思科防火墙安全测评指导书

思科防火墙安全测评指导书序号测评指标测评项检查方法预期结果1访问控制a）检杳防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。检杳：检杳网络拓扑结构和相关交换机配 置，查看是否在交换机 上启用了访问控制功 能。输入命令show access-lists 检杳配 置文件中是否存在以 下类似配置项： access-list 100 deny ip any any access-group 100 in in terface outside防火墙启用了访问控 制功能，根据需要配置 了访问控制列表。b）检查防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性检杳：输入命令shou running ， 检杳访问控 制列表的控制粒度是 否为端口级，如access-list 110 permit tcp any hostx.x.x.x eq ftp根据会话状态信息为 数据流提供了明确的 访问控制策略，控制粒 度为端口级。和安全性。c）检杳防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。检杳：检杳防火墙或 IPS安全策略是否对重 要数据流启用应用层 协议检测、过滤功能。防火墙或IPS开启了 重要数据流应用层协 议检测、过滤功能，可 以对应用层HTTP FTPTELNET SMTP POP3 等协议进行控制。d）检查防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。访谈：访谈系统管理 员，是否在会话处于非 活跃一疋时间或会话 结束后终止网络连接； 检杳：输入命令show running，查看配置中 是否存在命令设定管 理会话的超时时间：ssh timeout 101）会话处于非活跃一 定时间或会话结束后， 路由器会终止网络连 接；2 ）路由器配置中 存在会话超时相关配 置。e）检查防火检查：1 ）在网络出口1）网络出口和核心网墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。和核心网络处的防火 墙是否配置了网络最 大流量数及网络连接 数；2）是否有专用的 流量控制设备限制网 络最大流量数及网络 连接数。络处的防火墙配置了 合理QOSfi略，优化了 网络最大流量数；2 ） 通过专用的流量控制 设备限制网络最大流 量数及网络连接数。f）检查防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。检查：1、是否通过IP/MAC绑定手段防止 地址欺骗，输入命令 show running ，检杳 配置文件中是否存在 arp绑定配置：1）通过防火墙配置命 令进行IP/MAC地址绑 定防止地址欺骗；2 ）通过专用软件或设备 进行IP/MAC地址绑定 防止地址欺骗。g）检查防火 墙等网络访 问控制设 备，测试系检查：1 ）是否针对单 个远程拨号用户或VPN 用户访问受控资源进 行了有效控制；2）以1）对单个远程拨号用 户或VPN用户访问受 控资源进行了有效控 制；2）通过拨号或统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。拨号或VPN等方式接 入网络的，是否采用强 认证方式。VPN等方式接入网络 时，采用了强认证方式（证书、KEY等）。h）检查防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。检查：是否限制具有 远程访问权限的用户 数量。限制了具有远程访问 权限的用户数量。2安全审计a）检杳核心 交换机、路 由器等网络 互联设备的 安全审计情 况等，测评 分析信息系检查：1 ）网络系统中 的防火墙是否开启日 志记录功能；输入 show logging 命令， 检杳 Syslog logging 进程是否为enable状 态；2）是否对防火墙1）防火墙开启了日志 记录功能，命令show logging的输出配置中 显示：Sysloglogging:enabled ； 2 ） 对防火墙的运行状况、 网络流量进行监控和统审计配置 和审计记录 保护情况。的运行状况、网络流量 进行监控和记录。记录（巡检记录或第三 方监控软件）。b）检杳核心 交换机、路 由器等网络 互联设备的 安全审计情 况等，测评 分析信息系 统审计配置 和审计记录 保护情况。检查：查看日志内容， 是否包括事件的日期 和时间、设备管理员操 作行为、事件类型等信 息。日志内容包括事件的 日期和时间、设备管理 员操作行为、事件类型 等信息。C）检杳核心 交换机、路 由器等网络 互联设备的 安全审计情 况等，测评 分析信息系 统审计配置 和审计记录 保护情况。检杳：查看如何实现 审计记录数据的分析 和报表生成。定期对审计记录数据 进行分析并生成纸质 或电子的审计报表。d）检杳核心 交换机、路 由器等网络 互联设备的 安全审计情 况等，测评 分析信息系 统审计配置 和审计记录 保护情况。检杳：检杳对审计记 录监控和保护的措施。 例如：通过专用日志服 务器或存储设备对审 计记录进行备份，并避 免对审计记录未预期 的修改、删除或覆盖。 检杳：输入命令show running 检杳配置文 件中是否存在类似如 下配置项：1）输入命令show running 检杳配置文 件中存在配置syslog host x.x.x.x ，把设备 日志发送到安全的日 志服务器或第三方审 计设备；2 ）由专人对 审计记录进行管理，避 免审计记录受到未预 期的删除、修改或覆 盖。3网络设备 防护a）检查交换 机、路由器 等网络互联 设备以及防 火墙等网络 安全设备， 查看它们的访谈、检杳：1 ）访谈 设备管理员，询问登录 设备的身份标识和鉴 别机制采用何种措施 实现；2 ）登录防火墙， 查看是否提示输入用 户口令，然后以正确口1）防火墙使用口令鉴 别机制对登录用户进 行身份标识和鉴别；2）登录时提示输入用 户名和口令；以错误口 令或空口令登录时提 示登录失败，验证了登安全配置情 况，包括身 份鉴别、登 录失败处 理、限制非 法登录和登 录连接超时 等，考察网 络设备自身 的安全防范 情况。令登录系统，再以错误 口令或空口令重新登 录，观察是否成功。录控制功能的有效性；3）防火墙中不存在密 码为空的用户。b）检查交换 机、路由器 等网络互联 设备以及防 火墙等网络 安全设备， 查看它们的 安全配置情 况，包括身 份鉴别、登 录失败处 理、限制非 法登录和登 录连接超时 等，考察网 络设备自身 的安全防范 情况。检杳：输入命令show running ， 查看配置文 件里是否存在类似如 下配置项限制管理员登录地址：Sshin side配置了合理的访问控 制列表限制对防火墙 进行登录的管理员地 址。C）检查交换 机、路由器 等网络互联 设备以及防 火墙等网络 安全设备， 查看它们的 安全配置情 况，包括身 份鉴别、登 录失败处 理、限制非 法登录和登 录连接超时检杳：1）检杳防火墙 标识疋否唯；2）检 查同一防火墙的用户 标识疋否唯;3）检 查是否不存在多个人 员共用一个账号的现 象。1）防火墙标识唯一；2）同一防火墙的用户 标识唯一；3 ）不存在 多个人员共用一个账 号的现象。