12SGISLOPSA1410 防火墙等级保护测评作业指导书三级Word格式文档下载.docx
《12SGISLOPSA1410 防火墙等级保护测评作业指导书三级Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《12SGISLOPSA1410 防火墙等级保护测评作业指导书三级Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
批准人
批准日期
备注
1
SGISL/OP-SA14-10
唐斐
按公安部要求修订
詹雄
2010.3.8
一、网络访问控制访问
1.端口级的访问控制
测评项编号
ADT-FW-01
对应要求
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级
测评项名称
端口级的网络访问控制
测评分项1:
查看防火墙缺省规则是否为默认禁止
操作步骤
在管理界面中,查看防火墙已有的安全规则。
适用版本
任何版本
实施风险
无
符合性判定
访谈网络管理员,防火墙的缺省规则。
如为默认允许,则应查看防火墙的最后一条安全规则,如果不是拒绝从any到any的任何协议通过,判定结果为不符合;
其它情况,判定结果为符合。
测评分项2:
检查防火墙控制粒度是否为端口级
访谈网络管理员,确定防火墙应允许/拒绝的网络服务的连接。
查看防火墙规则,验证控制粒度是否为端口级。
任何产品
查看防火墙所配置的访问控制规则,规则设置的参数包括端口,判定结果为符合;
查看防火墙所配置的访问控制规则,规则设置的参数不包括端口,判定结果为不符合。
2.协议命令级的网络访问控制
ADT-FW-02
应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制
协议命令级的网络访问控制
实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制
检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置
如防火墙应用层协议内容过滤配置中配置的参数包含URL地址、收件人、FTP下载的文件类型等,判定结果为符合;
若无上述参数,协议命令级的网络访问控制判定结果为不符合。
3.会话连接超时处理
ADT-FW-03
应在会话处于非活跃一定时间或会话结束后终止网络连接
会话连接超时处理
防火墙上设置会话连接超时
在管理界面上,查看是否设置了会话连接超时。
管理界面上,查看设置的会话连接超时间,且时间设置的合理,判定结果为符合。
管理界面上,未设置会话连接超时时间,判定结果为不符合。
若时间设置的不合理,则判定为部分符合。
4.网络流量和最大连接数的限制
ADT-FW-04
在互联网出口和核心网络接口处应限制网络最大流量数及网络连接数
网络流量和最大连接数的限制
根据IP地址、端口、协议来限制应用数据流的最大流量,根据IP地址限制网络连接数
访谈网络管理员,是否需要限制网络最大流量和网络连接数。
在管理界面上,查看是否设置了网络最大流量和网络连接数。
管理界面上,查看设置了最大流量数和网络连接数,判定结果为符合。
如访谈结果显示不需要设置网络最大流量和网络连接数,判定结果也为符合。
管理界面上,未设置最大流量数,判定结果为不符合。
二、安全审计
1.日志记录
ADT-FW-05
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录
防火墙日志记录
防火墙记录防火墙的管理行为、设备运行状况和网络流量。
查看防火墙的日志,是否存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录
存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录,判定结果为符合
包含上述内容不全面,判定结果为部分符合
审计记录应包括:
事件的日期和时间、用户、事件类型、事件结果等
查看日志记录内容,是否包含事件的日期和时间、用户、事件类型、事件结果
所有内容
包含事件的日期和时间、用户、事件类型、事件结果,判定结果为符合
2.日志分析
ADT-FW-06
应能够根据记录数据进行分析,并生成审计报表
日志分析
查询各种审计数据的分析结果并生成报表
登陆防火墙管理界面,分类统计已有的审计数据,并选择生成图表
根据防火墙支持的分类统计方法分析审计记录数据,并生成图表,判定结果为符合
防火墙不能分析已有的审计记录以生成数据和图表,判定结果为不符合
3.审计记录的保护
ADT-FW-07
应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等
审计记录的保护
审计记录的完好性保护
访谈网络设备管理员,采取了何种方法来避免审计日志的未授权修改、删除和破坏
访谈结果显示,采取了方法如设置日志服务器来保护审计日志,判定结果为符合
访谈结果显示,未采取方法如设置日志服务器来保护审计日志,判定结果为不符合
三、设备防护
1.身份鉴别
ADT-FW-08
应对登陆网络设备的用户进行身份鉴别
身份鉴别
用户登录设备的身份鉴别过程
检查设备管理员采用何种方式登录,是否对登陆用户进行身份鉴别,是否修改了默认的用户名及密码
登陆失败,判定结果为符合
登陆成功,判定结果为失败
2.设备管理地址的限制
ADT-FW-09
应对网络设备的管理员登录地址进行限制
设备管理地址的限制
限制设备管理员的登录地址
登录防火墙管理界面,检查是否设置管理员的登录主机地址
设置了管理员的登录主机地址,判定结果为符合
未设置管理员的登录主机地址,判定结果为不符合
3.身份标识唯一
ADT-FW-10
网络设备标识应唯一;
同一网络设备的用户标识应唯一;
禁止多个人员共用一个账号
身份标识唯一
同一网络设备的用户标识唯一
登录防火墙管理界面,检查是否存在同名用户
不存在同名用户,判定结果为符合
存在同名用户,判定结果为不符合
禁止多个人员共用一个账号
访谈网络管理员,是否为每个管理员设置了单独的账户
访谈结果表明,为每个用户设置了单独账户,判定结果为符合
访谈结果表明,未为每个用户设置单独账户,判定结果为不符合
4.身份鉴别信息不易被冒用
ADT-FW-11
身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。
应修改默认用户和口令,不得使用缺省口令,口令长度不得小于8位,要是是字母和数字或特殊字符的混合并不得与用户名相同,口令应定期更换,并加密存储
身份鉴别信息不易被冒用
口令复杂度满足要求
访谈设备管理员,口令的复杂度要求和更改周期
口令复杂度满足长度、复杂度等要求,并定期更换,判定结果为符合
部分要求不满足,判定结果为部分符合
要求全部满足,判定结果为不符合
5.双因子身份鉴别
ADT-FW-12
主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别
双因子身份鉴别
采用双因子身份鉴别方式
检查管理员登录防火墙是否采用双因子身份鉴别方式
除用户+口令的身份鉴别方式外,还采取USBKEY或令牌的身份鉴别方式,判定结果为符合
仅采用用户+口令的身份鉴别方式,判定结果为不符合
6.登录失败和超时处理
ADT-FW-13
应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施
登录失败和超时处理
登录失败处理方式
访谈管理员,检查登录失败后采取的处理方式
用户登录失败一定次数后,采取用户锁定、结束会话等措施,判定结果为符合
无用户登录失败次数限制,判定结果为不符合
登录超时处理
访谈网络管理员,检查网络连接超时时是否采取注销会话、自动退出等措施。
具有登录超时退出处理机制的,判定结果为符合
不具有登录超时退出处理机制的,判定结果为不符合
7.远程管理信息的保密性
ADT-FW-14
当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
远程管理信息的保密性
管理员远程登录防火墙时,应采取加密措施防窃听
访谈网络管理员,是否存在远程登录管理行为,检查身份鉴别信息是否采用加密措施。
远程管理信息采取加密措施,判定结果为符合
远程管理信息明文传输,判定结果为不符合
8.特权用户权限分离
ADT-FW-15
应实现设备特权用户的权限分离
特权用户的权限分离
访谈网络管理员,检查设备特权用户的权限是否分离
防火墙的管理员具备独立的审计账户,仅具有查看权限,判定结果为符合
上述情况不满足,判定结果为不符合