信息安全等级保护测评作业指导书防火墙(三级)版 号:第 2 版修 改 次 数:第 0 次生 效 日 期:01 月 06 日中国电力科学讨论院信息安全试验室控制编号:SGISL/OP-SA14-10修改页修订号控制编号版号/章节号修改人修订原因同意人同意日期备注1SGISL/OP-SA14-10唐斐按公安部要求修订詹雄
8一、网络访问控制访问1.端口级访问控制测评项编号ADT-FW-01对应要求应能依据会话状态信息为数据流提供明确许可/拒绝访问能力,控制粒度为端口级测评项名称端口级网络访问控制测评分项 1:查看防火墙缺省规则是否为默认严禁操作步骤在管理界面中,查看防火墙已经有安全规则
适用版本任何版本实施风险无符合性判定访谈网络管理员,防火墙缺省规则
如为默认许可,则应查看防火墙最终一条安全规则,假如不是拒绝从 any 到 any 任何协议经过,判定结果为不符合;其它情况,判定结果为符合
测评分项 2:检验防火墙控制粒度是否为端口级操作步骤访谈网络管理员,确定防火墙应许可/拒绝网络服务连接
查看防火墙规则,验证控制粒度是否为端口级
适用版本任何产品实施风险无符合性判定查看防火墙所配置访问控制规则,规则设置参数包含端口,判定结果为符合;查看防火墙所配置访问控制规则,规则设置参数不包含端口,判定结果为不符合
备注2.协议命令级网络访问控制测评项编号ADT-FW-02对应要求应对进出网络信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制测评项名称协议命令级网络访问控制测评分项 1: 实现应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级控制操作步骤检验防火墙对 HTTP、FTP、TELNET、SMTP、POP3 协议内容过滤配置适用版本任何产品实施风险无符合性判定如防火墙应用层协议内容过滤配置中配置参数包含
