思科防火墙安全测评指导书

思科防火墙安全测评指导书

序号测评指标测评项检查方法预期结果

1访问控制a)检查防火

墙等网络访

问控制设

备，测试系

统对外暴露

安全漏洞情

况等，测评

分析信息系

统对网络区

域边界相关

的网络隔离

与访问控制

能力；检查

拨号接入路

由器，测评

分析信息系

统远程拨号

访问控制规

则的合理性

和安全性。

检查：检查网络拓扑

结构和相关交换机配

置，查看是否在交换机

上启用了访问控制功

能。输入命令 show

access-lists 检查配

置文件中是否存在以

下类似配置项：

access-list 100 deny

ip any any

access-group 100 in

interface outside

防火墙启用了访问控

制功能，根据需要配置

了访问控制列表。

b)检查防火

墙等网络访

问控制设

备，测试系

统对外暴露

安全漏洞情

况等，测评

分析信息系

统对网络区

域边界相关

的网络隔离

与访问控制

能力；检查

拨号接入路

由器，测评

分析信息系

统远程拨号

访问控制规

则的合理性

检查：输入命令shou

running，检查访问控

制列表的控制粒度是

否为端口级，如

access-list 110

permit tcp any host

x.x.x.x eq ftp

根据会话状态信息为

数据流提供了明确的

访问控制策略，控制粒

度为端口级。

和安全性。

c)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系

统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查：检查防火墙或

IPS安全策略是否对重

要数据流启用应用层

协议检测、过滤功能。

防火墙或IPS开启了

重要数据流应用层协

议检测、过滤功能，可

以对应用层HTTP、FTP、

TELNET、SMTP、POP3

等协议进行控制。

d)检查防火墙等网络访问控制设备，测试系统对外暴露

安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。访谈：访谈系统管理

员，是否在会话处于非

活跃一定时间或会话

结束后终止网络连接；

检查：输入命令show

running，查看配置中

是否存在命令设定管

理会话的超时时间：

ssh timeout 10

1）会话处于非活跃一

定时间或会话结束后，

路由器会终止网络连

接； 2）路由器配置中

存在会话超时相关配

置。

e)检查防火检查： 1）在网络出口1）网络出口和核心网

墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。和核心网络处的防火

墙是否配置了网络最

大流量数及网络连接

数； 2）是否有专用的

流量控制设备限制网

络最大流量数及网络

连接数。

络处的防火墙配置了

合理QOS策略，优化了

网络最大流量数； 2）

通过专用的流量控制

设备限制网络最大流

量数及网络连接数。

f)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情

况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查： 1、是否通过

IP/MAC绑定手段防止

地址欺骗，输入命令

show running，检查

配置文件中是否存在

arp绑定配置： arp

inside x.x.x.x

x.x.x.x

1）通过防火墙配置命

令进行IP/MAC地址绑

定防止地址欺骗； 2）

通过专用软件或设备

进行IP/MAC地址绑定

防止地址欺骗。

g)检查防火墙等网络访问控制设备，测试系检查： 1）是否针对单

个远程拨号用户或VPN

用户访问受控资源进

行了有效控制； 2）以

1）对单个远程拨号用

户或VPN用户访问受

控资源进行了有效控

制； 2）通过拨号或

统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。拨号或VPN等方式接

入网络的，是否采用强

认证方式。

VPN等方式接入网络

时，采用了强认证方式

（证书、KEY等）。

h)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系

统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查：是否限制具有

远程访问权限的用户

数量。

限制了具有远程访问

权限的用户数量。

2安全审计a)检查核心

交换机、路

由器等网络

互联设备的

安全审计情

况等，测评

分析信息系

检查： 1）网络系统中

的防火墙是否开启日

志记录功能；输入

show logging命令，

检查Syslog logging

进程是否为enable状

态； 2）是否对防火墙

1）防火墙开启了日志

记录功能，命令show

logging的输出配置中

显示： Syslog

logging:enabled； 2）

对防火墙的运行状况、

网络流量进行监控和