工信部标准-安全设备检查表.docxVIP

检查类别

编号

要求内容

应开启记录NAT日志，记录转

换前后IP地址的对应关系

SE-Cisco-日志-01

应开启记录VPN日志，记录

VPN访问登录、退出等信息

SE-Cisco-日志-02

应配置记录流量日志，记录

SE-Cisco-日志-03通过防火墙的网络连接的信

息

日志

应配置防火墙规则，记录防

SE-Cisco-日志-04

火墙拒绝和丢弃报文的日志

应配置记录管理员操作日志

，如管理员登录，修改管理

SE-Cisco-日志-05员组操作，账号解锁等信息

。配置防火墙

将相关的操作日志送往操作

应配置关键字内容过滤功能

SE-Cisco-安全策，在HTTP、SMTP、POP3等

略-01

应用协议流量过滤包含有设

定的关键字的报文

SE-Cisco-安全策略在配置访问规则列表时，最

-02后一条应是拒绝一切流量

安全策略

在配置访问规则时，源地址

SE-Cisco-安全策略、目的地址、服务或端口的

-03

范围应以实际访问需求为前

提，尽可能的缩小范围

SE-Cisco-安全策略对于访问规则的排列，应遵

-04从范围由小到大的排列规则

对于VPN用户，应按照其访

SE-Cisco-安全策略问权限不同而进行分组，并

安全策略-05

在访问控制规则中对该组的

访问权限进行严格限制

SE-Cisco-安全策略访问规则应按照一定的规则

-06进行分组

应配置NAT地址转换，对互

联网隐藏内网主机的实际地

址

SE-Cisco-安全策略

-07

SE-Cisco-安全策略应隐藏字符管理界面的

-08bannner信息

应用代理服务器，将从内网

到外网的访问流量通过代理

服务器。防火墙只开启代理

服务器到外部网络的访问规

则，避免在防火墙上配置从

SE-Cisco-安全策略

-09

应配置访问控制规则，拒绝

SE-Cisco-攻击防护对防火墙保护的系统中常见

与告警-01

漏洞所对应端口或服务的访

问

SE-Cisco-攻击防护对于防火墙各逻辑接口，应

与告警-02配置开启防源地址欺骗功能

应配置告警功能，报告对防

火墙本身的攻击或者防火墙

的系统内部错误

攻击防护SE-Cisco-攻击防护

与告警与告警-03

应配置告警功能，报告网络

流量中对TCP/IP协议网络

层异常报文攻击的相关告警

SE-Cisco-攻击防护

与告警-04

应配置DOS和DDOS攻击防

护功能，对DOS和DDOS攻

击告警。维护人员应根据网

络环境调整DDOS的攻击告警

的参数

SE-Cisco-攻击防护

与告警-05

对于外网口地址，应关闭对

ping包的回应。建议通过

VPN隧道获得内网地址，从

内网口进行远程管理。如网

管系统需要开放，可不考虑

使用SNMPV3以上的版本

对防火墙做远程管理，去除

SNMP默认的共同体名

SE-Cisco-其他安全

-01

SE-Cisco-其他安全

-02

(CommunityName)和

用户名，并且不同的用户名

其他安全

应对防火墙的管理地址做源

地址限制。可以使用防火墙

自身的限定功能，也可以在

防火墙管理的接入设备上设

置

其他安全SE-Cisco-其他安全-03

SE-Cisco-其他安全

-04

应关闭非必要服务

防火墙的系统和软件版本应

处于厂家维护期，并且维护

人员应定期对防火墙版本进

行升级或者打补丁操作。如

防火墙系统厂家已不再维护

SE-Cisco-其他安全

-05

操作指南

1.参考配置操作：

启动日志记录。

hostname(config)#loggingenable

hostname(config)#logginghost

interface_namesyslog_ip

L参考配置操作：

hostname(config)#loggingenable

hostname(config)#logginghost

interface_namesyslog_ip

hostname(config)#loggingtrap6

1.参考配置操作：

PIX防火墙上无流量日志。

网络连接日志通过只需要启动日志记录

。

hostname(config)#loggingenable

PIX

防火墙自动将在访问控制列表（access-

list）中拒绝（deny）的数据包生成

syslog信息。

只需要启动日志记录。

1。参考配置操作：

h