NetScreen5.0防火墙测评指导书

序号 类别 测评项 测评实施 预期结果 说明 e)应网络最大流量数及网络连接数； 1）访谈系统管理员并检查防火墙配置，是否网络最大流量数及网络连接数。 输入“get config”命令，应存在如下类似配置： set zone dmz screen limit-session source-ip-based 1 set zone dmz screen limit-session source-ip-based set zone trust screen limit-session source-ip-based 80 1）防火墙配置并启用基于源IP地址set zone trust screen limit-session 和基于目标IP地址的抗攻击设置。 source-ip-based set zone untrust screen limit-session destination-ip-based 4000(依据业务需求设定此值) set zone untrust screen limit-session destination-ip-based set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging early-ageout 4 N/A f) 重要网段应采取技术手段防止地址欺骗； 该功能一般由接入交换机实现。 第 2 页 共 7 页

序号 类别 测评项 g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； h) 应具有拨号访问权限的用户数量。 测评实施 预期结果 说明 N/A 该设备无拨号功能。 N/A 该设备无拨号功能。 安2 全审计 a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 1)检查防火墙是否开启日志功能。 WebGUI方式: 进入[reports]->[system log]->[event]选择时间级别进行查询，[configuration]->[report settings]->[syslog]是否设置日志服务器。 1）防火墙设置日志服务器，并使用命令方式： Syslog方式或者SNMP方式将日志发输入“get config”命令，应存在如下类似配置： 送到日志服务器。 Set syslog config 1.1.1.1 port 1514 Set syslog config 1.1.1.1 log all Set syslog config 1.1.1.1 facilities local0 local0 Set syslog config 1.1.1.1 transport tcp 第 3 页 共 7 页

序号 类别 测评项 b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 测评实施 预期结果 说明 1）系统日志和策略日志的日志信息中1）查看防火墙系统日志和策略日志情况。通过输入包含事件的日期和时间、用户、事件如下命令进行查看。 类型、事件是否成功及其他与审计相get event level notification 关的信息。 开启实时监测功能会影响防火墙的性能 c)应能够根据记录数据进行分析，并生成审计报表； 1）访谈网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。 输入“get config”命令，应存在如下类似配置： Set webtrends host-name 172.10.16.25 Set webtrends port 514 Set webtrends enable Set log module system level notification destination webtrends 1）具有相关的技术措施（Webtrends firewall Suite、HP OpenView Report Server等等）能够对防火墙日志进行集中管理、统计和分析汇总。 d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 1）访谈网络设备管理员采用了何种手段避免了审计1）防火墙的日志信息转发至日志服务日志的未授权修改、删除和破坏。 器，同时防火墙本地缓存日志。 第 4 页 共 7 页

序号 类别 测评项 a)应对登录网络设备的用户进行身份鉴别； 测评实施 1）检查登录认证方式。 预期结果 1）管理员登录防火墙时进行身份鉴别。 说明 网络3 设备防护 b)应对网络设备的管理员登录地址进行； 1）检查是否配置特定IP地址并且只能从该IP地址进行管理。 WebUI管理方式： 进入WebUI管理界面，[configuration] -> [admin] -> [permitted IPs]，查看管理IP地址配置情况。 或命令行方式： 通过命令行输入“get config”命令，存在如下类1）配置了管理员登录IP地址。 似配置。 MGT口设置管理地址和管理方式： Set interface mgt ip 10.0.0.2/24 数据口设置管理地址和管理方式： Set interface ethernet1 manage-ip 1.1.1.2 管理主机地址： Set admin manager-ip 172.16.40.0 255.255.255.0 1）通过命令行输入“get config”命令，存在如下类似配置。 set admin user Roger password 2bd21wG7 privilege read-only 1）不同的管理员均分配了不同的登录c)网络设备用户的标识应唯一； set admin user Smith password 3MAb99j2 账户，无共用账户。 privilege all 根据上述类似配置访谈网络管理员了解防火墙设备各账户的使用情况。 第 5 页 共 7 页

序号 类别 测评项 d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别； e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 测评实施 预期结果 说明 1）检查管理员登录防火墙的身份鉴别方式，如通过1）采用两种或两种以上的身份鉴别方Radius服务器实现数字证书认证和用户名密码认式。 证。 1）访谈网络管理员登录账户的口令长度、口令更改1）口令长度8位以上，规定了更改周周期和口令复杂度。通过命令行输入“get config”期，口令组成包括数字、字母和特殊命令，存在如下类似配置: 字符等，非默认用户名和密码。 Set admin password restrict length xx 1）通过命令行输入“get config”命令，查看是否存在如下类似配置，包括登录尝试次数、登录失败锁定时间及登录超时时间等。(默认登录尝试次数为1）有登录失败次数，最好不超过3次；登录失败锁定时间为1分钟) 5次；有登录失败锁定时间设置；登set admin access attempts 3 录超时时间不为0。 set admin access lock-on-failure 1 set admin auth timeout 3 1）检查管理员登录管理方式。 通过命令行输入“get config”命令，存在如下类似配置。 set ssl enable set ssh enable set interface ethernet1 manage ssh set interface ethernet1 manage ssl set admin http redirect set admin telnet access tunnel unset admin telnet 1024 f)应具有登录失败处理功能，可采取结束会话、非法登录次数和当网络登录连接超时自动退出等措施。 默认配置即符合要求。关注是否修改了默认配置。 g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听 1）远程管理采取安全方式，如HTTPS、 SSH等，未启用telnet明文方式。 第 6 页 共 7 页

序号 类别 测评项 测评实施 预期结果 说明 h)应实现设备特权用户的权限分离。 1）检查防火墙配置，点击[config] -> [admin] -> [administrators]，查看管理员配置情况。 或通过命令行输入“get config”命令，存在如下1）具备不同管理权限的用户，如根用类似配置： 户、读写管理员、只读管理员。 Set admin user Jack password xxxx privilege all Set admin user Smith password xxxx privilege read-only 1）防火墙配置数据应该定期备份，或当防火墙配置发生更改时进行备份，备份数据场外存放。 备份4 与恢复 a)应提供本地数据备份与恢复功1）访谈网络管理员防火墙配置数据是否有备份机能，完全数据备份至少每天一次，制？是否有异地备份？ 备份介质场外存放； b)应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地； d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。 1）访谈管理员，系统配置数据是否有自动备份机制；1）应将配置存盘下载并保存到其他位是本地自动备份还是异地自动备份(TFTP服务器)。 置。 1）检查防火墙设备是否是双机运行及工作方式（A-S或A-A）。 1）防火墙双机主备或双A方式运行。

第 7 页 共 7 页