WebLogic-Web服务器安全配置风险评估检查表doc资料

精品文档

WebLogicWeb服务器安全配置基线

目 录

第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3

目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1

第2章 账号管理、认证授权 ............................................................................................................. 2 2.1

账号 ......................................................................................................................................... 2

账号锁定策略 ................................................................................................................. 2

2.2 口令 ......................................................................................................................................... 2 2.2.1 密码复杂度 ..................................................................................................................... 2

第3章 日志配置操作 ......................................................................................................................... 4 3.1

日志配置 ................................................................................................................................. 4

2.1.1

3.1.1 第4章 4.1

审核登录 ......................................................................................................................... 4

IP协议安全配置 ................................................................................................................ 5

IP协议 ..................................................................................................................................... 5

4.1.1 4.1.2 4.1.3 支持加密协议 ................................................................................................................. 5

限制应用服务器Socket数量 ......................................................................................... 5 禁用Send Server Header ................................................................................................ 6

第5章 设备其他配置操作 ................................................................................................................. 7 5.1

安全管理 ................................................................................................................................. 7

5.1.1 5.1.2 5.1.3 5.1.4 定时登出 ......................................................................................................................... 7 更改默认端口 ................................................................................................................. 7 错误页面处理 ................................................................................................................. 8 目录列表访问限制 ......................................................................................................... 8

精品文档

精品文档

第1章 概述

1.1 目的

本文档规定了WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

1.2 适用范围

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本

6.x、7.x、8.x版本的WebLogic Web服务器。

现在最新的weblogic服务器时9.1，此文件不适用与最新的服务器

精品文档

精品文档

第2章 账号管理、认证授权

2.1 账号

2.1.1 账号锁定策略

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 WebLogic账号锁定安全基线要求项 SBL-WebLogic-02-01-01 要求设定帐号锁定次数和时间 1、参考配置操作 查看以管理员身份登录控制台 1. 点击左侧面板”Security”文件夹，展开”REALM” 2. 点击右侧面板中的”User Lock”标签，查看Lockout Enabled，Lockout Threshold，Lockout Duration等 基线符合性判定依据 1、判定条件 要求Lockout Enabled=true; Lockout Threshold=5; Lockout Duration=30 备注 2.2 口令 2.2.1 密码复杂度

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 WebLogic密码复杂度安全基线要求项 SBL-WebLogic-02-01-01 对于采用静态口令认证技术的设备，口令长度至少8位。 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 2、补充操作说明 口令要求：长度至少8位。 精品文档

精品文档 基线符合性判定依据 备注 1、判定条件 weblogic.system.minPasswordLen=8 精品文档

精品文档

第3章 日志配置操作

3.1 日志配置 3.1.1 审核登录

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 备注

WebLogic审核登录安全基线要求项 SBL-WebLogic-03-01-01 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 1、判定条件 weblogic.system.enableReverseDNSLookups=true 精品文档