《网络安全FortiGate防火墙222等级保护测评指导书.docx》由会员分享,可在线阅读,更多相关《网络安全FortiGate防火墙222等级保护测评指导书.docx(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、序号类别测评项测评实施预期结果说明1访 问 控 制a)应在网络边界部署访问控制 设备,启用访问控制功能:1)检查访问控制策略列表,查看是否配置了明确的 允许/拒绝的访问能力,控制糅粒度为端口级, lebUI管理方式:策略- 策略-策略, 查看访问控制策略的配置情况.1)防火墙安全策略具备源IP地址、 目标IP地址、允许/拒绝和应用股务 湍口号。b)应能根据会话状态信息为数 据流提供明确的允许/拒绝访问的 能力,控制粒度为网段级;1)检查访问控制策略列表,查看是否配置r明确的 允许/拒绝的访问能力,控制棘粒度为端口级, lebUI管理方式:策略- 策略- 策略, 查看访问控制策略的配置情况。1)
2、防火墙安全策略具备源IP地址、目标IP地址、允许/拒绝和应用服务。源地址未是网段,allc)应按用户和系统之间的允许 访问规那么,决定允许或拒绝用户 对受控系统进行资源访问,控制 粒度为单个用户;1)访谈允许远程访问的方式并有拧远程接入是否提 供用户认证功能,通过配算用户、用户组,并结合 访问控制规那么实现用户的允许绝访问受控资源:部罟有访问控制列表,控制各个网段间的网络访问不一定是拨号访问,主 要存在其他方式访问 的,包括互联网访问,d)应限制具有拨号访问权限的 用户数量。N/A序号类别测评项测评实施预期结果说明2安 全 审 if-a)应对网络系统中的网络设备运 行状况、网络流量、用户行为等
3、 进行口志记录;D检查防火墙是否开启日志功能.lebGUI 方式:进入系统管理-面板卜Status查看接口网络潦fit,CPU, MEM占用状况,功能开启情况。lebGUI 方式:进入志与报告一“事件日志-用户查看用 户操作行为的日志记录.进入H志与报告-日志配置-日志设置S 看日志发送给H志分析服务器。1)防火堵设置日志服务器,并使用 Sys log方式或者SNMP方式将日志发 送到日志服务器。可选择指定的日志进 行第三方审计.b)审计记录应包括:事件的R期 和时间、用户、事件类里、事件 是否成功及其他与审计相关的信 总:lebGUI 方式:进入日志与报告-事件日志-用户查看用 户操作行为的
4、日志记录.1)系统日志和策略H志的日志信息中 包含事件的日期和时间、用户、事件 类型、事件是否成功及其他与审“相 关的信息。关注重要属性。3网 络 设 备 防 护a)应对登录网络设备的用户进行 身份鉴别:1)检查登录认证方式.1)管理员登录防火墙时进行身份鉴 别.b)应对网络设备的管理员登录地 址进行限制:1)检查是否配置特定IP地址并且只能从该IP地址 进行管理。lebUI管理方式:进入UebUI管理界面,系统管理-管理员设置- 管理员,直看“只从信任主机限制该Admin登 录”。1)配置了管理员登录IP地址。严格上,不允许从外 围管理登陆,内网管 理需指定IP序号类别测评项测评实施预期结果
5、说明C)网络设备用户的标识应唯一:进入mbUI管理界面,系统管理- 管理员设置 管理员,查看是否有唯一的用户标识.1)不同的管理员均分配了不同的登录 账户,无共用账户。(1)身份鉴别信息应具有不易被冒 用的特点,口令应有复杂度要求 并定期更换;访谈网络管理仍登录账户的口令长度、口令更改周 期和口令复杂度0通过WebUl管理方式:系统管理-管理E设置- 管理员,更改管理M密码,检查是否有口令长 度、复杂度的检查1)口令长度8位以上,规定了更改周 期.口令组成包括数字、字母和特殊字符等,非默认用户名和密码.e)应具有登录失败处理功能,可 采取结束会话、限制非法登录次 数和当网络登录连接超时自动退出等措施。通过WebUI管理方式:用户&设备- 认证- 认证,检查是否登录超时自动退出设置1有登录失败次数限制,最好不超过 5次:有登录失败饿定时间设坦:登 录超时时间不为0。默认配置即符合要 求。关注是否修改了 默认配置,力当对网络设备进行远程管理 时,应采取必要措施防止鉴别信 总在网络传输过程中被窃听通过WebUI管理方式:用户&设备- 认证- 认证,检测是否采用Https和SSH方式登录连接D远程管理采取安全方式,如HTTPS、SSH等,未启用telnet明文方式。