系统安全配置技术规范-Cisco防火墙

1、系统安全配置技术规范 一Cisco防火墙版本V0.9日期2013-06-03文档编号文档发布文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 适用范围4 HYPERLINK l bookmark4 o Current Document 账号管理与授权4 HYPERLINK l bookmark6 o Current Document 【基本】设置非特权模式密码 4 HYPERLINK l bookmark8 o Current Docum

2、ent 【基本】enable password的使用4 HYPERLINK l bookmark10 o Current Document 【基本】设置与认证系统联动 5 HYPERLINK l bookmark12 o Current Document 【基本】设置登录失败处理功能 5 HYPERLINK l bookmark14 o Current Document 认证授权最小化 6 HYPERLINK l bookmark16 o Current Document 日志配置要求 7 HYPERLINK l bookmark18 o Current Document 【基本】设置日志服务

3、器 7 HYPERLINK l bookmark20 o Current Document IP协议安全要求7 HYPERLINK l bookmark22 o Current Document 【基本】设置SSH方式访问系统7 HYPERLINK l bookmark24 o Current Document 【基本】远程访问源地址限制 8 HYPERLINK l bookmark26 o Current Document 【基本】设置 FAILOVER KEY 8 HYPERLINK l bookmark28 o Current Document 【基本】关闭不使用的 SNMP服务或更正不

4、当权限设置 9 HYPERLINK l bookmark30 o Current Document 【基本】SNMP服务的共同体字符串设置 9 HYPERLINK l bookmark32 o Current Document 【基本】SNMP服务的访问控制设置 9 HYPERLINK l bookmark34 o Current Document 【基本】防火墙策略修订 10 HYPERLINK l bookmark36 o Current Document 常见攻击防护 10 HYPERLINK l bookmark38 o Current Document VPN安全加固10 HYPER

5、LINK l bookmark40 o Current Document 服务配置要求 11 HYPERLINK l bookmark42 o Current Document 【基本】启用NTP服务11禁用HTTP配置方式 11 HYPERLINK l bookmark44 o Current Document 禁用DHCP服务12 HYPERLINK l bookmark46 o Current Document 启用SERVICE RESETOUTSIDE 12 HYPERLINK l bookmark48 o Current Document 启用floodguard 12 HYPER

6、LINK l bookmark50 o Current Document 启用fragment chain保护 13 HYPERLINK l bookmark52 o Current Document 启用RPF保护 13 HYPERLINK l bookmark54 o Current Document 其他配置要求 13 HYPERLINK l bookmark56 o Current Document 【基本】系统漏洞检测 13 HYPERLINK l bookmark58 o Current Document 【基本】设置登录超时时间 14 HYPERLINK l bookmark60

7、 o Current Document 【基本】检查地址转换超时时间 14 HYPERLINK l bookmark62 o Current Document 信息内容过滤 141适用范围如无特殊说明，本规范所有配置项适用于 Cisco ASA/FWSM 7.x系列版本。其中有 基本” 字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及 基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2账号管理与授权【基本】设置非特权模式密码配置项描述查看是否设置非特权模式密码，且密码长度和强度符合规范要求。检查方法查看配置文件中是否存在：passwd * encrypted操作步骤1、参考配

8、置操作：(config)# username xxx passwd * encrypted2、补充操作说明：建议设定本地passwd,并使用了加密命令。密码不少于8位，包含大小写字母、数字和特殊符号。回退操作(config)#no username xxx操作风险低风险【基本】enable password的使用配置项描述启用enable password,使用encrypted关键字，同时应保证密他不少于8位，包含大小写字母、数字和特殊符号。检查方法查看配置文件中是否用如卜配置：enable password * encrypted操作步骤1、参考配置操作：(config)# enable

9、password * encrypted2、补充操作说明：建议使用enable password,并进行加密，密他不少于8位，包含大小写字母、数字和特殊符号。回退操作(config)# no enable password操作风险低风险【基本】设置与认证系统联动配置项描述设置与认证系统联动，对登陆网络设备的用户进行身份鉴别。检查方法Show running-config aaa 查看配置：#aaa authentication enable console TACACS+ LOCAL#aaa authentication ssh console TACACS+ LOCAL#aaa author

10、ization command TACACS+ LOCAL#aaa accounting enable console TACACS+#aaa accounting serial console TACACS+#aaa accounting ssh console TACACS+操作步骤1、参考配置操作：#aaa server server_tag protocol tacacs+ | radius#aaa server server_tag if_name host server_ip#aaa authentication serial console TACACS+ LOCAL#aaa a

11、uthentication enable console TACACS+ LOCAL#aaa authentication ssh console TACACS+ LOCAL#aaa authorization command TACACS+ LOCAL#aaa accounting enable console TACACS+#aaa accounting ssh console TACACS+2、补充操作说明：如果远程认证服务器发生故障，防火墙不能与之取得联系，则该用户验证就会失 败，意味着不能更改防火墙任何配置或者执行任何命令，作为补救措施，建议添 加关键字LOCAL ,在防火墙尝试 A

12、AA服务器组之后，启用本地验证。回退操作#no aaa-server server-tag protocol radius | TACACS+操作风险低风险【基本】设置登录失败处理功能配置项描述配置登录失败处理功能，可米取结束会话、限制非法登录次数、隐藏防火墙字符 管理界面的banner信息和当网络登录连接超时自动退出等措施。检查方法Show running-config查看是否存在#banner login#banner motd text#aaa-server TACACS+protocol tacacs+#reactivation-mode depletion deadtime 1#aa

13、a-server TACACS+ (inside) host max-failed attempts 2操作步骤1、参考配置操作：#banner login *#aaa-server TACACS+protocol tacacs+#reactivation-mode depletion deadtime 1#aaa-server TACACS+ (inside) host #max-failed attempts 2回退操作#no aaa-server server-tag protocol radius | TACACS+操作风险低风险认证授权最小化配置项描述对登录网络设备的用户进行身份鉴别

14、，实现网络设备管理帐户分级，在设备权限 配置能力内，根据用户的业务需要，配置其所需的最小权限。检查方法show running-config all privilege all 查看账号分级权限:本地认证授权部分配置诸如：username admin password XXXfMQ/rjnxl9Vwe9mv encrypted privilege 15;privilege cmd level 0 mode enable command enableprivilege show level 15 mode cmd command enableTacacs+配置部分配置如：aaa authoriz

15、ation command tacacs+_server_group LOCAL操作步骤1、参考配置操作：# aaa authorization command tacacs+_server_group LOCAL2、补充操作说明：权限设置需要在ACS上面完成回退操作#no aaa-server RADIUS protocol radius | TACACS+操作风险低风险3日志配置要求3.1【基本】设置日志服务器配置项描述设置日志服务器，对系统运行状况、网络流量、用户行为等进行日志记录，问时 应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步检查方法检查配置文件中是否存在如

16、卜配置：logging onlogging host inside *.*.*.*logging timestamplogging facility 20logging trap 7logging console 2logging history 6logging buffered 6操作步骤1、参考配置操作：建议对设备启用Logging的配置，并设置正确的syslog服务器。保存系统日志。命令为：(config)# logging on(config)# logging host inside *.*.*.*(config)#logging timestamp(config)#logging

17、 facility 20(config)#logging trap 7(config)#logging console 2(config)#logging history 6(config)# logging buffered 6回退操作回退对配置文件中日志设置的修改。操作风险低风险，需要日志服务器4 IP协议安全要求【基本】设置 SSH方式访问系统配置项描述SSH连接，防止设置SSH方式访问系统。当对网络设备进行远程管理时，采用 鉴别信息在网络传输过程中被窃听。检查方法查看配置文件中的 SSH配置操作步骤参考配置操作：(config)#domain-name name(config)#cry

18、pto key generate rsa modulus 1024(config)#ca generate rsa key 1024(config)#ca save all(config)# ssh ip_address masl interface(config)# ssh version 2回退操作无操作风险低风险，改变维护管理习惯【基本】远程访问源地址限制配置项描述配置远程访问源地址，对网络设备的管理员登录地址进行限制。检查方法查看配置文件中，如下的类似配置：ssh *.*.*.* x.x.x.x insidetelnet *.*.*.* x.x.x.x inside操作步骤对远程访问进

19、行了严格的源地址控制，保证授权的地址才可以访问设备。命令为：参考配置操作：(config)#ssh *.*.*.* x.x.x.x inside(config)#telnet *.*.*.* x.x.x.x inside回退操作(config)#no ssh *.*.*.* x.x.x.x inside(config)#no telnet *.*.*.* x.x.x.x inside操作风险低风险【基本】设置Failover KEY配置项描述设置Failover KEY ,对Failover进行加密保护，保护用户名、密码、共学密钥等 重要信息。检查方法查看配直文中关于Failover的设置情况

20、：show run failover操作步骤Failover承载了用户名、密码、共享密钥等重要信息，需要进行必要的加密保护 命令为：(config)# failover key password回退操作(config)#no failover key password操作风险低风险【基本】关闭不使用的 SNMP服务或更正不当权限设置配置项描述关闭不使用的SNMP服务或更正不当权限设置， 系统功能最小化，降低被供给的 风险O检查方法查看配置文中关于 SNMP服务的设置情况： 内容为：snmp-server操作步骤如果用户不米用 SNMP方式管理防火墙，则应关闭SNMP服务。如采用SNMP此项忽略

21、但应修改 community及读写权限命令为：(config)# clear configure snmp-server(config)#no snmp-server回退操作无操作风险低风险，关闭前应确认该功能不被使用【基本】SNMP服务的共同体字符串设置配置项描述检查SNMP服务的共同体字符串设置，取消字符串默认设置，防止穷举攻击。检查方法查看配置文中关于 SNMP服务的共同体字符串设置情况：snmp-server community *操作步骤在开启了 SNMP服务的前提下，检查SNMP服务的共同体字符串设置情况，应该取消使用默认的public和private,建议设置复杂一些的字符串，命

22、令为：(config)# snmp-server community *回退操作(config)# no snmp-server community *操作风险低风险，需要更改访问此设备的SNMP信息配置【基本】SNMP服务的访问控制设置配置项描述SNMP服务的访问控制设置，限制可访问的源IP地址。检查方法查看配置文中关于SNMP服务的访问控制设置情况：snmp-server host * community操作步骤对SNMP访问进行地址控制，保证指定的地址才可以访问设备。命令为： (config)# snmp-server host * community回退操作(config)#no sn

23、mp-server host * community操作风险低风险【基本】防火墙策略修订配置项描述配置防火墙策略，根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级，按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户检查方法根据配置中的防火墙策略，分析各种自定义的服务、对象和策略。主要注意由外向内方向的策略。注意源地址为any目的地址为any服务为any的其中两项的组 合策略。需要防火墙管理员的配合。遵循服务最小化的原则。操作步骤遵循服务最小化的原则。回退操作回退防火墙配置，恢复初始配置。操作风险高风险，需要确认具体使用的端口、I

24、P和流向常见攻击防护配置项描述配置攻击防护策略，屏蔽常见漏洞端口，确认病毒防护措施，提高系统的可用性。检查方法Show access-list 查看对 135,136,137,138,139,445 等端口访问限制独立的病毒防范措施；日常工作流程及落实程度操作步骤屏蔽常见的漏洞端口，应根据实际情况调整。hostname(config)# access-list ACL_IN extended deny tcp any inside_server eq xxx回退操作开启被禁用的端口 .操作风险高风险，需要确认是否有业务在使用该端口VPN安全加固配置项描述VPN安全优化，提高算法强度，优化协议性

25、能。1、启用VPN断开告警2、hash配置成sha检查方法3、Lifetime 设置成 3600,默认 86,4004、IKE阶段一预共享密钥默认米用侵略模式，建议米用主模式，防重放攻击5、实施PFS6、DH组变换配置成=1024操作步骤1、启用VPN断开告警crypto isakmp disconnect-notify102、设置hash为shahash sha3、设置 LifetimeSet security-association lifetime 36004、IKE阶段一设置为主模式crypto isakmp am-disable5、实施PFScrypto map map_name e

26、ntry_# set pfs group1 | group2 | group5 | group7回退操作无操作风险中风险，IKE模式修改，需对等体两端同时修改，修改过程中存在断网风险5服务配置要求【基本】启用 NTP服务配置项描述启用NTP服务，并启用相应认证。检查方法查看配置文件中是否包含如下内容：#ntp server key 1 prefer#ntp authenticate#ntp trusted-key#ntp authentication-key 1 md5 aNiceKey操作步骤建议启用NTP服务。命令为：#ntp server key 1 prefer#ntp authent

27、icate#ntp trusted-key 1#ntp authentication-key 1 md5 aNiceKey回退操作关闭NTP服务。操作风险中风险，需要时间源，系统时间更改禁用HTTP配置方式配置项描述查看是否关闭了 http的配置方式，禁止使用http配置系统。检查方法查看是否存在如卜配置：no http server enable操作步骤建议关闭http配置方式，执行：(config)# no http server enable回退操作(config)# http server enable操作风险低风险，管理员需确认是否需要开启http服务禁用DHCP服务配置项描述查看D

28、HCP服务的设置情况，禁用DHCP服务，防止伪DHCP Server攻击和针对DHCP服务的DOS攻击等检查方法查看配置文件中是否包含如下内容：dhcpd enable操作步骤建议关闭DHCP服务.命令为：(config)# clear configure dhcpd(config)# no dhcpd enable回退操作(config)# dhcpd enable操作风险低风险，启用 service resetoutside配置项描述启用service resetoutside,加速 Webvpn及SVC连接失败重连速度、检查方法查看配置文件中是否包含如下内容：service reseto

29、utside操作步骤建议启用service resetoutside服务。命令为：service resetoutside回退操作关闭 service resetoutiside。操作风险低风险启用 Floodguard配置项描述启用Floodguard ,防止洪水攻击检查方法查看配置文件中是否包含如下内容：floodguard enable操作步骤配置文件中添加如下内容floodguard enable回退操作关闭floodguard功能。操作风险中风险，影响设备性能12启用 Fragment chain 保护配置项描述启用Fragment chain保护，禁止数据包拆包后穿越防火墙检查方法

30、查看配置文件中是否包含如下内容：fragment chain 1 outside操作步骤建议启用 fragguard chain ,命令为： (config)#fragment chain 1 outside回退操作停用Fragment chain保护功能。操作风险中风险，影响设备性能启用RPF保护配置项描述启用 Require Unicast Reverse-Path Forwarding 保护，防止恶意伪造源地址以及 DDOS攻击。检查方法查看配置文件中是否包含如下内容：ip verify reverse-path操作步骤建议启用 Require Unicast Reverse-Path Forwarding ,这个功能检查隼-个经过路由 器的数据包。当路由器接收到一个数据包，它检查路由表，确定返回数 据包的源IP地址的路由是否从接收到该数据包的接口进入，如果是， 则正常转发该数据包，否则，就会丢弃数据包。反向路由转发在防止 恶意伪造源地址以 及DDoS攻击方面颇有成效。命令为：(config)#interface