12-SGISLOP-SA14-10 防火墙等级保护测评作业指导书(三级)

控制编号：SGISL/OP-SA14-10

信息安全等级保护测评作业指导书

防火墙（三级）

版 号： 修 改 次 数： 生 效 日 期：

第 2 版 第 0 次

2010年01月06日

中国电力科学研究院信息安全实验室

中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 1 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 修改页

版号/ 章节号 修订号 控制编号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA14-10 唐斐 按公安部要求修订 詹雄 2010.3.8 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 2 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 一、网络访问控制访问 1．端口级的访问控制

应能根据会话状态信息为数据流提供明测评项编号 ADT-FW-01 对应要求 确的允许/拒绝访问的能力，控制粒度为端口级 测评项名称 端口级的网络访问控制 测评分项1：查看防火墙缺省规则是否为默认禁止 在管理界面中，查看防火墙已有的安全规则。 操作步骤 适用版本 实施风险 任何版本 无 访谈网络管理员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则，如果不是拒绝从any到any 的任何协议通过，符合性判定 判定结果为不符合； 其它情况，判定结果为符合。 测评分项2：检查防火墙控制粒度是否为端口级 访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则，验证控制粒度是否为端口级。 操作步骤 适用版本 实施风险 任何产品 无 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 3 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 查看防火墙所配置的访问控制规则，规则设置的参数包括端口，判定结果为符合； 符合性判定 查看防火墙所配置的访问控制规则，规则设置的参数不包括端口，判定结果为不符合。 备注 2．协议命令级的网络访问控制

应对进出网络的信息内容进行过滤，实现测评项编号 ADT-FW-02 对应要求 对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制 测评项名称 协议命令级的网络访问控制 测评分项1： 实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制 检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置 操作步骤 适用版本 实施风险 任何产品 无 如防火墙应用层协议内容过滤配置中配置的参数包含URL地址、收件符合性判定 人、FTP下载的文件类型等，判定结果为符合； 若无上述参数，协议命令级的网络访问控制判定结果为不符合。 备注 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 4 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 3．会话连接超时处理

应在会话处于非活跃一定时间或会话结束后终止网络连接 测评项编号 ADT-FW-03 对应要求 测评项名称 会话连接超时处理 测评分项1： 防火墙上设置会话连接超时 在管理界面上，查看是否设置了会话连接超时。 操作步骤 适用版本 实施风险 任何产品 无 管理界面上，查看设置的会话连接超时间，且时间设置的合理，判定结果为符合。 符合性判定 管理界面上，未设置会话连接超时时间，判定结果为不符合。若时间设置的不合理，则判定为部分符合。 备注 4．网络流量和最大连接数的限制

在互联网出口和核心网络接口处应限制网络最大流量数及网络连接数 测评项编号 ADT-FW-04 对应要求 测评项名称 网络流量和最大连接数的限制 测评分项1： 根据IP地址、端口、协议来限制应用数据流的最大流量，根据IP地址限制网络连接数 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 5 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 访谈网络管理员，是否需要限制网络最大流量和网络连接数。在管理界面上，查看是否设置了网络最大流量和网络连接数。 操作步骤 适用版本 实施风险 任何产品 无 管理界面上，查看设置了最大流量数和网络连接数，判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数，判定结果也为符合性判定 符合。 管理界面上，未设置最大流量数，判定结果为不符合。 备注 二、安全审计 1．日志记录

应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 测评项编号 ADT-FW-05 对应要求 测评项名称 防火墙日志记录 测评分项1： 防火墙记录防火墙的管理行为、设备运行状况和网络流量。 查看防火墙的日志，是否存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录 操作步骤 适用版本 实施风险 任何产品 无 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 6 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记符合性判定 录，判定结果为符合 包含上述内容不全面，判定结果为部分符合 测评分项2： 审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等 查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果 操作步骤 适用版本 实施风险 所有内容 无 包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合 符合性判定 包含上述内容不全面，判定结果为部分符合 备注 2．日志分析

应能够根据记录数据进行分析，并生成审计报表 测评项编号 ADT-FW-06 对应要求 测评项名称 日志分析 测评分项1：查询各种审计数据的分析结果并生成报表 登陆防火墙管理界面，分类统计已有的审计数据，并选择生成图表 操作步骤 适用版本 实施风险 任何产品 无 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 7 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 根据防火墙支持的分类统计方法分析审计记录数据，并生成图表，判定符合性判定 结果为符合 防火墙不能分析已有的审计记录以生成数据和图表，判定结果为不符合 备注 3．审计记录的保护

应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等 测评项编号 ADT-FW-07 对应要求 测评项名称 审计记录的保护 测评分项1： 审计记录的完好性保护 访谈网络设备管理员，采取了何种方法来避免审计日志的未授权修改、删除和破坏 操作步骤 适用版本 实施风险 任何产品 无 访谈结果显示，采取了方法如设置日志服务器来保护审计日志，判定结果为符合 符合性判定 访谈结果显示，未采取方法如设置日志服务器来保护审计日志，判定结果为不符合 备注 三、设备防护 1．身份鉴别

中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 8 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 应对登陆网络设备的用户进行身份鉴别 测评项编号 ADT-FW-08 测评项名称 身份鉴别 对应要求 测评分项1： 用户登录设备的身份鉴别过程 检查设备管理员采用何种方式登录，是否对登陆用户进行身份鉴别，是否修改了默认的用户名及密码 操作步骤 适用版本 实施风险 所有内容 无 登陆失败，判定结果为符合 符合性判定 登陆成功，判定结果为失败 备注 2．设备管理地址的限制

应对网络设备的管理员登录地址进行限制 测评项编号 ADT-FW-09 对应要求 测评项名称 设备管理地址的限制 测评分项1： 限制设备管理员的登录地址 登录防火墙管理界面，检查是否设置管理员的登录主机地址 操作步骤 适用版本 实施风险 所有内容 无 符合性判定 设置了管理员的登录主机地址，判定结果为符合 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 9 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 未设置管理员的登录主机地址，判定结果为不符合 备注 3．身份标识唯一

网络设备标识应唯一；同一网络设备的用测评项编号 ADT-FW-10 对应要求 户标识应唯一；禁止多个人员共用一个账号 测评项名称 身份标识唯一 测评分项1： 同一网络设备的用户标识唯一 登录防火墙管理界面，检查是否存在同名用户 操作步骤 适用版本 实施风险 所有内容 无 不存在同名用户，判定结果为符合 符合性判定 存在同名用户，判定结果为不符合 测评分项2： 禁止多个人员共用一个账号 访谈网络管理员，是否为每个管理员设置了单独的账户 操作步骤 适用版本 实施风险 所有内容 无 访谈结果表明，为每个用户设置了单独账户，判定结果为符合 符合性判定 访谈结果表明，未为每个用户设置单独账户，判定结果为不符合 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 10 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 备注 4．身份鉴别信息不易被冒用

身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换。应修改默认用户测评项编号 ADT-FW-11 对应要求 和口令，不得使用缺省口令，口令长度不得小于8位，要是是字母和数字或特殊字符的混合并不得与用户名相同，口令应定期更换，并加密存储 测评项名称 身份鉴别信息不易被冒用 测评分项1：口令复杂度满足要求 访谈设备管理员，口令的复杂度要求和更改周期 操作步骤 适用版本 实施风险 任何产品 无 口令复杂度满足长度、复杂度等要求，并定期更换，判定结果为符合 符合性判定 部分要求不满足，判定结果为部分符合 要求全部满足，判定结果为不符合 备注 5．双因子身份鉴别 测评项编号 ADT-FW-12 对应要求 主要网络设备应对同一用户选择两种或中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 11 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 两种以上组合的鉴别技术来进行身份鉴别 测评项名称 双因子身份鉴别 测评分项1：采用双因子身份鉴别方式 检查管理员登录防火墙是否采用双因子身份鉴别方式 操作步骤 适用版本 实施风险 任何产品 无 除用户+口令的身份鉴别方式外，还采取USB KEY或令牌的身份鉴别符合性判定 方式，判定结果为符合 仅采用用户+口令的身份鉴别方式，判定结果为不符合 备注 6．登录失败和超时处理

应具有登录失败处理功能，可采取结束会测评项编号 ADT-FW-13 对应要求 话、限制非法登录次数和当网络登录连接超时自动退出等措施 测评项名称 登录失败和超时处理 测评分项1：登录失败处理方式 访谈管理员，检查登录失败后采取的处理方式 操作步骤 适用版本 任何产品 中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 12 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 实施风险 无 用户登录失败一定次数后，采取用户锁定、结束会话等措施，判定结果符合性判定 为符合 无用户登录失败次数限制，判定结果为不符合 测评分项2：登录超时处理 访谈网络管理员，检查网络连接超时时是否采取注销会话、自动退出等措施。 操作步骤 适用版本 实施风险 任何产品 无 具有登录超时退出处理机制的，判定结果为符合 符合性判定 不具有登录超时退出处理机制的，判定结果为不符合 备注 7．远程管理信息的保密性

当对网络设备进行远程管理时，应采取必测评项编号 ADT-FW-14 对应要求 要措施防止鉴别信息在网络传输过程中被窃听 测评项名称 远程管理信息的保密性 测评分项1：管理员远程登录防火墙时，应采取加密措施防窃听 操作步骤 访谈网络管理员，是否存在远程登录管理行为，检查身份鉴别信息是否中国电力科学研究院信息安全实验室 防火墙等级保护测评作业指导书（三级） 控制编号：SGISL/OP-SA14-10 第 13 页 共 13 页 第 2 版 第 0 次修订 发布日期：2010年01月06日 采用加密措施。 适用版本 实施风险 任何产品 无 远程管理信息采取加密措施，判定结果为符合 符合性判定 远程管理信息明文传输，判定结果为不符合 备注 8．特权用户权限分离 测评项编号 ADT-FW-15 对应要求 应实现设备特权用户的权限分离 测评分项1：特权用户的权限分离 访谈网络管理员，检查设备特权用户的权限是否分离 操作步骤 适用版本 实施风险 任何产品 无 防火墙的管理员具备独立的审计账户，仅具有查看权限，判定结果为符符合性判定 合 上述情况不满足，判定结果为不符合 备注