华为路由器测评指导书课件.docVIP

精品 华为路由器测评指导书 测评指标 测评项 测评实施过程 预期结果 结果记录 访问控制 a) 应在网络边界部署访问控制设备，启用访问控制功能； 访谈网络管理员、安全管理员、检查网络拓扑结构，查看是否在网络边界处部署访问控制设备并配置启用了访问控制策略。 网络边界处有访问控制设备 访问控制设备上配置启用了访问控制策略 在网络边界部署了访问控制设备，并且启用了访问控制功能； 在网络边界没有部署访问控制设备； 在网络边界部署了访问控制设备，但没有启用访问控制功能； b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 1）在特权模式下，输入命令display acl config all会输出该路由器相关配置信息。 2）检查配置信息中应当存在类似如下配置信息： acl number 2000 rule deny icmp source any destination any rule permit tcp source destination 0 destination-port eq 443 rule permit tcp source destination 5 destination-port eq 80 interface GigabitEthernet1/1/1 description TO_XX speed 1000 duplex full port access vlan 100 packet-filter inbound ip-group 2000 执行步骤1）有路由器相关配置信息输出 执行步骤2）配置文件中有类似的配置信息输出 访问控制表中有相应的配置信息 访问控制表中有部分的配置信息 访问控制表中没有相应的配置信息 c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。 如果在网络边界处部署了防火墙，该项要求一般通过防火墙来实现 在防火墙上配置对网络信息进行过滤 防火墙有网络信息过滤配置 防火墙没有网络信息过滤配置 d) 应在会话处于非活跃一定时间或会话结束后终止网络连接。 此项不合适，该项要求一般在防火墙上实现 防火墙上配置对非活跃会话终止连接 防火墙上有相关配置 防火墙上没有相关配置 e) 应限制网络最大流量数及网络连接数。 访谈系统管理员，依据实际网络状况是否需要限制网络最大流量数及网络连接数，并检查路由器配置。如果在网络中部署了防火墙，该项要求一般通过防火墙来实现。 在特权模式下输入命令display acl config all 会输出该路由器相关配置信息。 检查配置信息中应当存在类似如下配置信息： 如限制某端口下的10000Kbps访问，则检查配置信息中应当存在类似如下配置项： acl number 3000 rule 1 permit ip interface Ethernet2/1/9 port access vlan 2109 traffic-shape 10000 256 traffic-limit inbound ip-group 3000 rule 1 system-index 28 tc-index 6 10000 1000000 1000000 10000 conform remark-policed-service exceed drop 执行步骤1）显示路由器配置信息 执行步骤2）配置文件中有类似的配置信息输出 路由器中有相应配置信息 路由器中没有相应配置信息 f) 重要网段应采取技术手段防止地址欺骗。 1）在特权模式下输入命令display arp会输出该路由器相关配置信息 2）检查配置信息中应当存在类似如下配置信息： arp static 00 0014-7855-c7bb 执行步骤1）显示路由器配置信息 执行步骤2）配置文件中有类似的配置信息输出 路由器中有相应配置信息 2）路由器中没有相应配置信息 g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。 1）在特权模式下输入命令display ipsec会输出该路由器相关配置信息。 2）检查配置信息中应当存在类似如下配置信息： ike peer center exchange-mode aggressive pre-shared-key abc id-type name remote-name center remote-address ipsec policy branch1 10 isakmp security acl 3001 ike-peer center proposal 1 acl number 3001 rule 0 permit ip source