防火墙服务器存储网络安全设备项目实施方案

服务器存储网络安全设备项目实施方案

1项目实施方案

1.1项目实施计划

考虑到xx x与数据库建设项目的工程量、质量与涉及面等因素在此工程实施前必需有严密的进度控制和精心的组织安排。我们根据本方案确定的项目目标以及具体建设要求对建设任务以及工程进度进行综合安排计划具体各个部分的实施可以视工程情况相互协调、齐头并进。

1.2项目任务分解

1.3安装调试、系统集成

1.3.1准备工作

?查看软件版本

1)通过IE浏览器登陆到安全设备,查看当前安全设备的软件版本。

2)通过串口登陆到安全设备后台,查看软件版本。

?产品信息记录

记录下用户安全设备编号作好记录工作

1.3.2实施前注意事项

?查看安全设备重启后能否正常启动

?查看安全设备的console口是否可用

1.3.3配置网络安全设备

1.3.3.1边界防护系统配置

1.要求管理员分级包括超级管理员、安全管理员、 日志管理员等

并定义相应的职责维护相应的文档和记录。

2.防火墙管理人员应定期接受培训。

3.对防火墙管理的限制包括关闭telnet、 http、 ping、 snmp等以及使用SSH而不是telnet远程管理防火墙。

4.账号管理是否安全设置了哪些口令和帐户策略员工辞职如何进行口令变更

5.防火墙配置文件是否备份如何进行配置同步

6.改变防火墙缺省配置。

7.是否有适当的防火墙维护控制程序

8.加固防火墙操作系统并使用防火墙软件的最新稳定版本或补丁确保补丁的

来源可靠。

9.是否对防火墙进行脆弱性评估/测试 随机和定期测试

10.防火墙访问控制规则集是否和防火墙策略一致应该确保访问控制规则集依从防火墙策略如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等 以满足用户安全需求实现安全目标。

11.防火墙访问控制规则是否有次序性是否将常用的访问控制规则放在前面以增加防火墙的性能评估防火墙规则次序的有效性。

12.防火墙访问控制规则集的一般次序为

?反电子欺骗的过滤如阻断私有地址、从外口出现的内部地址

?用户允许规则如允许HTTP到公网Web服务器

?管理允许规则

?拒绝并报警如 向管理员报警可疑通信

?拒绝并记录如记录用于分析的其它通信

防火墙是在第一次匹配的基础上运行 因此按照上述的次序配置防火墙对于确保排除可疑通信是很重要的。

13.

14.

15.防火墙访问控制规则中是否有保护防火墙自身安全的规则防火墙是否配置成能抵抗DoS/DDoS攻击 防火墙是否阻断下述欺骗、私有

RFC1918和非法的地址

?标准的不可路由地址255.255.255.255、 127.0.0.0

?私有RFC1918地址10.0.0.0 – 10.255.255.255、 172.16.0.0 –

172.31. .255.255、 192.168.0.0 – 192.168.255.255

?保留地址224.0.0.0

?非法地址0.0.0.0

16.

17.是否确保外出的过滤 确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则并确保任何源IP不是内部网的通信被记录。

18.

19.是否执行NAT配置是否适当 任何和外网有信息交流的机器都必须经过地址转换NAT才允许访问外网 同样外网的机器要访问内部机器也只能是其经过NAT后的IP 以保证系统的内部地址、配置和有关

的设计信息如拓扑结构等不能泄露到不可信的外网中去。

20.

21.

毒等。

22.

23.

映射。 在适当的地方防火墙是否有下面的控制 如 URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病防火墙是否支持“拒绝所有服务除非明确允许”的策略 根据泸州市地质灾害监测预警系统的需求配置系统所需对外开放的端口

1.3.3.2审计监控

1.具有特权访问防火墙的人员的活动是否鉴别、监控和检查

对防火墙的管理人员的活动防火墙应该有记录并要求记录不能修改 以明确责任 同时能检查对防火墙的变化。

2.通过防火墙的通信活动是否日志在适当的地方是否有监控和响应任何不适当的活动的程序

确保防火墙能够日志并标识、配置日志主机确保日志安全传输。管理员通过检查日志来识别可能显示攻击的任何潜在模式使用审计日志可以监控破坏安全策略的进入服务、外出服务和尝试访问。

3.是否精确设置并维护防火墙时间

配置防火墙使得在日志记录中包括时间信息。精确设置防火墙的时间使得管理员追踪网络攻击更准确。

4.是否按照策略检查、回顾及定期存档日志并存储在安全介质上

确保对防火墙日志进行定期存储并检查产生防火墙报告为管理人员提供必需的信息以帮助分析防火墙的活动并为管理部门提供防火墙效率情况。

5.重大事件或活动是否设置报警是否有对可以攻击的响应程序

6.如适当设置入侵检测功能或者配合使用I DS 入侵检测系统以防止某些类型的攻击或预防未知的攻击。

7.是否有灾难恢复计划恢复是否测试过

8.评估备份和恢复程序包括持续性的适当性考虑对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。

1.3.3.3交换机

1.交换机配置文件是否离线保存、注释、保密、有限访问并保持与运行配置同步

2.是否在交换机上运行最新的稳定的IOS版本

3.是否定期检查交换机的安全性特别在改变重要配置之后。

4.是否限制交换机的物理访问仅允许授权人员才可以访问交换机。

5.VLAN 1中不允许引入用户数据只能用于交换机内部通讯。

6.考虑使用PVLAN s隔离一个VLA N中的主机。

7.考虑设置交换机的Security Banner 陈述“未授权的访问是被禁止的”。

8.是否关闭交换机上不必要的服务包括TCP和UDP小服务、CDP、

finger等。

9.必需的服务打开是否安全地配置这些服务 。

10.保护管理接口的安全

11. shutdown所有不用的端口。并将所有未用端口设置为第3层连接的vlan。

12.加强con、 aux、 vty等端口的安全。

13.将密码加密并使用用户的方式登陆。

14.使用SSH代替Telnet并设置强壮口令。无法避免Telnet时是否为Telnet的使用设置了一些限制

15.采用带外方式管理交换机。如果带外管理不可行那么应该为带内管理指定一个独立的V LA N号。

16.设置会话超时并配置特权等级。

17.使HTTP server失效即不使用Web浏览器配置和管理交换机。

18.如果使用SNMP建议使用SNMPv2并使用强壮的SNMPcommunitystrings。或者不使用时使SNMP失效。

19.实现端口安全以限定基于MAC地址的访问。使端口的auto-trunking失效。

20.使用交换机的端口映像功能用于IDS的接入。

21.使不用的交换机端口失效并在不使用时为它们分配一个V LA N号。

22.为TRUNK端口分配一个没有被任何其他端口使用的nativeVLAN号。

23.限制VLAN能够通过TRUNK传输 除了那些确实是必需的。

24.使用静态V LA N配置。

25.如果可能使VTP失效。否则为VTP设置管理域、口令和pruning。然后设置

VTP为透明模式。

26.在适当的地方使用访问控制列表。

27.打开logging功能并发送日志到专用的安全的日志主机。

28.配置logging使得包括准确的时间信息使用NTP和时间戳。

29.依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。

30.为本地的和远程的访问交换机使用AAA特性。

1.3.3.4入侵检测

1.配置I DS产品安全策略

策略包括需要保护对象的优先顺序、规定谁可以对I DS产品进行配置管理、以及根据操作系统、应用服务或部署位置等来制定的I DS检测策略。

2.定期维护IDS安全策略

IDS的安全策略应该是活动的 当环境发生变化时安全策略应该改变并应该通知相关人员。

3.将IDS产品传感器和管理器放置在一个环境安全且可控的区域以保证IDS产品的物理安全

4.安全地配置装有IDS的主机系统

5. IDS配置文件离线保存、注释、有限访问并保持与运行配置同步。

6.使用I DS产品的最新稳定版本或补丁。

7.保持I DS产品的最新的签名数据库。

8.定期检查IDS产品自身的安全性特别在改变重要配置之后。

9.对管理用户进行权限分级并对用户进行鉴别。

要求不同权限级别的用户应该具有相应的技术能力掌握信息安全知识及非技术能力责任心、管理能力、分析能力等。

10. 口令配置安全

例如使用难以猜测的口令、限制知晓范围、重要员工辞职时更换口令。 11.

12.精确设置并维护I DS时间生产系统变更窗口。在发生报警时能进行快速响应

对于报警事件应该首先进行分析判断事件是攻击事件还是正常事件然后对

攻击事件进行处理。

13.当非法入侵行为时有相应的处理措施

1.3.3.5安全隔离与信息交换系统

1、控制台安装硬件环境

?586或更高型号的PC计算机或其兼容机

?128M或更高容量的内存

?光盘驱动器

?100M以上剩余硬盘空间。

2、控制台安装软件环境

管理控制台安装包支持以下操作系统WindowsXP、Windows 2003Server 、Windows7推荐使用Windows XP。

3、控制台软件安装

运行安装光盘下的安装包文件依默认配置即可安装控制台软件。

4、启动

在正确安装天融信安全隔离与信息交换系统并确保各种线缆正确连接之后开始使用天融信安全隔离与信息交换系统。本系统的所有管理、配置、监控工作均在控制台完成双击桌面“TopRules-控制台”图标即可运行控制台程序您也可通过点击“开始/程序/天融信安全隔离与信息交换系统控制台/TopRules-控制台”运行控制台程序。

5、设置设备工作模式

安全隔离与信息交换系统设备的工作模式可设置为三种透明模式、代理模式、路由模式。下面以常用的代理模式进行调试

当设备工作为代理模式时客户端比较容易理解隔离设备的工作原理即代理。这时的客户端需要将与服务器通信的内容全部改由隔离设备的IP来进行通信在客户端看来服务器的IP已经不可见客户端只需要把隔离设备的内、外端机的IP作为其目标服务器即可。比如允许内网客户端

192.168.1.1访问外网服务器10.10.10.1这时需要给隔离设备分配两个可以与该网段通信的IP如在内端机分配192.168.1.2外端机分配10.10.10.2。这时内网客户端需要访问外网服务器的WEB应用时 只需要访问 即可。因为在代理模式时隔离设备会非常形象的代理客户端与服务器进行会话。

客户端是192.168.0.18服务端有两个分别为192.168.1.100和