信息安全等级保护测评作业指导书信息安全等级保护测评作业指导书防火墙（三级）防火墙（三级）版版 号：号：第第 2 版版 修修 改改 次次 数：数：第第 0 次次 生生 效效 日日 期：期：2010 年年 01 月月 06 日日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号：控制编号：SGISL/OP-SA14-10控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 1 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日修改页修改页修订号修订号控制编号控制编号版号版号/章节号章节号修改人修改人修订原因修订原因批准人批准人批准日期批准日期备注备注1SGISL/OP- SA14-10唐斐按公安部要求修订詹雄2010.3.8控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 2 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日一、网络访问控制访问1端口级的访问控制测评项编号ADT-FW-01对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级测评项名称端口级的网络访问控制测评分项 1：查看防火墙缺省规则是否为默认禁止在管理界面中，查看防火墙已有的安全规则。适用版本任何版本操作步骤实施风险无符合性判定访谈网络管理员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则，如果不是拒绝从 any 到 any 的任何协议通过，判定结果为不符合；其它情况，判定结果为符合。测评分项 2：检查防火墙控制粒度是否为端口级访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则，验证控制粒度是否为端口级。 适用版本任何产品操作步骤实施风险无控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 3 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日符合性判定查看防火墙所配置的访问控制规则，规则设置的参数包括端口，判定结果为符合；查看防火墙所配置的访问控制规则，规则设置的参数不包括端口，判定结果为不符合。备注2协议命令级的网络访问控制测评项编号ADT-FW-02对应要求应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制测评项名称协议命令级的网络访问控制测评分项 1： 实现应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制检查防火墙对 HTTP、FTP、TELNET、SMTP、POP3 协议的内容过滤配置适用版本任何产品操作步骤实施风险无符合性判定如防火墙应用层协议内容过滤配置中配置的参数包含 URL 地址、收件人、FTP 下载的文件类型等，判定结果为符合；若无上述参数，协议命令级的网络访问控制判定结果为不符合。控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 4 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日备注3会话连接超时处理测评项编号ADT-FW-03对应要求应在会话处于非活跃一定时间或会话结束后终止网络连接测评项名称会话连接超时处理测评分项 1： 防火墙上设置会话连接超时在管理界面上，查看是否设置了会话连接超时。适用版本任何产品操作步骤实施风险无符合性判定管理界面上，查看设置的会话连接超时间，且时间设置的合理，判定结果为符合。管理界面上，未设置会话连接超时时间，判定结果为不符合。若时间设置的不合理，则判定为部分符合。备注4网络流量和最大连接数的限制测评项编号ADT-FW-04对应要求在互联网出口和核心网络接口处应限制网络最大流量数及网络连接数测评项名称网络流量和最大连接数的限制测评分项 1： 根据 IP 地址、端口、协议来限制应用数据流的最大流量，根据 IP 地控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 5 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日址限制网络连接数访谈网络管理员，是否需要限制网络最大流量和网络连接数。在管理界面上，查看是否设置了网络最大流量和网络连接数。适用版本任何产品操作步骤实施风险无符合性判定管理界面上，查看设置了最大流量数和网络连接数，判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数，判定结果也为符合。管理界面上，未设置最大流量数，判定结果为不符合。备注二、安全审计1日志记录测评项编号ADT-FW-05对应要求应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录测评项名称防火墙日志记录测评分项 1： 防火墙记录防火墙的管理行为、设备运行状况和网络流量。查看防火墙的日志，是否存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录操作步骤适用版本任何产品控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 6 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日实施风险无符合性判定存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录，判定结果为符合包含上述内容不全面，判定结果为部分符合测评分项 2： 审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果适用版本所有内容操作步骤实施风险无符合性判定包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合包含上述内容不全面，判定结果为部分符合备注2日志分析测评项编号ADT-FW-06对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称日志分析测评分项 1：查询各种审计数据的分析结果并生成报表操作步骤登陆防火墙管理界面，分类统计已有的审计数据，并选择生成图表控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 7 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日适用版本任何产品实施风险无符合性判定根据防火墙支持的分类统计方法分析审计记录数据，并生成图表，判定结果为符合防火墙不能分析已有的审计记录以生成数据和图表，判定结果为不符合备注3审计记录的保护测评项编号ADT-FW-07对应要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等测评项名称审计记录的保护测评分项 1： 审计记录的完好性保护访谈网络设备管理员，采取了何种方法来避免审计日志的未授权修改、删除和破坏适用版本任何产品操作步骤实施风险无符合性判定访谈结果显示，采取了方法如设置日志服务器来保护审计日志，判定结果为符合访谈结果显示，未采取方法如设置日志服务器来保护审计日志，判定结果为不符合控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 8 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日备注三、设备防护1身份鉴别测评项编号ADT-FW-08对应要求应对登陆网络设备的用户进行身份鉴别测评项名称身份鉴别测评分项 1： 用户登录设备的身份鉴别过程检查设备管理员采用何种方式登录，是否对登陆用户进行身份鉴别，是否修改了默认的用户名及密码适用版本所有内容操作步骤实施风险无符合性判定登陆失败，判定结果为符合登陆成功，判定结果为失败备注2设备管理地址的限制测评项编号ADT-FW-09对应要求应对网络设备的管理员登录地址进行限制测评项名称设备管理地址的限制测评分项 1： 限制设备管理员的登录地址操作步骤登录防火墙管理界面，检查是否设置管理员的登录主机地址控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 9 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日适用版本所有内容实施风险无符合性判定设置了管理员的登录主机地址，判定结果为符合未设置管理员的登录主机地址，判定结果为不符合备注3身份标识唯一测评项编号ADT-FW-10对应要求网络设备标识应唯一；同一网络设备的用户标识应唯一；禁止多个人员共用一个账号测评项名称身份标识唯一测评分项 1： 同一网络设备的用户标识唯一登录防火墙管理界面，检查是否存在同名用户适用版本所有内容操作步骤实施风险无符合性判定不存在同名用户，判定结果为符合存在同名用户，判定结果为不符合测评分项 2： 禁止多个人员共用一个账号访谈网络管理员，是否为每个管理员设置了单独的账户 操作步骤 适用版本所有内容控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 10 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日实施风险无符合性判定访谈结果表明，为每个用户设置了单独账户，判定结果为符合访谈结果表明，未为每个用户设置单独账户，判定结果为不符合备注4身份鉴别信息不易被冒用测评项编号ADT-FW-11对应要求身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换。应修改默认用户和口令，不得使用缺省口令，口令长度不得小于 8 位，要是是字母和数字或特殊字符的混合并不得与用户名相同，口令应定期更换，并加密存储测评项名称身份鉴别信息不易被冒用测评分项 1：口令复杂度满足要求访谈设备管理员，口令的复杂度要求和更改周期适用版本任何产品操作步骤实施风险无符合性判定口令复杂度满足长度、复杂度等要求，并定期更换，判定结果为符合部分要求不满足，判定结果为部分符合要求全部满足，判定结果为不符合控制编号控制编号：SGISL/OP-SA14-10中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室第 11 页 共 14 页 第 2 版 第 0 次修订防火墙等级保护测评作业指导书（三级）防火墙等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日备注5双因子身份鉴别测评项编号ADT-FW-12对应要求主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别测评项名称双因子身份鉴别测评分项 1：采用双因子身份鉴别方式 检查管理员登录防火墙是否采用双因子身份鉴别方式适用