防火墙安全策略巡检报告
- 格式:docx
- 大小:48.22 KB
- 文档页数:12
X信息委安全运维项目防火墙安全策略巡检报告生命周期发行客体对象信息中心机房提交时间X-04-01最新版本V1.0X信息技术有限公司文档审批信息目录目录 (3)第一章概述 (4)1.1巡检目的 (4)1.2巡检目标 (4)1.3巡检范围 (4)1.4巡检流程 (4)1.5评判标准 (5)第二章巡检计划 (5)第三章巡检概况 (5)第四章巡检内容 (5)4.1巡检记录 (5)4.2改善需求 (8)4.2.1存在问题 (9)4.2.2危害分析 (10)4.3巡检建议 (11)4.3.1登录控制建议 (11)4.3.2接入控制建议 (11)4.3.3系统配置建议 (11)4.3.4网关核心配置建议 (11)第五章巡检总结 (12)第一章概述1.1巡检目的为了保障X科学技术委员会网X全、通畅和高效的运营,X信息技术有限公司将针对贵公司网X全进行巡检,并根据巡检结果给出相应的建议。
1.2巡检目标本次网络巡检服务,通过完整详细的采集相关网络设备的基本信息与运行状态数据,对本次网络巡检采集的数据进行系统的整理与分析,对X安全设备的运行状态提供数据采集与分析结果、相关建议报告。
对现有网络存在的问题记录;并及时地反馈。
●采集网络设备的运行参数,通过系统整理与分析,判断设备的运行状态。
●检查网络设备的运行环境,分析和判断网络设备运行环境是否满足设备安全运行的必要条件。
●检查设备、配置的冗余性,确保网络系统具有抵御设备故障的能力和高可用性。
●检查网络设备日志文件,回顾前期网络设备运行状态信息,寻找故障隐患。
1.3巡检范围本次巡检主要针对网络边界设备防火墙做了细致检查,本次巡检的工作内容为:●设备配置检查●设备运行状态检查●网络冗余性检查通过完整详细的采集相关网络设备的基本信息与运行状态数据,并对本次采集的数据进行系统的整理与分析,最终形成报告。
其中对现有网络存在的问题记录并及时地反馈,最大程度上保障网X全。
1.4巡检流程评本次网络巡检分为远程数据采集、数据分析、客户报告生成三个阶段:1、在网络巡检的数据采集阶段,在现场勘察机房相关环境,手工采集,并记录输出结果。
2、在分析、客户报告生成阶段,根据信息采集和分析的结果进行总结,给出网络运行状态全面检查、评估及建议报告,指出适应业务发展的改进建议。
3、最后工程师根据巡检数据与分析结果完成《防火墙安全策略巡检报告》。
1.5评判标准针对此次巡检,我们将依照依据X等保标准,将实际采集的数据结果与其对照并分析,以判断当前网X全状况,根据具体发现的问题提出合理的改进意见。
第二章巡检计划巡检时间:X年3月30号上午10:00 到11:30;下午13:00到15:30现场人员:X;X工作方式:现场访谈、网络检查、记录查看巡检地点:X信息管理中心机房巡检内容:运行状态、网络冗余、配置检查、访问控制等第三章巡检概况在本次X科学技术委员会防火墙安全巡检服务中,我们对目前的网络收集了大量重要的数据,对相关数据进行了提取和加工,并据此对网络的健康状况进行了详细分析,我们认为网X全健康较弱,综述如下(具体情况请参见各章节内容)。
第四章巡检内容4.1巡检记录通过对X科学技术委员会防火墙安全策略的检查和分析,发现其防火墙的安全策略还是存在很多漏洞和风险的,巡检项目及相应的状况数据记录如下:4.2改善需求此次巡检结果显示,发现其防火墙的安全策略还是存在很多漏洞和风险的,应按照以下问题进行改正。
4.2.1存在问题1) 登录控制a. 口令复杂性:此次巡检过程中发现X科学技术委员会的登录口令为6位全字母。
2) 接入控制a. 链路冗余:此次巡检过程中发现X科学技术委员会对WEB防火墙未采用双机热备。
b. VPN配置:此次巡检过程中发现X科学技术委员会的WEB防火墙未开启VPN。
3) 系统配置a. 系统升级许可:此次巡检过程中发现X科学技术委员会的WEB防火墙从未进行升级操作。
b. 报警邮箱启动情况:此次巡检过程中发现X科学技术委员会的WEB防火墙未开启报警邮箱功能。
c. 域名服务:此次巡检过程中发现X科学技术委员会的WEB防火墙未配置域名服务。
4) 网关核心配置a. MAC地址绑定:此次巡检过程中发现X科学技术委员会的WEB防火墙未进行MAC地址绑定。
b. P2P限制:此次巡检过程中发现X科学技术委员会的WEB防火墙未开启P2P限制。
c. 抗攻击策略:此次巡检过程中发现X科学技术委员会的WEB防火墙只配置了防SYN攻击策略。
d. IDS联动:此次巡检过程中发现X科学技术委员会的WEB防火墙未开启IDS联动功能。
5) 安全策略a. 防DOS攻击策略:此次巡检过程中发现X科学技术委员会的WEB防火墙未配置防DOS攻击策略。
6) 软件a. 更新系统版本和安全补丁:此次巡检过程中发现X科学技术委员会的WEB防火墙未进行过系统更新和打漏洞补丁。
7) 访问控制a. 用户认证:此次巡检过程中发现X科学技术委员会的WEB防火墙未采用认证服务器进行用户认证。
8) 维护a. 报警机制:此次巡检过程中发现X科学技术委员会的WEB防火墙未设置报警机制。
b. 应急演练:此次巡检过程中发现X科学技术委员会未对WEB防火墙进行应急演练。
4.2.2危害分析对本次巡检结果所造成的已知和未知的危害,我做出了以下分析:1) 登录控制a. 口令复杂性:此次巡检过程中发现X科学技术委员会的登录口令为6位全字母,这样的弱口令密码非常容易被破解,给防火墙带来非常大的危害。
2) 接入控制a. 链路冗余:此次巡检过程中发现X科学技术委员会对WEB防火墙未采用双机热备,这台设备非常老,很容易出现死机等故障,一旦有故障的发生,就会直接影响到网络的稳定性,给业务带来非常大的损失。
3) 系统配置a. 系统升级许可:此次巡检过程中发现X科学技术委员会的WEB防火墙从未进行升级操作,老的系统存在一定的漏洞等问题,黑客利用这样的漏洞,就会发动相应的攻击,给网络带来不可避免的危害。
b. 报警邮箱启动情况:此次巡检过程中发现X科学技术委员会的WEB防火墙未开启报警邮箱功能,当发生网络等故障时,第一时间无法得到准确的信息,会给排错带来巨大的工作量,延长故障处理时间。
4) 网关核心配置a. MAC地址绑定:此次巡检过程中发现X科学技术委员会的WEB防火墙未进行MAC地址绑定,当内网中出现ARP攻击时,将无法避免。
b. P2P限制:此次巡检过程中发现X科学技术委员会的WEB防火墙未开启P2P限制,没有限制此服务,容易造成网络拥塞。
c. 抗攻击策略:此次巡检过程中发现X科学技术委员会的WEB防火墙只配置了防SYN攻击策略,现在在网络中一单单只有SYN攻击,同时最多还是DDOS等其他的攻击行为,没有适度的保护很容易受到外界的其它攻击。
5) 安全策略a. 防DOS攻击策略:此次巡检过程中发现X科学技术委员会的WEB防火墙未配置防DOS攻击策略,对外端口暴露在互联网中,没有适度的保护很容易受到外界攻击。
6) 维护a. 报警机制:此次巡检过程中发现X科学技术委员会的WEB防火墙未设置报警机制,当发生网络或主机故障时,可在第一时间收到报警信息。
4.3巡检建议针对此次的巡检我给出如下建议:4.3.1登录控制建议4.3.1.1 密码策略强烈建议严格按照复杂性密码要求来设置防火墙用户登录密码,至少应包含:字母、数字和特殊字符。
4.3.2接入控制建议4.3.2.1 链路冗余任何设备在7*24小时的运行下都会出现死机、性能下降等故障,强烈建议核心设备采用热备或负载均衡等方式部署。
4.3.3系统配置建议4.3.3.1 系统升级任何系统,新的版本一定会公布相对于上一个版本做了那些相应的改进和新添加了那些功能,同时新的版本在公布时也会将老的版本有那些缺陷建议用户更新升级。
强烈建议定期更新系统打最新的漏洞补丁。
4.3.3.2 报警邮箱强烈建议开启报警邮箱,当出现主机或网络故障时可在第一时间收取到报警消息。
4.3.4网关核心配置建议4.3.4.1 MAC地址绑定MAC地址欺骗为内网常见的一种攻击手段,强烈建议对内网中的所有主机进行MAC地址与IP地址的绑定操作。
4.3.4.2 P2P流量限制此功能为流量限制功能,用于防止内网中有主机出现故障时影响其他服务的网络。
没有限制此服务,容易造成网络拥堵,建议开启此功能。
4.3.4.3 抗攻击策略建议在每个端口上都开启相应的防DDOS、SYN、icmp、cc、ACKFlood、UDPFloodICMPFlood和TCPFlood等策略功能。
第五章巡检总结针对此次防火墙的安全巡检,发现防火墙设置存在以下安全漏洞,并针对这些漏洞提出合理性建议。
具体安全漏洞如下:1.密码太过于简单,只采用了6位纯字母。
2.管理员没有定期对防火墙配置进行备份。
3.防火墙版本太老,反应速度极慢;也没定期对设备系统进行更新,所以很多功能都没有。
4.抗攻击策略没有制定。
5.配置文件没有保存。