5. 重大事件或活动是否设置报警?是否有对可以攻击的响应程序?
6. 如适当设置入侵检测功能,或者配合使用IDS(入侵检测系统),以防止某些类型的攻击或预防未知的攻击。
7. 是否有灾难恢复计划?恢复是否测试过?
8. 评估备份和恢复程序(包括持续性)的适当性,考虑:对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。
1.3.3.3交换机
1. 交换机配置文件是否离线保存、注释、保密、有限访问,并保持与运行配置同步 2. 是否在交换机上运行最新的稳定的IOS版本
3. 是否定期检查交换机的安全性?特别在改变重要配置之后。 4. 是否限制交换机的物理访问?仅允许授权人员才可以访问交换机。 5. VLAN 1中不允许引入用户数据,只能用于交换机内部通讯。 6. 考虑使用PVLANs,隔离一个VLAN中的主机。
7. 考虑设置交换机的Security Banner,陈述“未授权的访问是被禁止的”。
8. 是否关闭交换机上不必要的服务?包括:TCP和UDP小服务、CDP、finger等。 9. 必需的服务打开,是否安全地配置这些服务?。 10. 保护管理接口的安全
11. shutdown所有不用的端口。并将所有未用端口设置为第3层连接的vlan。 12. 加强con、aux、vty等端口的安全。 13. 将密码加密,并使用用户的方式登陆。
14. 使用SSH代替Telnet,并设置强壮口令。无法避免Telnet时,是否为Telnet的使
用设置了一些限制?
15. 采用带外方式管理交换机。如果带外管理不可行,那么应该为带内管理指定一个独立的VLAN号。
16. 设置会话超时,并配置特权等级。
17. 使HTTP server失效,即,不使用Web浏览器配置和管理交换机。
18. 如果使用SNMP,建议使用SNMPv2,并使用强壮的SNMP community strings。或者不使用时,使SNMP失效。
19. 实现端口安全以限定基于MAC地址的访问。使端口的auto-trunking失效。 20. 使用交换机的端口映像功能用于IDS的接入。
21. 使不用的交换机端口失效,并在不使用时为它们分配一个VLAN号。 22. 为TRUNK端口分配一个没有被任何其他端口使用的native VLAN号。 23. 限制VLAN能够通过TRUNK传输,除了那些确实是必需的。 24. 使用静态VLAN配置。
25. 如果可能,使VTP失效。否则,为VTP设置:管理域、口令和pruning。然后设置VTP为透明模式。
26. 在适当的地方使用访问控制列表。
27. 打开logging功能,并发送日志到专用的安全的日志主机。 28. 配置logging使得包括准确的时间信息,使用NTP和时间戳。 29. 依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。 30. 为本地的和远程的访问交换机使用AAA特性。
1.3.3.4入侵检测
1. 配置IDS产品安全策略
策略包括需要保护对象的优先顺序、规定谁可以对IDS产品进行配置管理、以及根据操作系统、应用服务或部署位置等来制定的IDS检测策略。
2. 定期维护IDS安全策略
IDS的安全策略应该是活动的,当环境发生变化时,安全策略应该改变,并应该通知相关人员。
3. 将IDS产品(传感器和管理器)放置在一个环境安全且可控的区域,以保证IDS产品的物理安全
4. 安全地配置装有IDS的主机系统
5. IDS配置文件离线保存、注释、有限访问,并保持与运行配置同步。 6. 使用IDS产品的最新稳定版本或补丁。 7. 保持IDS产品的最新的签名数据库。
8. 定期检查IDS产品自身的安全性,特别在改变重要配置之后。 9. 对管理用户进行权限分级,并对用户进行鉴别。
要求不同权限级别的用户应该具有相应的技术能力(掌握信息安全知识)及非技术能力(责任心、管理能力、分析能力等)。
10. 口令配置安全
例如,使用难以猜测的口令、限制知晓范围、重要员工辞职时更换口令。 11. 精确设置并维护IDS时间(生产系统变更窗口)。 12. 在发生报警时,能进行快速响应
对于报警事件,应该首先进行分析,判断事件是攻击事件还是正常事件,然后对攻击事件进行处理。
13. 当非法入侵行为时,有相应的处理措施
1.3.3.5安全隔离与信息交换系统
1、控制台安装硬件环境
? 586或更高型号的PC计算机或其兼容机; ? 128M或更高容量的内存; ? 光盘驱动器;
? 100M以上剩余硬盘空间。
2、控制台安装软件环境
管理控制台安装包支持以下操作系统:Windows XP、Windows 2003 Server 、Windows7;推荐使用Windows XP。
3、控制台软件安装
运行安装光盘下的安装包文件,依默认配置即可安装控制台软件。
4、启动
在正确安装天融信安全隔离与信息交换系统并确保各种线缆正确连接之后,开始使用天融信安全隔离与信息交换系统。本系统的所有管理、配置、监控工作均在控制台完成,双击桌面“TopRules-控制台”图标即可运行控制台程序,您也可通过点击“开始/程序/天融信安全隔离与信息交换系统控制台/TopRules-控制台”运行控制台程序。
5、设置设备工作模式
安全隔离与信息交换系统设备的工作模式可设置为三种:透明模式、代理模式、路由
模式。下面以常用的代理模式进行调试:
当设备工作为代理模式时,客户端比较容易理解隔离设备的工作原理,即代理。这时的客户端需要将与服务器通信的内容全部改由隔离设备的IP来进行通信,在客户端看来,服务器的IP已经不可见,客户端只需要把隔离设备的内、外端机的IP作为其目标服务器即可。比如,允许内网客户端192.168.1.1访问外网服务器10.10.10.1,这时需要给隔离设备分配两个可以与该网段通信的IP,如在内端机分配192.168.1.2,外端机分配10.10.10.2。这时内网客户端需要访问外网服务器的WEB应用时,只需要访问http://192.168.1.2,即可。因为在代理模式时,隔离设备会非常形象的代理客户端与服务器进行会话。
客户端是192.168.0.18,服务端有两个,分别为192.168.1.100和192.168.1.101,两个服务器均提供WEB服务,并且端口均为80。当源地址与目标地址处于不同段网络时,之前客户端与服务端从未进行过通信或数据交换,将设备设置为代理模式,以更好表现形式来完成网络的隔离性。
定制访问策略,步骤如下:
其他步骤与上一案例一致,除了以下几个步骤。
1. 增加对象“WEB服务器100,”地址为192.168.1.100。