精心整理
18. 如果使用SNMP,建议使用SNMPv2,并使用强壮的SNMPcommunitystrings。或者不使用时,使SNMP失效。
19. 实现端口安全以限定基于MAC地址的访问。使端口的auto-trunking失效。 20. 使用交换机的端口映像功能用于IDS的接入。
21. 使不用的交换机端口失效,并在不使用时为它们分配一个VLAN号。 22. 为TRUNK端口分配一个没有被任何其他端口使用的nativeVLAN号。 23. 限制VLAN能够通过TRUNK传输,除了那些确实是必需的。 24. 使用静态VLAN配置。 25. 如果可能,使VTP失效。否则,为VTP设置:管理域、口令和pruning。然后设置VTP为透明模式。 26. 在适当的地方使用访问控制列表。 27. 打开logging功能,并发送日志到专用的安全的日志主机。 28. 配置logging使得包括准确的时间信息,使用NTP和时间戳。 29. 依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。 30. 为本地的和远程的访问交换机使用AAA特性。 1. 配置IDS产品安全策略 策略包括需要保护对象的优先顺序、规定谁可以对IDS产品进行配置管理、以及根据操作系统、应用服务或部署位置等来制定的IDS检测策略。
2. 定期维护IDS安全策略
IDS的安全策略应该是活动的,当环境发生变化时,安全策略应该改变,并应该通知相关人员。
3. 将IDS产品(传感器和管理器)放置在一个环境安全且可控的区域,以保证IDS产品
精心整理
精心整理
的物理安全
4. 安全地配置装有IDS的主机系统
5. IDS配置文件离线保存、注释、有限访问,并保持与运行配置同步。 6. 使用IDS产品的最新稳定版本或补丁。 7. 保持IDS产品的最新的签名数据库。
8. 定期检查IDS产品自身的安全性,特别在改变重要配置之后。 9. 对管理用户进行权限分级,并对用户进行鉴别。 要求不同权限级别的用户应该具有相应的技术能力(掌握信息安全知识)及非技术能力(责任心、管理能力、分析能力等)。 10. 口令配置安全 例如,使用难以猜测的口令、限制知晓范围、重要员工辞职时更换口令。 11. 12. 精确设置并维护IDS时间(生产系统变更窗口)。 在发生报警时,能进行快速响应 对于报警事件,应该首先进行分析,判断事件是攻击事件还是正常事件,然后对攻击事件进行处理。 13. 当非法入侵行为时,有相应的处理措施 1、控制台安装硬件环境 ? 586或更高型号的PC计算机或其兼容机; ? 128M或更高容量的内存; ? 光盘驱动器;
? 100M以上剩余硬盘空间。
精心整理
精心整理
2、控制台安装软件环境
管理控制台安装包支持以下操作系统:WindowsXP、Windows2003Server、Windows7;推荐使用WindowsXP。
3、控制台软件安装
运行安装光盘下的安装包文件,依默认配置即可安装控制台软件。
4、启动 在正确安装天融信安全隔离与信息交换系统并确保各种线缆正确连接之后,开始使用天融信安全隔离与信息交换系统。本系统的所有管理、配置、监控工作均在控制台完成,双击桌面“TopRules-控制台”图标即可运行控制台程序,您也可通过点击“开始/程序/天融信安全隔离与信息交换系统控制台/TopRules-控制台”运行控制台程序。 5、设置设备工作模式 安全隔离与信息交换系统设备的工作模式可设置为三种:透明模式、代理模式、路由模式。下面以常用的代理模式进行调试: ,即可。因为在代理模式时,隔离设备会非常形象的代理客户端与服务器进行会话。 定制访问策略,步骤如下: 其他步骤与上一案例一致,除了以下几个步骤。 1. 将新增的服务器归到服务器组。 2. 将服务中的WEB服务的映射端口修改为80。 3. 删除当前所有系统规则,再应用所有系统规则。 1. 为设备分配IP地址
2. 按下网络接口界面的“应用设置”按钮,配置生效。
至此,隔离设备规则设置完成,此时隔离设备仅允许“测试工程师”在9:00-17:30访问“WEB
精心整理
精心整理
服务器”和“WEB服务器100”的TCP80端口的HTTP服务,且在HTTP协议内容上仅允许GET动作发生,同时过滤DLL、EXE文件。
配置管理主要包括策略配置、服务配置、系统配置3部分组成。
运维管理审计系统支持多种部署方式,在本项目中,考虑到xxx与数据库建设项目的实际需求,我们将采用旁路部署方式。部署示意图如下所示:
部署时,谐润运维管理审计系统旁路接入网络,只需要1个独立的IP即可,保证堡垒主机能够通过网络连接被管理资源提供远程运维服务的端口,应用托管中心与堡垒主机做直连,通过堡垒主机NAT转换技术使应用托管中心能够访问网络中的资源。? 若堡垒主机和被管理资源之间存在防火墙,则需要在增加或修改防火墙的策略,防火墙的策略增加或修改如下:? 源地址:堡垒主机IP,源端口:any,目标地址:被管理资源IP,目标端口:提供运维服务的监听端口。? 如堡垒主机需要连接被管理的Linux服务器,Linux服务提提供ssh运维服务,则需要在防火墙上增加或修改策略如下:? 源地址:堡垒主机IP,源端口:any,目标地址:被管理资源IP,目标端口:22。? 维护人员只要登录运维管理系统即可访问到所有服务器,无须进行二次登录。?若运维人员与运维管理系统之间存在防火墙,则防火墙需要开放如下端口:?
22(ssh、telnet协议代理模块),443(堡垒主机提供web服务),3389(rdp协议代理模块)等。?
精心整理
精心整理
有关实施时防火墙开放策略,?日志服务器旁路接入网络,并开发SMB共享服务,为堡垒主机提供日志存储服务,堡垒主机通过页面配置,将数据文件存储至日志服务器。
1.3.4服务器虚拟化配置
在本期项目中,将遵照规划和架构设计进行项目实施。本实施方案不涉及具体操作步骤和细节配置,而主要针对项目实施的过程进行控制。预计的实施步骤如下:
准备阶段是为项目的实施搜集各方面资料和必要的工具,同时也包括双方参与实施人员的确定。准备阶段主要内容如下; 软件介质准备,包含项目涉及的所有软件产品介质,如果是项目内采购则由卖方准备,如采用用户现有的软件则由用户方提供,主要的介质包含: (1) FusionCloud产品介质 (2) 各虚拟机的操作系统介质 (3) 在应用服务器上运行的所有应用软件介质 (4) 服务器硬件驱动程序介质 如涉及到License则需要提供方确保在提供软件介质时同时提供有效的License授权。如Windows操作系统需要S/N号码等。 在准备阶段还需要确定实施需要的人员名单,每个步骤的参与人员要事先确定下来。为了确保应用迁移时的现场技术支持,要求在应用迁移或服务器迁移时确保应用软件的管理员或厂家技术人员能够现场支持。
在实施过程中,主要的工作包括虚拟环境搭建和系统迁移两部分,本节主要针对FusionSphere虚拟化架构搭建的过程进行描述。 精心整理
服务器存储网络安全设备项目实施办法
