12-SGISLOP-SA14-10防火墙等级保护测评作业指导书(三级).doc
《12-SGISLOP-SA14-10防火墙等级保护测评作业指导书(三级).doc》由会员分享,可在线阅读,更多相关《12-SGISLOP-SA14-10防火墙等级保护测评作业指导书(三级).doc(14页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、.信息安全等级保护测评作业指导书防火墙(三级)版 号: 第 2 版修 改 次 数: 第 0 次生 效 日 期: 2010 年 01 月 06 日中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA14-10.修改页修订号 控制编号 版号/章节号 修改人 修订原因 批准人 批准日期 备注1 SGISL/OP-SA14-10 唐斐 按公安部要求修订 詹雄 2010.3.8.一、网络访问控制访问1端口级的访问控制测评项编号 ADT-FW-01 对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级测评项名称 端口级的网络访问控制测评分项 1:查看防火墙缺省规
2、则是否为默认禁止在管理界面中,查看防火墙已有的安全规则。适用版本 任何版本操作步骤实施风险 无符合性判定访谈网络管理员,防火墙的缺省规则。如为默认允许,则应查看防火墙的最后一条安全规则,如果不是拒绝从 any 到 any 的任何协议通过,判定结果为不符合;其它情况,判定结果为符合。测评分项 2:检查防火墙控制粒度是否为端口级访谈网络管理员,确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则,验证控制粒度是否为端口级。 适用版本 任何产品操作步骤实施风险 无符合性判定查看防火墙所配置的访问控制规则,规则设置的参数包括端口,判定结果为符合;查看防火墙所配置的访问控制规则,规则设置的参数不包括端
3、口,判.定结果为不符合。备注2协议命令级的网络访问控制测评项编号 ADT-FW-02 对应要求应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP 、POP3等协议命令级的控制测评项名称 协议命令级的网络访问控制测评分项 1: 实现应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制检查防火墙对 HTTP、FTP、TELNET 、SMTP 、POP3 协议的内容过滤配置适用版本 任何产品操作步骤实施风险 无符合性判定如防火墙应用层协议内容过滤配置中配置的参数包含 URL 地址、收件人、FTP 下载的文件类型等,判定结果为符合;若无上述参
4、数,协议命令级的网络访问控制判定结果为不符合。备注3会话连接超时处理.测评项编号 ADT-FW-03 对应要求应在会话处于非活跃一定时间或会话结束后终止网络连接测评项名称 会话连接超时处理测评分项 1: 防火墙上设置会话连接超时在管理界面上,查看是否设置了会话连接超时。适用版本 任何产品操作步骤实施风险 无符合性判定管理界面上,查看设置的会话连接超时间,且时间设置的合理,判定结果为符合。管理界面上,未设置会话连接超时时间,判定结果为不符合。若时间设置的不合理,则判定为部分符合。备注4网络流量和最大连接数的限制测评项编号 ADT-FW-04 对应要求在互联网出口和核心网络接口处应限制网络最大流量
5、数及网络连接数测评项名称 网络流量和最大连接数的限制测评分项 1: 根据 IP 地址、端口、协议来限制应用数据流的最大流量,根据 IP 地址限制网络连接数访谈网络管理员,是否需要限制网络最大流量和网络连接数。在管理界面上,查看是否设置了网络最大流量和网络连接数。操作步骤适用版本 任何产品.实施风险 无符合性判定管理界面上,查看设置了最大流量数和网络连接数,判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数,判定结果也为符合。管理界面上,未设置最大流量数,判定结果为不符合。备注二、安全审计1日志记录测评项编号 ADT-FW-05 对应要求应对网络系统中的网络设备运行状况、网络流量、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 12 SGISLOP SA14 10 防火墙 等级 保护 测评 作业 指导书 三级
限制150内