您的位置:360文档中心› 服务器存储网络安全设备项目实施办法

服务器存储网络安全设备项目实施办法

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

精心整理1项目实施方案

1.1项目实施计划

考虑到xxx与数据库建设项目的工程量、质量与涉及面等因素,在此工程实施前必需有严密的进度控制和精心的组织安排。我们根据本方案确定的项目目标以及具体建设要求,对建设任务以及工程进度进行综合安排计划,具体各个部分的实施可以视工程情况相互协调、齐头并进。

➢查看软件版本

1)通过IE浏览器登陆到安全设备,查看当前安全设备的软件版本。

2)通过串口登陆到安全设备后台,查看软件版本。

➢产品信息记录

记录下用户安全设备编号,作好记录工作

➢查看安全设备重启后能否正常启动

配置

而不

8.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可

靠。

9.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)

10.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防

火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。

11.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。

12.防火墙访问控制规则集的一般次序为:

17.确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则,并确保任何源IP不是内部网的通信被记录。

18.是否执行NAT,配置是否适当?

19.任何和外网有信息交流的机器都必须经过地址转换(NAT)才允许访问外网,同样外网的机器要访问内部机器,也只能是其经过NAT后的IP,以保证系统的内部地址、配置和有

关的设计信息如拓扑结构等不能泄露到不可信的外网中去。

20.在适当的地方,防火墙是否有下面的控制?

21.如,URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病毒等。

22.防火墙是否支持“拒绝所有服务,除非明确允许”的策略?

23.根据xxx的需求,配置系统所需对外开放的端口映射。

帮助分析防火墙的活动,并为管理部门提供防火墙效率情况。

5.重大事件或活动是否设置报警?是否有对可以攻击的响应程序?

6.如适当设置入侵检测功能,或者配合使用IDS(入侵检测系统),以防止某些类型的攻击或预防未知的攻击。

7.是否有灾难恢复计划?恢复是否测试过?

8.评估备份和恢复程序(包括持续性)的适当性,考虑:对重要防火墙的热备份、备份

多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。

1.交换机配置文件是否离线保存、注释、保密、有限访问,并保持与运行配置同步

2.是否在交换机上运行最新的稳定的IOS版本

3.是否定期检查交换机的安全性?特别在改变重要配置之后。

15.采用带外方式管理交换机。如果带外管理不可行,那么应该为带内管理指定一个独立的VLAN号。

16.设置会话超时,并配置特权等级。

17.使HTTPserver失效,即,不使用Web浏览器配置和管理交换机。

18.如果使用SNMP,建议使用SNMPv2,并使用强壮的SNMPcommunitystrings。或者不使用时,使SNMP失效。

19.实现端口安全以限定基于MAC地址的访问。使端口的auto-trunking失效。

20.使用交换机的端口映像功能用于IDS的接入。

21.使不用的交换机端口失效,并在不使用时为它们分配一个VLAN号。

VTP为

系统、应用服务或部署位置等来制定的IDS检测策略。

2.定期维护IDS安全策略

IDS的安全策略应该是活动的,当环境发生变化时,安全策略应该改变,并应该通知相关人员。

3.将IDS产品(传感器和管理器)放置在一个环境安全且可控的区域,以保证IDS产品

的物理安全

4.安全地配置装有IDS的主机系统

5.IDS配置文件离线保存、注释、有限访问,并保持与运行配置同步。

6.使用IDS产品的最新稳定版本或补丁。

7.保持IDS产品的最新的签名数据库。

(责

●586或更高型号的PC计算机或其兼容机;

●128M或更高容量的内存;

●光盘驱动器;

●100M以上剩余硬盘空间。

2、控制台安装软件环境

管理控制台安装包支持以下操作系统:WindowsXP、Windows2003Server、Windows7;推荐使用WindowsXP。

3、控制台软件安装

运行安装光盘下的安装包文件,依默认配置即可安装控制台软件。

5

3. 删除当前所有系统规则,再应用所有系统规则。

1. 为设备分配IP地址

2. 按下网络接口界面的“应用设置”按钮,配置生效。

至此,隔离设备规则设置完成,此时隔离设备仅允许“测试工程师”在9:00-17:30访问“WEB

服务器”和“WEB服务器100”的TCP80端口的HTTP服务,且在HTTP协议内容上仅允许GET动作发生,同时过滤DLL、EXE文件。

配置管理主要包括策略配置、服务配置、系统配置3部分组成。

运维管理审计系统支持多种部署方式,在本项目中,考虑到xxx与数据库建设项目的实际需求,我们将采用旁路部署方式。部署示意图如下所示:

22。?

?若运维人员与运维管理系统之间存在防火墙,则防火墙需要开放如下端口:?

22(ssh、telnet协议代理模块),443(堡垒主机提供web服务),3389(rdp 协议代理模块)等。?

相关文档
最新文档