12SGISLOPSA1410防火墙等级保护测评作业指导书三级Word下载.docx

1、批准人批准日期备注1SGISL/OP-SA14-10唐斐按公安部要求修订詹雄2010.3.8一、网络访问控制访问1端口级的访问控制测评项编号ADT-FW-01对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级测评项名称端口级的网络访问控制测评分项1：查看防火墙缺省规则是否为默认禁止操作步骤在管理界面中，查看防火墙已有的安全规则。适用版本任何版本实施风险无符合性判定访谈网络管理员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则，如果不是拒绝从any到any 的任何协议通过，判定结果为不符合；其它情况，判定结果为符合。测评分项2：检查防火墙控制粒

2、度是否为端口级访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则，验证控制粒度是否为端口级。 任何产品查看防火墙所配置的访问控制规则，规则设置的参数包括端口，判定结果为符合；查看防火墙所配置的访问控制规则，规则设置的参数不包括端口，判定结果为不符合。2协议命令级的网络访问控制ADT-FW-02应对进出网络的信息容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制协议命令级的网络访问控制 实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的容过

3、滤配置如防火墙应用层协议容过滤配置中配置的参数包含URL地址、收件人、FTP下载的文件类型等，判定结果为符合；若无上述参数，协议命令级的网络访问控制判定结果为不符合。3会话连接超时处理ADT-FW-03应在会话处于非活跃一定时间或会话结束后终止网络连接会话连接超时处理 防火墙上设置会话连接超时在管理界面上，查看是否设置了会话连接超时。管理界面上，查看设置的会话连接超时间，且时间设置的合理，判定结果为符合。管理界面上，未设置会话连接超时时间，判定结果为不符合。若时间设置的不合理，则判定为部分符合。4网络流量和最接数的限制ADT-FW-04在互联网出口和核心网络接口处应限制网络最大流量数及网络连接

4、数网络流量和最接数的限制 根据IP地址、端口、协议来限制应用数据流的最大流量，根据IP地址限制网络连接数访谈网络管理员，是否需要限制网络最大流量和网络连接数。在管理界面上，查看是否设置了网络最大流量和网络连接数。管理界面上，查看设置了最大流量数和网络连接数，判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数，判定结果也为符合。管理界面上，未设置最大流量数，判定结果为不符合。二、安全审计1日志记录ADT-FW-05应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录防火墙日志记录 防火墙记录防火墙的管理行为、设备运行状况和网络流量。查看防火墙的日志，是否存在防火墙的管

5、理行为、网络流量、访问控制策略的匹配等相关日志记录存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录，判定结果为符合包含上述容不全面，判定结果为部分符合 审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等查看日志记录容，是否包含事件的日期和时间、用户、事件类型、事件结果所有容包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合2日志分析ADT-FW-06应能够根据记录数据进行分析，并生成审计报表日志分析查询各种审计数据的分析结果并生成报表登陆防火墙管理界面，分类统计已有的审计数据，并选择生成图表根据防火墙支持的分类统计方法分析审计记录数据，并生成图表，判定结果

6、为符合防火墙不能分析已有的审计记录以生成数据和图表，判定结果为不符合3审计记录的保护ADT-FW-07应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等审计记录的保护 审计记录的完好性保护访谈网络设备管理员，采取了何种方法来避免审计日志的未授权修改、删除和破坏访谈结果显示，采取了方法如设置日志服务器来保护审计日志，判定结果为符合访谈结果显示，未采取方法如设置日志服务器来保护审计日志，判定结果为不符合三、设备防护1身份鉴别ADT-FW-08应对登陆网络设备的用户进行身份鉴别身份鉴别 用户登录设备的身份鉴别过程检查设备管理员采用何种方式登录，是否对登陆用户进行身份鉴别，是否修改了默认的用户名

7、及密码登陆失败，判定结果为符合登陆成功，判定结果为失败2设备管理地址的限制ADT-FW-09应对网络设备的管理员登录地址进行限制设备管理地址的限制 限制设备管理员的登录地址登录防火墙管理界面，检查是否设置管理员的登录主机地址设置了管理员的登录主机地址，判定结果为符合未设置管理员的登录主机地址，判定结果为不符合3身份标识唯一ADT-FW-10网络设备标识应唯一；同一网络设备的用户标识应唯一；禁止多个人员共用一个账号身份标识唯一 同一网络设备的用户标识唯一登录防火墙管理界面，检查是否存在同名用户不存在同名用户，判定结果为符合存在同名用户，判定结果为不符合 禁止多个人员共用一个账号访谈网络管理员，是

8、否为每个管理员设置了单独的账户访谈结果表明，为每个用户设置了单独账户，判定结果为符合访谈结果表明，未为每个用户设置单独账户，判定结果为不符合4身份鉴别信息不易被冒用ADT-FW-11身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换。应修改默认用户和口令，不得使用缺省口令，口令长度不得小于8位，要是是字母和数字或特殊字符的混合并不得与用户名相同，口令应定期更换，并加密存储身份鉴别信息不易被冒用口令复杂度满足要求访谈设备管理员，口令的复杂度要求和更改周期口令复杂度满足长度、复杂度等要求，并定期更换，判定结果为符合部分要求不满足，判定结果为部分符合要求全部满足，判定结果为不符合5双因子身份鉴

9、别ADT-FW-12主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别双因子身份鉴别采用双因子身份鉴别方式 检查管理员登录防火墙是否采用双因子身份鉴别方式除用户+口令的身份鉴别方式外，还采取USB KEY或令牌的身份鉴别方式，判定结果为符合仅采用用户+口令的身份鉴别方式，判定结果为不符合6登录失败和超时处理ADT-FW-13应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施登录失败和超时处理登录失败处理方式 访谈管理员，检查登录失败后采取的处理方式用户登录失败一定次数后，采取用户锁定、结束会话等措施，判定结果为符合无用户登录失败次数限

10、制，判定结果为不符合登录超时处理访谈网络管理员，检查网络连接超时时是否采取注销会话、自动退出等措施。具有登录超时退出处理机制的，判定结果为符合不具有登录超时退出处理机制的，判定结果为不符合7远程管理信息的性ADT-FW-14当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听远程管理信息的性管理员远程登录防火墙时，应采取加密措施防窃听访谈网络管理员，是否存在远程登录管理行为，检查身份鉴别信息是否采用加密措施。远程管理信息采取加密措施，判定结果为符合远程管理信息明文传输，判定结果为不符合8特权用户权限分离ADT-FW-15应实现设备特权用户的权限分离特权用户的权限分离 访谈网络管理员，检查设备特权用户的权限是否分离防火墙的管理员具备独立的审计账户，仅具有查看权限，判定结果为符合上述情况不满足，判定结果为不符合