析结果、相关建议报告。
对现有网络存在的问题记录,并及时地反馈。
●采集网络设备的运行参数,通过系统整理与分析,判断设备的运行状态。
●检查网络设备的运行环境,分析和判断网络设备运行环境是否满足设备安全运行的必要条件。
●检查设备、配置的冗余性,确保网络系统具有抵御设备故障的能力和高可用性。
●检查网络设备日志文件,回顾前期网络设备运行状态信息,寻找故障隐患。
1.4巡检范围
本次巡检主要针对网站群前端防护防火墙设备做了细致检查,本次巡检的工作内容为:
●设备配置检查
●设备运行状态检查
●网络冗余性检查
通过完整详细的采集相关网络设备的基本信息与运行状态数据,并对本次采集的数据进行系统的整理与分析,最终形成报告。
其中对现有网络存在的问题记录并及时地反馈,最大程度上保障网X全。
1.5巡检流程
评本次网络巡检分为远程数据采集、数据分析、客户报告生成三个阶段:
1、在网络巡检的数据采集阶段,在现场勘察机房相关环境,手工采集,并记录输出结果。
2、在分析、客户报告生成阶段,根据信息采集和分析的结果进行总结,给出网络运行状态全面检查、评估及建议报告,指出适应业务发展的改进建议。
3、最后工程师根据巡检数据与分析结果完成《防火墙安全策略巡检报告》。
1.6评判标准
针对此次巡检,我们将依照依据X等保标准,将实际采集的数据结果与其对照并分析,以判断当前网X全状况,根据具体发现的问题提出合理的改进意见。
第二章巡检计划
巡检时间:
X年5月3号上午10:
30到11:
30;下午13:
00到15:
30
现场人员:
X;X
工作方式:
现场访谈、网络检查、记录查看
巡检地点:
X区信息管理中心机房
巡检内容:
运行状态、网络冗余、配置检查、访问控制等
2
第三章巡检概况
在本次X区X防火墙安全巡检服务中,我们对目前的网络收集了大量重要的数据,对相关数据进行了提取和加工,并据此对网络的健康状况进行了详细分析,我们认为网X全健康较弱,综述如下(具体情况请参见各章节内容)。
第四章巡检内容
3
4
4.1巡检设备
设备名称
设备IP
192.168.1.11
防护区域
网站群
系统版本
TopsecOperatingSystemv3.2.100.010.7
4.2巡检记录
通过对XX防火墙安全策略的检查和分析,发现其防火墙的安全策略还是存在很多漏洞和风险的,巡检项目及相应的状况数据记录如下:
表4.1-1:
检测项目统计表
检测项
符合
部分符合
不符合
1.防火墙是否具有身份标识和身份鉴别(本地认证、AAA认证)机制;
√
2.实现特权用户的权限分离,为超级管理员、审计员、运维人员等分配不同的权限;
√
3.口令应具有复杂度,长度至少应为8位,并且每季度至少更换1次,更新的口令至少5次内不能重复,口令文件是否采用加密形式存储;
√
4.防火墙是否具有超时退出的功能;
√
5.防火墙是否设置了访问鉴别失败的处理;
√
6.远程登陆时,是否可以防止鉴别信息在网络传输过程中被窃取;
√
7.检查是否对管理主机的地址进行限制
√
8.检查网络拓扑结构图,检查是否划分防火墙安全区域及IP子网规划。
√
9.查看防火墙及链路是否有冗余,如双机热备。
√
10.防火墙以何种方式接入网络,包括透明模式、混合模式和路由模式等。
√
11.防火墙是否有VPN配置。
√
12.检查系统时钟是否有权威时间源配置并保持同步;
√
13.检查系统升级许可;
√
14.检查导入导出功能是否正常;
√
15.检查报警邮箱设置是否启用及是否正常工作;
√
16.检查是否配置域名服务器。
√
17.安全规则的创建是否有规划文档,启用的安全规则的类型;
√
18.是否启用防欺骗的IP地址与MAC地址绑定功能
√
19.对于P2P的限制是否启用
√
20.针对不同端口是否配置抗攻击策略;
√
21.检查是否配置与IDS进行联动;在没有部署IDS的情况下,是否配置基本的入侵检测功能;
√
22.防火墙是否启用连接限制。
√
23.检查防火墙是否只开放了必须要开放的端口;
√
24.检查防火墙是否禁止了所有不必要开放的端口;
√
25.检查防火墙是否设置了防DOS攻击安全策略
√
26.检查防火墙是否设置了抗扫描安全措施;
√
27.防火墙抗攻击配置项阀值的设定是否合理。
√
28.防火墙采用何种应用模式(透明、NAT、路由),是否采用了必要的NAT、PAT措施隐藏服务器及内部网络结构
√
29.检查防火墙操作系统是否为最新版本、是否安装相应的安全补丁。
√
30.检查防火墙的通过什么方式进行管理,是否为安全的管理方式
√
31.检查防火墙是否根据权限不同进行分级管理
√
32.检查防火墙的口令设置情况,口令设置是否满足安全要求
√
33.检查采用USB电子钥匙和证书通过web方式管理。
√
34.检查防火墙默认管理IP地址和管理帐户及用户名更改;
√
35.检查否是启用多用户管理;
√
36.防火墙日志审计记录是否包括日期和时间、用户、事件类型、事件是否成功等。
√
37.检查防火墙的日志设置是否合理,是否有所有拒绝数据包的记录日志。
√
38.检查防火墙的日志保存情况,所记录的日志是否有连续性;
√
39.检查防火墙日志的查看情况,网X全管理员是否按照防火墙管理制度对防火墙进行日常维护
√
40.保护防火墙的日志记录,避免未授权的覆盖、修改和删除操作,日志记录应至少保存6个月以上
√
41.具备完善的日志导出和报表生成,定期审计日志记录,并生成审计报告
√
42.是否使用第三方的日志服务器,集中收集防火墙的日志信息并设置访问权限
√
43.查看防火墙安全区域的划分,在区域与区域之间是否设置了访问控制策略;
√
44.防火墙根据数据的源IP地址、目的IP地址和端口号为数据流提供明确的允许/拒绝控制;
√
45.查看防火墙启用的哪些服务,采取安全措施保证服务的安全性;
√
46.关闭不必要的服务及端口:
关闭CDP、PING、TELNET、HTTP、finger等服务;
√
47.防火墙是否标注NAT地址转换和MAP等;
√
48.是否采用认证服务器进行用户认证。
√
49.有专职人员对防火墙设备进行监控和操作;
√
50.是否将防火墙配置文件及时保存并导出,配置文件是否有备份
√
51.是否设置网络监控系统,实时监控网络设备的运行情况;
√
52.设置报警机制,检测到网络异常时发出报警;
√
53.防火墙管理人员是否岗位互相备份;
√
54.是否具有防火墙应急预案,并定期进行应急演练;
√
55.有无发生过安全事件,出现安全事件后是否可以启动应急预案进行恢复;
√
56.设备服务商提供及时的售后服务和技术支持,并对设备维护人员做设备培训。
√
4.3改善需求
此次巡检结果显示,发现其防火墙的安全策略还是存在很多漏洞和风险的,应按照以下问题进行改正。
4.3.1存在问题
1)登录控制
a.口令复杂性:
此次巡检过程中发现X区X网站前端防护防火墙的登录口令为6位全字母。
2)报警设置
a.通过此次对天融信防火墙配置的巡检,发现“报警设置”选项没有任何报警信息的设置和预定(如图一),当设备系统、安全、通讯、硬件等功能出现故障时,就不能够及时发现问题。
(图一)
3)高可用性
a.高可用性体现在设备的冗余性,负载均衡技术能够实现设备的高可用性,针对此次防火墙巡检,该防火墙为单机接入网络,没有设备冗余。
(如图二、三)
(图二)
(图三)
4)带宽管理
a.网站服务器通常会有比较大流量的访问,如果流量异常就可能会造成SYNFlood攻击,所以根据服务器具体应用给予网站服务器不同带宽的分配,可以有效预防外网根据TCP协议的攻击。
(如图四)
(图四)
5)攻击防护
a.经过对防火墙巡检,发现防火墙“攻击防护”功能项没有开启,不能有效预防SynFlood、UdpFlood、IcmpFlood、PortScan等攻击。
(如图五)
(图五)
6)IDS联动
a.此次巡检过程中发现X区X网站防护防火墙未开启IDS联动功能。
(如图六)
(图六)
7)软件
a.巡检过程中发现X区X的网站防护防火墙未进行系统更新、系统版本更新和安全补丁更新。
8)访问控制
a.用户认证:
此次巡检过程中发现X区X的网站防护防火墙未采用认证服务器进行用户认证。
9)维护
a.报警机制:
此次巡检过程中发现X区X的网站防护防火墙未设置报警机制。
b.应急演练:
此次巡检过程中发现X区X未对网站防护防火墙进行应急演练。
4.3.2危害分析
对本次巡检结果所造成的已知和未知的危害,我做出了以下分析:
1)登录控制
a.口令复杂性:
此次巡检过程中发现X区X未对网站防火墙设备的登录口令做密码复杂性设置,这样的弱口令密码非常容易被破解,会给网站群服务器的安全造成隐患。
2)报警设置
a.报警设置:
报警设置可以根据防火墙的访问策略、攻击防护等级、硬件CPU或内存使用阀值等做预警设置,这样可以有效预知安全隐患并解决。
如果没有设置报警功能,只能在问题出现后才会知晓。
3)高可用性
a.设备冗余:
此次巡检过程中发现X区X网站防火墙未采用双机热备,一旦设备有故障发生,就会直接影响到网络的稳定性,给业务带来非常大的损失。
4)带宽管理
a.带宽管理:
大流量访问网站服务器可能会造成SYNFlood(泛洪)攻击,并且所用网站服务器共享带宽也会造成网站访问的阻塞,可以针对不同的网站设置不同的带宽,保证网站访问流量的正常。
b.P2P限制:
此次巡检过程中发现X区X的网站防护防火墙未开启P2P限制,没有限制此服务,容易造成网络拥塞。
5)安全策略
a.攻击防护:
此次巡检过程中发现X区X的网站防护防火墙未开启“攻击防护”功能,不能有效预防SynFlood、UdpFlood、IcmpFlood、PortScan等攻击。
6)IDS联动
a.IDS联动:
此次巡检过程中发现X区X的网站防护防火墙未设置IDS联动功能,当IDS检测到如木马、病毒、非法漏洞扫描等危害性动作时,无法联动防火墙对这些非法动作进行屏蔽或清除。
4.4巡检建议
针对此次的巡检我给出如下建议:
4.4.1登录控制建议
4.4.1.1密码策略
强烈建议严格按照复杂性密码要求来设置防火墙用户登录密码,至少应包含:
字母、数字和特殊字符。
4.4.2高可用性建议
4.4.2.1链路冗余
任何设备在7*24小时的运行下都会出现死机、性能下降等故障,强烈建议核心设备采用热备或负载均衡等方式部署。
4.4.2.2带宽管理
针对不同的网站应用设置不同的访问带宽,设置防火墙总的出口带宽。
4.4.3安全防护建议
4.4.3.1报警设置
强烈建议开启报警邮箱,当出现主机或网络故障时可在第一时间收取到报警消息。
4.4.3.2安全策略
强烈建议开启“攻击防护”功能,有效预防SynFlood、UdpFlood、IcmpFlood、PortScan等攻击。
4.4.3.3IDS联动功能
防火墙设置IDS联动功能,当IDS检测到如木马、病毒、非法漏洞扫描等危害性动作时,无法联动防火墙对这些非法动作进行屏蔽或清除。
4.4.4设备核心配置建议
4.4.4.1MAC地址绑定
MAC地址欺骗为内网常见的一种攻击手段,强烈建议对内网中的所有主机进行MAC地址与IP地址的绑定操作。
4.4.4.2P2P流量限制
此功能为流量限制功能,用于防止内网中有主机出现故障时影响其他服务的网络。
没有限制此服务,容易造成网络拥堵,建议开启此功能。
4.4.4.3抗攻击策略
建议在每个端口上都开启相应的防DDOS、SYN、icmp、cc、ACKFlood、UDPFlood、ICMPFlood和TCPFlood等策略功能。
第五章巡检总结
针对此次网站防护防火墙的安全巡检,发现防火墙设置存在以下安全漏洞,并针对这些漏洞提出合理性建议。
具体安全漏洞如下:
1.防火墙登陆口令过于简单,设置复杂度不符合等保要求,。
2.防火墙没有设置任何相关的报警设置功能,无法进行对系统或硬件故障及时进行预防和检测。
3.目前此设备为单机接入网络,没有双机冗余备份。
4.没有对网站服务器进行合理的带宽管理,无法预防大流量的攻击和不同网站访问流量的抢占。
5.没有设置“攻击防护”功能,无法预防SynFlood、UdpFlood、IcmpFlood、PortScan等攻击。
6.没有与IDS设备进行联动设置,当IDS检测到如木马、病毒、非法漏洞扫描等危害性动作时,无法联动防火墙对这些非法动作进行屏蔽或清除。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 14 网络设备 配置 安全 审计报告