YD/T 2699-2014
基本信息
标准号: YD/T 2699-2014
中文名称:电信网和互联网安全防护基线配置要求及检测要求安全设备
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2699-2014.Baseline requirements of security configuration fortelecom network and internetsecurity equipment.
1范围
YD/T 2699规定了防火墙和入侵检测设备在安全配置方面的基本要求及参考操作。
YD/T 2699适用于安全防护体系中使用防火墙和入侵检测设备的所有安全防护等级的网络和系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1728-2008《电信网和互联网安全防护管理指南》
YD/T 1729-2008《电信网和互联网安全等级保护实施指南》
YD/T 1730-2008《电信网和互联网安全风险评估实施指南》
YD/T 1731-2008《电信网和互联网灾难备份及恢复实施指南》
YD/T 1478-2006《电信管理网安全技术要求》
YD/T 1756-2008《电信网和互联网管理安全等级保护要求》
3缩略语
下列缩略语适用于本文件。
AC LAccess Control List 访问控制列表
DoS Denial of Service 拒绝服务
DDoS Distributed Denial of Service 分布式拒绝服务攻击
FTP File Transfer Protocol 文件传输协议
HTTP Hypertext transfer protocol 超文本传输协议
HTTP SHypertext Transfer Protocol over Secure Socket Layer 超文本传输安全协议
IP Internet Protocol 网络互联协议
NAT Network Address Translation 网络地址转换
NTP Network Time Protocol 网络时间协议
1范围
YD/T 2699规定了防火墙和入侵检测设备在安全配置方面的基本要求及参考操作。
YD/T 2699适用于安全防护体系中使用防火墙和入侵检测设备的所有安全防护等级的网络和系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1728-2008《电信网和互联网安全防护管理指南》
YD/T 1729-2008《电信网和互联网安全等级保护实施指南》
YD/T 1730-2008《电信网和互联网安全风险评估实施指南》
YD/T 1731-2008《电信网和互联网灾难备份及恢复实施指南》
YD/T 1478-2006《电信管理网安全技术要求》
YD/T 1756-2008《电信网和互联网管理安全等级保护要求》
3缩略语
下列缩略语适用于本文件。
AC LAccess Control List 访问控制列表
DoS Denial of Service 拒绝服务
DDoS Distributed Denial of Service 分布式拒绝服务攻击
FTP File Transfer Protocol 文件传输协议
HTTP Hypertext transfer protocol 超文本传输协议
HTTP SHypertext Transfer Protocol over Secure Socket Layer 超文本传输安全协议
IP Internet Protocol 网络互联协议
NAT Network Address Translation 网络地址转换
NTP Network Time Protocol 网络时间协议
标准图片预览
标准内容
ICS33.040.40
中华人民共和国通信行业标准
YD/T2699-2014
电信网和互联网安全防护基线
配置要求及检测要求
安全设备
Baseline requirements of security configuration fortelecomnetworkandinternet
securityequipment
2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前
2规范性引用文件
3缩略语·
安全设备安全防护基线配置要求及检测要求4
4.1防火墙设备安全防护基线配置要求及检测要求4.2入侵检测设备安全防护基线配置要求及检测要求YD/T2699-2014
YD/T2699-2014
本标准是“电信网和互联网安全防护体系”系列标准之一,该系列标准的结构及名称预计如下:1.
《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《固定通信网安全防护要求》
《移动通信网安全防护要求》
《互联网安全防护要求》
《增值业务网消息网安全防护要求》《增值业务网一智能网安全防护要求》《接入网安全防护要求》
《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.《固定通信网安全防护检测要求》20.《移动通信网安全防护检测要求》21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》II
33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37。《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40。《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《户个人电子信息保护通用技术要求和管理要求》50.《电信和互联网数据中心安全防护要求》51.《互联网数据中心安全防护检测要求》52.《移动互联网联网应用安全防护要求》53.《移动互联网联网应用安全防护检测要求》54.《公众无线局域网安全防护要求》55.《公众无线局域网安全防护检测要求》56.《电信网和互联网安全防护基线配置要求及检测要求网络设备》57。《电信网和互联网安全防护基线配置要求及检测要求安全设备》(本标准)58.《电信网和互联网安全防护基线配置要求及检测要求操作系统》59.《电信网和互联网安全防护基线配置要求及检测要求数据库》60.《电信网和互联网安全防护基线配置要求及检测要求中间件》61.《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》62.《电信和互联网用互联网用户个人电子信息保护检测要求》YD/T2699-2014
本标准与YD/T2698-2014《电信网和互联网安全防护基线配置要求及检测要求网络设备》、YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求操作系统》、YD/T2702-2014《电信网和互联网安全防护基线配置要求及检测要求中间件》、YD/T2703-2014《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》、YD/T2700-2014《电信网和互联网安全防护基线配置要求及检测要求数据库》配套使用。
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。I
YD/T2699-2014
本标准由中国通信标准化协会提出并归口。本标准起草单位:中国联合网络通信集团有限公司、工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、华为技术有限公司、杭州华三通信技术有限公司、北京神州绿盟信息安全科技股份有限公司、启明星辰信息技术有限公司。本标准主要起草人:张尼、李正、刘镝、魏薇、陈军、曹一生、樊洞阳、徐刚、唐俊飞、王益民。
1范围
YD/T2699-2014
电信网和互联网安全防护基线配置要求及检测要求安全设备
本标准规定了防火墙和入侵检测设备在安全配置方面的基本要求及参考操作。本标准适用于安全防护体系中使用防火墙和入侵检测设备的所有安全防护等级的网络和系统。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件:其最新版本(包括所有的修改单)适用于本文件。YD/T1728-2008
YD/T1729-2008
YD/T1730-2008
YD/T1731-2008
YD/T1478-2006
YD/T1756-2008
缩略语
《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《电信管理网安全技术要求》
《电信网和互联网管理安全等级保护要求》下列缩略语适用于本文件。
RADIUS
TACACS
Access Control List
Denial of Service
Distributed Denial of ServiceFile Transfer Protocol
Hypertext transfer protocol
HypertextTransferProtocol overSecureSocket LayerInternet Protocol
Network Address Translation
Network Time Protocol
Post Office Protocol3
Remote Authentication Dial In User ServiceSimple Mail Transfer ProtocolSimpleNetworkManagementProtocolSecure Shell
TerminalAccessControllerAccess-ControlSystemTransmission Control ProtocolUserDatagram Protocol
Virtual Private Network
访问控制列表
拒绝服务
分布式拒绝服务攻击
文件传输协议
超文本传输协议
超文本传输安全协议
网络互联协议
网络地址转换
网络时间协议
邮局协议
远程用户拨号认证系统
简单邮件传输协议
简单网络管理协议
安全壳协议
终端访问控制器访问控制系统
传输控制协议
用户数据包协议
虚拟专用网络
YD/T2699-2014
4安全设备安全防护基线配置要求及检测要求4.1防火墙设备安全防护基线配置要求及检测要求4.1.1总体要求
电信网和互联网的防火墙设备的安全防护基线配置及检测应满足账号口令、日志,安全策略、攻击防护与告警和其他安全等五个方面的要求,具体配置操作及检测方法应结合具体设备。总体要求主要包括:
a)账号口令
1)应按照用户分配账号,不同等级管理员应分配不同账号,避免账号混用,避免不同用户间共享账号,避免用户账号和设备间通信使用账号共享。2)应删除或锁定与设备运行、维护等工作无关的账号。3)对于具备字符交互界面的设备,应配置定时账号自动登出。4)对于具备图形界面(含Web界面)的设备,应配置定时自动屏幕锁定。5)口令长度应至少8位,并包括数字、小写字母、大写字母、标点和特殊符号4类中至少3类,且与账号无相关性;同时应定期更换口令,更换周期不大于90天。6)在设备权限配置能力内,应根据用户的业务需要,配置其所需的最小权限。b)日志
1)应配置日志功能,对用户登录进行记录。并记录用户对设备的操作。2)应配置日志功能,对管理员操作进行记录,并记录相关的安全事件。3)应配置远程日志功能,将日志内容传输到日志服务器。4)应配置NAT日志记录功能,记录转换前后IP地址及端口的对应关系。5)应配置VPN日志记录功能,记录VPN访问登录、退出等信息。6)应配置流量日志记录功能,记录通过防火墙的网络连接的信息。7)应配置防火墙规则,记录防火墙拒绝和丢弃报文的白志。8)应配置日志容量告警阈值,在日志数达到日志容量的75%时产生告警。9)应对管理服务器的日志文件大小和转存进行设置,并保护系统磁盘空间。c)安全策略
1)在配置访问规则列表时,最后一条应是拒绝一切流量。源地址、目的地址、服务或端口的范围应以实际访问需求为前提,尽可能地缩小范围。对于访问规则的排列,应遵从范围由小到大的排列规则,并按照一定的规则进行分组。
2)应设定对防火墙的保护安全规则,只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从局域网的主机直接到公共网的访问规则。3)对于VPN用户,应按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
4)应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤功能,过滤所有和业务不相关的流量。5)应配置关键字内容过滤功能,在HTTP、SMTP、POP3等应用协议流量过滤包含有设定的关键字的报文。
6)对于使用IP协议进行远程维护的设备,应配置使用SSH、HTTPS等加密协议。7)应配置NAT地址转换,对公共网隐藏局域网主机的实际地址。8)应隐藏字符管理界面的bannner信息。9)在进行重大配置修改前,应对当前配置进行备份。d)攻击防护与告警
1)对于防火墙的各逻辑接口,应配置防源地址欺骗功能。YD/T2699-2014
2)应配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或服务的访问,或者关闭常见系统漏洞对应的端口。
3)应配置DOS和DDOS的攻击防护功能,对DOS和DDOS的攻击告警。DDOS攻击的告警参数可由维护人员根据网络环境进行调整,维护人员可通过设置白名单方式屏蔽部分告警。4)应配置扫描攻击检测功能,对扫描探测告警。扫描攻击的告警参数可由维护人员根据网络环境进行调整,维护人员可通过设置白名单方式屏蔽部分网络扫描告警。5)应配置设备畸形包攻击检测防护功能。6)应配置告警功能,报告对防火墙本身的攻击或者防火墙系统的内部错误。7)应配置告警功能,报告网络流量中对TCP/IP网络层异常报文攻击的相关告警。8)应限制ping包的大小,以及一段时间内同一主机发送的次数。e)其他安全
1)应关闭非必要的服务
2)对于局域网地址,应关闭对ping包的回应功能。建议通过VPN隧道获得局域网地址,从局域网进行远程管理。如网管系统需要开放,可不考虑。3)应对防火墙的管理地址做源地址限制。对于登录账户的IP地址,应配置只允许从某些IP地址登录。可以使用防火墙自身的限定功能,也可以在防火墙管理口的接入设备上设置ACL。4)应配置SNMP监控,使用SNMPV3以上的版本对防火墙做远程管理,去除SNMP默认的共同体名(CommunityName)和用户名,并且不同的用户名和共同体明对应不同的权限(只读或者读写)。5)防火墙的系统和软件版本应处于厂家维护期,并且维护人员应定期对防火墙版本进行升级或打补丁操作。如防火墙系统厂家已不再维护,应及时更新版本或者撤换。6)应设定统一的时钟源。
YD/T2699-2014
Cisco防火墙
编号:SE-Cisco-日志-01
要求内容:
应开启记录NAT日志,记录转换前后IP地址的对应关系操作指南:
1.参考配置操作:
启动日志记录。
hostname(config)# logging enablehostname(config)#logginghostinterface_namesyslog_iphostname(config)# logging trap 6hostname(config)# logging buffered补充操作说明:
在启动日志记录的情况下,PIX会记录NAT的日志,无需额外配置检测方法:
使用showlogging检查。
hostname(config)#loggingenablehostname(config)# show loggingSyslog logging: enabled
Facility:20
Timestamp logging: disabled
Standby logging:disabled
Deny Conn when Queue Full: disabledConsole logging: disabled
Monitor logging:disabled
Buffer logging: disabled
Trap logging: disabled
History logging:disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: disabled
判定条件:
检查配置中的loggig相关配置
补充说明:
编号:SE-Cisco-日志-02
要求内容:
应开启记录VPN日志,记录VPN访问登录、退出等信息操作指南:
1.参考配置操作:
hostname(config)#loggingenablehostname(config)logging host interface_name syslog iphostname(config)#loggingtrap6hostname(config)#loggingbuffered62.补充操作说明:
在启动日志记录的情况下,PIX会记录VPN的日志,无需额外配置检测方法:
使用showlogging检查。
hostname(config)#loggingenablehostname(config)# show loggingSyslog logging: enabled
Facility:20
Timestamp logging:disabled
Standby logging: disabled
DenyConnwhenQueueFull:disabledConsole logging:disabled
Monitor logging:disabled
Buffer logging: disabled
Trap logging: disabled
History logging: disabledwww.bzxz.net
Device ID: disabled
Mail logging: disabled
ASDM logging: disabled
判定条件:
检查配置中的loggig相关配置
补充说明:
YD/T2699-2014
YD/T2699-2014
编号:SE-Cisco-日志-03
要求内容:
应配置记录流量日志,记录通过防火墙的网络连接的信息操作指南:
参考配置操作:
PIX防火墙上无流量日志
网络连接日志通过只需要启动日志记录。hostname(config)# logging enablehostname(config)#logging host interface_name syslog_iphostname(config)# logging trap6hostname(config)#loggingbuffered6补充操作说明:
可以通过showconnlong来检查连接情况检测方法:
使用showlogging检查。
hostname(config)#loggingenablehostname(config)# show loggingSyslog logging: enabled
Facility:20
Timestamp logging:disabled
Standby logging: disabled
DenyConnwhenQueueFull:disabledConsole logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: disabled
History logging: disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: disabled
判定条件:
检查配置中的loggig相关配置
补充说明:
编号:SE-Cisco-日志-04
要求内容:
应配置防火墙规则,记录防火墙拒绝和丢弃报文的日志操作指南:
YD/T2699-2014
PIx防火墙自动将在访问控制列表(access-list)中拒绝(deny)的数据包生成syslog信息。只需要启动日志记录。
hostname(config)#loggingenablehostname(config)#logging host interface_name syslog_iphostname(config)# logging trap 6hostname(config)#loggingbuffered6检测方法:
使用showlogging检查。
hostname(config)#loggingenablehostname(config)#showloggingSyslog logging: enabled
Facility:20
Timestamp logging: disabled
Standby logging: disabled
DenyConn whenQueueFull:disabledConsole logging:disabled
Monitor logging:disabled
Buffer logging: disabled
Trap logging: disabled
History logging: disabled
Device ID: disabled
Mail logging:disabled
ASDMlogging:disabled
判定条件:
检查配置中的loggig相关配置
补充说明:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2699-2014
电信网和互联网安全防护基线
配置要求及检测要求
安全设备
Baseline requirements of security configuration fortelecomnetworkandinternet
securityequipment
2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前
2规范性引用文件
3缩略语·
安全设备安全防护基线配置要求及检测要求4
4.1防火墙设备安全防护基线配置要求及检测要求4.2入侵检测设备安全防护基线配置要求及检测要求YD/T2699-2014
YD/T2699-2014
本标准是“电信网和互联网安全防护体系”系列标准之一,该系列标准的结构及名称预计如下:1.
《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《固定通信网安全防护要求》
《移动通信网安全防护要求》
《互联网安全防护要求》
《增值业务网消息网安全防护要求》《增值业务网一智能网安全防护要求》《接入网安全防护要求》
《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.《固定通信网安全防护检测要求》20.《移动通信网安全防护检测要求》21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》II
33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37。《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40。《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《户个人电子信息保护通用技术要求和管理要求》50.《电信和互联网数据中心安全防护要求》51.《互联网数据中心安全防护检测要求》52.《移动互联网联网应用安全防护要求》53.《移动互联网联网应用安全防护检测要求》54.《公众无线局域网安全防护要求》55.《公众无线局域网安全防护检测要求》56.《电信网和互联网安全防护基线配置要求及检测要求网络设备》57。《电信网和互联网安全防护基线配置要求及检测要求安全设备》(本标准)58.《电信网和互联网安全防护基线配置要求及检测要求操作系统》59.《电信网和互联网安全防护基线配置要求及检测要求数据库》60.《电信网和互联网安全防护基线配置要求及检测要求中间件》61.《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》62.《电信和互联网用互联网用户个人电子信息保护检测要求》YD/T2699-2014
本标准与YD/T2698-2014《电信网和互联网安全防护基线配置要求及检测要求网络设备》、YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求操作系统》、YD/T2702-2014《电信网和互联网安全防护基线配置要求及检测要求中间件》、YD/T2703-2014《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》、YD/T2700-2014《电信网和互联网安全防护基线配置要求及检测要求数据库》配套使用。
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。I
YD/T2699-2014
本标准由中国通信标准化协会提出并归口。本标准起草单位:中国联合网络通信集团有限公司、工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、华为技术有限公司、杭州华三通信技术有限公司、北京神州绿盟信息安全科技股份有限公司、启明星辰信息技术有限公司。本标准主要起草人:张尼、李正、刘镝、魏薇、陈军、曹一生、樊洞阳、徐刚、唐俊飞、王益民。
1范围
YD/T2699-2014
电信网和互联网安全防护基线配置要求及检测要求安全设备
本标准规定了防火墙和入侵检测设备在安全配置方面的基本要求及参考操作。本标准适用于安全防护体系中使用防火墙和入侵检测设备的所有安全防护等级的网络和系统。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件:其最新版本(包括所有的修改单)适用于本文件。YD/T1728-2008
YD/T1729-2008
YD/T1730-2008
YD/T1731-2008
YD/T1478-2006
YD/T1756-2008
缩略语
《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《电信管理网安全技术要求》
《电信网和互联网管理安全等级保护要求》下列缩略语适用于本文件。
RADIUS
TACACS
Access Control List
Denial of Service
Distributed Denial of ServiceFile Transfer Protocol
Hypertext transfer protocol
HypertextTransferProtocol overSecureSocket LayerInternet Protocol
Network Address Translation
Network Time Protocol
Post Office Protocol3
Remote Authentication Dial In User ServiceSimple Mail Transfer ProtocolSimpleNetworkManagementProtocolSecure Shell
TerminalAccessControllerAccess-ControlSystemTransmission Control ProtocolUserDatagram Protocol
Virtual Private Network
访问控制列表
拒绝服务
分布式拒绝服务攻击
文件传输协议
超文本传输协议
超文本传输安全协议
网络互联协议
网络地址转换
网络时间协议
邮局协议
远程用户拨号认证系统
简单邮件传输协议
简单网络管理协议
安全壳协议
终端访问控制器访问控制系统
传输控制协议
用户数据包协议
虚拟专用网络
YD/T2699-2014
4安全设备安全防护基线配置要求及检测要求4.1防火墙设备安全防护基线配置要求及检测要求4.1.1总体要求
电信网和互联网的防火墙设备的安全防护基线配置及检测应满足账号口令、日志,安全策略、攻击防护与告警和其他安全等五个方面的要求,具体配置操作及检测方法应结合具体设备。总体要求主要包括:
a)账号口令
1)应按照用户分配账号,不同等级管理员应分配不同账号,避免账号混用,避免不同用户间共享账号,避免用户账号和设备间通信使用账号共享。2)应删除或锁定与设备运行、维护等工作无关的账号。3)对于具备字符交互界面的设备,应配置定时账号自动登出。4)对于具备图形界面(含Web界面)的设备,应配置定时自动屏幕锁定。5)口令长度应至少8位,并包括数字、小写字母、大写字母、标点和特殊符号4类中至少3类,且与账号无相关性;同时应定期更换口令,更换周期不大于90天。6)在设备权限配置能力内,应根据用户的业务需要,配置其所需的最小权限。b)日志
1)应配置日志功能,对用户登录进行记录。并记录用户对设备的操作。2)应配置日志功能,对管理员操作进行记录,并记录相关的安全事件。3)应配置远程日志功能,将日志内容传输到日志服务器。4)应配置NAT日志记录功能,记录转换前后IP地址及端口的对应关系。5)应配置VPN日志记录功能,记录VPN访问登录、退出等信息。6)应配置流量日志记录功能,记录通过防火墙的网络连接的信息。7)应配置防火墙规则,记录防火墙拒绝和丢弃报文的白志。8)应配置日志容量告警阈值,在日志数达到日志容量的75%时产生告警。9)应对管理服务器的日志文件大小和转存进行设置,并保护系统磁盘空间。c)安全策略
1)在配置访问规则列表时,最后一条应是拒绝一切流量。源地址、目的地址、服务或端口的范围应以实际访问需求为前提,尽可能地缩小范围。对于访问规则的排列,应遵从范围由小到大的排列规则,并按照一定的规则进行分组。
2)应设定对防火墙的保护安全规则,只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从局域网的主机直接到公共网的访问规则。3)对于VPN用户,应按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
4)应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤功能,过滤所有和业务不相关的流量。5)应配置关键字内容过滤功能,在HTTP、SMTP、POP3等应用协议流量过滤包含有设定的关键字的报文。
6)对于使用IP协议进行远程维护的设备,应配置使用SSH、HTTPS等加密协议。7)应配置NAT地址转换,对公共网隐藏局域网主机的实际地址。8)应隐藏字符管理界面的bannner信息。9)在进行重大配置修改前,应对当前配置进行备份。d)攻击防护与告警
1)对于防火墙的各逻辑接口,应配置防源地址欺骗功能。YD/T2699-2014
2)应配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或服务的访问,或者关闭常见系统漏洞对应的端口。
3)应配置DOS和DDOS的攻击防护功能,对DOS和DDOS的攻击告警。DDOS攻击的告警参数可由维护人员根据网络环境进行调整,维护人员可通过设置白名单方式屏蔽部分告警。4)应配置扫描攻击检测功能,对扫描探测告警。扫描攻击的告警参数可由维护人员根据网络环境进行调整,维护人员可通过设置白名单方式屏蔽部分网络扫描告警。5)应配置设备畸形包攻击检测防护功能。6)应配置告警功能,报告对防火墙本身的攻击或者防火墙系统的内部错误。7)应配置告警功能,报告网络流量中对TCP/IP网络层异常报文攻击的相关告警。8)应限制ping包的大小,以及一段时间内同一主机发送的次数。e)其他安全
1)应关闭非必要的服务
2)对于局域网地址,应关闭对ping包的回应功能。建议通过VPN隧道获得局域网地址,从局域网进行远程管理。如网管系统需要开放,可不考虑。3)应对防火墙的管理地址做源地址限制。对于登录账户的IP地址,应配置只允许从某些IP地址登录。可以使用防火墙自身的限定功能,也可以在防火墙管理口的接入设备上设置ACL。4)应配置SNMP监控,使用SNMPV3以上的版本对防火墙做远程管理,去除SNMP默认的共同体名(CommunityName)和用户名,并且不同的用户名和共同体明对应不同的权限(只读或者读写)。5)防火墙的系统和软件版本应处于厂家维护期,并且维护人员应定期对防火墙版本进行升级或打补丁操作。如防火墙系统厂家已不再维护,应及时更新版本或者撤换。6)应设定统一的时钟源。
YD/T2699-2014
Cisco防火墙
编号:SE-Cisco-日志-01
要求内容:
应开启记录NAT日志,记录转换前后IP地址的对应关系操作指南:
1.参考配置操作:
启动日志记录。
hostname(config)# logging enablehostname(config)#logginghostinterface_namesyslog_iphostname(config)# logging trap 6hostname(config)# logging buffered补充操作说明:
在启动日志记录的情况下,PIX会记录NAT的日志,无需额外配置检测方法:
使用showlogging检查。
hostname(config)#loggingenablehostname(config)# show loggingSyslog logging: enabled
Facility:20
Timestamp logging: disabled
Standby logging:disabled
Deny Conn when Queue Full: disabledConsole logging: disabled
Monitor logging:disabled
Buffer logging: disabled
Trap logging: disabled
History logging:disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: disabled
判定条件:
检查配置中的loggig相关配置
补充说明:
编号:SE-Cisco-日志-02
要求内容:
应开启记录VPN日志,记录VPN访问登录、退出等信息操作指南:
1.参考配置操作:
hostname(config)#loggingenablehostname(config)logging host interface_name syslog iphostname(config)#loggingtrap6hostname(config)#loggingbuffered62.补充操作说明:
在启动日志记录的情况下,PIX会记录VPN的日志,无需额外配置检测方法:
使用showlogging检查。
hostname(config)#loggingenablehostname(config)# show loggingSyslog logging: enabled
Facility:20
Timestamp logging:disabled
Standby logging: disabled
DenyConnwhenQueueFull:disabledConsole logging:disabled
Monitor logging:disabled
Buffer logging: disabled
Trap logging: disabled
History logging: disabledwww.bzxz.net
Device ID: disabled
Mail logging: disabled
ASDM logging: disabled
判定条件:
检查配置中的loggig相关配置
补充说明:
YD/T2699-2014
YD/T2699-2014
编号:SE-Cisco-日志-03
要求内容:
应配置记录流量日志,记录通过防火墙的网络连接的信息操作指南:
参考配置操作:
PIX防火墙上无流量日志
网络连接日志通过只需要启动日志记录。hostname(config)# logging enablehostname(config)#logging host interface_name syslog_iphostname(config)# logging trap6hostname(config)#loggingbuffered6补充操作说明:
可以通过showconnlong来检查连接情况检测方法:
使用showlogging检查。
hostname(config)#loggingenablehostname(config)# show loggingSyslog logging: enabled
Facility:20
Timestamp logging:disabled
Standby logging: disabled
DenyConnwhenQueueFull:disabledConsole logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: disabled
History logging: disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: disabled
判定条件:
检查配置中的loggig相关配置
补充说明:
编号:SE-Cisco-日志-04
要求内容:
应配置防火墙规则,记录防火墙拒绝和丢弃报文的日志操作指南:
YD/T2699-2014
PIx防火墙自动将在访问控制列表(access-list)中拒绝(deny)的数据包生成syslog信息。只需要启动日志记录。
hostname(config)#loggingenablehostname(config)#logging host interface_name syslog_iphostname(config)# logging trap 6hostname(config)#loggingbuffered6检测方法:
使用showlogging检查。
hostname(config)#loggingenablehostname(config)#showloggingSyslog logging: enabled
Facility:20
Timestamp logging: disabled
Standby logging: disabled
DenyConn whenQueueFull:disabledConsole logging:disabled
Monitor logging:disabled
Buffer logging: disabled
Trap logging: disabled
History logging: disabled
Device ID: disabled
Mail logging:disabled
ASDMlogging:disabled
判定条件:
检查配置中的loggig相关配置
补充说明:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。