1、網(wǎng)絡(luò)安全培訓(xùn)材料1、測(cè)試環(huán)境路由器、交換機(jī)、防火墻2、測(cè)試說明網(wǎng)絡(luò)安全測(cè)評(píng)共有7步，分別是結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整 性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)，如下是步驟詳解。3、測(cè)試步驟3.1三級(jí)等保要求3.1.1結(jié)構(gòu)安全a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。檢查方法和判斷標(biāo)準(zhǔn)：詢問網(wǎng)絡(luò)管理員，主要網(wǎng)絡(luò)設(shè)備的性能及業(yè)務(wù)高峰期流量，性能指的是網(wǎng)絡(luò) 設(shè)備中的CPU、內(nèi)存等資源的占用是否合理，是否具備冗余空間，一般來說CPU、 內(nèi)存占用率不超過30%，未發(fā)生業(yè)務(wù)高峰流量瓶頸事件，則符合。主要網(wǎng)絡(luò)設(shè)備是指：核心交換機(jī)、匯聚層交換機(jī)、核心到互聯(lián)網(wǎng)出口的設(shè)

2、備 核心、網(wǎng)絡(luò)設(shè)備：核心交換機(jī)、互聯(lián)網(wǎng)邊界網(wǎng)絡(luò)設(shè)備（看業(yè)務(wù)需求）b）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。檢查方法和判斷標(biāo)準(zhǔn)：確認(rèn)內(nèi)部的網(wǎng)絡(luò)帶寬，一般是千兆以上，大網(wǎng)絡(luò)可能是萬(wàn)兆，主要網(wǎng)絡(luò)設(shè)備間可 能是光纖萬(wàn)兆接口。外部出口帶寬：無論出口帶寬多少，建議保持在80%一下，或看實(shí)際業(yè)務(wù)需求對(duì) 出口帶寬做單獨(dú)要求（如學(xué)校開學(xué)期間數(shù)據(jù)流陡增，日常出口流量建議在50%左 右）。c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑。檢查方法和判斷標(biāo)準(zhǔn)：主要查看網(wǎng)絡(luò)設(shè)備中的路由控制是否建立了安全的訪問路徑，也就是說在網(wǎng) 絡(luò)設(shè)備中應(yīng)配置路由認(rèn)證功能，則算符合；如果網(wǎng)絡(luò)設(shè)備中未配置此功能，則不

3、符合。或直接采用靜態(tài)路由指向。善 RouterOPhysicalConfigCLIPhysicalConfigCLIOS Command Line Interfaceinterface F a a tZ the rne 10/0ip address Ip ospr mjessage-dlgesE-Key 1 iridS 12 duplex auto speed auto配置該命令，則代表接口開瘧 了路曰認(rèn)證功能interface Fa stZ the mat 0/1ip addreaa 192.1SS.10.1 duplex autospeed autointerface VIanL nc-

4、ip address shutdcwnr out e r ospf 1001 ca_ adj acency- change saiea 100 authentic at icn nassags-digest 配置了該命令,則代表啟用了network 192-1S8.10.0 0-0.0 .255) mizism 100 In.- 擊 | 4匕notwock SS araa 100止廿出 ElldLA.J 目匕ip classlessip flow-expQEt versicn 9CopyPa&teCopyd）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。檢測(cè)方法和判斷標(biāo)準(zhǔn)：詢問網(wǎng)絡(luò)管理員，檢查網(wǎng)絡(luò)

5、拓?fù)鋱D，查看其與當(dāng)前運(yùn)行的網(wǎng)絡(luò)情況是否一致。應(yīng)繪制與當(dāng)前運(yùn)行情況相符合的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生改變 時(shí)，應(yīng)及時(shí)更新，則算符合；其他一律不符合。e）應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不 同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。檢查方法和判斷標(biāo)準(zhǔn)：應(yīng)在主要網(wǎng)絡(luò)設(shè)備上進(jìn)行VLAN劃分或者子網(wǎng)劃分，不同VLAN內(nèi)的報(bào)文在傳 輸時(shí)是相互隔離的。如果不同VLAN要進(jìn)行通信，則需要通過路由器或者三層交 換機(jī)等三層設(shè)備實(shí)現(xiàn)。網(wǎng)絡(luò)設(shè)備上劃分VLAN，并且為各子網(wǎng)分配了地址段，則算符合，如下圖：f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部

6、信息系統(tǒng)，重要網(wǎng)段與 其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。檢查方法和判斷標(biāo)準(zhǔn)：檢查網(wǎng)絡(luò)拓?fù)鋱D，查看是否將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處，重要網(wǎng)段和其他 網(wǎng)段之間是否配置安全策略進(jìn)行訪問控制。如網(wǎng)絡(luò)內(nèi)部有對(duì)外的應(yīng)用，是否單獨(dú)劃分DMZ區(qū)？ DMZ區(qū)和網(wǎng)絡(luò)設(shè)備交互之 間是否有安全設(shè)備進(jìn)行防護(hù)；是否在服務(wù)器區(qū)/數(shù)據(jù)存儲(chǔ)區(qū)/數(shù)據(jù)庫(kù)區(qū)到網(wǎng)絡(luò)設(shè)備直接有安全隔離設(shè)備進(jìn) 行訪問控制和安全防護(hù)，建議做白名單的控制形式。g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)，保證在網(wǎng)絡(luò)發(fā)生擁堵 的時(shí)候優(yōu)先保護(hù)重要主機(jī)。檢測(cè)方法和判斷標(biāo)準(zhǔn)：1、出口部署有流控設(shè)備，做了流量控制的配置，如整體出口帶寬有100M， 單獨(dú)劃分10M

7、給官方網(wǎng)站，防止因其他業(yè)務(wù)導(dǎo)致出口帶寬占滿官方 網(wǎng)站無法對(duì)外提供服務(wù)。2、上網(wǎng)行為管理設(shè)備可以對(duì)內(nèi)部的業(yè)務(wù)數(shù)據(jù)進(jìn)行優(yōu)先級(jí)排序，保證重 要業(yè)務(wù)數(shù)據(jù)處理的優(yōu)先級(jí)。如果上訴兩種都沒有，不符合，如有一種，部分符合，存在兩種算符合（看 具體應(yīng)用，如無重要業(yè)務(wù)系統(tǒng)，存在一種也算符合）。3.1.2訪問控制a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能。檢測(cè)方法和判斷標(biāo)準(zhǔn):訪問控制設(shè)備：匯聚、核心、交換機(jī)、防火墻、堡壘機(jī)、VPN等在看各類設(shè)備上是否有訪問控制功能，如做acl或黑、白名單的配置，如有，符 合，如網(wǎng)絡(luò)設(shè)備僅配置網(wǎng)絡(luò)互通或未啟用acl，安全設(shè)備對(duì)任意流量直接放行， 不符合下圖是交換機(jī)訪問控制策略

8、配置：表示網(wǎng)段與 網(wǎng)段之間不能互相訪問。CopyPai 對(duì)已IOS Command Line Interfaceaccess-list ICO deny ip 192.30.0 55 0-0-0-255 access-list 100 permit ip any any燮 Multilaye-r Switch2.CopyPai 對(duì)已IOS Command Line Interfaceaccess-list ICO deny ip 192.30.0 55 0-0-0-255 access-list 100 permit ip any any燮 Multilaye-r Switch2.ip Cla

9、331e33ip fl aw- expo e t irersiDii 9f配置訪叵控制策略,井開啟了也 間控制功能mt erf ace VI arl 0ip address 122.1=68.10.1 255 - 255.255.0interface 71an20ip Siddxqss.20.1 念.盆口ip acae a a- gr cup 100 outmt erf ace VI ati3 0ip address 122.1=68.30.1 255-255.255-0Physical Config 匚 Lb）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒 度為端口級(jí)。檢

10、測(cè)方法和判斷標(biāo)準(zhǔn)：內(nèi)部配置的訪問控制列表應(yīng)有明確的源/目的地址、源/目的、協(xié)議及服務(wù)等。 如網(wǎng)絡(luò)設(shè)備/安全設(shè)備控制列表有明確的拒絕/允許功能，算部分符合，如控制粒 度達(dá)到端口級(jí)，則算符合。下圖表示交換機(jī)中配置基于端口級(jí)的訪問控制策略。網(wǎng)段內(nèi)的 主機(jī)均能訪問00主機(jī)的80端口，其余網(wǎng)段均拒絕訪問。敏 Multilayer Switch2Physical敏 Multilayer Switch2PhysicalCanfigCLIICS Command Line Interfaceip addreaa 2E.E. - 255.2E5 - 0ip accesscup lit) o

11、utlnterta.ce Vlanza配置并啟用訪問控制策略，控制 /粒度為端曰玻。interface Vlan30ip address 25E. - 255.2E5 - 0 ip access-group 100 配置并啟用訪問控制策略，控制 /粒度為端曰玻。interface Vlan30ip address 192.15S.30.1 Zip classlessjr/ip flew-expert version 9,/access-list 100 deny ip 192.16B.30.0 J1F0.0 - 255 55 access-list 100 permit

12、 ip any anyPasteCapyPastec）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP, FTP, TELNET, SMTP, POP3等協(xié)議命令級(jí)的控制。檢測(cè)方法和判斷標(biāo)準(zhǔn)：1、對(duì)訪問控制策略加上基于協(xié)議的過濾，在網(wǎng)絡(luò)設(shè)備或安全設(shè)備上做；2、在安全設(shè)備上對(duì)基于協(xié)議的請(qǐng)求做不同類型的需求過濾，如http的post和 get請(qǐng)求的區(qū)分對(duì)待，如在入侵檢測(cè)設(shè)備進(jìn)行配置。如滿足1，算部分符合，如，滿足1、2或2，算符合。d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。檢查方法和判斷標(biāo)準(zhǔn)：一般來說此項(xiàng)基本在防火墻上完成，路由器和交換機(jī)不適用，通過查看是否 有設(shè)置其相關(guān)的功能模

13、塊，如有，則開啟并設(shè)置會(huì)話超時(shí)時(shí)間，則算符合。管理設(shè)定實(shí)時(shí)保存如置0管理員唯一性檢查1-60（1-3500 秒）（1神分鐘）1-60（1-3500 秒）（1神分鐘）tl-20）取消提交管理員登錄關(guān)敗阻斷間隔頁(yè)面超時(shí)時(shí)間在線管理員e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。檢查方法和判斷標(biāo)準(zhǔn)：此標(biāo)準(zhǔn)一般在防火墻或安全設(shè)備上查看，查看防火墻是否有確認(rèn)的配置，如 有，符合，如沒有對(duì)其的控制，不符合。f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙。檢測(cè)方法和判斷標(biāo)準(zhǔn)：檢查路由器和交換機(jī)中是否對(duì)服務(wù)器區(qū)配置了 IP+MA。綁定技術(shù)，如對(duì)服務(wù) 器區(qū)配置了該技術(shù)，則符合，如僅針對(duì)用戶區(qū)或未做該操作，算不符合。Arp 00

14、00.e268.9980 arpa如有該類似配置，則算符合防火墻上如有以下類似配置，則算符合。IP-MAIP-MA顏 定I名稱zhang sanIP地址 192, 168. SI, ILS格式 XX：XX格式 XX：XX：XX：XX：XX：XX）唯一性0提交I聰肖g）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行 資源訪問，控制粒度為單個(gè)用戶。檢測(cè)方法和判斷標(biāo)準(zhǔn)：通過遠(yuǎn)程采用VPN技術(shù)或通過其他方式連入單位內(nèi)網(wǎng)的用戶，查看防火墻設(shè)備是 否提供用戶認(rèn)證功能，如提供，檢查是否通過配置用戶、用戶組，認(rèn)證成功的用 戶應(yīng)該使用其訪問控制策略限制其資源的訪問權(quán)限，則算符合，如VPN未對(duì)

15、使用 的用戶做權(quán)限區(qū)分，不符合。h）應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。檢查標(biāo)準(zhǔn)和判斷方法：應(yīng)確認(rèn)開通VPN賬號(hào)的流程，看是否對(duì)用戶的申請(qǐng)使用具有限制功能。3.1.3安全審計(jì)a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備允許狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄。檢查方法和判斷標(biāo)準(zhǔn)：如設(shè)備可查到最新的日志記錄，算符合，如未查詢到最新日志，看是未開啟 還是無操作記錄，判斷符合還是不符合。如安全設(shè)備有很多種日志記錄功能，如現(xiàn)場(chǎng)檢查安全設(shè)備僅開啟基礎(chǔ)或很少 的日志記錄，測(cè)評(píng)師可判斷日志是否記錄不完善而判斷為部分符合或符合，建議 部分符合。防火墻上記錄如下類似的日志記錄信息，則算符合。喝120侶叼9 1755:21。通知

16、Bdht(152,16S.2,FIshow tkT_cnfig corFigu國(guó)tE22033-1D-J5I 17S3HEadrm|-1Etiawrasourem Jrin EnftratKTi32033-1D-? 1753：1EadrrrH2.1G3J.3Etinw 砰e_i皿u咬函 cDnftgjiboriq2O331D-JA 1733：1E& ifljfflKhwi?Z.lM.Z.!Ji血* hcdtrfn :DnFigLrAon5。遇知Khn|12.16a.25|show mnn_3pp_5tifc nnFnuratonb的Egg 口芫心5醐3drYri；5口* rri

17、ari_u6af_5Ut cnnfiouraQon717S3：165 11知BdhrK3 27.0J0.1購(gòu)out torsecBS313-10-15 17:53:13謂知Bdhfr4j.16S 25Jshow 55_reMiurce_lnfo conftgixition9-”謁知由呷 hiBtr/D sgEonID2O33-10-39 1753：10adrm|f2.16S.2.5-Etiaw 5VJ_naHiurcB_infD mnflpnmri112033-lD-jg 173B：DEB圜拓achnflfll.lflSJ.SEtinw 5s_inMurcn_rt:，n conha-nbcri

18、1217=53:065遇知Khwi12.16a.25血* hctftnfn CDnfigLrAon122H210-39日世MbcMI 說皿.LSIshow man_traFc canfcuraton1431O-19 17S3：fllnpd: RMfs 龔如 ncrc in the 116 iw152013-M 挎 1753:035.:tri: ftoMces mecrt sock in the 16 nnge.ie2013 IQ-件 173:03fW: RoJEes metric fe rat in die 11E 舊仲，172013-10-39 17S3：Q2* iB知KJEnlMm瞬出斜s

19、how w-5_rHMum_rfD conftGtntEnIE2O33-10-JS 175B：D2q ataadrmpS.LOS 己罰血w hcdtrfii :DnhgLrdt)on192O33-1D-J9 1733:025通物show 5Y5_IEMUn：E_rt：，D WnfiJltKO2017=52:02show rrnn_3pp_strf: cDnfQuratcnb)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。檢查方法和判斷標(biāo)準(zhǔn)：如第一條符合，第二條會(huì)默認(rèn)符合。條件允許可記錄日志的內(nèi)容。c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表。檢測(cè)方法和

20、判斷標(biāo)準(zhǔn)：如網(wǎng)絡(luò)設(shè)備僅采用默認(rèn)日志記錄功能，不符合，如安全設(shè)備的日志也無統(tǒng)計(jì) 分析界面，也算不符合。如網(wǎng)絡(luò)/安全設(shè)備的日志均可提供統(tǒng)計(jì)分析功能，符合系統(tǒng)資源的監(jiān)控：系統(tǒng)賁源CPUMEM45%英時(shí)流里圖CPUMEM45%英時(shí)流里圖接口狀態(tài)的監(jiān)控:擒口狀態(tài)接口狀態(tài)的監(jiān)控:擒口狀態(tài)用戶淀里排名用戶淀里排名用戶客所屬蛆上行下行 總流速1 L9小噩 13F.1匿名用戶組0 Cb/s)3.80 (Mb/s) 3.60(Mb/s)應(yīng)用流量的監(jiān)控：d）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。檢測(cè)方法和判斷標(biāo)準(zhǔn)：檢查網(wǎng)絡(luò)中是否部署日志服務(wù)器/審計(jì)設(shè)備，如未部署，則不符合。如部署 日志服務(wù)器/審

21、計(jì)設(shè)備，日志服務(wù)器/審計(jì)設(shè)備中的日記記錄定期進(jìn)行備份，并且 對(duì)日志信息的訪問進(jìn)行權(quán)限設(shè)置，并確認(rèn)日志是否正常導(dǎo)出。則符合。3.1.4邊界完整性檢查a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并 對(duì)其進(jìn)行有效阻斷。檢測(cè)方法和判斷標(biāo)準(zhǔn)：1、服務(wù)器區(qū)對(duì)IP+mac進(jìn)行綁定，防止地址欺騙（針對(duì)服務(wù)器區(qū)）；2、對(duì)內(nèi)部網(wǎng)絡(luò)的所有終端接入，均需要進(jìn)行認(rèn)證才能連接到內(nèi)部網(wǎng)絡(luò)，如 上網(wǎng)行為準(zhǔn)入認(rèn)證（針對(duì)用戶區(qū)）。1、2都滿足，算符合，1或2滿足一個(gè)算部分符合，如兩個(gè)均未完成，則不 符合；b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置， 并對(duì)其進(jìn)行有效阻斷。檢測(cè)方法和

22、判斷標(biāo)準(zhǔn)：檢查網(wǎng)絡(luò)終端是否部署非法外聯(lián)監(jiān)控功能的軟件，通過非法外聯(lián)監(jiān)控軟件實(shí) 現(xiàn)對(duì)用戶私自聯(lián)接到外部網(wǎng)絡(luò)進(jìn)行檢測(cè)。如部署該軟件可實(shí)現(xiàn)功能，則算符合。3.1.5入侵防范a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、 拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。檢測(cè)方法和判斷標(biāo)準(zhǔn)：主要查看網(wǎng)絡(luò)中是否部署入侵檢測(cè)、和針對(duì)web應(yīng)用防護(hù)設(shè)備，如部署，并 開啟相關(guān)入侵檢測(cè)和web防護(hù)功能，則算符合。如僅有基于端口的訪問控制的防 火墻或無安全設(shè)備，不符合。b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間， 在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供警報(bào)。檢查方法

23、和判斷標(biāo)準(zhǔn)：1、安全設(shè)備（IPS/WAF）對(duì)檢測(cè)到攻擊行為，看是否可記錄攻擊的信息。2、安全設(shè)備（IPS/WAF）對(duì)攻擊行為可提供如界面顯示報(bào)警、郵件/短信的 報(bào)警。設(shè)備滿足1、2符合，如2不滿足部分符合，如1、2未實(shí)現(xiàn)不符合。3.1.6惡意代碼防范a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除。檢查方法和判斷標(biāo)準(zhǔn)：網(wǎng)絡(luò)邊界（互聯(lián)網(wǎng)邊界/專線出口）處中部署防惡意代碼產(chǎn)品（安全網(wǎng)關(guān)設(shè) 備/具有功能模塊的下一代防火墻）或邊安全設(shè)備是否有該功能模塊，并啟用了 惡意代碼檢測(cè)及阻斷功能，并且在日志記錄中有相關(guān)阻斷信息，即為符合。看實(shí)際情況判斷未部分符合或部分符合。b）應(yīng)維護(hù)惡意代碼庫(kù)升級(jí)和檢測(cè)系統(tǒng)的更新。檢

24、查方法和判斷標(biāo)準(zhǔn)：安全設(shè)備的的防護(hù)特征庫(kù)版本應(yīng)該為最新版本，防護(hù)特征庫(kù)具有自動(dòng)遠(yuǎn)程更 新、手動(dòng)遠(yuǎn)程更新或手動(dòng)本地更新等方式（滿足中期一個(gè)即可），即為符合。3.1.7網(wǎng)絡(luò)設(shè)備防護(hù)a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別。檢查方法和判斷標(biāo)準(zhǔn)：登錄路由器、交換機(jī)與防火墻時(shí)，提示輸入用戶名與口令，則算符合。b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制。檢查方法和判斷標(biāo)準(zhǔn)：對(duì)網(wǎng)絡(luò)設(shè)備或安全設(shè)備配置僅運(yùn)行管理網(wǎng)段或管理IP遠(yuǎn)程，算符合，如未做配 置，不符合。檢查路由器與交換機(jī)中是否配置以下類似命令，如有，則算符合。access-list 3 permit logaccess-list 3 deny denyli

25、ne vty 0 4access-class 3 in防火墻一般有限制管理員登錄地址功能，所以查看防火墻的時(shí)候，如防火墻 設(shè)置并開啟該功能，則算符合。c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一。檢查方法和判斷標(biāo)準(zhǔn)：查看設(shè)備中用戶是否存在相同管理員賬戶，并且新建2個(gè)相同的賬戶進(jìn)行測(cè) 試，如沒有相同賬戶，并且新建失敗，則算符合，一般默認(rèn)符合。管理設(shè)定實(shí)時(shí)保存配置0管理員唯一性檢查開啟則算符合管理員最大登錄重試次數(shù)管理員登錄關(guān)贖阻斷間隔頁(yè)面超時(shí)時(shí)間在線管理員5（1-3&00 秒）1如601020提交 I 取消d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身 份鑒別。檢查方法和判斷標(biāo)準(zhǔn)：身份認(rèn)證：1、已知道的信息，如賬號(hào)密碼2、擁有的東西，如證書等3、屬性特性：如指紋、人臉等采用雙因子進(jìn)行身份鑒別，默認(rèn)不符合，如有通過堡壘機(jī)