《11NetScreen5.0防火墙测评指导书-三级S3A3G3- 1.0版》由会员分享,可在线阅读,更多相关《11NetScreen5.0防火墙测评指导书-三级S3A3G3- 1.0版(8页珍藏版)》请在金锄头文库上搜索。
1、序号类别测评项测评实施预期结果说明1访问控制b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;1)检查访问控制策略列表,查看是否配置了明确的允许/拒绝的访问能力,控制颗粒度为端口级。输入“getconfig”命令,应存在如下类似配置:setpolicyid1formTrusttoUntrustanyanyftppermit1)防火墙安全策略具备源IP地址、目标IP地址、允许/拒绝和应用服务端口号。c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;1)检查防火墙安全策略是否对重要数据流启用应用层协
2、议深层检测。1)防火墙安全策略配置并启用了DeepInspection。深度检测包括httpsmtppop3ftp,启用深度检测有可能会影响防火墙的处理性能。d)应在会话处于非活跃一定时间或会话结束后终止网络连接;1)访谈系统管理员,是否在会话处于非活跃一定时间或会话结束后终止网络连接;1)防火墙能够根据业务需要在没有数据传输一段时间后终止网络会话连接。序号类别测评项测评实施预期结果说明e)应限制网络最大流量数及网络连接数;1)访谈系统管理员并检查防火墙配置,是否限制网络最大流量数及网络连接数。输入“getconfig”命令,应存在如下类似配置:setzonedmzscreenlimitses
3、sionsource-ip-based1setzonedmzscreenlimit-sessionsource-ip-basedsetzonetrustscreenlimit-sessionsource-ip-based80setzonetrustscreenlimit-sessionsource-ip-basedsetzoneuntrustscreenlimit-sessiondestination-ip-based4000(依据业务需求设定此值)setzoneuntrustscreenlimit-sessiondestination-ip-basedsetflowaginglow-wate
4、rmarK70setflowaginghigh-watermarK80setflowagingearly-ageout41)防火墙配置并启用基于源IP地址和基于目标IP地址的抗攻击设置。f)重要网段应米取技术手段防止地址欺骗;N/A该功能一般由接入交换机实现。序号类别测评项测评实施预期结果说明g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;N/A该设备无拨号功能。h)应限制具有拨号访问权限的用户数量。N/A该设备无拨号功能。2安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;1)检查防火墙是否开启日志功能。Web
5、GUI方式:进入reports-systemlog-event选择时间级别进行查询,configuration-reportsettings-syslog是否设置日志服务器。命令方式:输入“getconfig”命令,应存在如下类似配置:Setsyslogconfig1.1.1.1port1514Setsyslogconfig1.1.1.1logallSetsyslogconfig1.1.1.1facilitieslocalOlocalOSetsyslogconfig1.1.1.1transporttcp1)防火墙设置日志服务器,并使用Syslog方式或者SNMP方式将日志发送到日志服务器。序号
6、类别测评项测评实施预期结果说明b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;1)查看防火墙系统日志和策略日志情况。通过输入如下命令进行查看。geteventlevelnotification1)系统日志和策略日志的日志信息中包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。开启实时监测功能会影响防火墙的性能c)应能够根据记录数据进行分析,并生成审计报表;1)访谈网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。输入“getconfig”命令,应存在如下类似配置:Setwebtrendshost-name172.10.
7、16.25Setwebtrendsport514SetwebtrendsenableSetlogmodulesystemlevelnotificationdestinationwebtrends1)具有相关的技术措施(WebtrendsfirewallSuite、HPOpenViewReportServer等等)能够对防火墙日志进行集中管理、统计和分析汇总。d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。1)访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。1)防火墙的日志信息转发至日志服务器,同时防火墙本地缓存日志。序号类别测评项测评实施预期结果说明3网络
8、设备防护a)应对登录网络设备的用户进行身份鉴别;1)检杳登录认证方式。1)管理员登录防火墙时进行身份鉴另U。b)应对网络设备的管理员登录地址进行限制;1)检查是否配置特定IP地址并且只能从该IP地址进行管理。WebUI管理方式:进入WebUI管理界面,configuration-admin-permittedIPs,查看官理IP地址配置情况。或命令行方式:通过命令行输入“getconfig”命令,存在如下类似配置。MGT口设置管理地址和管理方式:Setinterfacemgtip10.0.0.2/24数据口设置管理地址和管理方式:Setinterfaceethernet1manage-ip1.
9、1.1.2限制管理主机地址:Setadminmanager-ip172.16.40.0255.255.255.01)配置了管理员登录IP地址。c)网络设备用户的标识应唯一;1)通过命令行输入“getconfig”命令,存在如下类似配置。setadminuserRogerpassword2bd21wG7privilegeread-onlysetadminuserSmithpassword3MAb99j2privilegeall根据上述类似配置访谈网络管理员了解防火墙设备各账户的使用情况。1)不同的管理员均分配了不同的登录账户,无共用账户。序号类别测评项测评实施预期结果说明d)主要网络设备应对同一
10、用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;1)检查管理员登录防火墙的身份鉴别方式,如通过Radius服务器实现数字证书认证和用户名密码认证。1)米用两种或两种以上的身份鉴别方式。e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;1)访谈网络管理员登录账户的口令长度、口令更改周期和口令复杂度。通过命令行输入“getconfig”命令,存在如下类似配置:Setadminpasswordrestrictlengthxx1)口令长度8位以上,规定了更改周期,口令组成包括数字、字母和特殊字符等,非默认用户名和密码。f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数
11、和当网络登录连接超时自动退出等措施。1)通过命令行输入“getconfig”命令,查看是否存在如下类似配置,包括登录尝试次数、登录失败锁定时间及登录超时时间等。(默认登录尝试次数为3次;登录失败锁定时间为1分钟)setadminaccessattempts3setadminaccesslock-on-failure1setadminauthtimeout31)有登录失败次数限制,最好不超过5次;有登录失败锁定时间设置;登录超时时间不为0。默认配置即符合要求。关注是否修改了默认配置。g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听1)检查管理员登录管理方式。通过命
12、令行输入“getconfig”命令,存在如下类似配置。setsslenablesetsshenablesetinterfaceethernet1managesshsetinterfaceethernet1managesslsetadminhttpredirectsetadmintelnetaccesstunnelunsetadmintelnet10241)远程管理米取安全方式,如HTTPS、SSH等,未启用telnet明文方式。序号类别测评项测评实施预期结果说明h)应实现设备特权用户的权限分离。1)检查防火墙配置,点击config-admin-administrators,查看官理贝配置情况。
13、或通过命令行输入“getconfig”命令,存在如下类似配置:SetadminuserJackpasswordxxxxprivilegeallSetadminuserSmithpasswordxxxxprivilegeread-only1)具备不同管理权限的用户,如根用户、读写管理员、只读管理员。4备份与恢复a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;1)访谈网络管理员防火墙配置数据是否有备份机制?是否有异地备份?1)防火墙配置数据应该定期备份,或当防火墙配置发生更改时进行备份,备份数据场外存放。b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;1)访谈管理员,系统配置数据是否有自动备份机制;是本地自动备份还是异地自动备份(TFTP服务器)。1)应将配置存盘下载并保存到其他位置。d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。1)检查防火墙设备是否是双机运行及工作方式(A-S或A-A)。1)防火墙双机主备或双A方式运行。第#页共7页
