12-SGISLOP-SA14-10 防火墙等级保护测评作业指导书(三级).doc

控制编号 控制编号：SGISL/OP-SA14-10 信息安全等级保护测评作业指导书 防火墙（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 20 中国电力科学研究院信息安全实验室 中国电力科学研究院信息安全实验室 控制编号：SGISL/OP-SA14-10 第 PAGE 1 页 共 SECTIONPAGES 13 页 防火墙等级保护测评作业指导书（三级） 第 2 版 第 0 次修订 发布日期：2010年01月06日 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA14-10 唐斐 按公安部要求修订 詹雄 2010.3.8 一、网络访问控制访问 1．端口级的访问控制 测评项编号 ADT-FW-01 对应要求 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级 测评项名称 端口级的网络访问控制 测评分项1：查看防火墙缺省规则是否为默认禁止 操作步骤 在管理界面中，查看防火墙已有的安全规则。 适用版本 任何版本 实施风险 无 符合性判定 访谈网络管理员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则，如果不是拒绝从any到any 的任何协议通过，判定结果为不符合； 其它情况，判定结果为符合。 测评分项2：检查防火墙控制粒度是否为端口级 操作步骤 访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则，验证控制粒度是否为端口级。 适用版本 任何产品 实施风险 无 符合性判定 查看防火墙所配置的访问控制规则，规则设置的参数包括端口，判定结果为符合； 查看防火墙所配置的访问控制规则，规则设置的参数不包括端口，判定结果为不符合。 备注 2．协议命令级的网络访问控制 测评项编号 ADT-FW-02 对应要求 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制 测评项名称 协议命令级的网络访问控制 测评分项1： 实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制 操作步骤 检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置 适用版本 任何产品 实施风险 无 符合性判定 如防火墙应用层协议内容过滤配置中配置的参数包含URL地址、收件人、FTP下载的文件类型等，判定结果为符合； 若无上述参数，协议命令级的网络访问控制判定结果为不符合。 备注 3．会话连接超时处理 测评项编号 ADT-FW-03 对应要求 应在会话处于非活跃一定时间或会话结束后终止网络连接 测评项名称 会话连接超时处理 测评分项1： 防火墙上设置会话连接超时 操作步骤 在管理界面上，查看是否设置了会话连接超时。 适用版本 任何产品 实施风险 无 符合性判定 管理界面上，查看设置的会话连接超时间，且时间设置的合理，判定结果为符合。 管理界面上，未设置会话连接超时时间，判定结果为不符合。若时间设置的不合理，则判定为部分符合。 备注 4．网络流量和最大连接数的限制 测评项编号 ADT-FW-04 对应要求 在互联网出口和核心网络接口处应限制网络最大流量数及网络连接数 测评项名称 网络流量和最大连接数的限制 测评分项1： 根据IP地址、端口、协议来限制应用数据流的最大流量，根据IP地址限制网络连接数 操作步骤 访谈网络管理员，是否需要限制网络最大流量和网络连接数。在管理界面上，查看是否设置了网络最大流量和网络连接数。 适用版本 任何产品 实施风险 无 符合性判定 管理界面上，查看设置了最大流量数和网络连接数，判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数，判定结果也为符合。 管理界面上，未设置最大流量数，判定结果为不符合。 备注 二、安全审计 1．日志记录 测评项编号 ADT-FW-05 对应要求 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 测评项名称 防火墙日志记录 测评分项1： 防火墙记录防火墙的管理行为、设备运行状况和网络流量。 操作步骤 查看防火墙的日志，是否存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录 适用版本 任何产品 实施风险 无 符合性判定 存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录，判定结果为符合 包含上述内容不全面，判定结果为部分符合 测评分项2： 审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等 操作步骤 查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果 适用版本 所有内容 实施风险 无 符合性判定 包含事件的日期和时间、用户、事件类型、事