应配置设备管理服务,预防远程访问服务攻击或非授权访问,提高安全设备远程管理安全。
基线技术要求 远程管理 远程管理 远程管理 基线标准点(参数) 启用安全网络管理服务SSH 络设备,提高设备管理安全性 限制登录口令录入时间 限制root登录 访问设备,而不能远程登录 限制对特定工作站的管理能力,必须配远程管理 限制可登录的访问地址 置管理客户端IP 地址 通过更改HTTP监听端口号提高系统安远程管理 远程管理 更改HTTP监听端口号 全性 使用SSL保障HTTP访问的安全性 配置并启用HTTPS进行设备远程管理 设置登录口令录入时间,建议为30秒 限制root用户只能通过CONSOLE接口说明 采用ssh服务代替telnet服务管理网5.5.3.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高设备账户与口令安全。
基线技术要求 账号和密码管理 账号和密码管理 基线标准点(参数) 更改系统初始帐号和密码 户名和密码 限制密码最短长度 应将帐户密码最短长度设置为8位 说明 在完成初始配置后应尽快修改缺省用5.5.3.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 基线标准点(参数) 限制发起SNMP连接的源地址 设置并定期更改SNMPCommunity SNMP配置 除特殊情况,否则不设置SNMP RW Community 安全审计 安全审计 安全审计 转存日志(可选) 将日志存储到远程系统 基于闪存的日志 审计Voyager应用 配置日志服务器 对通过Web界面的操作进行审计 设置接受与存储日志信息 日志必须保存2个月 至少半年一次 说明 日志保存要求(可选) 2个月 5.5.3.4 安全防护
应对设备配置进行调整,提高设备或网络安全性。
基线技术要求 安全设置 基线标准点(参数) 配置ANTI-SPOOFING 说明 CheckPoint防火墙使用ANTI-SPOOFING来防止IP欺骗 SmartDefense是Chick Point防火墙软安全设置 配置SmartDefense 件特有的攻击防御软件,具有多种抗攻击功能 5.5.4 中兴通讯ICT(US系列)防火墙安全基线技术要求 5.5.4.1 设备管理
应配置设备管理服务,预防远程访问服务攻击或非授权访问,提高网络设备远程管理安全。
基线标准要求 基线技术点(参数) 启用安全网络管理服务SSH 设备,提高设备管理安全性 远程管理 限制可登录的访问地址 管理客户端IP 地址 使用SSL保障HTTP访问的安全性 配置并启用HTTPS进行设备远程管理 限制对特定工作站的管理能力,必须配置说明 采用ssh服务代替telnet服务管理网络5.5.4.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高网络设备账户与口令安全。
基线标准要求 更改缺省账号和密码 基线标准点(参数) 更改系统初始帐号和密码 名和密码 密码长度 帐户登录空闲时间 限制密码最短长度 登录超时时间5分钟 应将帐户密码最短长度设置为8位 登录超时时间5分钟 设置登录口令登录失败次数为3次,超过限制登录失败次数 限制登录口令失败次数 则会暂时禁止同一IP继续登录。 说明 在完成初始配置后应尽快修改缺省用户5.5.4.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 SNMP配置 安全审计 安全审计 基线标准点(参数) 定期更改SNMP Community 说明 针对重要策略开启记录流量日志 将日志转发至SYSLOG服务器 基线技术要求 转存日志(可选) 基线标准点(参数) 配置日志服务器 说明 设置接受与存储日志信息 日志必须保存2个月 日志保存要求(可选) 2个月 5.5.4.4 服务优化
应提高网络设备的安全性,优化设备资源。
基线技术要求 http服务 禁用 基线标准点(参数) 关闭弱服务 说明 5.5.4.5 安全防护
应对设备配置进行调整,提高设备或网络安全性。
基线技术要求 基线标准点(参数) 说明 防攻击选项包括:SYN Flood、ICMP 安全设置 防火墙的防攻击设置 Flood、UDP Flood、Port Scan Attack、 Limit session、ICMP Sweep等。