等保护要求juniper防火墙安全配置检查表-信息安全测评中心 下载本文

信息安全等级保护评估中心

序号 类别 测评项 测评实施 预期结果 说明 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; 1)检查访问控制策略列表,查看是否配置了明确的允许/拒绝的访问能力,控制颗粒度为端口级。 1)防火墙安全策略具备源IP地址、输入“get config”命令,应存在如下类似配置: 目标IP地址、允许/拒绝和应用服务set policy id 1 form Trust to Untrust any any 端口号。 ftp permit 访1 问控制 c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、1)检查防火墙安全策略是否对重要数据流启用应用1)防火墙安全策略配置并启用了TELNET、SMTP、POP3等协议命令层协议深层检测。 Deep Inspection。 级的控制; 深度检测包括http\\smtp\\pop3\\ftp,启用深度检测有可能会影响防火墙的处理性能。 d)应在会话处于非活跃一定时间或会话结束后终止网络连接; 1)防火墙能够根据业务需要在没有数1)访谈系统管理员,是否在会话处于非活跃一定时据传输一段时间后终止网络会话连间或会话结束后终止网络连接; 接。 第 1 页 共 7 页

信息安全等级保护评估中心

序号 类别 测评项 测评实施 预期结果 说明 e)应限制网络最大流量数及网络连接数; 1)访谈系统管理员并检查防火墙配置,是否限制网络最大流量数及网络连接数。 输入“get config”命令,应存在如下类似配置: set zone dmz screen limit-session source-ip-based 1 set zone dmz screen limit-session source-ip-based set zone trust screen limit-session source-ip-based 80 1)防火墙配置并启用基于源IP地址set zone trust screen limit-session 和基于目标IP地址的抗攻击设置。 source-ip-based set zone untrust screen limit-session destination-ip-based 4000(依据业务需求设定此值) set zone untrust screen limit-session destination-ip-based set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging early-ageout 4 N/A f) 重要网段应采取技术手段防止地址欺骗; 该功能一般由接入交换机实现。 第 2 页 共 7 页

信息安全等级保护评估中心

序号 类别 测评项 g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。 测评实施 预期结果 说明 N/A 该设备无拨号功能。 N/A 该设备无拨号功能。 安2 全审计 a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 1)检查防火墙是否开启日志功能。 WebGUI方式: 进入[reports]->[system log]->[event]选择时间级别进行查询,[configuration]->[report settings]->[syslog]是否设置日志服务器。 1)防火墙设置日志服务器,并使用命令方式: Syslog方式或者SNMP方式将日志发输入“get config”命令,应存在如下类似配置: 送到日志服务器。 Set syslog config 1.1.1.1 port 1514 Set syslog config 1.1.1.1 log all Set syslog config 1.1.1.1 facilities local0 local0 Set syslog config 1.1.1.1 transport tcp 第 3 页 共 7 页