Cisco二级测评指导书.doc

Cisco二级测评指导书 CiscoASA55201/4等级测评指导书XX企业200*年*月项目编号测评等级二级测评指导书适用范围:Cisco ASA5500系列设备,IOS系统版本高于7.0版本Ver1.0 一、测评对象名称型号对象分类说明Cisco自适应安全设备Cisco ASA5520产品类 二、测评指标类别网络安全结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护 三、测评实施类别测评项实施过程预期结果说明结构安全a、设备的业务处理能力具备冗余空间，满足业务高峰期需要Show cpu查看CPU使用率；show memory查看内存使用情况；show resourceusage all查看会话连接数情况。 CPU、内存使用率不超过50%，conn会话数不超过最大值70%；b、应保证网络各个部分的带宽满足业务高峰期需要show interfacegigabitEther0/X查看端口工作信息，判断端口的流量状况，如5minute inputrate1729pkts/sec,94488bytes/sec计算得出的值应小于带宽值的70%52/4minute outputrate3884pkts/sec,4987242bytes/sec c、应绘制与当前运行情况相符的网络拓扑结构图；检查网络拓扑图看是否当前允许情况一致网络拓扑图与当前允许情况一致d、应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段show running-config查看各个接口是否配置IP地址；show interfacegigabitEther0/X查看端口工作是否正常针对不同业务接口配置不同网段；各个接口工作状态正常，收发包数量在合理范围内访问控制a、应在网络边界部署访问控制设备，启用访问控制功能show aess-list查看是否配置访问控制列表部署有访问控制列表，控制网络间的网络访问b、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级show running-config查看配置有NAT地址转换配置；show aess-list每条策略是否有明确的源IP、目的IP及协议等配置有NAT配置；每条策略有明确的源IP、目的IP、协议及端口c、应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户show aess-list查看是否配置访问控制列表部署有访问控制列表，控制各个网段间的网络访问d、应限制具有拨号访问权限的用户数量show version查看系统的授权信息；show running-config查看系统配置信息，确认拨号用户数的数量配置通过配置拨号用户获得IP地址的数量来限制用户数安全审计a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录Show logging;Show local-host;show resourceusage all；show cpu;show menoryShow nat或者通过ASDM登陆ASA设备查看能查看系统运行状况，系统保留日志及用户行为记录,以及系统的运行状况相关信息3/4b、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息Show logging;Show local-host;show resourceusage all；能查看系统运行状况，系统保留日志及用户行为记录,以及系统的运行状况边界完整性检查a、应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查此设备不具备此功能，此项为不适应项恶意代码防范a、应在网络边界处监视以下攻击行为端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等通过端口扫描工具等测试工具判断此项能监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击功能网络设备防护a、应对登录网络设备的用户进行身份鉴别show running-config查看用户名密码机认证配置如username adminpassword fMQ/rjnxl9Vwe9mv encryptedprivilege15；aaa authenticationtel console LOCAL aaa authentication ssh consoleLOCALaaa authenticationenable consoleLOCAL有配置用户名及密码，对console、tel、ssh、web已开启认证b、应对网络设备的管理员登录地址进行限制show aess-lis查看是否有控制列表对管理员登陆进行控制；show runtel0.0.0.00.0.0.0inside ssh0.0.0.00.0.0.0Outside确定有控制列表或登陆设置对登陆的地址进行限制c、网络设备用户的标识应唯一Show run查看系统配置确认设备用户的标识是唯一d4/ 4、身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换通过访谈检查设备的用户、口令信息及是否定期更换Show run查看系统配置用户名口令复杂度高，密码定期更换e、应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施登陆测试登录失败时系统采取结束会话、限制非法登录次数和当网络