等级保护测评指导书----网络部分_第1页
等级保护测评指导书----网络部分_第2页
等级保护测评指导书----网络部分_第3页
等级保护测评指导书----网络部分_第4页
等级保护测评指导书----网络部分_第5页
已阅读5页,还剩67页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、层面控制点测评项重要性级别系统 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 结构安全 (G3、G2、 G1) a)应保证主要网络设备的业务处理 能力具备冗余空间,满足业务高峰期 需要。 G3通用 a)应保证关键网络设备的业务处理 能力具备冗余空间,满足业务高峰期 需要。 G2通用 a)应保证关键网络设备的业务处理 能力满足基本业务需要 G1通用 b)应保证网络各个部分的带宽满足 业务高峰期需要。 G3通用 b)应保证接入网络和核心网络的带 宽满足业务高峰期需要。 G2通用 b)应保证接入网络和核心网络的带 宽满足基本

2、业务需要。 G1通用 c)应在业务终端与业务服务器之间 进行路由控制建立安全的访问路径。 重要G3 CISCO路 由器 华为路 由器 /H3C路 由器 路由器 通用 d)应绘制与当前运行情况相符的网 络拓扑结构图。 重要G3G2G1通用 e)应根据各部门的工作职能、重要 性和所涉及信息的重要程度等因素, 划分不同的子网或网段,并按照方便 管理和控制的原则为各子网、网段分 配地址段。 重要G3G2 CISCO交 换机 华为交换 机/H3C交 换机 交换机通 用 f)应避免将重要网段部署在网络边 界处且直接连接外部信息系统,重要 网段与其他网段之间采取可靠的技术 隔离手段。 重要G3通用 网络安全

3、 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 结构安全 (G3、G2、 G1) c)应在业务终端与业务服务器之间 进行路由控制建立安全的访问路径。 重要G3 g)应按照对业务服务的重要次序来 指定带宽分配优先级别,保证在网络 发生拥堵的时候优先保护重要主机。 重要G3 CISCO交 换机 交换机通 用 访 问 控 制 ( G1 、 G2 、G3) a)应在网络边界部署访问控制设备 ,启用访问控制功能。 重要G3G2G1 天融信防 火墙 Checkpoi nt 防火墙 联想网御 防火墙 Netscree n/Junipe r防火

4、墙 Cisco 防 火墙 启明星辰 IDS 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 结构安全 (G3、G2、 G1) CISCO交 换机、 CISCO路 由器 华为路由 器/华为 交换机 /H3C交换 机/H3C路 由器 防火墙、 交换机、 路由器、 IDS通用 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 访 问 控 制 ( G1 、 G2 、G3) a)应在网络边界部署访问控制设备 ,启用访问控制功能。 重要G3G2G1 b)应能根据

5、会话状态信息为数据流提 供明确的允许/拒绝访问的能力,控 制粒度为端口级(G3)。 b)应能根据会话状态信息为数据流提 供明确的允许/拒绝访问的能力,控 制粒度为网段级(G2)。 b)应能根据访问控制列表,对原地址 、目地地址、源端口、目的端口和协 议进行检查,以允许/拒绝数据包出 入(G1)。 重要G3 天融信防 火墙 Checkpoi nt 防火墙 联想网御 防火墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 启明星辰 IDS CISCO交 换机、 CISCO路 由器 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫

6、描工具 Nessus) 访 问 控 制 ( G1 、 G2 、G3) 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 交换机、 路由器、 IDS通用 c)应对进出网络的信息内容进行过 滤,实现对应用层HTTP、FTP、 TELNET、SMTP、POP3等协议命令级的 控制。 重要G3 天融信防 火墙 Checkpoi nt 防火墙 联想网御 防火墙 Netscree n/Junipe r防火墙 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 访 问 控 制 ( G1 、 G2 、G3) b)应能根据会话

7、状态信息为数据流提 供明确的允许/拒绝访问的能力,控 制粒度为端口级(G3)。 b)应能根据会话状态信息为数据流提 供明确的允许/拒绝访问的能力,控 制粒度为网段级(G2)。 b)应能根据访问控制列表,对原地址 、目地地址、源端口、目的端口和协 议进行检查,以允许/拒绝数据包出 入(G1)。 重要G3 Cisco 防 火墙 启明星辰 IDS 防火墙、 IDS通用 d)应在会话处于非活跃一定时间或 会话结束后终止网络连接。 G3 天融信防 火墙 Checkpoi nt 防火墙 联想网御 防火墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 启明星辰 IDS 网络安全 (可使

8、用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 访 问 控 制 ( G1 、 G2 、G3) c)应对进出网络的信息内容进行过 滤,实现对应用层HTTP、FTP、 TELNET、SMTP、POP3等协议命令级的 控制。 重要G3 防火墙、 IDS通用 e)应限制网络最大流量数及网络连 接数。 G3 天融信防 火墙 Checkpoi nt 防火墙 联想网御 防火墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 启明星辰 IDS 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、

9、漏洞扫 描工具 Nessus) 访 问 控 制 ( G1 、 G2 、G3) CISCO交 换机、 CISCO路 由器 防火墙、 IDS、交 换机、路 由器通用 f)重要网段应采取技术手段防止地 址欺骗。 重要S3A3G3 天融信防 火墙 Checkpoi nt 防火墙 联想网御 防火墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 启明星辰 IDS 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 访 问 控 制 ( G1 、 G2 、G3) e)应限制网络最大流量数及网络连 接数。 G3 CISC

10、O交 换机 华为交换 机/H3C交 换机 防火墙、 IDS、交 换机、路 由器通用 g)应按用户和系统之间的允许访问 规则,决定允许或拒绝用户对受控系 统进行资源访问,控制粒度为单个用 户。(G2、G3) g)应通过访问控制列表对系统资源 实现允许或拒绝用户访问,控制力度 至少为用户组(G1) 重要G3G2G1 天融信 防火墙 Checkpo int 防火墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 联想网 御防火 墙 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 访 问 控 制 ( G1 、

11、 G2 、G3) f)重要网段应采取技术手段防止地 址欺骗。 重要S3A3G3 防火墙 通用 h)应限制具有拨号访问权限的用户 数量。 G3G2通用 安全审计 (G2、G3 ) a)应对网络系统中的网络设备运行 状况、网络流量、用户行为等进行日 志记录。 重要G2G3 天融信 防火墙 Checkpo int 防火墙 联想网 御防火 墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 访 问 控 制 ( G1 、 G2 、G3) 启明星辰 IDS CISC

12、O交 换机、 CISCO路 由器 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 IDS、路 由器、交 换机、审 计通用 b)审计记录应包括:事件的日期和 时间、用户、事件类型、事件是否成 功及其他与审计相关的信息。 重要G2G3 天融信防 火墙 Checkpoi nt 防火墙 联想网御 防火墙 Netscree n/Junipe r防火墙 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 安全审计 (G2、G3 ) a)应对网络系统中的网络设备运行 状况、网络流量、用户行为等进行日 志记录。 重要G2G

13、3 Cisco 防 火墙 启明星辰 IDS CISCO交 换机、 CISCO路 由器 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 IDS、路 由器、交 换机、审 计通用 c)应能够根据记录数据进行分析, 并生成审计报表。 G3 天融信防 火墙 Checkpoi nt 防火墙 联想网御 防火墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 启明星辰 IDS 防火墙、 IDS、路 由器、交 换机、审 计通用 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 安全审计 (G2、G3 )

14、 b)审计记录应包括:事件的日期和 时间、用户、事件类型、事件是否成 功及其他与审计相关的信息。 重要G2G3 d)应对审计记录进行保护,避免受 到未预期的删除、修改或覆盖等。 重要G3 天融信 防火墙 Checkpo int 防火墙 联想网 御防火 墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 启明星辰 IDS CISCO交 换机、 CISCO路 由器 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 安全审计 (G2、G3 ) 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、

15、IDS、路 由器、交 换机、审 计通用 边 界 完 整 性 检 查 ( S2、S3) a)应能够对非授权设备私自联到内 部网络的行为进行检查,准确定出位 置,并对其进行有效阻断。 重要S3通用 b)应能够对内部网络用户私自联到外 部网络的行为进行检查,准确定出位 置,并对其进行有效阻断。(S3) b)应能够对内部网络用户私自联到外 部网络的行为进行检查。(S2) S3通用 入侵防范 (G2、G3 ) a)应在网络边界处监视以下攻击行 为:端口扫描、强力攻击、木马后门 攻击、拒绝服务攻击、缓冲区溢出攻 击、IP碎片攻击和网络蠕虫攻击等。 重要G2、G3 天融信防 火墙 Checkpoi nt 防

16、火墙 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 安全审计 (G2、G3 ) d)应对审计记录进行保护,避免受 到未预期的删除、修改或覆盖等。 重要G3 Netscree n/Junipe r防火墙 防火墙、 IDS通用 b)当检测到攻击行为时,记录攻击 源IP、攻击类型、攻击目的、攻击时 间,在发生严重入侵事件时应提供报 警。 G3 天融信防 火墙 Checkpoi nt 防火墙 Netscree n/Junipe r防火墙 防火墙、 IDS通用 恶 意 代 码 防 范 ( G3 ) a)应在网络边界处对恶意代码进

17、行 检测和清除。 重要G3通用 b)应维护恶意代码库的升级和检测 系统的更新。 重要G3通用 网络设备 防护(G1 、G2、G3 ) a)应对登录网络设备的用户进行身 份鉴别。 重要G1G2G3 天融信防 火墙 Checkpoi nt 防火墙 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 入侵防范 (G2、G3 ) a)应在网络边界处监视以下攻击行 为:端口扫描、强力攻击、木马后门 攻击、拒绝服务攻击、缓冲区溢出攻 击、IP碎片攻击和网络蠕虫攻击等。 重要G2、G3 联想网 御防火 墙 Netscree n/Junip

18、e r防火墙 Cisco 防 火墙 启明星辰 IDS CISCO交 换机、 CISCO路 由器 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 网络设备 防护(G1 、G2、G3 ) a)应对登录网络设备的用户进行身 份鉴别。 重要G1G2G3 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 交换机、 路由器、 IDS通用 b)应对网络设备的管理员登录地址 进行限制。 重要G2G3 天融信防 火墙 Checkpoi nt 防火墙 联想网 御防火 墙 Netscree n/Junipe r防火墙 Cisc

19、o 防 火墙 CISCO交 换机、 CISCO路 由器 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 网络设备 防护(G1 、G2、G3 ) a)应对登录网络设备的用户进行身 份鉴别。 重要G1G2G3 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 交换机、 路由器、 IDS通用 c)网络设备用户的标识应唯一。 G2G3 天融信防 火墙 Checkpoi nt 防火墙 联想网 御防火 墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 启明星辰 IDS 网络安全 (可使用 配置核

20、查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 网络设备 防护(G1 、G2、G3 ) b)应对网络设备的管理员登录地址 进行限制。 重要G2G3 CISCO交 换机、 CISCO路 由器 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 交换机、 路由器、 IDS通用 d)主要网络设备应对同一用户选择 两种或两种以上组合的鉴别技术来进 行身份鉴别。 G3 天融信防 火墙 Checkpoi nt 防火墙 联想网 御防火 墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 启明星辰 IDS 网络安全 (可使用 配

21、置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 网络设备 防护(G1 、G2、G3 ) c)网络设备用户的标识应唯一。 G2G3 CISCO交 换机、 CISCO路 由器 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 交换机、 路由器、 IDS通用 e) 身份鉴别信息 应具有不易被冒用的特点,口令应有 复杂度要求并定期更换。 重要G2G3 CISCO交 换机、 CISCO路 由器 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 IDS、交 换机、路 由器通用 f)应具有登录失败处理功能,可采 取结束会话、

22、限制非法登录次数和当 网络登录连接超时自动退出等措施。 重要G1G2G3 天融信 防火墙 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 网络设备 防护(G1 、G2、G3 ) d)主要网络设备应对同一用户选择 两种或两种以上组合的鉴别技术来进 行身份鉴别。 G3 Checkpo int 防火墙 联想网 御防火 墙 Netscree n/Junipe r防火墙 启明星辰 IDS CISCO交 换机、 CISCO路 由器 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 交换机、 路由器、 IDS通用 g)

23、当对网络设备进行远程管理时, 应采取必要措施防止鉴别信息在网络 传输过程中被窃听。 重要G1G2G3 天融信 防火墙 Checkpo int 防火墙 联想网 御防火 墙 Netscree n/Junipe r防火墙 Cisco 防 火墙 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 网络设备 防护(G1 、G2、G3 ) f)应具有登录失败处理功能,可采 取结束会话、限制非法登录次数和当 网络登录连接超时自动退出等措施。 重要G1G2G3 启明星辰 IDS CISCO交 换机、 CISCO路 由器 华为交换 机/路由

24、器/H3C交 换机/H3C 路由器 防火墙、 交换机、 路由器、 IDS通用 h)应实现设备特权用户的权限分离 。 重要G3 天融信 防火墙 Checkpo int 防火墙 联想网 御防火 墙 启明星辰 IDS 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 网络设备 防护(G1 、G2、G3 ) g)当对网络设备进行远程管理时, 应采取必要措施防止鉴别信息在网络 传输过程中被窃听。 重要G1G2G3 CISCO交 换机、 CISCO路 由器 华为交换 机/路由 器/H3C交 换机/H3C 路由器 防火墙、 交换机、 路

25、由器、 IDS通用 网络安全 (可使用 配置核查 工具 Nipper、 远程管理 工具 SecureCRT 、漏洞扫 描工具 Nessus) 网络设备 防护(G1 、G2、G3 ) h)应实现设备特权用户的权限分离 。 重要G3 实施过程预期结果说明 访谈网络管理员,询问信息系统中边 界设备和主要网络设备的处理性能是 否能够满足目前业务高峰流量情况, 询问采用何种手段对主要网络设备进 行运行状态监控 信息系统中边界设备和主要网络设 备的处理性能应该能够满足目前业 务高峰流量情况;应能够对网络设 备的运行状况进行监控 为了保证主要网络设备具备足够 处理能力,应定期检查设备资源 占用情况,确保设备

26、的业务处理 能力具备冗余空间 访谈网络管理员,询问信息系统中边 界设备和主要网络设备的处理性能是 否能够满足目前业务高峰流量情况, 询问采用何种手段对主要网络设备进 行运行状态监控 信息系统中边界设备和主要网络设 备的处理性能应该能够满足目前业 务高峰流量情况;应能够对网络设 备的运行状况进行监控 为了保证主要网络设备具备足够 处理能力,应定期检查设备资源 占用情况,确保设备的业务处理 能力具备冗余空间 访谈网络管理员,询问信息系统中边 界设备和主要网络设备的处理性能是 否能够满足目前基本业务,询问采用 何种手段对主要网络设备进行运行状 态监控 信息系统中边界设备和主要网络设 备的处理性能应该

27、能够满足目前基 本业务;应能够对网络设备的运行 状况进行监控 为了保证主要网络设备具备足够 处理能力,应定期检查设备资源 占用情况,确保设备的业务处理 能力具备冗余空间 访谈网络管理员,询问网络各个部分 的带宽是否能够满足业务高峰期的需 要,网络各个部分的带宽个是多少 网络各个部分的带宽是否能够满足业 务高峰期的需要 为了保证业务服务的连续性,应 保证网络各个部分的带宽满足业 务高峰期的需要。如果存在带宽 无法满足业务高峰期需要的情况 ,则需要在主要网络设备上进行 配置 访谈网络管理员,询问网络接入网络 和核心网络的带宽是否能够满足业务 高峰期的需要,网络各个部分的带宽 个是多少 网络接入网络

28、和核心网络的带宽是否 能够满足业务高峰期的需要 为了保证业务服务的连续性,应 保证接入网络和核心网络的带宽 满足业务高峰期的需要。如果存 在带宽无法满足业务高峰期需要 的情况,则需要在主要网络设备 上进行配置 访谈网络管理员,询问网络接入网络 和核心网络的带宽是否能够满足基本 业务的需要,网络各个部分的带宽个 是多少 网络接入网络和核心网络的带宽是否 能够满足基本业务的需要 为了保证业务服务的连续性,应 保证接入网络和核心网络的带宽 满足基本业务的需要。如果存在 带宽无法满足业务高峰期需要的 情况,则需要在主要网络设备上 进行配置 检查边界设备和主要网络设备,查看 是否进行了路由控制建立安全的

29、访问 路径,查看路由器配置,输入命令: showrunning-config; 1)使用静态路由,配置文件中应该存 在类似如下配置: ip route 93 2)使用OSPF等路由协议配置文件中 应 该 存 在 类 似 如 下 配 置 : routerospf100 ipospfauthentication ip ospf message-digest-key 1 md5 7 XXXXXXX(认证码) 路由器如果使用动态路由选择协 议,应配置使用路由协议认证功 能,并且认证码以MD5加密形式 保存,保证网络安全 检查边界

30、设备和主要网络设备,查看 是否进行了路由控制,建立了安全的 访问路径,查看路由器配置,输入命 令 : display ip routing- table、display route-policy,查 看输出结果 1)使用静态路由,配置文件中应该存 在类似如下配置: ip route-static 2)使用OSPF协议配置文件中应该存 在类似如下配置: ospf2 area authentication-mode md5 1 cipher NC55QK=/Q=QMAF4访问控制 访问控制列表中应该有处于启用状态 的访问

31、控制规则。(规则的“状态” 字段为暂停的标志表示该规则处于启 用状态;规则的”状态“字段为开始 标志表示该规则未被启用。) 在网络边界部署访问控制设备, 防御来自其他网络的攻击,保护 内部网络的安全。 查看网络拓扑结构,判断是否在网络 边界处部署了防火墙等访问控制设备 。如果部署的是checkpoint防火墙( 此例为型号为IP295),则维护方式 为 C/S 模 式 , 需 启 动 客 户 端 软 件 SmartDashboard进行配置核查。登录 该软件后打开Security标签。 访问控制列表中应有处于启用状态的 访问控制规则; 防火墙配置了访问规则列表并且最后 一条必须是拒绝一切流量。

32、 在网络边界部署访问控制设备, 防御来自其他网络的攻击,保护 内部网络的安全。 查看网络拓扑结构,判断是否在网络 边界处部署了防火墙等访问控制设备 。如果部署的是联想网御防火墙,则 登录该防火墙, 查看策略配置安全 规则界面。 访问控制列表中应有处于启用状态的 访问控制规则; 防火墙配置了访问规则列表并且最后 一条必须是拒绝一切流量。 在配置访问规则时,源地址,目 的地址,服务或端口的范围必须 以实际访问需求为前提,尽可能 的缩小范围。 查看网络拓扑结构,判断是否在网络 边界处部署了防火墙等访问控制设备 。如果部署的是Netscreen防火墙, 则登录该防火墙web界面, 在左侧导 航栏中选择

33、PolicyPolicies。 访问控制列表中应有处于启用状态的 访问控制规则; 防火墙配置了访问规则列表并且最后 一条必须是拒绝一切流量。 若没有启用WEB管理方式,则需 要通过输入命令方式检测,远程 登录该防火墙,输入命令get config得到配置文件进行核查 。这里以Web界面配置检测为例 。 查看网络拓扑结构,判断是否在网络 边界处部署了防火墙等访问控制设备 。如果部署的是Cisco防火墙,则通 过维护终端远程连接到该防火墙进行 检测(telnet或ssh),输入命令show running-config进行查看 应配置了access-list列表并在端口上 应用。 关注端口配置和a

34、ccess-list的对应关 系。 Cisco设备有两种检测方法,一 种是上机输入命令进行逐项核查 ,一种分析配置文件(show running-config得到的内容),两 者并无本质区别,应根据实际情 况进行选择,这里以命令核查为 例。 查看网络拓扑结构,判断是否在网络 边界处部署了IPS。 IPS非必须,与部署防火墙有同等效能 。 IPS具有访问控制功能,IDS不具 备此功能。 1)检查网络拓扑结构,在网络边界 处 是 否 部 署 访 问 控 制 设 备 ; 2)查看CISCO交换机/路由器上是否 启用了访问控制功能(如VLAN、访 问控制列表,MAC地址绑定等), 查看交换机/路由器配

35、置,输入命令 : show vlan 、 show ip access- list、showiparp 1)应该在网络区域的边界处部署访问 控制设备,保护内部网络安全,如果 网络边界处未部署防火墙或其他访问 控制设备,那么此处的访问控制主要 由路由器或交换机实现该功能,可以 防 御 来 自 其 他 网 络 的 攻 击 ; 2)查看交换机/路由器配置,存在类 似 如 下 配 置 : vlan 2 name info vlan3namecisco inte0/2 vlan-membershipstatic2 . access-list 111 deny ip x.x.x.0 55an

36、ylog; . arp0000.e268.9980arpa; 网络边界不仅指与外部互联网相 连的网络边界,而且指内部网络 区域之间的网络边界,都应部署 访问控制设备 1)检查网络拓扑结构,在网络边界 处 是 否 部 署 访 问 控 制 设 备 ; 2)查看路由器、交换机上是否启用 了访问控制功能(如VLAN、访问控 制列表,MAC地址绑定等),查看 交换机/路由器配置,输入命令: displayvlan、displayvlanVLANID 、displayaclall; 1)应该在网络区域的边界处部署访问 控制设备,保护内部网络安全,如果 网络边界处未部署防火墙或其他访问

37、控制设备,那么此处的访问控制主要 由路由器、交换机实现该功能,可以 防 御 来 自 其 他 网 络 的 攻 击 ; 2)查看路由器、交换机配置,存在类 似如下配置: 1commonenableenable 20commonenableenable . aclnumber20000 rule tcp source destination source-port eq ftp-data destination-port eq 30 trafficclassifierdd if-matchacl20000 trafficbehavior

38、dd deny trafficpolicydd classifierddbehaviorddprecedence0 interfaceGigabitEthernet4/0/0 undoshutdown 网络边界不仅指与外部互联网相 连的网络边界,而且指内部网络 区域之间的网络边界,都应部署 访问控制设备 1)检查网络拓扑结构,网络划分了 几个区域,在各个网络区域的边界处 是 否 部 署 访 问 控 制 设 备 ; 2)查看访问控制设备的配置,是否 启用了访问控制功能; 1)应该在网络区域的边界处部署访问 控制设备,保护内部网络安全,如果 网络边界处未部署防火墙或其他访问 控制设备,那么此处的访

39、问控制主要 由路由器、交换机实现该功能,可以 防 御 来 自 其 他 网 络 的 攻 击 ; 2)查看访问控制设备的配置,应启用 访问控制功能,防火墙的访问控制列 表应该有处于启用状态的访问控制规 则,交换机/路由器应该设置VLAN、 访问控制列表、MAC地址绑定等 网络边界不仅指与外部互联网相 连的网络边界,而且指内部网络 区域之间的网络边界,都应部署 访问控制设备,防御来自其他网 络的攻击,保护内部网络的安全 登录该防火墙,在左侧导航栏中选择 资源管理服务和防火墙访问控制 进行查看。 资源管理服务中系统定义服务和自 定义服务中应包括定义的端口范围; 防火墙访问控制中应对这些服务/端 口设置

40、相应的策略。 (在实际的防火墙检查中,应当结合 实际的应用情况确定安全策略,并分 析访问控制列表与安全策略的一致性 。) 在网络边界部署访问控制设备, 对进出网络的流量进行过滤,保 护内部网络的安全。配置的访问 控制列表应有明确的源/目的地 址、源/目的、协议及服务等。 启动客户端软件SmartDashboard,查 看security页签下内容。 防火墙策略中应定义了基于端口/服务 的SERVICE字段,系统内定义的端口 或服务范围可参见左侧导航中Services 标签页下所列。 在网络边界部署访问控制设备, 对进出网络的流量进行过滤,保 护内部网络的安全。配置的访问 控制列表应有明确的源/

41、目的地 址、源/目的、协议及服务等。 查 看 策 略 配 置 安 全 选 项 界 面 。 查看策略配置安全规则包过滤规则 界面。 查看策略配置安全规则NAT规则 界面 安全选项中应勾选“严格的状态检测 ”; 访问规则应有明确的源IP地址、目的 IP地址、协议及端口号等; 在网络边界部署访问控制设备, 对进出网络的流量进行过滤,保 护内部网络的安全。配置的访问 控制列表应有明确的源/目的地 址、源/目的、协议及服务等。 登录该防火墙web界面, 在左侧导航 栏中选择PolicyPolicy Elements。 Servicespredefined中和 ServicesCustom中应包括定义的端

42、口 范围; PolicyPolicies中应对这些服务/端口 设置相应的策略。 (在实际的防火墙检查中,应当结合 实际的应用情况确定安全策略,并分 析访问控制列表与安全策略的一致性 。) 在网络边界部署访问控制设备, 对进出网络的流量进行过滤,保 护内部网络的安全。配置的访问 控制列表应有明确的源/目的地 址、源/目的、协议及服务等。 使用命令show access-list 配置的访问控制列表应包括明确的源/ 目的地址、源/目的、协议及服务等。 所配置的访问控制列表并在端口下被 调用。 在网络边界部署访问控制设备, 对进出网络的流量进行过滤,保 护内部网络的安全。配置的访问 控制列表应有明确

43、的源/目的地 址、源/目的、协议及服务等。 通过web方式登录天清NIPS控制中心 ,选择左侧导航栏中防火墙安全策 略,查看到当前应用的访问控制是否 限制源地址、目的地址、具体的服务 等。 当前应用的访问控制包括限制源地址 、目的地址、具体的服务等。 在网络边界部署访问控制设备, 对进出网络的流量进行过滤,保 护内部网络的安全。配置的访问 控制列表应有明确的源/目的地 址、源/目的、协议及服务等。 1)在CISCO交换机/路由器上输入命 令:showipaccess-list,查看输出结 果; 2)在交换机/路由器上输入命令: showrunning-config,查看交换机/路 由器是否关闭

44、了一些不必要的存在安 全 隐 患 的 服 务 , 如 : CDP 、 TCP Smallservice、UDPSmall service、Finger、Bootp、IP Source Routing 、 ARP-Proxy 、 IP Directed Broadcast、WINS和DNS; 1)检查配置文件,应该存在类似如下 配置:noaccess-list111 ipaccess-listextended111 deny ip x.x.x.0 55 any log interfaceeth0/0 ip access-group 111 in ; 2)交换机/路由器应关闭CDP、

45、TCP Smallservice、UDPSmall service 、 Finger 、 Bootp 、 IP Source Routing 、 ARP-Proxy 、 IP Directed Broadcast、WINS和DNS服务; 1)交换机/路由器应该通过配置 合理的访问控制列表(ACL), 为数据流提供明确的允许/拒绝 访问的能力; 2)CISCO交换机/路由器中默认 开启了一些服务,有些服务在实 际的使用中是不需要的,而这些 服务本身却可能存在一些安全隐 患,因此,需要主动关闭这些服 务; 1)在华为交换机/路由器上输入命令 :displaytrafficpolicy,查看输出结

46、果; 2)在交换机/路由器上输入命令: displaycurrent-configuration,查看交 换机/路由器是否关闭了一些不必要 的存在安全隐患的服务,如:比如 FTP、TFTP服务等; 1)检查配置文件,应该存在类似如下 配置:aclnumber20000 rule tcp source destination source-port eq ftp-data destination-port eq 30 trafficclassifierdd if-matchacl20000 trafficbehaviordd den

47、y trafficpolicydd classifierddbehaviorddprecedence0 interfaceGigabitEthernet4/0/0 undoshutdown ip address traffic-policyddinbound 2)交换机/路由器应关闭比如FTP、 TFTP服务等 1)交换机/路由器应该通过配置 合理的访问控制列表(ACL), 为数据流提供明确的允许/拒绝 访问的能力; 2)交换机/路由器中默认开启了 一些服务,有些服务在实际的使 用中是不需要的,而这些服务本 身却可能存在一些安全隐患,因 此,需要主动

48、关闭这些服务; 1)查看交换机、路由器、防火墙的 访问控制规则,结合实际的应用情况 确定安全策略,并分析访问控制列表 与 安 全 策 略 的 一 致 性 ; 2)查看访问控制规则是否控制到端 口级; 3)查看交换机、路由器、防火墙是 否关闭了一些不必要的存在安全隐患 的服务 1)在网络边界部署访问控制设备,对 进出网络的流量进行过滤,保护内部 网络的安全。配置的访问控制列表应 有明确的源/目的地址、源/目的、协 议及服务等; 2)交换机、路由器、防火墙默认开启 了一些服务,有些服务在实际的使用 中是不需要的,而这些服务本身却可 能存在一些安全隐患,因此,需要主 动关闭这些服务; 1)交换机/路

49、由器/防火墙应该 通过配置合理的访问控制列表( ACL),为数据流提供明确的允 许 / 拒 绝 访 问 的 能 力 ; 2)交换机/路由器/防火墙中默 认开启了一些服务,有些服务在 实际的使用中是不需要的,而这 些服务本身却可能存在一些安全 隐患,因此,需要主动关闭这些 服务; 登录该防火墙,在左侧导航栏中选择 内容过滤过滤策略和防火墙访问 控制进行查看。 内容过滤过滤策略中HTTP、FTP、 TELNET、SMTP、POP3面签中应作 合理的策略配置; 防火墙访问控制中应该有访问控制 规则引用了已经配置完成的内容过滤 策略。 例如,配置一个http策略,策略名称 为http_filter,访

50、问控制规则的选择 字段为“内容过滤策略http_filter” 对于一些常用的应用层协议,能 够在访问控制设备上实现应用 层协议命令级的控制和内容检查 ,从而增强访问控制粒度。 启动客户端软件SmartDashboard,查 看security页签下内容。 防火墙策略中应定义了基于端口/服务 的SERVICE字段,系统内定义的端口 或服务范围可参见左侧导航中Services 标签页下TCP与UDP支持的协议信息 。 对于一些常用的应用层协议,能 够在访问控制设备上实现应用 层协议命令级的控制和内容检查 ,从而增强访问控制粒度。 进入资源定义深度过滤过滤策 略界面进行查看。 应对HTTP,FTP

51、,SMTP等常见应用协 议进行内容过滤配置 对于一些常用的应用层协议,能 够在访问控制设备上实现应用 层协议命令级的控制和内容检查 ,从而增强访问控制粒度。 登录该防火墙web界面, 在左侧导航 栏中选择PolicyPolicy ElementServicesPredefined; 选择PolicyPolicies查看已配置的 策略。 PolicyPolicy ElementServicesPredefined 中HTTP、FTP、TELNET、SMTP、POP3面 签 中 应 作 合 理 的 策 略 配 置 ; PolicyPolicies中应该有访问控制 规则引用了已经配置完成的上述内容

52、过滤策略。 对于一些常用的应用层协议,能 够在访问控制设备上实现应用 层协议命令级的控制和内容检查 ,从而增强访问控制粒度。 使用命令show access-list 配置的访问控制列表应包括对应用层 HTTP、FTP、TELNET、SMTP、POP3等协 议的过滤。 应关闭CDP、TCP Small service、UDP Small service、Finger、Bootp、IP Source Routing 、 ARP-Proxy 、 IP Directed Broadcast、WINS和DNS服务 ; 对于一些常用的应用层协议,能 够在访问控制设备上实现应用 层协议命令级的控制和内容检

53、查 ,从而增强访问控制粒度。 通过web方式登录天清NIPS控制中心 ,选择左侧导航栏中应用过滤web 过滤,以及应用过滤邮件过滤。 应启用了内容过滤和邮件过滤功能。 对于一些常用的应用层协议,能 够在访问控制设备上实现应用 层协议命令级的控制和内容检查 ,从而增强访问控制粒度。 1)查看网络中是否部署了应用防火 墙,实现对应用层协议命令级的控制 ; 2)查看防火墙的访问控制规则,规 则中是否明确定义了对常见协议( HTTP、FTP、TELNET、SMTP、POP3等 )的控制; 应对进出网络的信息内容进行过滤, 实现对应用层HTTP、FTP、TELNET 、SMTP、POP3等协议命令级的控

54、制 。 对于一些常用的应用层协议,能 够在访问控制设备上实现应用 层协议命令级的控制和内容检查 ,从而增强访问控制粒度。 登录该防火墙,在左侧导航栏中选择 系统管理配置进行查看。 系统参数页面中应设置了webui超时时 间,高级属性中应对网络连接参数作 合理配置。 一方面当恶意用户进行网络攻击 时,有时会发起大量会话连接, 建立会话后长时间保持状态连接 从而占用大量网络资源,最终将 网络资源耗尽的情况; 另一方面设置登录超时有效地保 证了远程维护该设备的安全性。 启动客户端软件SmartDashboard,查 看Qos页签下内容。 Qos页签下应配置了针对会话管理的 策略,设置了相关的权重,时

55、间信息 等。 一方面当恶意用户进行网络攻击 时,有时会发起大量会话连接, 建立会话后长时间保持状态连接 从而占用大量网络资源,最终将 网络资源耗尽的情况; 另一方面设置登录超时有效地保 证了远程维护该设备的安全性。 进入策略配置安全规则包过滤规 则界面进行查看 已配置的包过滤规则应配置了会话超 时时间。 一方面当恶意用户进行网络攻击 时,有时会发起大量会话连接, 建立会话后长时间保持状态连接 从而占用大量网络资源,最终将 网络资源耗尽的情况; 另一方面设置登录超时有效地保 证了远程维护该设备的安全性。 登录该防火墙web界面, 在左侧导航 栏中选择SecurityDeep Inspection

56、Service Limits; 应针对不同的服务(如Http、ICMP等 )相关的会话进行全理的设置。 一方面当恶意用户进行网络攻击 时,有时会发起大量会话连接, 建立会话后长时间保持状态连接 从而占用大量网络资源,最终将 网络资源耗尽的情况; 另一方面设置登录超时有效地保 证了远程维护该设备的安全性。 使用命令show running-config 应对telnet或ssh进行了会话超时配置 。 如:telnet timeout 5 ssh timeout 5 console timeout 0 一方面当恶意用户进行网络攻击 时,有时会发起大量会话连接, 建立会话后长时间保持状态连接 从而占

57、用大量网络资源,最终将 网络资源耗尽的情况; 另一方面设置登录超时有效地保 证了远程维护该设备的安全性。 通过web方式登录天清NIPS控制中心 ,选择左侧导航栏中系统管理会话 管理。 协议管理标签页下应配置了会话超时 管理策略。 推荐超时10分钟后自动中断会话 。 查看是否设置会话超时时间应设置会话超时 一方面当恶意用户进行网络攻击 时,有时会发起大量会话连接, 建立会话后长时间保持状态连接 从而占用大量网络资源,最终将 网络资源耗尽的情况; 另一方面设置登录超时有效地保 证了远程维护该设备的安全性。 登录该防火墙,在左侧导航栏中选择 网络管理流量管理、入侵防御主 机限制进行查看。(注:有些

58、版本并 没有主机限制功能) 网络管理流量管理中带宽控制选项 应 设 置 了 相 应 的 带 宽 控 制 策 略 。 主机限制部分应结合实际情况针对主 机、范围、子网三方面设置了相应的 策略。 可根据IP地址、端口、协议来限 制应用数据流的最大流量,还 可以根据IP地址来限制网络连接 数,从而保证业务带宽不被占 用,业务系统可以对外正常提供 业务。 启动客户端软件SmartDashboard,查 看Policy菜单下Global Properties 配置。 在其中的statefulinspection配置、Qos 配置和ConnectControl配置中应设置了 最大流量数及网络连接数。 可根

59、据IP地址、端口、协议来限 制应用数据流的最大流量,还 可以根据IP地址来限制网络连接 数,从而保证业务带宽不被占 用,业务系统可以对外正常提供 业务。 查看资源定义带宽列表共享带宽 列表界面; 查 看 策 略 配 置 带 宽 管 理 ; 查 看 策 略 配 置 连 接 管 理 ; 查看策略配置连接管理基本参数 ; 查看策略配置连接管理连接规则 ; 应配置了网络最大流量数及网络连接 数。 可根据IP地址、端口、协议来限 制应用数据流的最大流量,还 可以根据IP地址来限制网络连接 数,从而保证业务带宽不被占 用,业务系统可以对外正常提供 业务。 登录该防火墙web界面, 在左侧导航 栏中选择Po

60、licyPolicy ElementsTraffic Shaping; IP Precedence中应根据实际需求配置 了相应的流量等级 默认为Auto模式。 使用命令show running-config 主要查看max-entries字段 若网络中的防火墙未限制网络的最大 流量数及网络连接数,那么交换机或 路由器应进行相关设置 可根据IP地址、端口、协议来限 制应用数据流的最大流量,还 可以根据IP地址来限制网络连接 数,从而保证业务带宽不被占 用,业务系统可以对外正常提供 业务。 通过web方式登录天清NIPS控制中心 ,选择左侧导航栏中系统管理会话 管理。 连接数管理标签下应配置了网络

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论