防火墙安全配置指南

_

防火墙安全配置指南_________________________________

目 录

第1章 概述 5
1.1. 目的 5
1.2. 范围 5
1.3. 参考文档 5
第2章 PIX安全配置 6
2.1. 版本升级 6
2.2. SNMP相关 6
2.2.1. 禁止snmp community public 6
2.2.2. 禁止snmp community private 6
2.2.3. 指定接收trap的服务器 7
2.3. 访问控制 7
2.3.1. 禁止http方式远程维护 7
2.3.2. 指定HTTP方式管理地址 7
2.3.3. 设置telnet或ssh登录密码 8
2.3.4. 设置enable密码 8
2.3.5. 禁止使用telnet 8
2.3.6. 设置SSH会话超时 9
2.3.7. 设置SSH访问地址 9
2.4. 日志 9
2.4.1. 开启日志 9
2.4.2. 设置远程日志 10
2.4.3. 设置日志的时间戳 10
2.4.4. 配置日志级别 10
2.4.5. 配置日志消息的重要级别 10
2.5. 服务控制 11
2.5.1. 禁用dhcp服务 11
2.6. 攻击保护 11
2.6.1. flood保护 11
第3章 NOKIA安全配置 12
3.1. 版本升级 12
3.2. SNMP相关 12
3.2.1. 设置特定的read-only字符串 12
3.2.2. 设置特定的read-write字符串 12
3.3. 访问控制 13
3.3.1. 禁止telnet 13
3.3.2. 禁止HTTP方式CLI 13
3.3.3. 禁止voyage方式管理 13
3.3.4. 禁止ftp 14
3.3.5. 使用SSH远程管理 14
3.3.6. web登录采用SSL方式 14
3.4. 日志 15
3.4.1. 设置远程日志服务器 15
3.5. 服务 16
3.5.1. 关闭小服务 16
第4章 LINKTRUST IDS 16
4.1. 版本升级 16
4.2. 控制台安全 17
4.3. IDS特征库更新 17
附录 PIX SSH配置 17

第1章 概述
1.1. 目的
规范防火墙的安全配置，提高防火墙自身的安全性，从而更好的保障网络通信的安全
1.2. 范围
所有PIX与Nokia防火墙
1.3. 参考文档
《PIX checklist》
《Nokia checklist》

第2章 PIX安全配置
2.1. 版本升级
 描述
PIX防火墙本身可能包含安全缺陷，可能被攻击者利用
 风险
高，必须考虑补丁对系统的影响
 操作
关注厂商有关产品漏洞发布情况，弥补产品缺陷或对产品进行升级
2.2. SNMP相关
2.2.1. 禁止snmp community public
 描述
snmp允许远程获取设备的数据，就版本的snmp没有对community-string采用加密传输，如果没有使用的话可以禁止
 风险
无
 操作
pix(config)no snmp-server community public
2.2.2. 禁止snmp community private
 描述
snmp允许远程获取设备的数据，就版本的snmp没有对community-string采用加密传输，如果没有使用的话可以禁止
 风险
无
 操作
pix(config)no snmp-server community public
2.2.3. 指定接收trap的服务器
 描述
如果没有指定snmp管理地址，任何系统只要知道community都可以收集PIX系统的信息
 风险
无
 操作
snmp-server host [ip] trap|poll […]
2.3. 访问控制
2.3.1. 禁止http方式远程维护
 描述
基于http方式的远程管理可以提供直观的配置，并且通过SSL连接，但是基本验证方式还是用户名与密码，容易带来安全隐患
 风险
低，无法通过web进行远程维护
 操作
pix(config)# no http server enable
2.3.2. 指定HTTP方式管理地址
 描述
定义能够使用web方式管理的IP地址段，缺省是192.168.1.0/24
 风险
无
 操作
pix(config)#pdm location [ipaddres] [netmask] [if]
2.3.3. 设置telnet或ssh登录密码
 描述
默认的telnet或ssh登录的密码是cisco,容易猜解
 风险
无
 操作
pix(config)#passwd 1111
2.3.4. 设置enable密码
 描述
enable控制能够进入配置权限的密码
 风险
无
 操作
pix(config)#enable passwd 1111
2.3.5. 禁止使用telnet
 描述
telnet采用明文传输的方式，容易被窃听导致泄漏密码或其他敏感信息
 风险
低，必须保证SSH开启
 操作
pix(config)#clear telnet
2.3.6. 设置SSH会话超时
 描述
绘画超时可以防止偶然的被他人使用配置
 风险
无
 操作
pix(config)#ssh timeout 10(1-60分钟)
2.3.7. 设置SSH访问地址
 描述
设置授权的可管理地址可以减少匿名登陆的可能，默认地址氏是192.168.1.0/24
 风险
无
 操作
pix(config)#ssh [ip] [netmask] [if]
2.4. 日志
2.4.1. 开启日志
 描述
开启日志可以捕获安全或配置相关的事件
 风险
无
 操作
logging on
2.4.2. 设置远程日志
 描述
发送远程日志可以便于日志的集中管理，同时还可以保证日志的备份
 风险
低，必须测试对性能的影响
 操作
logging host [if] [ip]
2.4.3. 设置日志的时间戳
 描述
通过时间我们可以有效的追踪攻击时间
 风险
无
 操作
logging timestamp
2.4.4. 配置日志级别
 描述
定义产生日志信息的类别，有时候我们只关心某类信息
 风险
无
 操作
logging facility [20]
2.4.5. 配置日志消息的重要级别
 描述
日志消息的严重级别包含从debug到critical级别的消息，有时候我们对debug消息可能不感兴趣
 风险
无
 操作
logging trap debug|7
2.5. 服务控制
2.5.1. 禁用dhcp服务
 描述
DHCP服务可能导致DoS攻击，产品防火墙应该禁用
 风险
低，不能提供DHCP服务
 操作
clear dhcpd
2.6. 攻击保护
2.6.1. flood保护
 描述
开启flood保护可以保护未授权的系统发起的洪水攻击
 风险
无
 操作
floodguard enable
第3章 Nokia安全配置
3.1. 版本升级
 描述
Nokia防火墙本身可能包含安全缺陷，可能被攻击者利用
 风险
高，必须考虑补丁对系统的影响
 操作
关注厂商有关产品漏洞发布情况，弥补产品缺陷或对产品进行升级
3.2. SNMP相关
3.2.1. 设置特定的read-only字符串
 描述
默认Nokia的snmp read-only字符串为public,任何人都可以查看防火墙信息
 风险
无
 操作
config->SNMP,设置”READ-ONLY COMMUNITY STRING”为不易猜解的字符串
3.2.2. 设置特定的read-write字符串
 描述
read-write字符串允许远程修改防火墙配置参数
 风险
无
 操作
config->SNMP,设置”READ-WRITE COMMUNITY STRING”为不易猜解的字符串
3.3. 访问控制
3.3.1. 禁止telnet
 描述
telnet采用明文传输的方式，容易被窃听导致泄漏密码或其他敏感信息
 风险
低，必须开启SSH
 操作
config->Network access and services->”allow telnet access”,选择No
3.3.2. 禁止HTTP方式CLI
 描述
HTTP方式的CLI允许通过HTTP协议进行CLI操作，HTTP协议属于非加密协议，可能遭受嗅探攻击
 风险
低，无法通过HTTP远程管理
 操作
config->Network access and services->”allow cli over http”,选择No
3.3.3. 禁止voyage方式管理
 描述
默认Nokia允许远程通过voyage管理防火墙，同时给攻击者提供了入口
 风险
低，无法适用voyage进行管理
 操作
config->voyage web access->”allow voyage web access”.选择No
3.3.4. 禁止ftp
 描述
ftp允许远程传输文件，可能会带来安全隐患，如果没有使用建议关闭
 风险
低，无法传输文件
 操作
config->Network access and services->”allow ftp access”,选择No
3.3.5. 使用SSH远程管理
 描述
SSH采用加密方式传输数据
 风险
无
 操作
1) config->”security and access configuration”->Secure Shell(SSH)->Enable/Disable SSH Service,选择Enable
2) config->”security and access configuration”->Secure Shell(SSH)->permit admin user to login,选择No(不允许admin远程登陆)
3) config->”security and access configuration”->configure server protocol details,选择2
4) config->”security and access configuration”->generate new rsa v2 host key
3.3.6. web登录采用SSL方式
 描述
使用未加密的HTTP访问防火墙可能会导致敏感信息如口令被窃听
 风险
无
 操作
1) 启用SSL
config->security and access->voyager access->encryption-level，选择40bit key or stronger
2) 生成证书与私钥
config->security and access configuration->certificate tool,选择”private key size”为1024，输入passphrase,接下来是输入其他相关信息，重要是输入COMMON NAME,必须输入完整的域名
选择” GENERATE AN X.509 CERTIFICATE SIGNING REQUEST (CSR)”与” GENERATE A SELF-SIGNED X.509 CERTIFICATE”
3) 点击generate
4) 安装证书与私钥
config->security and access->voyager access->configure ssl certifacate,拷贝-----BEGIN CERTIFICATE ----- and ----到END CERTIFICATE -----，输入New server certicate;拷贝-----BEGIN RSA PRIVATE KEY----- and ----
-END RSA PRIVATE KEY-----.到associated private key中
3.4. 日志
3.4.1. 设置远程日志服务器
 描述
发送远程日志可以便于日志的集中管理，同时还可以保证日志的备份
 风险
低，必须测试对性能的影响
 操作
1) 设置日志服务器地址
config->system configuration->system logging,输入远程日志服务器的IP地址
2) 设置日志级别
config->system configuration->system logging->added security level,输入最低级别的日志类型，建议选择notice
3.5. 服务
3.5.1. 关闭小服务
 描述
echo discard chargen daytime time等tcp小服务可能会带来一定安全隐患，如果没有使用建议关闭
 风险
无
 操作
config->serucity and access configuration->network access and services->”Enable Echo Services”,选择No

第4章 LinkTrust IDS
4.1. 版本升级
 描述
IDS控制台或传感器本身可能包含安全缺陷，可能被攻击者利用
 风险

 操作
关注厂商有关产品漏洞发布情况，弥补产品缺陷或对产品进行升级
4.2. 控制台安全
 描述
LinkTurst IDS控制台为普通windows程序，通过控制台可以对传感器进行配置
 风险
无
 操作
控制台所在的windows系统必须经过安全加固，如果有可能限制可连接的IP地址
4.3. IDS特征库更新
 描述
网络攻击行为日益增多，IDS需要经常更新特征库以保证防范最新的攻击
 风险
无
 操作
工具->导入策略，导入厂商提供的IDS特征库

附录 PIX SSH配置
Hostname pix-fw
Domain-name example.gov
Ca generate rsa key 1024
Ca save all
Ssh 10.1.1.1 255.255.255.255 inside
Ssh timeout 9