防火墙测评指导书

1、序号类别测评项测评实施预期结果说明1访问控制b应能根据会话状态信息为数据流提供明确的允许/拒绝访问的水平,限制粒度为端口级；1检查访问限制策略列表,查看是否配置了明确的允许/拒绝的访问水平,限制颗粒度为端口级.输入“getconfig命令,应存在如下类似配置：setpolicyid1formTrusttoUntrustanyanyftppermit1防火墙平安策略具备源IP地址、目标IP地址、允许/拒绝和应用效劳端口号.c应对进出网络的信息内容进行过滤,实现又应用层HIIRFTP、TELNETSMTPPOP3等协议命令级的限制；1检查防火墙平安策略是否对重要数据流启用应用层协议深层检测.1防火

2、墙平安策略配置并启用了DeepInspection.深度检测包括smtppop3ftp,启用深度检测后可能会影响防火墙的处理性能.d应在会话处于非活泼一定时间或会话结束后终止网络连接；1访谈系统治理员,是否在会话处于非活泼一定时间或会话结束后终止网络连接；1防火墙能够根据业务需要在没有数据传输一段时间后终止网络会话连接.序号类别测评项测评实施预期结果说明e应限制网络最大流量数及网络连接数；1访谈系统治理员并检查防火墙配置,是否限制网络最大流量数及网络连接数.输入“getconfig命令,应存在如下类似配置：setzonedmzscreenlimit-sessionsource-ip-based

3、1setzonedmzscreenlimit-sessionsource-ip-basedsetzonetrustscreenlimit-sessionsource-ip-based80setzonetrustscreenlimit-sessionsource-ip-basedsetzoneuntrustscreenlimit-sessiondestination-ip-based4000依据业务需求设定此值setzoneuntrustscreenlimit-sessiondestination-ip-basedsetflowaginglow-watermark70setflowaginghi

4、gh-watermark80setflowagingearly-ageout41防火墙配置并启用基于源IP地址和基于目标IP地址的抗攻击设置.f重要网段应米取技术手段防止地址欺骗；N/A该功能一般由接入交换机实现.序号类别测评项测评实施预期结果说明g应按用户和系统之间的允许访问规那么,决定允许或拒绝用户对受控系统进行资源访问,限制粒度为单个用户；N/A该设备无拨号功能.h应限制具有拨号访问权限的用户数量.N/A该设备无拨号功能.2安全审计a应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；1检查防火墙是否开启日志功能.WebGUI方式：进入reports->system

5、log->event选择时间级另1J进行查询,configuration->reportsettings->syslog是否设置日志效劳器.命令方式：输入“getconfig命令,应存在如下类似配置：Setsyslogconfigport1514SetsyslogconfiglogallSetsyslogconfigfacilitieslocal.local.Setsyslogconfigtransporttcp1防火墙设置日志效劳器,并使用Syslog方式或者SNM所式将日志发送到日志效劳器.序号类别测评项测评实施预期

6、结果说明b审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；1查看防火墙系统日志和策略日志情况.通过输入如下命令进行查看.geteventlevelnotification1系统日志和策略日志的日志信息中包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息.开启实时监测功能会影响防火墙的性能c应能够根据记录数据进行分析,并生成审计报表；1访谈网络治理员采用了什么手段实现了审计记录数据的分析和报表生成.输入“getconfig命令,应存在如下类似配置：Setwebtrendshost-name5Setwebtrends

7、port514SetwebtrendsenableSetlogmodulesystemlevelnotificationdestinationwebtrends1具有相关的技木举措WebtrendsfirewallSuite、HPOpenViewReportServer等等能够对防火墙日志进行集中治理、统计和分析汇总.d应对审计记录进行保护,预防受到未预期的删除、修改或覆盖等.1访谈网络设备治理员采用了何种手段预防了审计日志的未授权修改、删除和破坏.1防火墙的日志信息转发至日志效劳器,同时防火墙本地缓存日志.序号类别测评项测评实施预期结果说明3网络设备防护a应对登录网络设备的用户进行身份鉴别；

8、1检查登录认证力式.1治理员登录防火墙时进行身份鉴另b应对网络设备的治理员登录地址进行限制；1检查是否酉己置特定IP地址并且只能从该IP地址进行治理.WebUI治理方式：进入WebUI治理界面,configuration->admin->permittedIPs,查看治理IP地址配置情况.或命令行方式：通过命令行输入"getconfig命令,存在如下类似配置.MGE设置治理地址和治理方式：Setinterfacemgtip/24数据口设置治理地址和治理方式：Setinterfaceethernet1manage-ip限制治理主机地址：Seta

9、dminmanager-ip1配置了治理员登录IP地址.c网络设备用户的标识应唯一；1通过命令行输入"getconfig"命令,存在如下类似配置.setadminuserRogerpassword2bd21wG7privilegeread-onlysetadminuserSmithpassword3MAb99j2privilegeall根据上述类似配置访谈网络治理员了解防火墙设备各账户的使用情况.1不同的管埋员均分配了/、同的登录账户,无共用账户.序号类别测评项测评实施预期结果说明d主要网络设备应对同一用户选择两种或两种以上组

10、合的鉴别技术来进行身份鉴别；1检查治理员登录防火墙的身份鉴别方式,如通过Radius效劳器实现数字证书认证和用户名密码认证.1采用两种或两种以上的身份鉴别方式.e身份鉴别信息应具后不易被冒用的特点,口令应有复杂度要求并定期更换；1访谈网络治理员登录账户的口令长度、口令更改周期和口令复杂度.通过命令行输入"getconfig命令,存在如下类似配置：Setadminpasswordrestrictlengthxx1口令长度8位以上,规定更改周期,口令组成包括数字、字母和特殊字符等,非默认用户名和密码.f应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等

11、举措.1通过命令行输入getconfig命令,查看是否存在如下类似配置,包括登录尝试次数、登录失败锁定时间及登录超时时间等.默认登录尝试次数为3次；登录失败锁定时间为1分钟setadminaccessattempts3setadminaccesslock-on-failure1setadminauthtimeout31有登录失败次数限制,最好不超过5次；有登录失败锁定时间设置；登录超时时间不为0.默认配置即符合要求.关注是否修改了默认配置.g当对网络设备进行远程治理时,应采取必要举措预防鉴别信息在网络传输过程中被窃听1检查治理员登录治理方式.通过命令行输入"getconfig命令,存

12、在如下类似配置.setsslenablesetsshenablesetinterfaceethernet1managesshsetinterfaceethernet1managesslsetadminredirectsetadmintelnetaccesstunnelunsetadmintelnet10241远程治理米取平安方式,如SSSH等,未启用telnet明文方式.序号类别测评项测评实施预期结果说明h应实现设备特权用户的权限分离.1检查防火墙配置,点击con巾g->admin->administrators,查看治理员配置情况.或通过命令行输入"getconfig命令,存在如下类似配置：SetadminuserJackpasswordxxxxprivilegeallSetadminuserSmithpasswordxxxxprivilegeread-only1具备/、同治理权限的用户,如根用户、读写治理员、只读治理员.备a应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放；1访谈网络治理员防火墙配置数据是否有备份机制？是否有异地备份？1防火墙配置数据应该定期备份,或当防火墙配置发生更改时