公安部信息安全等级保护评估中心 第 1 页 共 7 页 序号 类别 测评项 测评实施 预期结果 说明 1 访问控制 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; 1)检查访问控制策略列表,查看是否配置了明确的允许/拒绝的访问能力,控制颗粒度为端口级。 输入“get config”命令,应存在如下类似配置: set policy id 1 form Trust to Untrust any any ftp permit 1)防火墙安全策略具备源 IP地址、目标 IP地址、允许/拒绝和应用服务端口号。 c)应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 1)检查防火墙安全策略是否对重要数据流启用应用层协议深层检测。 1)防火墙安全策略配置并启用了Deep Inspection。 深 度检测包 括http\smtp\pop3\ftp,启用深度检测有可能会影响防火墙的处理性能。 d)应在会话处于非活跃一定时间或会话结束后终止网络连接; 1)访谈系统管理员,是否在会话处于非活跃一定时间或会话结束后终止网络连接; 1)防火墙能够根据业务需要在没有数据传输一段时间后终止网络会话连接。 公安部信息安全等级保护评估中心 第 2 页 共 7 页 序号 类别 测评项 测评实施 预期结果 说明 e)应限制网络最大流量数及网络连接数; 1)访谈系统管理员并检查防火墙配置,是否限制网络最大流量数及网络连接数。 输入“get config”命令,应存在如下类似配置: set zone dmz screen limit-session source-ip-based 1 set zone dmz screen limit-session source-ip-based set zone trust screen limit-session source-ip-based 80 set zone trust screen limit-session source-ip-based set zone untrust screen limit-session destination-ip-based 4000(依据业务需求设定此值) set zone untrust screen limit-session destination-ip-based set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging early-ageout 4 1)防火墙配置并启用基于源 IP地址和基于目标 IP地址的抗攻击设置。 f) 重要网段应采取技术手段防止地址欺骗; N/A 该功能一般由接入交换机实现。 公安部信息安全等级保护评估中心 第 3 页 共 7 页 序号 类别 测评项 测评实施 预期结果 说明 g) 应按用户和系统之间的允许...