思科防火墙安全测评指导书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
思科防火墙安全测评指导书
序号测评指标测评项检查方法预期结果
1访问控制a)检查防火
墙等网络访
问控制设
备,测试系
统对外暴露
安全漏洞情
况等,测评
分析信息系
统对网络区
域边界相关
的网络隔离
与访问控制
能力;检查
拨号接入路
由器,测评
分析信息系
统远程拨号
访问控制规
则的合理性
和安全性。
检查:检查网络拓扑
结构和相关交换机配
置,查看是否在交换机
上启用了访问控制功
能。输入命令 show
access-lists 检查配
置文件中是否存在以
下类似配置项:
access-list 100 deny
ip any any
access-group 100 in
interface outside
防火墙启用了访问控
制功能,根据需要配置
了访问控制列表。
b)检查防火
墙等网络访
问控制设
备,测试系
统对外暴露
安全漏洞情
况等,测评
分析信息系
统对网络区
域边界相关
的网络隔离
与访问控制
能力;检查
拨号接入路
由器,测评
分析信息系
统远程拨号
访问控制规
则的合理性
检查:输入命令shou
running,检查访问控
制列表的控制粒度是
否为端口级,如
access-list 110
permit tcp any host
x.x.x.x eq ftp
根据会话状态信息为
数据流提供了明确的
访问控制策略,控制粒
度为端口级。
和安全性。
c)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系
统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查:检查防火墙或
IPS安全策略是否对重
要数据流启用应用层
协议检测、过滤功能。
防火墙或IPS开启了
重要数据流应用层协
议检测、过滤功能,可
以对应用层HTTP、FTP、
TELNET、SMTP、POP3
等协议进行控制。
d)检查防火墙等网络访问控制设备,测试系统对外暴露
安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。访谈:访谈系统管理
员,是否在会话处于非
活跃一定时间或会话
结束后终止网络连接;
检查:输入命令show
running,查看配置中
是否存在命令设定管
理会话的超时时间:
ssh timeout 10
1)会话处于非活跃一
定时间或会话结束后,
路由器会终止网络连
接; 2)路由器配置中
存在会话超时相关配
置。
e)检查防火检查: 1)在网络出口1)网络出口和核心网
墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。和核心网络处的防火
墙是否配置了网络最
大流量数及网络连接
数; 2)是否有专用的
流量控制设备限制网
络最大流量数及网络
连接数。
络处的防火墙配置了
合理QOS策略,优化了
网络最大流量数; 2)
通过专用的流量控制
设备限制网络最大流
量数及网络连接数。
f)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情
况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1、是否通过
IP/MAC绑定手段防止
地址欺骗,输入命令
show running,检查
配置文件中是否存在
arp绑定配置: arp
inside x.x.x.x
x.x.x.x
1)通过防火墙配置命
令进行IP/MAC地址绑
定防止地址欺骗; 2)
通过专用软件或设备
进行IP/MAC地址绑定
防止地址欺骗。
g)检查防火墙等网络访问控制设备,测试系检查: 1)是否针对单
个远程拨号用户或VPN
用户访问受控资源进
行了有效控制; 2)以
1)对单个远程拨号用
户或VPN用户访问受
控资源进行了有效控
制; 2)通过拨号或
统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。拨号或VPN等方式接
入网络的,是否采用强
认证方式。
VPN等方式接入网络
时,采用了强认证方式
(证书、KEY等)。
h)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系
统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查:是否限制具有
远程访问权限的用户
数量。
限制了具有远程访问
权限的用户数量。
2安全审计a)检查核心
交换机、路
由器等网络
互联设备的
安全审计情
况等,测评
分析信息系
检查: 1)网络系统中
的防火墙是否开启日
志记录功能;输入
show logging命令,
检查Syslog logging
进程是否为enable状
态; 2)是否对防火墙
1)防火墙开启了日志
记录功能,命令show
logging的输出配置中
显示: Syslog
logging:enabled; 2)
对防火墙的运行状况、
网络流量进行监控和