思科防火墙安全测评指导书
思科防火墙安全测评指导书序号测评指标测评项检查方法预期结果1访问控制a)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 检查网络拓扑结构和相关交换机配置,查看是否在交换机上启用了访问控制功能。 输入命令 show access-lists 检查配置文件中是否存在以下类似配置项: access-list 100 deny ip any any access-group 100 in interface outside防火墙启用了访问控制功能,根据需要配置了访问控制列表。b)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 输入命令shou running, 检查访问控制列表的控制粒度是否为端口级,如access-list 110 permit tcp any host x.x.x.x eq ftp根据会话状态信息为数据流提供了明确的访问控制策略,控制粒度为端口级。c)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。防火墙或IPS开启了重要数据流应用层协议检测、过滤功能,可以对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行控制。d)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。访谈: 访谈系统管理员,是否在会话处于非活跃一定时间或会话结束后终止网络连接; 检查: 输入命令show running,查看配置中是否存在命令设定管理会话的超时时间: ssh timeout 101)会话处于非活跃一定时间或会话结束后,路由器会终止网络连接; 2)路由器配置中存在会话超时相关配置。e)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1)在网络出口和核心网络处的防火墙是否配置了网络最大流量数及网络连接数; 2)是否有专用的流量控制设备限制网络最大流量数及网络连接数。1)网络出口和核心网络处的防火墙配置了合理QOS策略,优化了网络最大流量数; 2)通过专用的流量控制设备限制网络最大流量数及网络连接数。f)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1、是否通过IP/MAC绑定手段防止地址欺骗, 输入命令 show running, 检查配置文件中是否存在arp绑定配置: arp inside x.x.x.x x.x.x.x1)通过防火墙配置命令进行IP/MAC地址绑定防止地址欺骗; 2)通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。g)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1)是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制; 2)以拨号或VPN等方式接入网络的,是否采用强认证方式。1)对单个远程拨号用户或VPN用户访问受控资源进行了有效控制; 2)通过拨号或VPN等方式接入网络时,采用了强认证方式(证书、KEY等)。h)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 是否限制具有远程访问权限的用户数量。限制了具有远程访问权限的用户数量。2安全审计a)检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 1)网络系统中的防火墙是否开启日志记录功能; 输入show logging命令,检查Syslog logging进程是否为enable状态; 2)是否对防火墙的运行状况、网络流量进行监控和记录。1)防火墙开启了日志记录功能,命令show logging的输出配置中显示: Syslog logging:enabled; 2)对防火墙的运行状况、网络流量进行监控和记录(巡检记录或第三方监控软件)。b)检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 查看日志内容,是否包括事件的日期和时间、设备管理员操作行为、事件类型等信息。日志内容包括事件的日期和时间、设备管理员操作行为、事件类型等信息。c)检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 查看如何实现审计记录数据的分析和报表生成。定期对审计记录数据进行分析并生成纸质或电子的审计报表。d)检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 检查对审计记录监控和保护的措施。例如:通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录未预期的修改、删除或覆盖。 检查: 输入命令show running 检查配置文件中是否存在类似如下配置项: syslog host x.x.x.x1)输入命令show running 检查配置文件中存在配置syslog host x.x.x.x,把设备日志发送到安全的日志服务器或第三方审计设备; 2)由专人对审计记录进行管理,避免审计记录受到未预期的删除、修改或覆盖。3网络设备防护a)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈、检查: 1)访谈设备管理员,询问登录设备的身份标识和鉴别机制采用何种措施实现; 2)登录防火墙,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。1)防火墙使用口令鉴别机制对登录用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性; 3)防火墙中不存在密码为空的用户。b)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。检查: 输入命令 show running, 查看配置文件里是否存在类似如下配置项限制管理员登录地址: Ssh x.x.x.x x.x.x.x inside配置了合理的访问控制列表限制对防火墙进行登录的管理员地址。c)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。检查: 1)检查防火墙标识是否唯一; 2)检查同一防火墙的用户标识是否唯一; 3)检查是否不存在多个人员共用一个账号的现象。1)防火墙标识唯一; 2)同一防火墙的用户标识唯一; 3)不存在多个人员共用一个账号的现象。d)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈: 访谈采用了何种鉴别技术实现双因子鉴别,并在网络管理员的配合下验证双因子鉴别的有效性。用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。e)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈、检查: 1)访谈防火墙管理员,询问用户口令是否满足复杂性要求; 2)检查配置文件中口令是否加密存储。1)防火墙用户口令长度不小于8位,由字母、数字和特殊字符构成,并定期更换; 2)在配置文件中,口令为加密存储。f)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈: 访谈设备管理员,防火墙是否设置了登录失败处理功能。 检查: 在允许的情况下,根据使用的登录失败处理方式,采用如下测试方法进行测试: a)以错误的口令登录防火墙,观察反应; b)当网络登录连接超时时,观察连接终端反应。1)以错误的口令登录防火墙,尝试次数超过阀值,防火墙自动断开连接或锁定一段时间; 2)正常登录防火墙后不做任何操作,超过设定的超时时间后,登录连接自动退出。g)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈: 询问设备管理员,是否采用了安全的远程管理方法。 检查: 输入命令show running 查看配置文件中是否存在类似如下配置项: ssh x.x.x.x x.x.x.x inside1)使用SSH协议对防火墙进行远程管理; 2)没有采用明文的传输协议对防火墙进行远程管理; 3)采用第三方管理工具保证远程管理的鉴别信息保密。h)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈、检查: 1)访谈设备管理员,是否实现了特权用户的权限分离; 2)输入命令show running, 检查配置文件中是否存在类似如下配置项: username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 password 0 cisco 3)检查是否部署了日志服务器对管理员的操作进行审计记录; 4)审计记录是否有专人管理,非授权用户是否无法进行操作。1)实现了防火墙特权用户的权限分离,不同类型的账号拥有不同权限; 2)部署了专用日志服务器对管理员的操作进行审计并记录; 4)审计记录有专人管理,非授权用户无法进行操作。