防火墙测评指导书.docVIP

PAGE 第 PAGE 2 页 共 NUMPAGES 7 页 序号 类别 测评项 测评实施 预期结果 说明 1 访问控制 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 1）检查访问控制策略列表，查看是否配置了明确的允许/拒绝的访问能力，控制颗粒度为端口级。 输入“get config”命令，应存在如下类似配置： set policy id 1 form Trust to Untrust any any ftp permit 1）防火墙安全策略具备源IP地址、目标IP地址、允许/拒绝和应用服务端口号。 c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 1）检查防火墙安全策略是否对重要数据流启用应用层协议深层检测。 1）防火墙安全策略配置并启用了Deep Inspection。 深度检测包括http\smtp\pop3\ftp,启用深度检测有可能会影响防火墙的处理性能。 d)应在会话处于非活跃一定时间或会话结束后终止网络连接； 1）访谈系统管理员，是否在会话处于非活跃一定时间或会话结束后终止网络连接； 1）防火墙能够根据业务需要在没有数据传输一段时间后终止网络会话连接。 e)应限制网络最大流量数及网络连接数； 1）访谈系统管理员并检查防火墙配置，是否限制网络最大流量数及网络连接数。 输入“get config”命令，应存在如下类似配置： set zone dmz screen limit-session source-ip-based 1 set zone dmz screen limit-session source-ip-based set zone trust screen limit-session source-ip-based 80 set zone trust screen limit-session source-ip-based set zone untrust screen limit-session destination-ip-based 4000(依据业务需求设定此值) set zone untrust screen limit-session destination-ip-based set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging early-ageout 4 1）防火墙配置并启用基于源IP地址和基于目标IP地址的抗攻击设置。 f) 重要网段应采取技术手段防止地址欺骗； N/A 该功能一般由接入交换机实现。 g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； N/A 该设备无拨号功能。 h) 应限制具有拨号访问权限的用户数量。 N/A 该设备无拨号功能。 2 安全审计 a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 1)检查防火墙是否开启日志功能。 WebGUI方式: 进入[reports]-[system log]-[event]选择时间级别进行查询，[configuration]-[report settings]-[syslog]是否设置日志服务器。 命令方式： 输入“get config”命令，应存在如下类似配置： Set syslog config port 1514 Set syslog config log all Set syslog config facilities local0 local0 Set syslog config transport tcp 1）防火墙设置日志服务器，并使用Syslog方式或者SNMP方式将日志发送到日志服务器。 b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 1）查看防火墙系统日志和策略日志情况。通过输入如下命令进行查看。 get event level notification 1）系统日志和策略日志的日志信息中包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 开启实时监测功能会影响防火墙的性能 c)应能够根据记录数据进行分析，并生成审计报表； 1）访谈网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。 输入“get config”命令，应存在如下类似配置： Set webtrends host-name 5 Set webtrends port 514 Set webtrends enable Set log module system