1、序號類別測評項測評實施預期結果說明1訪問控制b應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的水平,限制粒度為端口級；1檢查訪問限制策略列表,查看是否配置了明確的允許/拒絕的訪問水平,限制顆粒度為端口級.輸入“getconfig命令,應存在如下類似配置：setpolicyid1formTrusttoUntrustanyanyftppermit1防火墻平安策略具備源IP地址、目標IP地址、允許/拒絕和應用效勞端口號.c應對進出網絡的信息內容進行過濾,實現又應用層HIIRFTP、TELNETSMTPPOP3等協議命令級的限制；1檢查防火墻平安策略是否對重要數據流啟用應用層協議深層檢測.1防火

2、墻平安策略配置并啟用了DeepInspection.深度檢測包括smtppop3ftp,啟用深度檢測后可能會影響防火墻的處理性能.d應在會話處于非活潑一定時間或會話結束后終止網絡連接；1訪談系統治理員,是否在會話處于非活潑一定時間或會話結束后終止網絡連接；1防火墻能夠根據業務需要在沒有數據傳輸一段時間后終止網絡會話連接.序號類別測評項測評實施預期結果說明e應限制網絡最大流量數及網絡連接數；1訪談系統治理員并檢查防火墻配置,是否限制網絡最大流量數及網絡連接數.輸入“getconfig命令,應存在如下類似配置：setzonedmzscreenlimit-sessionsource-ip-based

3、1setzonedmzscreenlimit-sessionsource-ip-basedsetzonetrustscreenlimit-sessionsource-ip-based80setzonetrustscreenlimit-sessionsource-ip-basedsetzoneuntrustscreenlimit-sessiondestination-ip-based4000依據業務需求設定此值setzoneuntrustscreenlimit-sessiondestination-ip-basedsetflowaginglow-watermark70setflowaginghi

4、gh-watermark80setflowagingearly-ageout41防火墻配置并啟用基于源IP地址和基于目標IP地址的抗攻擊設置.f重要網段應米取技術手段防止地址欺騙；N/A該功能一般由接入交換機實現.序號類別測評項測評實施預期結果說明g應按用戶和系統之間的允許訪問規那么,決定允許或拒絕用戶對受控系統進行資源訪問,限制粒度為單個用戶；N/A該設備無撥號功能.h應限制具有撥號訪問權限的用戶數量.N/A該設備無撥號功能.2安全審計a應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；1檢查防火墻是否開啟日志功能.WebGUI方式：進入reports->system

5、log->event選擇時間級另1J進行查詢,configuration->reportsettings->syslog是否設置日志效勞器.命令方式：輸入“getconfig命令,應存在如下類似配置：Setsyslogconfigport1514SetsyslogconfiglogallSetsyslogconfigfacilitieslocal.local.Setsyslogconfigtransporttcp1防火墻設置日志效勞器,并使用Syslog方式或者SNM所式將日志發送到日志效勞器.序號類別測評項測評實施預期

6、結果說明b審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；1查看防火墻系統日志和策略日志情況.通過輸入如下命令進行查看.geteventlevelnotification1系統日志和策略日志的日志信息中包含事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息.開啟實時監測功能會影響防火墻的性能c應能夠根據記錄數據進行分析,并生成審計報表；1訪談網絡治理員采用了什么手段實現了審計記錄數據的分析和報表生成.輸入“getconfig命令,應存在如下類似配置：Setwebtrendshost-name5Setwebtrends

7、port514SetwebtrendsenableSetlogmodulesystemlevelnotificationdestinationwebtrends1具有相關的技木舉措WebtrendsfirewallSuite、HPOpenViewReportServer等等能夠對防火墻日志進行集中治理、統計和分析匯總.d應對審計記錄進行保護,預防受到未預期的刪除、修改或覆蓋等.1訪談網絡設備治理員采用了何種手段預防了審計日志的未授權修改、刪除和破壞.1防火墻的日志信息轉發至日志效勞器,同時防火墻本地緩存日志.序號類別測評項測評實施預期結果說明3網絡設備防護a應對登錄網絡設備的用戶進行身份鑒別；

8、1檢查登錄認證力式.1治理員登錄防火墻時進行身份鑒另b應對網絡設備的治理員登錄地址進行限制；1檢查是否酉己置特定IP地址并且只能從該IP地址進行治理.WebUI治理方式：進入WebUI治理界面,configuration->admin->permittedIPs,查看治理IP地址配置情況.或命令行方式：通過命令行輸入"getconfig命令,存在如下類似配置.MGE設置治理地址和治理方式：Setinterfacemgtip/24數據口設置治理地址和治理方式：Setinterfaceethernet1manage-ip限制治理主機地址：Seta

9、dminmanager-ip1配置了治理員登錄IP地址.c網絡設備用戶的標識應唯一；1通過命令行輸入"getconfig"命令,存在如下類似配置.setadminuserRogerpassword2bd21wG7privilegeread-onlysetadminuserSmithpassword3MAb99j2privilegeall根據上述類似配置訪談網絡治理員了解防火墻設備各賬戶的使用情況.1不同的管埋員均分配了/、同的登錄賬戶,無共用賬戶.序號類別測評項測評實施預期結果說明d主要網絡設備應對同一用戶選擇兩種或兩種以上組

10、合的鑒別技術來進行身份鑒別；1檢查治理員登錄防火墻的身份鑒別方式,如通過Radius效勞器實現數字證書認證和用戶名密碼認證.1采用兩種或兩種以上的身份鑒別方式.e身份鑒別信息應具后不易被冒用的特點,口令應有復雜度要求并定期更換；1訪談網絡治理員登錄賬戶的口令長度、口令更改周期和口令復雜度.通過命令行輸入"getconfig命令,存在如下類似配置：Setadminpasswordrestrictlengthxx1口令長度8位以上,規定更改周期,口令組成包括數字、字母和特殊字符等,非默認用戶名和密碼.f應具有登錄失敗處理功能,可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等

11、舉措.1通過命令行輸入getconfig命令,查看是否存在如下類似配置,包括登錄嘗試次數、登錄失敗鎖定時間及登錄超時時間等.默認登錄嘗試次數為3次；登錄失敗鎖定時間為1分鐘setadminaccessattempts3setadminaccesslock-on-failure1setadminauthtimeout31有登錄失敗次數限制,最好不超過5次；有登錄失敗鎖定時間設置；登錄超時時間不為0.默認配置即符合要求.關注是否修改了默認配置.g當對網絡設備進行遠程治理時,應采取必要舉措預防鑒別信息在網絡傳輸過程中被竊聽1檢查治理員登錄治理方式.通過命令行輸入"getconfig命令,存

12、在如下類似配置.setsslenablesetsshenablesetinterfaceethernet1managesshsetinterfaceethernet1managesslsetadminredirectsetadmintelnetaccesstunnelunsetadmintelnet10241遠程治理米取平安方式,如SSSH等,未啟用telnet明文方式.序號類別測評項測評實施預期結果說明h應實現設備特權用戶的權限分離.1檢查防火墻配置,點擊con巾g->admin->administrators,查看治理員配置情況.或通過命令行輸入"getconfig命令,存在如下類似配置：SetadminuserJackpasswordxxxxprivilegeallSetadminuserSmithpasswordxxxxprivilegeread-only1具備/、同治理權限的用戶,如根用戶、讀寫治理員、只讀治理員.備a應提供本地數據備份與恢復功能,完全數據備份至少每天一次,備份介質場外存放；1訪談網絡治理員防火墻配置數據是否有備份機制？是否有異地備份？1防火墻配置數據應該定期備份,或當防火墻配置發生更改時