【正文】 . 如適當(dāng)設(shè)置入侵檢測功能，或者配合使用IDS（入侵檢測系統(tǒng)），以防止某些類型的攻擊或預(yù)防未知的攻擊。精確設(shè)置防火墻的時間，使得管理員追蹤網(wǎng)絡(luò)攻擊更準(zhǔn)確。管理員通過檢查日志來識別可能顯示攻擊的任何潛在模式，使用審計日志可以監(jiān)控破壞安全策略的進(jìn)入服務(wù)、外出服務(wù)和嘗試訪問。1. 具有特權(quán)訪問防火墻的人員的活動是否鑒別、監(jiān)控和檢查？對防火墻的管理人員的活動，防火墻應(yīng)該有記錄，并要求記錄不能修改，以明確責(zé)任，同時能檢查對防火墻的變化。20. 在適當(dāng)?shù)牡胤?，防火墻是否有下面的控制?1. 如，URL過濾、端口阻斷、防IP欺騙、過濾進(jìn)入的Java或ActiveX、防病毒等。 非法地址（）16. 是否確保外出的過濾？17. 確保有僅允許源IP是內(nèi)部網(wǎng)的通信通過而源IP不是內(nèi)部網(wǎng)的通信被丟棄的規(guī)則，并確保任何源IP不是內(nèi)部網(wǎng)的通信被記錄。 私有（RFC1918）地址（ – 、 – ..、 – ）178。13. 防火墻訪問控制規(guī)則中是否有保護防火墻自身安全的規(guī)則14. 防火墻是否配置成能抵抗DoS/DDoS攻擊？15. 防火墻是否阻斷下述欺騙、私有（RFC1918）和非法的地址178。 拒絕并報警（如，向管理員報警可疑通信）178。 用戶允許規(guī)則（如，允許HTTP到公網(wǎng)Web服務(wù)器）178。12. 防火墻訪問控制規(guī)則集的一般次序為：178。9. 是否對防火墻進(jìn)行脆弱性評估/測試？（隨機和定期測試）10. 防火墻訪問控制規(guī)則集是否和防火墻策略一致？應(yīng)該確保訪問控制規(guī)則集依從防火墻策略，如嚴(yán)格禁止某些服務(wù)、嚴(yán)格開放某些服務(wù)、缺省時禁止所有服務(wù)等，以滿足用戶安全需求，實現(xiàn)安全目標(biāo)。4. 賬號管理是否安全，設(shè)置了哪些口令和帳戶策略，員工辭職，如何進(jìn)行口令變更？ 5. 防火墻配置文件是否備份？如何進(jìn)行配置同步？6. 改變防火墻缺省配置。2. 防火墻管理人員應(yīng)定期接受培訓(xùn)。 查看安全設(shè)備重啟后能否正常啟動216。216。 查看軟件版本1) 通過IE瀏覽器登陸到安全設(shè)備,查看當(dāng)前安全設(shè)備的軟件版本。11系統(tǒng)終驗系統(tǒng)投入正常工作。9系統(tǒng)聯(lián)合調(diào)試項目建設(shè)系統(tǒng)安裝完成后，對整個設(shè)備及系統(tǒng)在實際環(huán)境中進(jìn)行整體調(diào)試。7設(shè)備交貨設(shè)備到貨并發(fā)送到用戶指定地點并進(jìn)行設(shè)備驗收，按照合同的軟、硬件清單簽收到貨的設(shè)備。5詳細(xì)方案設(shè)計對項目建設(shè)最終確定的總體方案作實施等方案設(shè)計。3設(shè)備采購按照項目建設(shè)合同中關(guān)于設(shè)備購貨有關(guān)條款和議定的日期，組織設(shè)備軟、硬件的購置工作。 序號任務(wù)內(nèi)容描述1方案調(diào)整與合同簽訂完成投標(biāo)文件修改，確定本項目訂購的硬件設(shè)備和軟件。服務(wù)器存儲網(wǎng)絡(luò)安全設(shè)備項目實施方案服務(wù)器存儲網(wǎng)絡(luò)安全設(shè)備項目實施方案1項目實施方案考慮到xxx與數(shù)據(jù)庫建設(shè)項目的工程量、質(zhì)量與涉及面等因素，在此工程實施前必需有嚴(yán)密的進(jìn)度控制和精心的組織安排。我們根據(jù)本方案確定的項目目標(biāo)以及具體建設(shè)要求，對建設(shè)任務(wù)以及工程進(jìn)度進(jìn)行綜合安排計劃，具體各個部分的實施可以視工程情況相互協(xié)調(diào)、齊頭并進(jìn)。2項目組成立正式合同簽訂后，將成立工程項目組，任命項目經(jīng)理，確定最終的項目組成員，并以書面形式正式通知用戶。4前期調(diào)研對用戶安裝現(xiàn)場的電源、地線、空間、照明等工程實施時必需的安裝環(huán)境進(jìn)行調(diào)查確認(rèn)，并做好系統(tǒng)安裝準(zhǔn)備。6施工準(zhǔn)備項目建設(shè)工程施工前，我公司項目組將進(jìn)行一些必要的準(zhǔn)備工作。8設(shè)備安裝與節(jié)點調(diào)試按照合同要求、技術(shù)方案和工程安裝實施計劃，完成項目建設(shè)合同內(nèi)各系統(tǒng)的安裝調(diào)試工作，包括全面實施準(zhǔn)備、項目全面實施等內(nèi)容。10系統(tǒng)試運行項目建設(shè)系統(tǒng)在初步驗收后投入試運行。、系統(tǒng)集成216。2) 通過串口登陸到安全設(shè)備后臺,查看軟件版本。 產(chǎn)品信息記錄記錄下用戶安全設(shè)備編號，作好記錄工作216。 查看安全設(shè)備的console口是否可用1. 要求管理員分級，包括超級管理員、安全管理員、日志管理員等，并定義相應(yīng)的職責(zé)，維護相應(yīng)的文檔和記錄。3. 對防火墻管理的限制，包括，關(guān)閉telnet、ping、snmp等，以及使用SSH而不是telnet遠(yuǎn)程管理防火墻。7. 是否有適當(dāng)?shù)姆阑饓S護控制程序？8. 加固防火墻操作系統(tǒng)，并使用防火墻軟件的最新穩(wěn)定版本或補丁，確保補丁的來源可靠。11. 防火墻訪問控制規(guī)則是否有次序性？是否將常用的訪問控制規(guī)則放在前面以增加防火墻的性能？評估防火墻規(guī)則次序的有效性。 反電子欺騙的過濾（如，阻斷私有地址、從外口出現(xiàn)的內(nèi)部地址）178。 管理允許規(guī)則178。 拒絕并記錄（如，記錄用于分析的其它通信）防火墻是在第一次匹配的基礎(chǔ)上運行，因此，按照上述的次序配置防火墻，對于確保排除可疑通信是很重要的。 標(biāo)準(zhǔn)的不可路由地址（、）178。 保留地址（）178。18. 是否執(zhí)行NAT，配置是否適當(dāng)？19. 任何和外網(wǎng)有信息交流的機器都必須經(jīng)過地址轉(zhuǎn)換（NAT）才允許訪問外網(wǎng)，同樣外網(wǎng)的機器要訪問內(nèi)部機器，也只能是其經(jīng)過NAT后的IP，以保證系統(tǒng)的內(nèi)部地址、配置和有關(guān)的設(shè)計信息如拓?fù)浣Y(jié)構(gòu)等不能泄露到不可信的外網(wǎng)中去。22. 防火墻是否支持“拒絕所有服務(wù)，除非明確允許”的策略？23. 根據(jù)xxx的需求，配置系統(tǒng)所需對外開放的端口映射。2. 通過防火墻的通信活動是否日志？在適當(dāng)?shù)牡胤剑欠裼斜O(jiān)控和響應(yīng)任何不適當(dāng)?shù)幕顒拥某绦?？確保防火墻能夠日志，并標(biāo)識、配置日志主機，確保日志安全傳輸。3. 是否精確設(shè)置并維護防火墻時間？ 配置防火墻使得在日志記錄中包括時間信息。4. 是否按照策略檢查、回顧及定期存檔日志，并存儲在安全介質(zhì)上？確保對防火墻日志進(jìn)行定期存儲并檢查，產(chǎn)生防火墻報告，為管理人員提供必需的信息以幫助分析防火墻的活動，并為管理部門提供防火墻效率情況。7. 是否有災(zāi)難恢復(fù)計劃？恢復(fù)是否測試過？8. 評估備份和恢復(fù)程序（包括持續(xù)性）的適當(dāng)性，考慮：對重要防火墻的熱備份、備份多長時間做一次、執(zhí)行備份是否加密、最近成功備份測試的結(jié)果等。4. 是否限制交換機的物理訪問？僅允許授權(quán)人員才可以訪問交換機。6. 考慮使用PVLANs，隔離一個VLAN中的主機。8. 是否關(guān)閉交換機上不必要的服務(wù)？包括：TCP和UDP小服務(wù)、CDP、finger等。10. 保護管理接口的安全11. shutdown所有不用的端口。12. 加強con、aux、vty等端口的安全。14. 使用SSH代替Telnet，并設(shè)置強壯口令。如果帶外管理不可行，那么應(yīng)該為帶內(nèi)管理指定一個獨立的VLAN號。17. 使HTTP server失效，即，不使用Web瀏覽器配置和管理交換機?；蛘卟皇褂脮r，使SNMP失效。使端口的autotrunking失效。21. 使不用的交換機端口失效，并在不使用時為它們分配一個VLAN號。23. 限制VLAN能夠通過TRUNK傳輸，除了那些確實是必需的。25. 如果可能，使VTP失效。然后設(shè)置VTP為透明模式。27. 打開logging功能，并發(fā)送日志到專用的安全的日志主機。29. 依照安全策略的要求對日志進(jìn)行檢查以發(fā)現(xiàn)可能的事件并進(jìn)行存檔。1. 配置IDS產(chǎn)品安全策略策略包括需要保護對象的優(yōu)先順序、規(guī)定誰可以對IDS產(chǎn)品進(jìn)行配置管理、以及根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等來制定的IDS檢測策略。3. 將IDS產(chǎn)品（傳感器和管理器）放置在一個環(huán)境安全且可控的區(qū)域，以保證IDS產(chǎn)品的物理安全4. 安全地配置裝有IDS的主機系統(tǒng)5. IDS配置文件離線保存、注釋、有限訪問，并保持與運行配置同步。7. 保持IDS產(chǎn)品的最新的簽名數(shù)據(jù)庫。9. 對管理用戶進(jìn)行權(quán)限分級，并對用戶進(jìn)行鑒別。10. 口令配置安全例如，使用難以猜測的口令、限制知曉范圍、重