防火墻安全檢查表,,,,,,,,

設(shè)備名稱,,,設(shè)備型號,,受檢單位,,受檢日期,

設(shè)備應(yīng)用說明,,,文件版本號,V1.1,檢查人員,,客戶確認,

序號,檢查項,檢查具體內(nèi)容,,,,符合,不符合,備注

一,防火墻登錄控制,1.防火墻是否具有身份標識和身份鑒別（本地認證、AAA認證）機制；,,,,,,

,,2.檢查是否實現(xiàn)特權(quán)用戶的權(quán)限分離，為超級管理員、審計員、運維人員等分配不同的權(quán)限；,,,,,,

,,3.口令應(yīng)具有復(fù)雜度，長度至少應(yīng)為8位，并且每季度至少更換1次，更新的口令至少5次內(nèi)不能重復(fù)，口令文件是否采用加密形式存儲；,,,,,,

,,4.防火墻是否具有超時退出的功能；,,,,,,

,,5.防火墻是否設(shè)置了訪問鑒別失敗的處理；,,,,,,

,,6.遠程登陸時，是否可以防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取；,,,,,,

,,7.檢查是否對管理主機的地址進行限制,,,,,,

二,防火墻接入控制,1.檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，檢查是否劃分防火墻安全區(qū)域及IP子網(wǎng)規(guī)劃。,,,,,,

,,2.查看防火墻及鏈路是否有冗余，如雙機熱備。,,,,,,

,,3.防火墻以何種方式接入網(wǎng)絡(luò)，包括透明模式、混合模式和路由模式等,,,,,,

,,4.防火墻是否有VPN配置。,,,,,,

三,防火墻系統(tǒng)配置檢查,1.檢查系統(tǒng)時鐘是否有權(quán)威時間源配置并保持同步；,,,,,,

,,2.檢查系統(tǒng)升級許可；,,,,,,

,,3.檢查導(dǎo)入導(dǎo)出功能是否正常；,,,,,,

,,4.檢查報警郵箱設(shè)置是否啟用且是否正常工作；,,,,,,

,,5.檢查是否配置域名服務(wù)器。,,,,,,

四,防火墻安全網(wǎng)關(guān)核心配置檢查,1.安全規(guī)則的創(chuàng)建是否有規(guī)劃文檔；,,,,,,

,,2.是否啟用防欺騙的IP地址與MAC地址綁定功能,,,,,,

,,3.對于P2P的限制是否啟用,,,,,,

,,4.針對不同端口是否配置抗攻擊策略；,,,,,,

,,5.檢查是否配置與IDS進行聯(lián)動；在沒有部署IDS的情況下，是否配置基本的入侵檢測功能；,,,,,,

,,6.防火墻是否啟用連接限制。,,,,,,

五,防火墻安全策略檢查,1.檢查防火墻是否只開放了必須要開放的端口；,,,,,,

,,2.檢查防火墻是否禁止了所有不必要開放的端口；,,,,,,

,,3.檢查防火墻是否設(shè)置了防DOS攻擊安全策略,,,,,,

,,4.檢查防火墻是否設(shè)置了防DDOS攻擊安全策略,,,,,,

,,5.檢查防火墻是否設(shè)置了抗掃描安全措施；,,,,,,

,,6.防火墻抗攻擊配置項閥值的設(shè)定是否合理。,,,,,,

六,防火墻應(yīng)用模式安全檢查,1.防火墻采用何種應(yīng)用模式（透明、NAT、路由），是否采用了必要的NAT、PAT措施隱藏服務(wù)器及內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),,,,,,

七,防火墻軟件檢查,1.檢查防火墻操作系統(tǒng)是否為最新版本、是否安裝相應(yīng)的安全補丁。,,,,,,

八,防火墻管理檢查,1.檢查防火墻通過什么方式進行管理，是否為安全的管理方式,,,,,,

,,2.檢查防火墻是否根據(jù)權(quán)限不同進行分級管理,,,,,,

,,3.檢查防火墻的口令設(shè)置情況，口令設(shè)置是否滿足安全要求,,,,,,

,,4.檢查是否采用USB電子鑰匙和證書通過web方式管理。,,,,,,

,,5.檢查防火墻默認管理IP地址和管理帳戶及用戶名是否更改；,,,,,,

,,6.檢查否是啟用多用戶管理；,,,,,,

九,防火墻日志檢查,1.防火墻日志審計記錄是否包括日期和時間、用戶、事件類型、事件是否成功等。,,,,,,

,,2.檢查防火墻的日志設(shè)置是否合理，是否有所有拒絕數(shù)據(jù)包的記錄日志,,,,,,

,,3.檢查防火墻的日志保存情況，所記錄的日志是否有連續(xù)性；,,,,,,

,,4.檢查防火墻日志的查看情況，網(wǎng)絡(luò)安全管理員是否按照防火墻管理制度對防火墻進行日常維護,,,,,,

,,"5.檢查是否有保護防火墻的日志記錄,避免未授權(quán)的覆蓋、修改和刪除操作，日志記錄應(yīng)至少保存6個月以上",,,,,,

,,6.是否具備完善的日志導(dǎo)出和報表生成，定期審計日志記錄，并生成審計報告,,,,,,

,,7.是否使用第三方的日志服務(wù)器，集中收集防火墻的日志信息并設(shè)置訪問權(quán)限,,,,,,

十,防火墻訪問控制檢查,1.查看防火墻安全區(qū)域的劃分，在區(qū)域與區(qū)域之間是否設(shè)置了訪問控制策略；,,,,,,

,,2.防火墻根據(jù)數(shù)據(jù)的源IP地址、目的IP地址和端口號為數(shù)據(jù)流提供明確的允許/拒絕控制；,,,,,,

,,3.查看防火墻啟用的哪些服務(wù)，采取安全措施保證服務(wù)的安全性；,,,,,,

,,4.關(guān)閉不必要的服務(wù)及端口：關(guān)閉CDP、PING、TELNET、HTTP、finger等服務(wù)；,,,,,,

,,5.防火墻是否標注NAT地址轉(zhuǎn)換和MAP等；,,,,,,

,,6.是否采用認證服務(wù)器進行用戶認證。,,,,,,

十一,防火墻運行維護檢查,1.是否有專職人員對防火墻設(shè)備進行監(jiān)控和操作；,,,,,,

,,2.是否將防火墻配置文件及時保存并導(dǎo)出，配置文件是否有備份,,,,,,

,,3.是否設(shè)置網(wǎng)絡(luò)監(jiān)控系統(tǒng)，實時監(jiān)控網(wǎng)絡(luò)設(shè)備的運行情況；,,,,,,

,,4.是否設(shè)置報警機制，檢測到網(wǎng)絡(luò)異常時發(fā)出報警；,,,,,,

,,5.防火墻管理人員是否崗位互相備份；,,,,,,

,,6.是否具有防火墻應(yīng)急預(yù)案，并定期進行應(yīng)急演練；,,,,,,

,,7.有無發(fā)生過安全事件，出現(xiàn)安全事件后是否可以啟動應(yīng)急預(yù)案進行恢復(fù)；,,,,,,

,,8.設(shè)備服務(wù)商是否提供及時的售后服務(wù)和技術(shù)支持，并對設(shè)備維護人員做設(shè)備培訓(xùn)。,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,

,,,,,,,,,