等级保护测评

《等级保护测评》由会员分享，可在线阅读，更多相关《等级保护测评（9页珍藏版）》请在装配图网上搜索。

1、xxx 网站系统出口防火墙安全策略检查及加固建议二零一二年十月文档信息表文档基本信息项目名称XXX信息网等级保护测评项目当前项目阶段实施阶段文档名称XXX网站系统-出口防火墙安全策略检查及加固建议文档版本V2.0是否为正式交付件文档创建日期2012/10/18当前修订日期2012/10/31文档存放路径文档审批要求文档审批信息审阅人职务审阅时间审阅意见文档修订信息版本修正章节日期作者变更记录V2.0全文2012/10/31XXX文档版式修订目录一. 防火墙安全检查概述 1.1 检查目标 1.2 检查范围 1.3 检查流程 二. 设备信息 三. 检查内容记录 四. 安全加固建议 4.1 设置特权

2、用户权限分离 4.2 启用邮箱告警功能 防火墙安全检查概述为了保障XXX网站系统的网络安全、通畅和高效的运营，上海络安信息技术有限公 司将针对XXX网站系统出口防火墙的安全策略进行安全检查，并根据检查结果给出相应 的加固建议。1.1 检查目标本次出口防火墙安全策略检查服务，主要通过完整详细的采集相关网络设备的基 本信息与运行状态数据，对本次防火墙安全策略检查采集的数据进行系统的整理与分 析，对XXX网络安全提出相关建议报告。对现有网络存在的问题记录；及时的反馈。采集出口防火墙设备的运行参数，通过系统整理与分析，判断设备的运行状 态。 检查出口防火墙的运行环境，分析和判断出口防火墙设备运行环境是

3、否满足当 前安全运行的必要条件。 检查安全设备、配置的冗余性，确保网络系统具有抵御设备故障的能力和高可 用性。 检查防火墙记录的日志文件，回顾前期网络设备运行状态信息，寻找故障隐 患。丿3 o1.2 检查范本次XXX网站系统出口防火墙安全检查的范围主要包括：防火墙配置文件防火墙磁盘使用情况防火墙CUP负载情况防火墙安全策略配置1.3 检查流程本次 xxx 网站系统出口防火墙安全检查的流程分为以下四个阶段第一阶段工作内容网络环境调研调查XXX网网络环境，防火墙所在区域以及 防火墙防护功能的了解第二阶段工作内容设备信息米集检查防火墙设备信息，包括设备系统版本、 CUP利用率、防护功能、安全策略、A

4、RP绑 定等策略第三阶段工作内容采集数据分析对采集到的防火墙的版本、安全防护、安全 策略等信息进行分析、判断，评估存在的安 全风险第四阶段工作内容生成汇总报告根据对防火墙检查的过程、安全策略和评估 出存在的安全风险，生产汇总报告，并提出 安全加固方案. 设备信息设备名称所在区域设备型号IP地址业务应用出口安全网关出口边界区域网神 SecGate3600-G10010.64.7.1网络出口防火墙三. 检查内容记录根据等级保护要求主要从两个方面对出口防火墙进行安全检查：功能性技术指标和 安全技术指标。功能技术要求主要包含深度包检测、NAT、IP/MAC绑定、动态开放端 口、策略路由、双机热备、安全

5、审计和管理等功能项；安全技术指标主要包含抗渗透、 恶意代码防御和防DDOS等安全功能项。具体检查内容如下表。防火墙登陆控制检查ID具体内容符合不符合检查记录1防火墙是否具有身份标识和身份鉴别（本地认证、 AAA认证）机制；V2实现特权用户的权限分离，为超级管理员、审计员、 运维人员等分配不同的权限；V系统只有超级管理员账户3口令应具有复杂度，长度至少应为8位，并且每季 度至少更换1次，更新的口令至少5次内不能重复， 口令文件是否采用加密形式存储；V口令采用加密方式4防火墙是否具有超时退出的功能；V5防火墙是否设置了访问鉴别失败的处理；V口令采用加密方式，不经常更 换密码6远程登陆时，是否可以防

6、止鉴别信息在网络传输过 程中被窃取；V数据加密7检查是否对管理主机的地址进行限制；V防火墙接入控制检查ID具体内容符合不符合检查记录1检查网络拓扑结构图，检查是否划分防火墙安全区域 及IP子网规划。V2查看防火墙及链路是否有冗余，如双机热备。V设备没有冗余3防火墙以何种方式接入网络，包括透明模式、混合模 式和路由模式等。V路由模式4防火墙是否有VPN配置；V防火墙系统配置检查ID具体内容符合不符合检查记录1检查系统时钟是否有权威时间源配置并保持同步；V2检查系统升级许可；V3检查导入导出功能是否正常；V4检查报警邮箱设置是否启用及是否正常工作；V未启用5检查是否配置域名服务器。V未配置6是否启

7、用防欺骗的IP地址与MAC地址绑定功能V7对于P2P的限制是否启用V8检查是否配置与IDS进行联动；在没有部署IDS的情 况下，是否配置基本的入侵检测功能；V未开启IDS联动功能9防火墙是否启用连接限制。V防护墙安全策略检查ID具体内容符合不符合检查记录1检查防火墙是否只开放了必须要开放的端口；V2检查防火墙是否禁止了所有不必要开放的端口；V3检查防火墙是否设置了防DOS攻击安全策略V未启用4检查防火墙是否设置了抗扫描安全措施；V5防火墙抗攻击配置项阀值的设定是否合理。V未启用抗攻击功能防火墙安全管理检查ID具体内容符合不符合检查记录1检查防火墙的通过什么方式进行管理，是否为安全的 管理方式V

8、通过网页登陆加密方式管理2检查防火墙是否根据权限不同进行分级管理V只设置superman管理权限3检查防火墙的口令设置情况，口令设置是否满足安全 要求V4检查米用USB电子钥匙和证书通过web方式管理。V通过WEB方式管理5检查防火墙默认管理IP地址和管理帐户及用户名更改；V6检查否是启用多用户管理；V只有管理员账户防火墙日志管理ID具体内容符合不符合检查记录1防火墙日志审计记录是否包括日期和时间、用户、事 件类型、事件是否成功等。V2检查防火墙的日志设置是否合理，是否有所有拒绝数 据包的记录日志。V未查看到应用程序控制、电 子邮件过滤、攻击、防病毒、 WEB过滤器日志3检查防火墙的日志保存情

9、况，所记录的日志是否有连 续性；V4检查防火墙日志的查看情况，网络安全管理员是否按 照防火墙管理制度对防火墙进行日常维护；V5保护防火墙的日志记录，避免未授权的覆盖、修改和 删除操作，日志记录应至少保存6个月以上；V6具备完善的日志导出和报表生成，定期审计日志记 录，并生成审计报告；V7是否使用第三方的日志服务器，集中收集防火墙的日 志信息并设置访问权限；VSyslog日志服务器为10.64.1.37防火墙访问控制检查ID具体内容符合不符合检查记录1查看防火墙安全区域的划分，在区域与区域之间是否 设置了访问控制策略；V划分了区域，明确了区域间 的访问控制2防火墙根据数据的源IP地址、目的IP地

10、址和端口号 为数据流提供明确的允许/拒绝控制；V3查看防火墙启用的哪些服务，采取安全措施保证服务 的安全性；V启用了 NAT、profile安全策 略、日志监控、路由功能等4关闭不必要的服务及端口：关闭CDP、PING、TELNET、 HTTP、finger 等服务；V5防火墙是否标注NAT地址转换和MAP等；V6是否采用认证服务器进行用户认证。V采用防火墙自带的用户认证 功能防火墙运行维护检查ID具体内容符合不符合检查记录1有专职人员对防火墙设备进行监控和操作；V2是否将防火墙配置文件及时保存并导出，配置文件是 否有备份V3是否设置网络监控系统，实时监控网络设备的运行情况；V4设置报警机制，

11、检测到网络异常时发出报警；V未设置报警机制5防火墙管理人员是否岗位互相备份；V6是否具有防火墙应急预案，并定期进行应急演练；V7有无发生过安全事件，出现安全事件后是否可以启动 应急预案进行恢复；V未发生过安全事件8设备服务商提供及时的售后服务和技术支持，并对设 备维护人员做设备培训。V四. 安全加固建议4.1 设置特权用户权限分离设备现状经过检查发现防火墙系统只存在 admin 超级管理员账户，而没有针对操作内容不同 而设置的其他账户，如账户管理员、配置管理员、策略管理员和日志审计员，并根据不 同账户类型分配不同的权限。 加固建议根据用户对出口防火墙管理的权限分级划分，分别设置超级管理员、日志

12、审计员、普通运维人员等不同账户的操作权限。可参考如下账户分类。序号账户类型账户名称账户密码操作权限1超级管理员admi n满足复杂度拥有设备的最高管理权限2日志审计员自定义满足复杂度针对事件日志进行管理、查看、分析3运维人员自定义满足复杂度对系统进行日常管理和查 看，不给予账户管理、系统 配置管理权限4.2 启用邮箱告警功能设备现状防火墙没有针对检测到的非法流量、管理员登陆和退出、防火墙认证失败、 IPsec 通道错误、配置改变等操作进行发送邮件告警。Emmi廉亡发送邮件至;。F下卷别贷进扌牆邯件问隔时间：5(1-99999 *)阻止网页访问 H峨态娈化检测到非法流重陌買垃认证冥阪管理负登曲和退出IPmec通道错误 L2TP/P PTP/P P P o門斷罟良娈基于日志的严重性岌送善告邮件最低日志级别告誓T 加固建议设置邮箱告警能够检测到设备更改的一些信息能及时以邮件的方式告知设备管理员。设置邮箱告警步骤：1、选择发送报警邮件的类别；2、选择日志级别；3、填写邮件告警的邮箱地址。