1、14网络设备配置安全审计报告X信息委安全运维项目网络设备配置安全审计生命周期发行工作角色安全审计客体对象信息中心机房提交时间X-05-04最新版本V1.0XX信息技术有限公司文档审批信息审阅人审阅时间审阅意见文档修订记录版本日期准备修订修订描述V1.0X-05-04X 第一章 概述1.1 审计背景随着网络规模的日益壮大,导致网络设备类型和数量急剧上升,其中在管理上面临的一个重要问题就是大量网络设备配置的规范性、安全性问题。1.2 审计目的配置审计工作主要集中在两个方面,即: 功能配置审计:验证配置项的实际功能是否与其软件需求一致。 物理配置审计:确定配置项符合预期的物理特性。这里所说的物理特性
2、是指特定的媒体形式。为了保障X区X网X全、通畅和高效的运营,XX信息技术有限公司将针对贵公司网络设备配置进行安全审计,并根据审计结果给出相应的建议。1.3 巡检目标本次网络巡检服务,通过完整详细的采集相关网络设备的基本信息与运行状态数据,对本次网络巡检采集的数据进行系统的整理与分析,对X区安全设备的运行状态提供数据采集与分析结果、相关建议报告。对现有网络存在的问题记录,并及时地反馈。 采集网络设备的运行参数,通过系统整理与分析,判断设备的运行状态。 检查网络设备的运行环境,分析和判断网络设备运行环境是否满足设备安全运行的必要条件。 检查设备、配置的冗余性,确保网络系统具有抵御设备故障的能力和高
3、可用性。 检查网络设备日志文件,回顾前期网络设备运行状态信息,寻找故障隐患。1.4 巡检范围本次巡检主要针对网站群前端防护防火墙设备做了细致检查,本次巡检的工作内容为: 设备配置检查 设备运行状态检查 网络冗余性检查通过完整详细的采集相关网络设备的基本信息与运行状态数据,并对本次采集的数据进行系统的整理与分析,最终形成报告。其中对现有网络存在的问题记录并及时地反馈,最大程度上保障网X全。1.5 巡检流程评本次网络巡检分为远程数据采集、数据分析、客户报告生成三个阶段:1、在网络巡检的数据采集阶段,在现场勘察机房相关环境,手工采集,并记录输出结果。2、在分析、客户报告生成阶段,根据信息采集和分析的
4、结果进行总结,给出网络运行状态全面检查、评估及建议报告,指出适应业务发展的改进建议。3、最后工程师根据巡检数据与分析结果完成防火墙安全策略巡检报告。1.6 评判标准针对此次巡检,我们将依照依据X等保标准,将实际采集的数据结果与其对照并分析,以判断当前网X全状况,根据具体发现的问题提出合理的改进意见。第二章 巡检计划巡检时间:X年5月3号上午10:30 到11:30;下午13:00到15:30 现场人员:X;X工作方式:现场访谈、网络检查、记录查看巡检地点:X区信息管理中心机房巡检内容:运行状态、网络冗余、配置检查、访问控制等2 第三章 巡检概况在本次X区X防火墙安全巡检服务中,我们对目前的网络
5、收集了大量重要的数据,对相关数据进行了提取和加工,并据此对网络的健康状况进行了详细分析,我们认为网X全健康较弱,综述如下(具体情况请参见各章节内容)。第四章 巡检内容3 4 4.1 巡检设备设备名称设备IP192.168.1.11防护区域网站群系统版本Topsec Operating System v3.2.100.010.74.2 巡检记录通过对XX防火墙安全策略的检查和分析,发现其防火墙的安全策略还是存在很多漏洞和风险的,巡检项目及相应的状况数据记录如下:表4.1-1:检测项目统计表检测项符合部分符合不符合1. 防火墙是否具有身份标识和身份鉴别(本地认证、AAA认证)机制;2. 实现特权用
6、户的权限分离,为超级管理员、审计员、运维人员等分配不同的权限;3. 口令应具有复杂度,长度至少应为8位,并且每季度至少更换1次,更新的口令至少5次内不能重复,口令文件是否采用加密形式存储;4. 防火墙是否具有超时退出的功能;5. 防火墙是否设置了访问鉴别失败的处理;6. 远程登陆时,是否可以防止鉴别信息在网络传输过程中被窃取;7. 检查是否对管理主机的地址进行限制8. 检查网络拓扑结构图,检查是否划分防火墙安全区域及IP子网规划。9. 查看防火墙及链路是否有冗余,如双机热备。10. 防火墙以何种方式接入网络,包括透明模式、混合模式和路由模式等。11. 防火墙是否有VPN配置。12. 检查系统时
7、钟是否有权威时间源配置并保持同步;13. 检查系统升级许可;14. 检查导入导出功能是否正常;15. 检查报警邮箱设置是否启用及是否正常工作;16. 检查是否配置域名服务器。17. 安全规则的创建是否有规划文档,启用的安全规则的类型;18. 是否启用防欺骗的IP地址与MAC地址绑定功能19. 对于P2P的限制是否启用20. 针对不同端口是否配置抗攻击策略;21. 检查是否配置与IDS进行联动;在没有部署IDS的情况下,是否配置基本的入侵检测功能;22. 防火墙是否启用连接限制。23. 检查防火墙是否只开放了必须要开放的端口;24. 检查防火墙是否禁止了所有不必要开放的端口;25. 检查防火墙是
8、否设置了防DOS攻击安全策略26. 检查防火墙是否设置了抗扫描安全措施;27. 防火墙抗攻击配置项阀值的设定是否合理。28. 防火墙采用何种应用模式(透明、NAT、路由),是否采用了必要的NAT、PAT措施隐藏服务器及内部网络结构29. 检查防火墙操作系统是否为最新版本、是否安装相应的安全补丁。30. 检查防火墙的通过什么方式进行管理,是否为安全的管理方式31. 检查防火墙是否根据权限不同进行分级管理32. 检查防火墙的口令设置情况,口令设置是否满足安全要求33. 检查采用USB电子钥匙和证书通过web方式管理。34. 检查防火墙默认管理IP地址和管理帐户及用户名更改;35. 检查否是启用多用
9、户管理;36. 防火墙日志审计记录是否包括日期和时间、用户、事件类型、事件是否成功等。37. 检查防火墙的日志设置是否合理,是否有所有拒绝数据包的记录日志。38. 检查防火墙的日志保存情况,所记录的日志是否有连续性;39. 检查防火墙日志的查看情况,网X全管理员是否按照防火墙管理制度对防火墙进行日常维护40. 保护防火墙的日志记录,避免未授权的覆盖、修改和删除操作,日志记录应至少保存6个月以上41. 具备完善的日志导出和报表生成,定期审计日志记录,并生成审计报告42. 是否使用第三方的日志服务器,集中收集防火墙的日志信息并设置访问权限43. 查看防火墙安全区域的划分,在区域与区域之间是否设置了
10、访问控制策略;44. 防火墙根据数据的源IP地址、目的IP地址和端口号为数据流提供明确的允许/拒绝控制;45. 查看防火墙启用的哪些服务,采取安全措施保证服务的安全性;46. 关闭不必要的服务及端口:关闭CDP、PING、TELNET、HTTP、finger等服务;47. 防火墙是否标注NAT地址转换和MAP等;48. 是否采用认证服务器进行用户认证。49. 有专职人员对防火墙设备进行监控和操作;50. 是否将防火墙配置文件及时保存并导出,配置文件是否有备份51. 是否设置网络监控系统,实时监控网络设备的运行情况;52. 设置报警机制,检测到网络异常时发出报警;53. 防火墙管理人员是否岗位互
11、相备份;54. 是否具有防火墙应急预案,并定期进行应急演练;55. 有无发生过安全事件,出现安全事件后是否可以启动应急预案进行恢复;56. 设备服务商提供及时的售后服务和技术支持,并对设备维护人员做设备培训。4.3 改善需求此次巡检结果显示,发现其防火墙的安全策略还是存在很多漏洞和风险的,应按照以下问题进行改正。4.3.1 存在问题1) 登录控制a. 口令复杂性:此次巡检过程中发现X区X网站前端防护防火墙的登录口令为6位全字母。2) 报警设置a. 通过此次对天融信防火墙配置的巡检,发现“报警设置”选项没有任何报警信息的设置和预定(如图一),当设备系统、安全、通讯、硬件等功能出现故障时,就不能够
12、及时发现问题。(图一)3) 高可用性a. 高可用性体现在设备的冗余性,负载均衡技术能够实现设备的高可用性,针对此次防火墙巡检,该防火墙为单机接入网络,没有设备冗余。(如图二、三)(图二)(图三)4) 带宽管理a. 网站服务器通常会有比较大流量的访问,如果流量异常就可能会造成SYN Flood攻击,所以根据服务器具体应用给予网站服务器不同带宽的分配,可以有效预防外网根据TCP协议的攻击。(如图四)(图四)5) 攻击防护a. 经过对防火墙巡检,发现防火墙“攻击防护”功能项没有开启,不能有效预防SynFlood、UdpFlood、IcmpFlood、PortScan等攻击。(如图五)(图五)6) I
13、DS联动a. 此次巡检过程中发现X区X网站防护防火墙未开启IDS联动功能。(如图六)(图六)7) 软件a. 巡检过程中发现X区X的网站防护防火墙未进行系统更新、系统版本更新和安全补丁更新。8) 访问控制a. 用户认证:此次巡检过程中发现X区X的网站防护防火墙未采用认证服务器进行用户认证。9) 维护a. 报警机制:此次巡检过程中发现X区X的网站防护防火墙未设置报警机制。b. 应急演练:此次巡检过程中发现X区X未对网站防护防火墙进行应急演练。4.3.2 危害分析对本次巡检结果所造成的已知和未知的危害,我做出了以下分析:1) 登录控制a. 口令复杂性:此次巡检过程中发现X区X未对网站防火墙设备的登录
14、口令做密码复杂性设置,这样的弱口令密码非常容易被破解,会给网站群服务器的安全造成隐患。2) 报警设置a. 报警设置:报警设置可以根据防火墙的访问策略、攻击防护等级、硬件CPU或内存使用阀值等做预警设置,这样可以有效预知安全隐患并解决。如果没有设置报警功能,只能在问题出现后才会知晓。3) 高可用性a. 设备冗余:此次巡检过程中发现X区X网站防火墙未采用双机热备,一旦设备有故障发生,就会直接影响到网络的稳定性,给业务带来非常大的损失。4) 带宽管理a. 带宽管理:大流量访问网站服务器可能会造成SYN Flood(泛洪)攻击,并且所用网站服务器共享带宽也会造成网站访问的阻塞,可以针对不同的网站设置不
15、同的带宽,保证网站访问流量的正常。b. P2P限制:此次巡检过程中发现X区X的网站防护防火墙未开启P2P限制,没有限制此服务,容易造成网络拥塞。5) 安全策略a. 攻击防护:此次巡检过程中发现X区X的网站防护防火墙未开启“攻击防护”功能,不能有效预防SynFlood、UdpFlood、IcmpFlood、PortScan等攻击。6) IDS联动a. IDS联动:此次巡检过程中发现X区X的网站防护防火墙未设置IDS联动功能,当IDS检测到如木马、病毒、非法漏洞扫描等危害性动作时,无法联动防火墙对这些非法动作进行屏蔽或清除。4.4 巡检建议针对此次的巡检我给出如下建议:4.4.1 登录控制建议4.
16、4.1.1 密码策略强烈建议严格按照复杂性密码要求来设置防火墙用户登录密码,至少应包含:字母、数字和特殊字符。4.4.2 高可用性建议4.4.2.1 链路冗余任何设备在7*24小时的运行下都会出现死机、性能下降等故障,强烈建议核心设备采用热备或负载均衡等方式部署。4.4.2.2 带宽管理针对不同的网站应用设置不同的访问带宽,设置防火墙总的出口带宽。4.4.3 安全防护建议4.4.3.1 报警设置强烈建议开启报警邮箱,当出现主机或网络故障时可在第一时间收取到报警消息。4.4.3.2 安全策略强烈建议开启“攻击防护”功能,有效预防SynFlood、UdpFlood、IcmpFlood、PortSc
17、an等攻击。4.4.3.3 IDS联动功能防火墙设置IDS联动功能,当IDS检测到如木马、病毒、非法漏洞扫描等危害性动作时,无法联动防火墙对这些非法动作进行屏蔽或清除。4.4.4 设备核心配置建议4.4.4.1 MAC地址绑定MAC地址欺骗为内网常见的一种攻击手段,强烈建议对内网中的所有主机进行MAC地址与IP地址的绑定操作。4.4.4.2 P2P流量限制此功能为流量限制功能,用于防止内网中有主机出现故障时影响其他服务的网络。没有限制此服务,容易造成网络拥堵,建议开启此功能。4.4.4.3 抗攻击策略建议在每个端口上都开启相应的防DDOS、SYN、icmp、cc、ACKFlood、UDPFlo
18、od 、ICMPFlood和TCPFlood等策略功能。第五章 巡检总结 针对此次网站防护防火墙的安全巡检,发现防火墙设置存在以下安全漏洞,并针对这些漏洞提出合理性建议。具体安全漏洞如下:1. 防火墙登陆口令过于简单,设置复杂度不符合等保要求,。2. 防火墙没有设置任何相关的报警设置功能,无法进行对系统或硬件故障及时进行预防和检测。3. 目前此设备为单机接入网络,没有双机冗余备份。4. 没有对网站服务器进行合理的带宽管理,无法预防大流量的攻击和不同网站访问流量的抢占。5. 没有设置“攻击防护”功能,无法预防SynFlood、UdpFlood、IcmpFlood、PortScan等攻击。6. 没有与IDS设备进行联动设置,当IDS检测到如木马、病毒、非法漏洞扫描等危害性动作时,无法联动防火墙对这些非法动作进行屏蔽或清除。