网络安全---防火墙基线检查指导书1.0版.docVIP

XXXX安全中心 编号： 基线检查指导书 基础网络安全-防火墙 V1.0 XXXX安全中心 序号 类别 检查项 检查方法 预期结果 符合情况 1 访问控制 a) 应在网络边界部署访问控制设备，启用访问控制功能； 检查： 查看网络拓扑结构，判断是否在网络边界处部署了防火墙等访问控制设备，若果部署了防火墙，则登录到设备上，在防火墙访问控制界面，查看是否配置了访问控制策略并启用。 在防火墙访问控制界面，配置了访问控制策略并启用。 b)访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 检查： 登录到防火墙上，在防火墙访问控制界面，查看相关访问控制策略，分析其可用性和有效性。 在防火墙访问控制界面，存在合理的访问控制策略。 c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 检查： 在内容过滤过滤策略界面，检查过滤策略，检查对HTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置。 在内容过滤过滤策略界面，对HTP、FTP、TELNET、SMTP、POP3协议进行了内容过滤。 d) 应在会话处于非活跃一定时间或会话结束后终止网络连接； 检查： 会话处于非活跃一定时间或会话结束后，是否终止网络连接。 在系统管理配置界面的“系统参数”页签，勾选“高级属性”复选框，配置了合理的连接超时时间。 e) 应限制网络最大流量数及网络连接数； 检查： 1）在网络管理流量管理界面，激活“带宽控制”页签，检查是否配置了针对物理接口、聚合端口、GRE虚接口、Ipsec虚接口或SV虚接口的带宽策略。 2）在入侵防御主机限制界面，激活“主机限制”、“范围限制”、“子网限制”页签，检查是否配置了针对主机地址、地址范围、整个子网的并发连接数限制策略。 1）在网络管理流量管理界面的“带宽控制”页签，配置了针对物理接口、聚合端口、GRE虚接口、Ipsec虚接口或SV虚接口的带宽策略； 2）在入侵防御主机限制界面的“主机限制”、“范围限制”、“子网限制”页签，配置了针对主机地址、地址范围、整个子网的并发连接数限制策略。 f) 重要网段应采取技术手段防止地址欺骗； 检查： 1）在网络管理接口界面，激活“物理接口”页签，打开重要网段的接口条目右侧的“设置”菜单，检查“反向路径查询”是否为“开”； 2）在防火墙IP/MAC绑定界面，查看是否存在相应的IP地址的绑定策略。 1）在网络管理接口界面的“物理接口”页签，打开重要网段的接口条目右侧的“设置”菜单，其中“反向路径查询”项为“开”； 2）在防火墙IP/MAC绑定界面存在相应的IP地址的绑定策略。 g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 检查： 是否对远程用户访问受控资源进行有效控制。 1）对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）通过拨号或VPN等方式接入网络时，采用了强认证方式（证书、KEY等）。 h) 应限制具有拨号访问权限的用户数量。 检查： 是否限制具有远程访问权限的用户数量。 限制了具有远程访问权限的用户数量。 2 安全审计 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 检查： 在日志与报警日志设置界面，查看是否配置了正确的日志记录项信息。 在日志与报警日志设置界面，配置了正确的日志记录项信息。 b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 检查： 在日志服务器上，在功能日志查询界面并打开“审计域”页签，根据IP地址选择防火墙并对该防火墙的日志进行查看和审计。 在功能日志查询界面的“审计域”页签，有根据IP地址选择防火墙并对该防火墙的日志进行查看和审计的记录。 c) 应能够根据记录数据进行分析，并生成审计报表； 检查： 在日志服务器上，在任务报表浏览统计报表界面，查找需要管理的防火墙的日志报表信息。 在任务报表浏览统计报表界面，有防火墙的日志报表信息。 d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 检查： 在日志服务器上，在管理策略任务调度策略界面，查找是否存在相应的“任务调度策略”。 在管理策略任务调度策略界面，存在相应的“任务调度策略”，对日志服务器进行保护。 3 网络设备防护 a) 应对登录网络设备的用户进行身份鉴别； 检查：通过WEB方式、console口命令行方式、SSH方式登录防火墙，测试用户的身份鉴别功能。 1）网络设备使用口令鉴别机制对登录用户进行身份标识和鉴别； 2）登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性； 3）网络设备中不存在密码为