信息安全等级保护测评作业指导书防火墙(三级)版 号:第 2 版修 改 次 数:第 0 次生 效 日 期:01 月 06 日中国电力科学讨论院信息安全试验室控制编号:SGISL/OP-SA14-10修改页修订号控制编号版号/章节号修改人修订原因同意人同意日期备注1SGISL/OP-SA14-10唐斐按公安部要求修订詹雄.3.8一、网络访问控制访问1.端口级访问控制测评项编号ADT-FW-01对应要求应能依据会话状态信息为数据流提供明确许可/拒绝访问能力,控制粒度为端口级测评项名称端口级网络访问控制测评分项 1:查看防火墙缺省规则是否为默认严禁操作步骤在管理界面中,查看防火墙已经有安全规则。适用版本任何版本实施风险无符合性判定访谈网络管理员,防火墙缺省规则。如为默认许可,则应查看防火墙最终一条安全规则,假如不是拒绝从 any 到 any 任何协议经过,判定结果为不符合;其它情况,判定结果为符合。测评分项 2:检验防火墙控制粒度是否为端口级操作步骤访谈网络管理员,确定防火墙应许可/拒绝网络服务连接。查看防火墙规则,验证控制粒度是否为端口级。 适用版本任何产品实施风险无符合性判定查看防火墙所配置访问控制规则,规则设置参数包含端口,判定结果为符合;查看防火墙所配置访问控制规则,规则设置参数不包含端口,判定结果为不符合。备注2.协议命令级网络访问控制测评项编号ADT-FW-02对应要求应对进出网络信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制测评项名称协议命令级网络访问控制测评分项 1: 实现应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级控制操作步骤检验防火墙对 HTTP、FTP、TELNET、SMTP、POP3 协议内容过滤配置适用版本任何产品实施风险无符合性判定如防火墙应用层协议内容过滤配置中配置参数包含 URL 地址、收件人、FTP 下载文件类型等,判定结果为符合;若无上述参数,协议命令级网络访问控制判定结果为不符合。备注3.会话连接超时处理测评项编号ADT-FW-03对应要求应在会话处于非活跃一定时间或会话结束后终止网络连接测评项名称会话连接超时处理测评分项 1: 防火墙上设置会话连接超时操作步骤在管理界面上,查看是否设置了会话连接超时。适用版本任何产品实施风险无符合性判定管理界面上,查看设置会话连接超时间,且时间设置合理,判定结果为符合。管理界面上,未设置会话连接超时时间,判定结果为不符合。若时间设置不合理,则判定为部分符合。备注4.网络流量...
