文档介绍:-
. z
1工程实施方案
考虑到***与数据库建立工程的工程量、质量与涉及面等因素,在此工程关的设计信息如拓扑构造等不能泄露到不可信的外网中去。
在适当的地方,防火墙是否有下面的控制.
-
. z
如,URL过滤、端口阻断、防IP欺骗、过滤进入的Java或Active*、防病毒等。
防火墙是否支持“拒绝所有效劳,除非明确允许〞的策略.
根据***的需求,配置系统所需对外开放的端口映射。
审计监控
具有特权访问防火墙的人员的活动是否鉴别、监控和检查.
对防火墙的管理人员的活动,防火墙应该有记录,并要求记录不能修改,以明确责任,同时能检查对防火墙的变化。
,是否有监控和响应任何不适当的活动的程序.
确保防火墙能够日志,并标识、配置日志主机,确保日志平安传输。管理员通过检查日志来识别可能显示攻击的任何潜在模式,使用审计日志可以监控破坏平安策略的进入效劳、外出效劳和尝试访问。
是否准确设置并维护防火墙时间.
配置防火墙使得在日志记录中包括时间信息。准确设置防火墙的时间,使得管理员追踪网络攻击更准确。
是否按照策略检查、回忆及定期存档日志,并存储在平安介质上.
确保对防火墙日志进展定期存储并检查,产生防火墙报告,为管理人员提供必需的信息以帮助分析防火墙的活动,并为管理部门提供防火墙效率情况。
.
如适当设置入侵检测功能,或者配合使用IDS〔入侵检测系统〕,以防止*些类型的攻击或预防未知的攻击。
.
评估备份和恢复程序〔包括持续性〕的适当性,考虑:对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。
交换机
交换机配置文件是否离线保存、注释、**、有限访问,并保持与运行配置同步
是否在交换机上运行最新的稳定的IOS版本
-
. z
。
。
VLAN 1中不允许引入用户数据,只能用于交换机内部通讯。
考虑使用PVLANs,隔离一个VLAN中的主机。
考虑设置交换机的Security Banner,陈述“未授权的访问是被制止的〞。
:TCP和UDP小效劳、CDP、finger等。
必需的效劳翻开,是否平安地配置这些效劳.。
保护管理接口的平安
shutdown所有不用的端口。并将所有未用端口设置为第3层连接的vlan。
加强con、au*、vty等端口的平安。
将密码加密,并使用用户的方式登陆。
使用SSH代替Telnet,并设置强壮口令。无法防止Telnet时,是否为Telnet的使用设置了一些限制.
采用带外方式管理交换机。如果带外管理不可行,则应该为带内管理指定一个独立的VLAN号。
设置会话超时,并配置特权等级。
使 server失效,即,不使用Web浏览器配置和管理交换机。
如果使用SNMP,建议使用SNMPv2,并使用强壮的SNMP munity strings。或者不使用时,使SNMP失效。
实现端口平安以限定基于MAC地址的访问。使端口的auto-trunking失效。
使用交换机的端口映像功能用于IDS的接入。
使不用的交换机端口失效,并在不使用时为它们分配一个VLAN号。
为TRUNK端口分配一个没有被任何其他端口使用的native VLAN号。
限制VLAN能够通过TRUNK传输,除了那些确实是必需的。
使用静态VLAN配置。
如果可能,使VTP失效。否则,为VTP设置:管理域、口令和pruning。然后设置VTP为透明模式。
在适当的地方使用访问控制列表。
翻开logging功能,并发送日志到专用的平安的日志主机。
配置logging使得包括准确的时间信息,使用NTP和时间戳。
-
. z
依照平安策略的要求对日志进展检查以发现可能的事件并进展存档。
为本地的和远程的访问交换机使用AAA特性。
入侵检测
配