等级保护测评.docx

XXX网站系统
WEB防火墙安全策略检查及加固建议
二零一二年十月
文档信息表
文档基本信息
项目名称
XXX信息网等级保护测评项目
当前项目阶段
实施阶段
文档名称
XXX网站系统-WEB防火墙安全策略检查及加固建
ID
具体内容
符合
不符合
检查记录
1
检查网络拓扑结构图，检查是否划分防火墙安全区域 及IP子网规划。
V
2
查看防火墙及链路是否有冗余，如双机热备。
V
3
防火墙以何种方式接入网络，包括透明模式、混合模 式和路由模式等。
V
透明方式接入
防火墙系统配置检查
ID
具体内容
符合
不符合
检查记录
1
检查系统时钟是否有权威时间源配置并保持同步；
V
时钟时间与标准时间保持同 步
2
检查系统升级许可；
V
系统版本为最新
3
检查导入导出功能是否正常；
V
4
检查报警邮箱设置是否启用及是否正常工作；
V
未启用邮件告警功能
5
检查是否配置域名服务器。
V
没有配置域名服务器，使用 的是外网域名服务
6
是否启用防欺骗的IP地址与MAC地址绑定功能
V
未启用MAC绑定
7
对于P2P的限制是否启用
V
未启用流控功能
8
针对不同端口是否配置抗攻击策略；
V
启用了 DOS防护功能
9
防火墙是否启用连接限制。
V
设置了 “允许用户同时从不 同IP登陆”没有设置用户 IP范围
防护墙安全策略检查
ID
具体内容
符合
不符合
检查记录
1
检查防火墙是否只开放了必须要开放的端口；
V
2
检查防火墙是否禁止了所有不必要开放的端口；
V
3
检查防火墙是否设置了防DOS攻击安全策略
V
4
防火墙抗攻击配置项阀值的设定是否合理。
V
防火墙安全管理检查
ID
具体内容
符合
不符合
检查记录
1
检查防火墙的通过什么方式进行管理，是否为安全的 管理方式
V
V
http方式管理，建议开启 https
2
检查防火墙是否根据权限不同进行分级管理
V
设置了 admin 、wang、 titansec ,3个管理员账户， 权限为all
3
检查防火墙的口令设置情况，口令设置是否满足安全 要求
V
4
检查米用USB电子钥匙和证书通过web方式管理。
V
通过web方式官理
5
检查防火墙默认管理IP地址和管理帐户及用户名更
改；
V
6
检查否是启用多用户管理；
V
但没有对多用户设置不同权 限
防火墙日志管理
ID
具体内容
符合
不符合
检查记录
1
防火墙日志审计记录是否包括日期和时间、用户、事 件类型、事件是否成功等。
V
2
检查防火墙的日志设置是否合理，是否有所有拒绝数 据包的记录日志。
V
3
检查防火墙的日志保存情况，所记录的日志是否有连 续性；
V
4
检查防火墙日志的查看情况，网络安全管理员是否按 照防火墙管理制度对防火墙进行日常维护；
V
5
保护防火墙的日志记录，避免未授权的覆盖、修改和 删除操作，日志记录应至少保存6个月以上；
V
6
具备完善的日志导出和报表生成，定期审计日志记 录，并生成审计报告；
V
7
是否使用第三方的日志服务器，集中收集防火墙的日 志信息并设置访问权限；
V
没有开启第三方syslog日志 服务器
防火墙访问控制检查
ID
具体内容
符合
不符合
检查记录
1
查看防火墙安全区域的划分，在区域与区域之间是否 设置了访问控制策略；
V
2
防火墙根据数据的源IP地址、目的IP地址和端口号 为数据流提供明确的允许/拒绝控制；
V
3
查看防火墙启用的哪些服务，采取安全措施保证服务 的安全性；
V
4
关闭不必要的服务及端口：关闭CDP、PING、TELNET、 HTTP、finger 等服务；
V
5
是否采用认证服务器进行用户认证。
V
没有第三方认证服务器，采 用本地认证
防火墙运行维护检查
ID
具体内容
符合
不符合
检查记录
1
有专职人员对防火墙设备进行监控和操作；
V
2
是否将防火墙配置文件及时保存并导出，配置文件是 否有备份
V
3
是否设置网络监控系统，实时监控网络设备的运行情
况；
V
4
设置报警机制，检测到网络异常时发出报警；