公安部信息安全等级保护评估中心
序号 类别 测评项 测评实施 预期结果 说明 1)检查访问控制策略列表,查看是否配置了明确的b)应能根据会话状态信息为数据允许/拒绝的访问能力,控制颗粒度为端口级。 1)防火墙安全策略具备源IP地址、流提供明确的允许/拒绝访问的输入“get config”命令,应存在如下类似配置: 目标IP地址、允许/拒绝和应用服务能力,控制粒度为端口级; set policy id 1 form Trust to Untrust any any 端口号。 ftp permit 访1 问控制 c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、1)检查防火墙安全策略是否对重要数据流启用应用TELNET、SMTP、POP3等协议命令层协议深层检测。 级的控制; 深度检测包括http\\smtp\\pop3\\ftp,1)防火墙安全策略配置并启用了启用深度检测有可能Deep Inspection。 会影响防火墙的处理性能。 d)应在会话处于非活跃一定时间或会话结束后终止网络连接; 1)访谈系统管理员,是否在会话处于非活跃一定时间或会话结束后终止网络连接; 1)防火墙能够根据业务需要在没有数据传输一段时间后终止网络会话连接。 第 1 页 共 7 页
公安部信息安全等级保护评估中心
序号 类别 测评项 测评实施 预期结果 说明 e)应限制网络最大流量数及网络连接数; 1)访谈系统管理员并检查防火墙配置,是否限制网络最大流量数及网络连接数。 输入“get config”命令,应存在如下类似配置: set zone dmz screen limit-session source-ip-based 1 set zone dmz screen limit-session source-ip-based set zone trust screen limit-session source-ip-based 80 1)防火墙配置并启用基于源IP地址set zone trust screen limit-session 和基于目标IP地址的抗攻击设置。 source-ip-based set zone untrust screen limit-session destination-ip-based 4000(依据业务需求设定此值) set zone untrust screen limit-session destination-ip-based set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging early-ageout 4 N/A f) 重要网段应采取技术手段防止地址欺骗; 该功能一般由接入交换机实现。 第 2 页 共 7 页
公安部信息安全等级保护评估中心
序号 类别 测评项 g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。 测评实施 预期结果 说明 N/A 该设备无拨号功能。 N/A 该设备无拨号功能。 安2 全审计 a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 1)检查防火墙是否开启日志功能。 WebGUI方式: 进入[reports]->[system log]->[event]选择时间级别进行查询,[configuration]->[report settings]->[syslog]是否设置日志服务器。 1)防火墙设置日志服务器,并使用命令方式: Syslog方式或者SNMP方式将日志发输入“get config”命令,应存在如下类似配置: 送到日志服务器。 Set syslog config 1.1.1.1 port 1514 Set syslog config 1.1.1.1 log all Set syslog config 1.1.1.1 facilities local0 local0 Set syslog config 1.1.1.1 transport tcp 第 3 页 共 7 页
公安部信息安全等级保护评估中心
序号 类别 测评项 b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 测评实施 1)查看防火墙系统日志和策略日志情况。通过输入如下命令进行查看。 get event level notification 预期结果 1)系统日志和策略日志的日志信息中包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 说明 开启实时监测功能会影响防火墙的性能 c)应能够根据记录数据进行分析,并生成审计报表; 1)访谈网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。 输入“get config”命令,应存在如下类似配置: Set webtrends host-name 172.10.16.25 Set webtrends port 514 Set webtrends enable Set log module system level notification destination webtrends 1)具有相关的技术措施(Webtrends firewall Suite、HP OpenView Report Server等等)能够对防火墙日志进行 集中管理、统计和分析汇总。 d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 1)访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。 1)防火墙的日志信息转发至日志服务器,同时防火墙本地缓存日志。 第 4 页 共 7 页
公安部信息安全等级保护评估中心
序号 类别 测评项 a)应对登录网络设备的用户进行身份鉴别; 测评实施 1)检查登录认证方式。 预期结果 1)管理员登录防火墙时进行身份鉴别。 说明 网络3 设备防护 b)应对网络设备的管理员登录地址进行限制; 1)检查是否配置特定IP地址并且只能从该IP地址进行管理。 WebUI管理方式: 进入WebUI管理界面,[configuration] -> [admin] -> [permitted IPs],查看管理IP地址配置情况。 或命令行方式: 通过命令行输入“get config”命令,存在如下类1)配置了管理员登录IP地址。 似配置。 MGT口设置管理地址和管理方式: Set interface mgt ip 10.0.0.2/24 数据口设置管理地址和管理方式: Set interface ethernet1 manage-ip 1.1.1.2 限制管理主机地址: Set admin manager-ip 172.16.40.0 255.255.255.0 1)通过命令行输入“get config”命令,存在如下类似配置。 set admin user Roger password 2bd21wG7 privilege read-only 1)不同的管理员均分配了不同的登录c)网络设备用户的标识应唯一; set admin user Smith password 3MAb99j2 账户,无共用账户。 privilege all 根据上述类似配置访谈网络管理员了解防火墙设备各账户的使用情况。 第 5 页 共 7 页
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库11NetScreen5.0防火墙测评指导书-三级S3A3G3- 1.0版在线全文阅读。
相关推荐: