风险评估报告-V10

资金管理系统风险评估报告2010年12月天融信公司安全服务事业部

文档信息项目名称PICC安全服务项目文档编号版本号日期参与人员更新说明V1.020101231王冲、胡浩分发控制读者与文档的主要关系PICC版权说明本文件中出现的全部内容，除另有特别注明，版权均属北京天融信公司所有。任何个人、机构未经北京天融信公司的书面授权许可，不得以任何方式复制或引用文件的任何片断。北京天融信公司安全服务事业部负责对本文档的解释。保密申明本文件包含了来自北京天融信的可靠、权威的信息，接受这份文件表示同意对其内容保密并且未经北京天融信公司书面请求和书面认可，不得复制，泄露或散布这份文件。如果你不是有意接受者，请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。目录TOC\o"1-5"\h\z1简介5目的5范围6评估方法6评估工具选择62资产安全评估总结7资产评估对象及方法7漏洞严重级别定义7网络安全风险评估8网络拓扑结构说明8网络拓扑结构风险分析8网络与安全设备资产安全概述8网络与安全设备资产安全风险漏洞错误!未定义书签。外网防火墙－主(93)9外网防火墙－备(93)17内网防火墙－主(29)17内网防火墙－备(29)25SSLVPN()风险漏洞详细描述25安全认证交换机27服务器区交换机29服务器区交换机配置29服务器区交换机风险漏洞详细描述29主机系统安全综合分析29Web服务器(8)30Web服务器(8)安全现状30Web服务器(8)风险漏洞详细描述33Web服务器(9)34Web服务器(9)安全现状34Web服务器(9)风险漏洞详细描述37Web服务器(0)39Web服务器(0)安全现状39Web服务器(0)风险漏洞详细描述42Web服务器(1)43Web服务器(1)安全现状43Web服务器(1)风险漏洞详细描述46Web服务器(2)47Web服务器(2)安全现状47Web服务器(2)风险漏洞详细描述50应用服务器(32)52应用服务器(32)安全现状52应用服务器(32)风险漏洞详细描述55数据库服务器(66)56数据库服务器(66)安全现状56数据库服务器(66)风险漏洞详细描述57数据库服务器(67)58数据库服务器(66)安全现状58数据库服务器(66)风险漏洞详细描述59应用安全综合分析60数据库安全综合分析60Oracle数据库(66)风险漏洞详细描述60Oracle数据库(67)风险漏洞详细描述61数据传输安全综合分析611简介企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。为保证企业富有竞争力，保持现金流顺畅和赢利，以及维护企业的良好商业形象，信息安全的三要素保密性、完整性和可用性都是至关重要的。对于一个特定的网络，为了实现其网络安全的目标，就是要在网络安全风险评估的基础上，明确系统中所存在的各种安全风险，并制订相应的安全策略，通过网络安全管理和各种网络安全技术的实施，从而达到网络安全的目标。安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以包括工作站、服务器、交换机、路由器、数据库等各种网络对象和应用对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。为了充分了解客户当前的网络安全威胁状况，需要利用一些常用的扫描工具、应用软件以及人工分析的等方式获得客户中重要服务器的各类数据。在扫描之后，将扫描系统获得的报告汇集成为一个当前系统漏洞评估报告，同时根据漏洞情况提供加强网络安全的建议。1.1目的本期安全服务项目，包括安全评估，将在技术层上进行评估，以实现以下安全评估目标：＞识别被评估系统存在的操作系统远程安全漏洞＞识别被评估系统存在的应用系统安全漏洞评估完成后，将进行加固，保障系统安全。1.2范围本次安全评估范围如下：✓6台Windows主机✓2台linux主机✓2台数据库✓2台网络设备✓6台安全设备1.3评估方法利用网络扫描工具、安全评估工具和人工评估工具，检查资产的弱点，从而识别能被入侵者用来非法进入网络的漏洞。生成网络扫描评估报告，提交检测到的漏洞信息，包括位置和详细描述。这样就允许管理员侦测和管理安全风险信息。扫描内容包括：＞系统开放的端口号；＞系统中存在的安全漏洞；＞是否存在弱口令；1.4评估工具选择漏洞扫描工具Nessus安全扫描软件Nessus是一个功能强大而又易于使用的远程安全扫描器，它不仅免费而且更新极快。安全扫描器的功能是对指定网络进行安全检查，找出该网络是否存在有导致对手攻击的安全漏洞。该系统被设计为client/sever模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。在服务端还采用了plug-in的体系，允许用户加入执行特定功能的插件，这插件可以进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口，称之知识库，其中保存了前面进行检查的结果。检查的结果可以HTML、纯文本、LaTeX等几种格式保存。2.人工检查Checklist集合天融信多年的安全服务经验，依据等级保护、sox、PCI法案以及各种安全基线制订的checklist进行安全检查。2资产安全评估总结2.1资产评估对象及方法2.2漏洞严重级别定义本文档将根据安全扫描评估结果进行统计，本项目中，我们对涉及到的风险漏洞级别做如下定义：高风险漏洞漏洞能够使攻击者直接获得系统控制权限，或者绕过防火墙。中风险漏洞漏洞会泄露使攻击者获得系统访问权的信息。低风险漏洞系统泄露的信息会使系统遭到攻击。网络安全风险评估网络拓扑结构说明资金管理系统网络边界部署有2台天融信NGFW4000防火墙，通过配置严格的访问控制策略实现边界防护，外网防火墙采取主－备模式实现设备的冗余部署，有效防止了单点故障。该系统服务器部署在应用安全区和数据库安全区中，服务器区交换机划分两个VLAN,VLAN351和VLAN352，分别连接应用服务器和数据库服务器。资金管理系统使用数字证书作为用户身份的唯一标识，用户在登陆该系统时必须使用usbkey进行登陆，实现了该系统的强身份认证，同时服务器区防火墙设置安全策略，禁止用户直接访问资金管理系统，用户需要通过SSLVPN的认证，认证通过后才能访问该系统。图1资金管理系统拓扑图网络拓扑结构风险分析资金管理系统的网络结构清晰，各个安全域划分明确，网络安全设备均采取双机热备方式进行冗余。但是该系统的安全认证交换机、服务器区交换机无备件，存在单点故障危险，一旦上述设备出现故障将会影响资金管理系统的正常运行。网络与安全设备安全综合分析资产风险合计主机咼风险中风险低风险合计外网防火墙-主(93)0022外网防火墙-备(93)0022内网防火墙-主(29)0022内网防火墙-备(29)0022SSLVPN-主()0022

SSLVPN-备()0022安全认证交换机0112服务器区交换机0213外网防火墙－主(93).1外网防火墙－主(93)配置分类具体配置备注网口信息networkinterfaceeth0ipaddmask52ha-staticnetworkinterfaceethlipaddmask52networkinterfaceeth2ipadd93mask92networkinterfaceeth3ipaddmask92路由信息networkrouteadddst4/26gw53metric1id101networkrouteadddst28/26gw53metrie1id102networkrouteadddst/0gwmetric1id100对象ID8002defineareaaddnamearea_eth0attribute'eth0'accessonvsid0ID8033defineareaaddname接中信国安attribute'eth1'accessonvsid0ID8034defineareaaddname接资金系统统attribute'eth2'accessonvsid0ID8041defineareaaddnamevlan350attribute'eth：'accessonvsid0ID8045definehostaddnameweb1ipaddr'8'vsid0ID8046definehostaddnameweb2ipaddr'9'vsid0ID8047definehostaddnameweb3ipaddr'0'vsid0ID8048definehostaddnameweb4ipaddr'1'vsid0

ID8049definehostaddnameweb5ipaddr'2'vsid0ID8050definehostaddnameweb6ipaddr'3'vsid0ID8051definehostaddname0M_APP1ipaddr'32'vsid0ID8052definehostaddnameOM_APP2ipaddr'33'vsid0ID8053definehostaddnameOM_APP3ipaddr'34'vsid0ID8054definehostaddnameOM_APP4ipaddr'35'vsid0ID8055definehostaddnameOM_APP5ipaddr'36'vsid0ID8056definehostaddnameOM_Task1ipaddr'56'vsid0ID8057definehostaddnameOM_Task2ipaddr'57'vsid0ID8058definehostaddnameOM_Reportipaddr'42'vsid0ID8059definehostaddname建行服务器2ipaddr'9'vsid0ID8060definehostaddname建行服务器3ipaddr'0'vsid0ID8061definehostaddname工行服务器ipaddr''vsid0ID8062definehostaddname农行服务器ipaddr'0'vsid0ID8063definehostaddname中行服务器ipaddr'9'vsid0ID8064definehostaddname建行服务器1ipaddr'8'vsid0ID8068definehostaddname工行转换地址ipaddr'0'vsid0ID8069definehostaddname农行转换地址ipaddr'2'vsid0ID8070definehostaddname中行转换地址ipaddr'3'vsid0ID8071definehostaddname建行转换地址ipaddr'1'vsid0ID8083definehostaddnameVPNipaddr''vsid0ID8084definehostaddnameRA服务器ipaddr'8'vsid0

ID8085definehostaddnameCA服务器ipaddr'1'vsid0ID8093definehostaddname邮件服务器ipaddr'5'vsid0ID8095definehostaddname建行前置机1ipaddr'26'vsid0ID8096definehostaddname建行前置机2ipaddr'27'vsid0ID8100definehostaddnameDSP1ipaddr'96'vsid0ID8101definehostaddname06ipaddr'06'vsid0ID8103definehostaddname数据库服务器1ipaddr'66'vsid0ID8104definehostaddname数据库服务器2ipaddr'68'vsid0ID8105definehostaddname数据库虚地址ipaddr'68'vsid0ID8111definehostaddname防火墙ipaddr'53'vsid0ID8113definehostaddname日志服务器ipaddr'0'vsid0ID8119definehostaddname工行前置机1ipaddr'06'vsid0ID8120definehostaddname工行前置机2ipaddr'07'vsid0ID8121definehostaddname工行前置机3ipaddr'08'vsid0ID8122definehostaddname工行前置机4ipaddr'09'vsid0ID8123definehostaddname工行前置机5ipaddr'10'vsid0ID8124definehostaddname工行前置机6ipaddr'11'vsid0ID8125definehostaddname工行前置机7ipaddr'12'vsid0ID8126definehostaddname工行前置机8ipaddr'13'vsid0ID8127definehostaddname农行前置机1ipaddr'16'vsid0ID8128definehostaddname农行前置机2ipaddr'17'vsid0ID8129definehostaddname农行前置机3ipaddr'18'vsid0

ID8130definehostaddname农行前置机4ipaddr'19'vsid0ID8131definehostaddname中行前置机1ipaddr'38'vsid0ID8132definehostaddname中行前置机2ipaddr'39'vsid0ID8140definehostaddname测试服务器ipaddr'1'vsid0ID8141definehostaddname测试服务器2ipaddr'2'vsid0ID8143definehostaddname6-47ipaddr'67'vsid0ID8146definehostaddnameRAipaddr'8'vsid0ID8147definehostaddnameVPN1ipaddr'9'vsid0ID8150definehostaddname4ipaddr'4'vsid0ID8151definehostaddname3ipaddr'5'vsid0ID8154definehostaddnameDSP1-4ipaddr'96979899'vsid0ID8155definehostaddname3ipaddr'3'vsid0ID8156definehostaddname91ipaddr'91'vsid0ID8161definehostaddname2ipaddr'2'vsid0ID8163definehostaddname1ipaddr'1'vsid0ID8164definehostaddname0ipaddr'0'vsid0ID8167definehostaddnameipaddr''vsid0ID8173definehostaddnameipaddr''vsid0ID8181definehostaddnameDSP198-199ipaddr'9899'vsid0ID8090definesubnetaddnameipaddrmaskvsid0ID8091definesubnetaddnameipaddrmaskvsid0

ID8116definesubnetaddname3.*ipaddrmaskvsid0ID8166definesubnetaddnamesichuanipaddrmaskvsid0ID8179definesubnetaddnameipaddrmaskvsid0ID8180definesubnetaddnameipaddrmaskvsid0ID8001definerangeaddnameanyipip255vsid0ID8072defineserviceaddnameTCP446protocol6port446vsid0ID8074defineserviceaddnameTCP14029protocol6port14029vsid0ID8075defineserviceaddnameTCP14030protocol6port14030vsid0ID8078defineserviceaddnameTCP8721protocol6port8721vsid0ID8079defineserviceaddnameTCP12020protocol6port12020vsid0ID8080defineserviceaddnameTCP12500protocol6port12500vsid0ID8087defineserviceaddnameTCP5656protocol6port5656vsid0ID8088defineserviceaddnameTCP5462protocol6port5462vsid0ID8089defineserviceaddnameTCP5501protocol6port5501vsid0ID8097defineserviceaddnameTCP6800protocol6port6800vsid0ID8115defineserviceaddnametcp443protocol6port443vsid0ID8117defineserviceaddnametcp8088protocol6port8088vsid0ID8133defineserviceaddnametcp8080protocol6port8080vsid0ID8142defineserviceaddnameTCP14031protocol6port14031vsid0ID8157defineserviceaddnameTCP10001protocol6port10001vsid0ID8158defineserviceaddnameTCP1522protocol6port1522vsid0

ID8174defineserviceaddnameTCP8800protocol6port8800vsid0网络地址转换ID8139natpolicyaddorig_src'农行前置机1农行前置机2农行前置机3农行前置机4'orig_dst'农行服务器'trans_src农行转换地址vsid0ID8136natpolicyaddorig_src'工行前置机1工行前置机2工行前置机3工行前置机4工行前置机5工行前置机6工行前置机7工行前置机8'orig_dst'工行服务器’trans_src工行转换地址vsid0ID8137natpolicyaddorig_src'建行前置机1建行前置机2'orig_dst'建行服务器2建行服务器3建行服务器1'trans_src建行转换地址vsid0ID8138natpolicyaddorig_src'中行前置机1中行前置机2'orig_dst'中行服务器’trans_src中行转换地址vsid0访问控制ID8162firewallpolicyaddactionacceptsrc'2'dst'3'group_name临时vsid0ID8169firewallpolicyaddactionacceptsrc'VPN1VPN'dst'any'group_name临时vsid0ID8152firewallpolicyaddactionacceptsrc'3'dst'4'group_name临时vsid0ID8153firewallpolicyaddactionacceptsrc'4'dst'3'group_name临时vsid0ID8144firewallpolicyaddactionacceptdstarea'vlan350接资金系统统'src'6-47'group_name临时vsid0comment'安全评估扫描'ID8106firewallpolicyaddactionacceptsrc''dst'数据库服务器1数据库服务器2数据库虚地址'service'TELNETEPMAP(TCP)MICROSOFT-DS(TCP)SQLNet_1521MSTerminalDNS_Transfer'group_name临时vsid0ID8102firewallpolicyaddactionacceptsrc''dst'web1OM_APP1DSP06'service'EPMAP(TCP)MICROSOFT-DS(TCP)MICROSOFT-DS(UDP)EPMAP(UDP)MSTerminal'group_name临时vsid0ID8114firewallpolicyaddactionacceptsrc''dst'日志服务器测试服务器测

试服务器2'group_name临时vsid0ID8082firewallpolicyaddactionacceptsrc'any'dst'VPNRAVPN1'service'HTTPSPINGSSHtcp8080TELNET'group_name临时vsid0ID8112firewallpolicyaddactionacceptsrc''dst'防火墙'service'PINGSSHHTTPS'group_name临时vsid0ID8073firewallpolicyaddactionacceptsrc'工行前置机1工行前置机2工行前置机3工行前置机4工行前置机5工行前置机6工行前置机7工行前置机8'dst'工行服务器'service'TCP446PING'vsid0ID8076firewallpolicyaddactionacceptsrc'农行前置机1农行前置机2农行前置机3农行前置机4'dst'农行服务器'service'TCP14029TCP14031PING'vsid0ID8077firewallpolicyaddactionacceptsrc'中行前置机1中行前置机2'dst'中行服务器’service'HTTPSPING'vsid0ID8081firewallpolicyaddactionacceptsrc'建行前置机1建行前置机2'dst'建行服务器2建行服务器3建行服务器1'service'TCP8721TCP12020TCP12500PING'vsid0ID8086firewallpolicyaddactionacceptsrc'RA服务器'dst'CA服务器'service'HTTPHTTPSMySQLTCP5656TCP5462TCP5501'vsid0ID8092firewallpolicyaddactionacceptsrc''dst'RA服务器'service'HTTPHTTPSMySQLTCP5656TCP5462TCP5501PING'vsid0ID8094firewallpolicyaddactionacceptsrc'OM_APP1OM_APP2OM_APP3OM_APP4OM_APP5OM_Task1OM_Task2OM_Report'dst'邮件服务器'service'SMTPPOP3'vsid0ID8098firewallpolicyaddactionacceptsrc'建行服务器2建行服务器3建行服务器1'dst'建行前置机1建行前置机2'service'TCP6800'vsid0ID8118firewallpolicyaddactionacceptsrc'VPN'dst'web1web2web3web4web5'service'tcp8088'vsid0ID8165firewallpolicyaddactionacceptsrc'02'dst'any'vsid0ID8176firewallpolicyaddactionacceptsrc'any'dst'02'vsid0

ID8178firewallpolicyaddactionacceptsrc'DSP1-4'dst'any'vsid0ID8182firewallpolicyaddactionacceptsrc''dst'DSP198-199工行前置机7农行前置机3'vsid0ID8110firewallpolicyaddactiondenyvsid0开放服务ID8010pfserviceaddnameguiareaarea_eth0addressnameanyID8011pfserviceaddnamesshareaarea_eth0addressnameanyID8012pfserviceaddnameupdateareaarea_eth0addressnameanyID8013pfserviceaddnamepingareaarea_eth0addressnameanyID8029pfserviceaddnamewebuiareaarea_eth0addressnameanyID8030pfserviceaddnametelnetareaarea_eth0addressnameanyID8035pfserviceaddnamewebuiarea接中信国安addressnameanyID8037pfserviceaddnamepingarea接中信国安addressnameanyID8038pfserviceaddnamepingarea接资金系统统addressnameanyID8042pfserviceaddnamepingareavlan350addressnameanyID8043pfserviceaddnamessharea接中信国安addressnameanyID8145pfserviceaddnametelnetarea接中信国安addressnameany双机热备hamodeashaas-vrid11hagratuitous-arp90halocalhapeer.2外网防火墙－主(93)风险漏洞详细描述本次安全评估针对网络与安全设备主要采取人工检查等方式对该设备安全状况进行了现状调查，通过对该设备配置的分析，该设备的安全基本情况如下所示：1.该设备可以通过Telnet、SSH、HTTPS等多种方式进行远程管理，但是telnet作为一种不安全的管理方式，在网络中明文传输帐户、密码以及设备配置，存在较大的安全风险。该设备的远程IP地址未作严格限定，允许任何IP地址进行远程管理，存在一定的安全隐患。外网防火墙－备(93)参见内网防火墙－主(29).1内网防火墙－主(29)配置分类具体配置备注网口信息networkinterfaceethOipaddmask52ha-staticlabel0networkinterfaceethlipadd53mask92label0networkinterfaceeth2ipadd29mask92label0networkinterfaceeth3ipadd5mask92label0路由信息networkrouteadddst/0gw93metric1id100对象ID8002defineareaaddnamearea_eth0attribute'eth0'accessonvsid0ID8029defineareaaddname上连attribute'eth1'accessonvsid0ID8032defineareaaddnameVLAN351attribute'eth：'accessonvsid0

ID8069defineareaaddnameVLAN352attribute'eth：'accessonvsid0ID8170defineareaaddnameHAattribute'eth4'accessonvsid0ID8037definehostaddname建行前置机3ipaddr'82'vsid0ID8038definehostaddname工行前置机9ipaddr'58'vsid0ID8039definehostaddname中行前置机3ipaddr'97'vsid0ID8040definehostaddname农行前置机5ipaddr'65'vsid0ID8041definehostaddname工行转换地址ipaddr'0'vsid0ID8042definehostaddname农行转换地址ipaddr'2'vsid0ID8043definehostaddname中行转换地址ipaddr'3'vsid0ID8044definehostaddname建行转换地址ipaddr'1'vsid0ID8051definehostaddname工行前置机1ipaddr'50'vsid0ID8052definehostaddname工行前置机2ipaddr'51'vsid0ID8053definehostaddname工行前置机3ipaddr'52'vsid0ID8054definehostaddname工行前置机4ipaddr'53'vsid0ID8055definehostaddname工行前置机5ipaddr'54'vsid0ID8056definehostaddname工行前置机6ipaddr'55'vsid0ID8057definehostaddname工行前置机7ipaddr'56'vsid0ID8058definehostaddname工行前置机8ipaddr'57'vsid0ID8059definehostaddname农行前置机1ipaddr'61'vsid0ID8060definehostaddname农行前置机2ipaddr'62'vsid0ID8061definehostaddname农行前置机3ipaddr'63'vsid0ID8062definehostaddname农行前置机4ipaddr1

'64'vsid0ID8063definehostaddname建行前置机1ipaddr'80'vsid0ID8064definehostaddname建行前置机2ipaddr'81'vsid0ID8065definehostaddname中行前置机1ipaddr'95'vsid0ID8066definehostaddname中行前置机2ipaddr'96'vsid0ID8077definehostaddnameweb1ipaddr'8'vsid0ID8078definehostaddnameweb2ipaddr'9'vsid0ID8079definehostaddnameweb3ipaddr'0'vsid0ID8080definehostaddnameweb4ipaddr'1'vsid0ID8081definehostaddnameweb5ipaddr'2'vsid0ID8082definehostaddnameweb6ipaddr'3'vsid0ID8083definehostaddname0M_APP1ipaddr'32'vsid0ID8084definehostaddnameOM_APP2ipaddr'33'vsid0ID8085definehostaddnameOM_APP3ipaddr'34'vsid0ID8086definehostaddnameOM_APP4ipaddr'35'vsid0ID8087definehostaddnameOM_APP5ipaddr'36'vsid0ID8088definehostaddnameOM_Task1ipaddr'56'vsid0ID8089definehostaddnameOM_Task2ipaddr'57'vsid0ID8090definehostaddnameOM_Reportipaddr'42'vsid0ID8132definehostaddname邮件服务器ipaddr'5'vsid0ID8134definehostaddnameDSP1ipaddr'96'vsid0ID8135definehostaddnameDSP2ipaddr'97'vsid0ID8136definehostaddnameDSP3ipaddr'98

'vsid0ID8137definehostaddnameDSP4ipaddr'99'vsid0ID8140definehostaddnameVPNipaddr''vsid0ID8142definehostaddname数据库服务器1ipaddr'66'vsid0ID8143definehostaddname数据库服务器2ipaddr'67'vsid0ID8144definehostaddname数据库虚地地址ipaddr'68'vsid0ID8146definehostaddname建行服务器1ipaddr'8'vsid0ID8147definehostaddname建行服务器2ipaddr'9'vsid0ID8148definehostaddname建行服务器3ipaddr'0'vsid0ID8149definehostaddname工行服务器ipaddr''vsid0ID8150definehostaddname农行前置机ipaddr'2'vsid0ID8151definehostaddname农行服务器ipaddr'0'vsid0ID8152definehostaddname中行服务器1ipaddr'0'vsid0ID8153definehostaddname中行服务器2ipaddr'1'vsid0ID8156definehostaddname06ipaddr'06'vsid0ID8168definehostaddname6-47ipaddr'67'vsid0ID8155definesubnetaddnameipaddrmaskvsid0ID8001definerangeaddnameanyipip255vsid0ID8091defineserviceaddnametcp8166protocol6portvsid0ID8092defineserviceaddnametcp8167protocol6portvsid0ID8093defineserviceaddnametcp8731protocol6port8731vsid0

ID8094defineserviceaddnametcp8168protocol6portvsid0ID8095defineserviceaddnametcp8169protocol6portvsid0ID8096defineserviceaddnametcp8170protocol6portvsid0ID8097defineserviceaddnametcp8277protocol6portvsid0ID8098defineserviceaddnametcp8278protocol6portvsid0ID8099defineserviceaddnametcp8388protocol6port8388vsid0ID8100defineserviceaddnametcp9166protocol6portvsid0ID8101defineserviceaddnametcp9167protocol6portvsid0ID8102defineserviceaddnametcp9731protocol6port9731vsid0ID8103defineserviceaddnametcp9168protocol6portvsid0ID8104defineserviceaddnametcp9169protocol6portvsid0ID8105defineserviceaddnametcp9170protocol6portvsid0ID8106defineserviceaddnametcp9277protocol6portvsid0ID8107defineserviceaddnametcp9278protocol6portvsid0ID8108defineserviceaddnametcp9388protocol6port9388vsid0ID8109defineserviceaddnametcp6060protocol6port6060vsid0ID8110defineserviceaddnametcp6070protocol6port6070vsid0ID8111defineserviceaddnametcp6080protocol6port6080vsid0ID8112defineserviceaddnametcp6090protocol6port6090vsid0ID8113defineserviceaddnametcp448protocol6portvsid0ID8114defineserviceaddnametcp449protocol6portvsid0ID8115defineserviceaddnametcp8080protocol6port8080vsid0

ID8116defineserviceaddnametcp9000protocol6port9000vsid0ID8117defineserviceaddname建行加密机TCP6800protocol6port6800vsid0ID8118defineserviceaddname工行服务器端口TCP46protocol6port46vsid0ID8119defineserviceaddname建行服务器端口TCP8721protocol6port8721vsid0ID8120defineserviceaddname建行服务器端口TCP12020protocol6port12020vsid0ID8121defineserviceaddname建行服务器端口TCP12500protocol6port12500vsid0ID8122defineserviceaddname农行服务器端口TCP14031protocol6port14031vsid0ID8123defineserviceaddname农行服务器端口TCP14029protocol6port14029vsid0ID8141defineserviceaddnametcp8088protocol6port8088vsid0网络地址转换ID8167natpolicyaddorig_src'0M_APP10M_APP20M_APP3OM_APP4OM_APP5OM_Task1OM_Task2OM_Reportweb1web2web3web4web5web6'orig_dst'DSP1DSP2DSP3DSP4工行前置机1工行前置机2工行前置机3工行前置机4工行前置机5工行前置机6工行前置机7工行前置机8农行前置机1农行前置机2农行前置机3农行前置机4建行前置机1建行前置机2中行前置机1中行前置机2'transsrceth1vsid0访问控制ID8169firewallpolicyaddactionacceptdstarea'VLAN351VLAN352'src'6-47'group_name临时vsid0ID8154firewallpolicyaddactionacceptsrc'VPN'dst'web1web2web3web4web5'service'tcp8088'group_name临时vsid0ID8157firewallpolicyaddactionacceptsrc''dst'web1OM_APP1DSP06'service'EPMAP(TCP)MICROSOFT-DS(TCP)MSTerminal'group_name临时vsid0ID8159firewallpolicyaddactionacceptsrc''dst'数据库服务器1数据库服务器2数据库虚地地址'service'TELNETDNS_TransferEPMAP(TCP)MICROSOFT-DS(TCP)MSTerminal'group_name临时vsid0ID8049firewallpolicyaddactionacceptvsid0ID8128firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'OMAPP5'service

'tcp8731tcp8170'vsid0ID8127firewallpolicyaddactionacceptsrc'weblweb2web3web4web5web6'dst'0M_APP4'service'tcp8731tcp8169'vsid0ID8126firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'OM_APP3'service'tcp8731tcp8168'vsid0ID8125firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'OM_APP2'service'tcp8731tcp9167'vsid0ID8124firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'OM_APP1'service'tcp8166tcp8731'vsid0ID8131firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'0M_Task2'service'tcp8278'vsid0ID8129firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'0M_Task1'service'tcp8277'vsid0ID8130firewallpolicyaddactionacceptsrc'web1web2web3web4web5web6'dst'0M_Report'service'tcp8388'vsid0ID8133firewallpolicyaddactionacceptsrc'OM_APP1OM_APP2OM_APP3OM_APP4OM_APP5OM_Task1OM_Task2OM_Report'dst'邮件服务器’vsid0ID8138firewallpolicyaddactionacceptsrc'OM_APP1OM_APP2OM_APP3OM_APP4OM_APP5OM_Task1OM_Task2OM_Report'dst'DSP1DSP2DSP3DSP4'service'tcp6060tcp6070tcp6080tcp6090PING'vsid0ID8145firewallpolicyaddactionacceptsrc'DSP4'dst'数据库服务器1数据库服务器2数据库虚地地址’service'SQLNet_1521DNS_QueryDNS_Transfer'vsid0ID8160firewallpolicyaddactiondenyvsid0开放服务ID8010pfserviceaddnameguiareaarea_eth0addressnameanyID8011pfserviceaddnamesshareaarea_eth0addressnameanyID8012pfserviceaddnameupdateareaarea_eth0addressnameanyID8013pfserviceaddnamepingareaarea_eth0addressnameanyID8014pfserviceaddnamewebuiareaareaeth0

addressnameanyID8030pfserviceaddnamewebuiarea上连addressnameanyID8031pfserviceaddnamepingarea上连addressnameanyID8033pfserviceaddnamepingareaVLAN351addressnameanyID8034pfserviceaddnamewebuiareaVLAN351addressnameanyID8035pfserviceaddnametelnetarea上连addressnameanyID8036pfserviceaddnametelnetareaVLAN351addressnameanyID8076pfserviceaddnamessharea上连addressnameanyID8161pfserviceaddnamewebuiareaVLAN352addressnameanyID8162pfserviceaddnametelnetareaVLAN352addressnameanyID8163pfserviceaddnamepingareaVLAN352addressnameanyID8171pfserviceaddnametelnetareaHAaddressnameanyID8174pfserviceaddnamesshareaVLAN351addressnameany双机热备hamodeashaas-vrid12hagratuitous-arp90halocalhapeer.2内网防火墙－主(29)风险漏洞详细描述本次安全评估针对网络与安全设备主要采取人工检查等方式对该设备安全状况进行了现状调查，通过对该设备配置的分析，该设备的安全基本情况如下所示：1.该设备可以通过Telnet、SSH、HTTPS等多种方式进行远程管理，但是telnet作为一种不安全的管理方式，在网络中明文传输帐户、密码以及设备配置，存在较大的安全风险。2.该设备的远程IP地址未作严格限定，允许任何IP地址进行远程管理,存在一定的安全隐患。内网防火墙－备(29)该设备的风险漏洞参见2・3・3・5SSLVPN-主()2・3・3・5・1SSLVPN-主()配置分类具体配置备注网口信息networkinterfaceethlipaddmask92label0路由信息networkrouteadddst/0gwmetric1id100probeid0weight1对象ID8002defineareaaddnamearea_eth0attribute'eth0eth1'accessonID8030defineareaaddnamee1attribute'eth1'accessonID8037definehostaddnameipaddr'ID8001definerangeaddnameanyipip255SSLVPNsslvpnportalmodifyid0stylestyle1portal-logoinitplugin-switchyespf-switchyesna-switchnowf-switchnofs-switchnoplugin-installautoshow-certlinknourl-usbkeyNULLiconyescompany-portal-switchyescompany-portal-addresslogin_ssocompany-portal-closenoauth-passwordonauth-certonauth-twofactoroffgidnocustom-authswitchofftwofactor-hide-switchoffloginswitchoffportalswitchoffsslvpnresourceaddname'资金系统管理’modulepfauto_opennoshowyesipurl'/vone/qysso3/:8088/turl==/time.xml/ssourl==/VpnAdmin.aspx'port'80,8088'protocoltcp-customsso_switchnoaddress_hide_switchnosslvpnresourceaddname'资金系统’modulepfauto_opennoshowyesipurl':8088/'port

'80,8088'protocoltcp-httpsso_switchnoaddress_hide_switchnosslvpnresourceaddname'login_sso'modulepfauto_opennoshownoipurl'/vone/qysso3/:8088/turl==/time.xml/ssourl==/default.aspx'port'8088,80'protocoltcp-customsso_switchnoaddress_hide_switchnosslvpnresourceaddname'picc_logout'modulepfauto_opennoshownoipurl'/vone/qysso4/:8088/turl==/time.xml/ssourl==/ats/zh-cn/login.aspx?LogOut二Y'port'8088'protocoltcp-customsso_switchnoaddress_hide_switchnosslvpnresourceaddname'管理资金系统’modulepfauto_opennoshownoipurl':8088/VpnAdmin.aspx'port'8088'protocoltcp-httpsso_switchnoaddress_hide_switchnosslvpnacldefault-actionsetdenysslvpnaclinfoaddres_id0name'资金系统管理acl'week1234567start_time00:00:00end_time23:59:59methodallactionpermitsslvpnaclinfoaddres_id1name'ZIJXT'week123456start_time00:00:00end_time23:59:59methodallactionpermitsslvpnaclinfoaddres_id2name'acl_login'week1234567start_time00:00:00end_time23:59:59actionpermitsslvpnaclinfoaddres_id4name'adminaclshow'week1234567start_time00:00:00end_time23:59:59methodallactionpermitsslvpnpolicyinfoaddname'zj'typeroleacl_id1sslvpnpolicyinfoaddname'zj'typeroleacl_id2sslvpnpolicyinfoaddname'admin'typeroleacl_idsslvpnpolicyinfoaddname'ad