1SGISLOP-SA110防火墙等级保护测评作业指导书三级

1、实用标准文案 控制编号： SGISL/OP-SA14-10 信息安全等级保护测评作业指导书 防火墙（三级） 精彩文档 实用标准文案 版号：第 2 版 修 改 次 数：第 0 次 生 效 日 期： 2010 年 01 月 06 日 中国电力科学研究院信息安全实验室 精彩文档 实用标准文案 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP- SA14-10 唐斐 按公安部要求修订 詹雄 2010.3.8 精彩文档 实用标准文案 一、网络访问控制访问 1端口级的访问控制 测评项编号 ADT-FW-01 对应要求 应能根据会话状态信息为数据流提供

2、明 确的允许 / 拒绝访问的能力，控制粒度为 端口级 测评项名称 端口级的网络访问控制 测评分项 1：查看防火墙缺省规则是否为默认禁止 操作步骤 在管理界面中，查看防火墙已有的安全规则。 适用版本 任何版本 实施风险 无 符合性判定 访谈网络管理员， 防火墙的缺省规则。 如为默认允许， 则应查看防火墙 的最后一条安全规则，如果不是拒绝从 any 到 any 的任何协议通过， 判定结果为不符合； 其它情况，判定结果为符合。 测评分项 2：检查防火墙控制粒度是否为端口级 操作步骤 访谈网络管理员，确定防火墙应允许 / 拒绝的网络服务的连接。查看防 火墙规则，验证控制粒度是否为端口级。 精彩文档 实

3、用标准文案 适用版本 任何产品 实施风险 无 符合性判定 查看防火墙所配置的访问控制规则， 规则设置的参数包括端口， 判定结 果为符合； 查看防火墙所配置的访问控制规则， 规则设置的参数不包括端口， 判定 结果为不符合。 备注 2 协议命令级的网络访问控制 测评项编号 ADT-FW-02 对应要求 应对进出网络的信息容进行过滤， 实现对 应用层 HTTP、FTP、TELNET、SMTP 、 POP3 等协议命令级的控制 测评项名称 协议命令级的网络访问控制 测评分项 1： 实现应用层 HTTP 、FTP、TELNET、SMTP 、POP3 等协议命令级的控 制 操作步骤 检查防火墙对 HTTP

4、、FTP、TELNET、SMTP 、POP3 协议的容过滤配 置 适用版本 任何产品 精彩文档 实用标准文案 实施风险 无 符合性判定 如防火墙应用层协议容过滤配置中配置的参数包含 URL 地址、收件人、 FTP 下载的文件类型等，判定结果为符合； 若无上述参数，协议命令级的网络访问控制判定结果为不符合。 备注 3会话连接超时处理 测评项编号 ADT-FW-03 对应要求 应在会话处于非活跃一定时间或会话结 束后终止网络连接 测评项名称 会话连接超时处理 测评分项 1： 防火墙上设置会话连接超时 在管理界面上， 查看是否设置了会话连接超时。 操作步骤 适用版本 任何产品 实施风险 无 管理界面

5、上， 查看设置的会话连接超时间， 且时间设置的合理， 判定结 果为符合。 符合性判定 管理界面上， 未设置会话连接超时时间， 判定结果为不符合。 若时间设 置的不合理，则判定为部分符合。 精彩文档 实用标准文案 备注 4网络流量和最接数的限制 测评项编号 ADT-FW-04 对应要求 在互联网出口和核心网络接口处应限制 网络最大流量数及网络连接数 测评项名称 网络流量和最接数的限制 测评分项 1 ： 根据 IP 地址、端口、协议来限制应用数据流的最大流量，根据 IP 地 址限制网络连接数 操作步骤 访谈网络管理员， 是否需要限制网络最大流量和网络连接数。 在管理界 面上，查看是否设置了网络最大

6、流量和网络连接数。 适用版本 任何产品 实施风险 无 符合性判定 管理界面上，查看设置了最大流量数和网络连接数，判定结果为符合。 如访谈结果显示不需要设置网络最大流量和网络连接数， 判定结果也为 符合。 管理界面上，未设置最大流量数，判定结果为不符合。 备注 、安全审计 精彩文档 实用标准文案 1日志记录 测评项编号 ADT-FW-05 对应要求 应对网络系统中的网络设备运行状况、 网 络流量、用户行为等进行日志记录 测评项名称 防火墙日志记录 测评分项 1： 防火墙记录防火墙的管理行为、设备运行状况和网络流量。 操作步骤 查看防火墙的日志， 是否存在防火墙的管理行为、 网络流量、 访问控制

7、策略的匹配等相关日志记录 适用版本 任何产品 实施风险 无 符合性判定 存在防火墙的管理行为、 网络流量、访问控制策略的匹配等相关日志记 录，判定结果为符合 包含上述容不全面，判定结果为部分符合 测评分项 2： 审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等 操作步骤 查看日志记录容，是否包含事件的日期和时间、用户、 事件类型、事件 结果 适用版本 所有容 实施风险 无 精彩文档 实用标准文案 符合性判定 包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合 包含上述容不全面，判定结果为部分符合 备注 2日志分析 测评项编号 ADT-FW-06 对应要求 应能够根据记录

8、数据进行分析， 并生成审 计报表 测评项名称 日志分析 测评分项 1：查询各种审计数据的分析结果并生成报表 操作步骤 登陆防火墙管理界面，分类统计已有的审计数据，并选择生成图表 适用版本 任何产品 实施风险 无 符合性判定 根据防火墙支持的分类统计方法分析审计记录数据， 并生成图表，判定 结果为符合 防火墙不能分析已有的审计记录以生成数据和图表， 判定结果为不符合 备注 3 审计记录的保护 精彩文档 实用标准文案 测评项编号 ADT-FW-07 对应要求 应对审计记录进行保护， 避免受到未预期 的删除、修改或覆盖等 测评项名称 审计记录的保护 测评分项 1： 审计记录的完好性保护 操作步骤 访

9、谈网络设备管理员，采取了何种方法来避免审计日志的未授权修改、 删除和破坏 适用版本 任何产品 实施风险 无 符合性判定 访谈结果显示， 采取了方法如设置日志服务器来保护审计日志， 判定结 果为符合 访谈结果显示， 未采取方法如设置日志服务器来保护审计日志， 判定结 果为不符合 备注 三、设备防护 1身份鉴别 测评项编号 ADT-FW-08 对应要求 应对登陆网络设备的用户进行身份鉴别 测评项名称 身份鉴别 精彩文档 实用标准文案 测评分项 1： 用户登录设备的身份鉴别过程 操作步骤 检查设备管理员采用何种方式登录， 是否对登陆用户进行身份鉴别， 是 否修改了默认的用户名及密码 适用版本 所有容

10、 实施风险 无 符合性判定 登陆失败，判定结果为符合 登陆成功，判定结果为失败 备注 2设备管理地址的限制 测评项编号 ADT-FW-09 对应要求 应对网络设备的管理员登录地址进行限 制 测评项名称 设备管理地址的限制 测评分项 1： 限制设备管理员的登录地址 操作步骤 登录防火墙管理界面，检查是否设置管理员的登录主机地址 适用版本 所有容 实施风险 无 精彩文档 实用标准文案 符合性判定 设置了管理员的登录主机地址，判定结果为符合 未设置管理员的登录主机地址，判定结果为不符合 备注 3身份标识唯 测评项编号 ADT-FW-10 对应要求 网络设备标识应唯一；同一网络设备的用 户标识应唯一；

11、禁止多个人员共用一个账 号 测评项名称 身份标识唯一 测评分项 1： 同一网络设备的用户标识唯一 操作步骤 登录防火墙管理界面，检查是否存在同名用户 适用版本 所有容 实施风险 无 符合性判定 不存在同名用户，判定结果为符合 存在同名用户，判定结果为不符合 测评分项 2： 禁止多个人员共用一个账号 操作步骤 访谈网络管理员，是否为每个管理员设置了单独的账户 精彩文档 实用标准文案 适用版本 所有容 实施风险 无 符合性判定 访谈结果表明，为每个用户设置了单独账户，判定结果为符合 访谈结果表明，未为每个用户设置单独账户，判定结果为不符合 备注 4身份鉴别信息不易被冒用 测评项编号 ADT-FW-

12、11 对应要求 身份鉴别信息应不易被冒用， 口令复杂度 应满足要求并定期更换。 应修改默认用户 和口令，不得使用缺省口令， 口令长度不 得小于 8 位，要是是字母和数字或特殊 字符的混合并不得与用户名相同， 口令应 定期更换，并加密存储 测评项名称 身份鉴别信息不易被冒用 测评分项 1：口令复杂度满足要求 操作步骤 访谈设备管理员，口令的复杂度要求和更改周期 适用版本 任何产品 精彩文档 实用标准文案 实施风险 无 符合性判定 口令复杂度满足长度、复杂度等要求，并定期更换，判定结果为符合 部分要求不满足，判定结果为部分符合 要求全部满足，判定结果为不符合 备注 5双因子身份鉴别 测评项编号 A

13、DT-FW-12 对应要求 主要网络设备应对同一用户选择两种或 两种以上组合的鉴别技术来进行身份鉴 别 测评项名称 双因子身份鉴别 测评分项 1：采用双因子身份鉴别方式 操作步骤 检查管理员登录防火墙是否采用双因子身份鉴别方式 适用版本 任何产品 实施风险 无 符合性判定 除用户 +口令的身份鉴别方式外，还采取 USB KEY或令牌的身份鉴别 方式，判定结果为符合 仅采用用户 + 口令的身份鉴别方式，判定结果为不符合 精彩文档 实用标准文案 备注 6登录失败和超时处理 测评项编号 ADT-FW-13 对应要求 应具有登录失败处理功能， 可采取结束会 话、限制非法登录次数和当网络登录连接 超时自

14、动退出等措施 测评项名称 登录失败和超时处理 测评分项 1：登录失败处理方式 操作步骤 访谈管理员，检查登录失败后采取的处理方式 适用版本 任何产品 实施风险 无 符合性判定 用户登录失败一定次数后， 采取用户锁定、 结束会话等措施， 判定结果 为符合 无用户登录失败次数限制，判定结果为不符合 测评分项 2：登录超时处理 操作步骤 访谈网络管理员， 检查网络连接超时时是否采取注销会话、 自动退出等 措施。 适用版本 任何产品 精彩文档 实用标准文案 实施风险 无 符合性判定 具有登录超时退出处理机制的，判定结果为符合 不具有登录超时退出处理机制的，判定结果为不符合 备注 7远程管理信息的性 测评项编号 ADT-FW-14 对应要求 当对网络设备进行远程管理时， 应采取必 要措施防止鉴别信息在网络传输过程中 被窃听 测评项名称 远程管理信息的性 测评分项 1：管理员远程登录防火墙时，应采取加密措施防窃听 操作步骤 访谈网络管理员， 是否存在远程登录管理行为， 检查身份鉴别信息是否 采用加密措施。 适用版本 任何产品 实施风险 无 符合性判定 远