12-SGISLOP-SA14-10-防火墙等级保护测评作业指导书(三级)

1、控制编号：SGISL/OP-SA14-10信息安全等级保护测评作业指导书防火墙（三级）版 号:第 2 版修 改 次 数:第 0 次生 效 日 期：2010年01月06日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10第 17 页 共 1 页防火墙等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA14-10唐斐按公安部要求修订詹雄2010.3。8一、网络访问控制访问1端口级的访问控制测评项编号ADT-FW-0123

2、264 5AE0 嫠31216 79F0 称28984 7138 焸24241 5EB1 庱35766 8BB6 讶j28260 6E64 湤35681 8B61 譡对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级测评项名称端口级的网络访问控制测评分项1：查看防火墙缺省规则是否为默认禁止操作步骤在管理界面中，查看防火墙已有的安全规则.适用版本任何版本实施风险无符合性判定访谈网络管理员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则,如果不是拒绝从any到any 的任何协议通过，判定结果为不符合；其它情况,判定结果为符合。测评分项2：检查防火

3、墙控制粒度是否为端口级操作步骤访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接.查看防火墙规则，验证控制粒度是否为端口级. 适用版本27367 6AE7 櫧=33087 813F 脿O39869 9BBD 鮽20307 4F53 体37914 941A 鐚32109 7D6D 絭任何产品实施风险无符合性判定查看防火墙所配置的访问控制规则,规则设置的参数包括端口，判定结果为符合；查看防火墙所配置的访问控制规则，规则设置的参数不包括端口，判定结果为不符合.备注2协议命令级的网络访问控制测评项编号ADT-FW02对应要求应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET

4、、SMTP、POP3等协议命令级的控制测评项名称协议命令级的网络访问控制测评分项1： 实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制操作步骤检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置适用版本39422 99FE 駾37190 9146 酆v28622 6FCE 濎37636 9304 錄21116 527C 剼28537 6F79 潹任何产品实施风险无符合性判定如防火墙应用层协议内容过滤配置中配置的参数包含URL地址、收件人、FTP下载的文件类型等，判定结果为符合；若无上述参数，协议命令级的网络访问控制判定结果为不符合。备注

5、3会话连接超时处理测评项编号ADTFW-03对应要求应在会话处于非活跃一定时间或会话结束后终止网络连接测评项名称会话连接超时处理测评分项1： 防火墙上设置会话连接超时操作步骤在管理界面上，查看是否设置了会话连接超时。适用版本O35850 8C0A 谊h34426 867A 虺34064 8510 蔐40315 9D7B 鵻任何产品实施风险无符合性判定管理界面上，查看设置的会话连接超时间，且时间设置的合理，判定结果为符合。管理界面上，未设置会话连接超时时间,判定结果为不符合.若时间设置的不合理，则判定为部分符合。备注4网络流量和最大连接数的限制测评项编号ADTFW04对应要求在互联网出口和核心网

6、络接口处应限制网络最大流量数及网络连接数测评项名称网络流量和最大连接数的限制测评分项1: 根据IP地址、端口、协议来限制应用数据流的最大流量，根据IP地址限制网络连接数操作步骤访谈网络管理员，是否需要限制网络最大流量和网络连接数.在管理界面上，查看是否设置了网络最大流量和网络连接数。适用版本j32278 7E16 縖30854 7886 碆G36743 8F87 辇任何产品实施风险无符合性判定管理界面上,查看设置了最大流量数和网络连接数，判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数，判定结果也为符合。管理界面上，未设置最大流量数,判定结果为不符合。备注二、安全审计1日志记录

7、测评项编号ADT-FW-05对应要求应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录测评项名称防火墙日志记录测评分项1： 防火墙记录防火墙的管理行为、设备运行状况和网络流量.操作步骤查看防火墙的日志，是否存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录28706 7022 瀢K25581 63ED 揭V。33171 8193 膓适用版本任何产品实施风险无符合性判定存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录，判定结果为符合包含上述内容不全面,判定结果为部分符合测评分项2: 审计记录应包括:事件的日期和时间、用户、事件类型、事件结果等操作步骤

8、查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果适用版本所有内容实施风险无符合性判定包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合包含上述内容不全面，判定结果为部分符合备注38083 94C3 铃25134 622E 戮|35235 89A3 覣27729 6C51 汑2日志分析测评项编号ADT-FW06对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称日志分析测评分项1：查询各种审计数据的分析结果并生成报表操作步骤登陆防火墙管理界面，分类统计已有的审计数据，并选择生成图表适用版本任何产品实施风险无符合性判定根据防火墙支持的分类统计方法分析审计记录

9、数据，并生成图表，判定结果为符合防火墙不能分析已有的审计记录以生成数据和图表，判定结果为不符合备注,c340677 9EE5 黥31832 7C58 籘3审计记录的保护测评项编号ADTFW-07对应要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等测评项名称审计记录的保护测评分项1： 审计记录的完好性保护操作步骤访谈网络设备管理员，采取了何种方法来避免审计日志的未授权修改、删除和破坏适用版本任何产品实施风险无符合性判定访谈结果显示，采取了方法如设置日志服务器来保护审计日志，判定结果为符合访谈结果显示，未采取方法如设置日志服务器来保护审计日志，判定结果为不符合备注36659 8F33

10、輳37467 925B 鉛22540 580C 堌_20585 5069 偩22455 57B7 垷三、设备防护1身份鉴别测评项编号ADTFW08对应要求应对登陆网络设备的用户进行身份鉴别测评项名称身份鉴别测评分项1: 用户登录设备的身份鉴别过程操作步骤检查设备管理员采用何种方式登录，是否对登陆用户进行身份鉴别，是否修改了默认的用户名及密码适用版本所有内容实施风险无符合性判定登陆失败,判定结果为符合登陆成功，判定结果为失败40593 9E91 麑H！33895 8467 葧33533 82FD 苽24688 6070 恰39784 9B68 魨备注2设备管理地址的限制测评项编号ADTFW09对

11、应要求应对网络设备的管理员登录地址进行限制测评项名称设备管理地址的限制测评分项1： 限制设备管理员的登录地址操作步骤登录防火墙管理界面，检查是否设置管理员的登录主机地址适用版本所有内容实施风险无符合性判定设置了管理员的登录主机地址，判定结果为符合未设置管理员的登录主机地址，判定结果为不符合+30323 7673 癳629961 7509 甉34342 8626 蘦36212 8D74 赴备注3身份标识唯一测评项编号ADT-FW-10对应要求网络设备标识应唯一;同一网络设备的用户标识应唯一；禁止多个人员共用一个账号测评项名称身份标识唯一测评分项1: 同一网络设备的用户标识唯一操作步骤登录防火墙管

12、理界面,检查是否存在同名用户适用版本所有内容实施风险无符合性判定不存在同名用户，判定结果为符合存在同名用户，判定结果为不符合D28175 6E0F 渏s21200 52D0 勐R26389 6715 朕32640 7F80 羀测评分项2： 禁止多个人员共用一个账号操作步骤访谈网络管理员,是否为每个管理员设置了单独的账户适用版本所有内容实施风险无符合性判定访谈结果表明,为每个用户设置了单独账户,判定结果为符合访谈结果表明，未为每个用户设置单独账户，判定结果为不符合备注4身份鉴别信息不易被冒用测评项编号ADT-FW11对应要求身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。应修改默认用户

13、和口令，不得使用缺省口令，口令长度不得小于8位,要是是字母和数字或特殊字符的混合并不得与用户名相同，口令应定期更换,并加密存储测评项名称身份鉴别信息不易被冒用u24603 601B 怛$V29153 71E1 燡22817 5921 夡=测评分项1：口令复杂度满足要求操作步骤访谈设备管理员，口令的复杂度要求和更改周期适用版本任何产品实施风险无符合性判定口令复杂度满足长度、复杂度等要求,并定期更换，判定结果为符合部分要求不满足,判定结果为部分符合要求全部满足，判定结果为不符合备注5双因子身份鉴别测评项编号ADTFW-12对应要求主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴

14、别测评项名称K21031 5227 刧V;38807 9797 鞗aSj双因子身份鉴别测评分项1：采用双因子身份鉴别方式 操作步骤检查管理员登录防火墙是否采用双因子身份鉴别方式适用版本任何产品实施风险无符合性判定除用户+口令的身份鉴别方式外，还采取USB KEY或令牌的身份鉴别方式,判定结果为符合仅采用用户+口令的身份鉴别方式，判定结果为不符合备注6登录失败和超时处理测评项编号ADT-FW-13对应要求应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施测评项名称30408 76C8 盈38360 95D8 闘31385 7A99 窙22009 55F9

15、嗹A登录失败和超时处理测评分项1:登录失败处理方式 操作步骤访谈管理员,检查登录失败后采取的处理方式适用版本任何产品实施风险无符合性判定用户登录失败一定次数后,采取用户锁定、结束会话等措施,判定结果为符合无用户登录失败次数限制,判定结果为不符合测评分项2：登录超时处理操作步骤访谈网络管理员,检查网络连接超时时是否采取注销会话、自动退出等措施。适用版本任何产品实施风险无34788 87E4 蟤40231 9D27 鴧27813 6CA5 沥31663 7BAF 箯D24157 5E5D 幝K符合性判定具有登录超时退出处理机制的，判定结果为符合不具有登录超时退出处理机制的，判定结果为不符合备注7远程管理信息的保密性测评项编号ADT-FW-14对应要求当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听测评项名称远程管理信息的保密性测评分项1：管理员远程登录防火墙时，应采取加密措施防窃听操作步骤访谈网络管理员，是否存在远程登录管理行为，检查身份鉴别信息是否采用加密措施。适用版本任何产品实施风险无31216 79F0 称28984 7138 焸2