防火墙安全检查表
设备品牌 设备类型 X 安全设备 设备型号 检查人员 设备名称 X防火墙 X.03.16 检查地点 X区 X工程师 检查日期 陪同人员 检查项目 序 号 检查步骤/方法 符合 部分符合 不符合 1. 防火墙是否具有身份标识和身份鉴别(本地 认证、AAAk证)机制; 2. 实现用户的权限分离,为超级管理员、 审计员、运维人员等分配不冋的权限; √ √ 3. 口令应具有复杂度,长度至少应为 防火墙登 陆控制 令文件是否采用加密形式存储; 8位,并且 √ 每季度至少更换1次,更新的口令至少5次内不能重复, 口1 4. 防火墙是否具有超时退出的功能; 5. 防火墙是否设置了访问鉴别失败的处理; 6. 远程登陆时,是否可以防止鉴别信息在网络 传输过程中被窃取; √ √ √ 7. 检查是否对管理主机的地址进行 2 √ 防火墙接 入控制 1. 检查网络拓扑结构图,检查是否划分防火墙 安全区域及IP子网规划。 √ 第1页共6页
设备品牌 设备类型 X 安全设备 设备型号 检查人员 设备名称 X防火墙 X.03.16 检查地点 X区 X工程师 检查日期 陪同人员 检查项目 序 号 检查步骤/方法 符合 部分符合 不符合 2. 查看防火墙及链路是否有冗余, 3. 防火墙以何种方式接入网络, 混合模式和路由模式等。 如双机热备。 包括透明模式、 √ √ 4. 防火墙是否有VPN配置。 1. 检查系统时钟是否有权威时间源配置并保持 同步; √ √ √ √ 2. 检查系统升级许可; 3 防火墙系 统配置检 查 3. 检查导入导出功能是否正常; 4. 检查报警邮箱设置是否启用及是否正常工 作; √ 5. 检查是否配置域名服务器。 √ √ 1. 安全规则的创建是否有规划文档,启用的安 全规则的类型; 防火墙安 全2. 是否启用防欺骗的IP地址与MAC⅛址绑定功 能 4 √ 网关核 心配置检 查 3. 对于P2P的是否启用 4. 针对不冋端口是否配置抗攻击策略; √ √ 第2页共6页
设备品牌 设备类型 X 安全设备 设备型号 检查人员 设备名称 X防火墙 X.03.16 检杳地点 X区 X工程师 检查日期 陪同人员 检查项目 序 号 检杳步骤/方法 符合 部分符合 不符合 5.检查是否配置与IDS进行联动;在没有部署 的情况下,是否配置基本的入侵检测功能; IDS √ 6.防火墙是否启用连接。 1. 检查防火墙是否只开放了必须要开放的端口; 2.检查防火墙是否禁止了所有不必要开放的端口; 3.检查防火墙是否设置了防 Do敦击安全策略 5 防火墙安 全策略检 查 √ √ √ √ 4.检查防火墙是否设置了防 DOS^击安全策略 5.检查防火墙是否设置了抗扫描安全措施; 6.防火墙抗攻击配置项阀值的设定是否合理。 √ √ √ 防火墙应 用防火墙采用何种应用模式(透明、 NAT、路由),是否采用 6 模式安 全检了必要的NAT、PAT措施隐藏服务器及内部网络结构 杳 防火墙软 件检杳 检查防火墙操作系统是否为最新版本、是否安装相应的安 全补丁。 √ 7 √ 第3页共6页
设备品牌 设备类型 X 安全设备 设备型号 检查人员 设备名称 X防火墙 X.03.16 检查地点 X区 X工程师 检查日期 陪同人员 检查项目 序 号 检查步骤/方法 符合 部分符合 不符合 1.检查防火墙的通过什么方式进行管理,是否为安全的 管理方式 2.检查防火墙是否根据权限不同进行分级管理 3. 检查防火墙的口令设置情况,口令设置是否满足安全 8 防火墙管 理检查 要求 √ √ √ 4. 检查米用USB电子钥匙和证书通过 Web方式管理。 √ 5. 检查防火墙默认管理 改; IP地址和管理帐户及用户名更 √ 6.检查否是启用多用户管理; 1.防火墙日志审计记录是否包括日期和时间、用户、事 件类型、事件是否成功等。 √ √ 2.检查防火墙的日志设置是否合理,是否有所有拒绝数 据包的记9 防火墙日 志检查 录日志。 √ 3.检查防火墙的日志保存情况,所记录的日志是否有连 续性; 4.检查防火墙日志的查看情况,网络安全管理员是否按 照防火墙 √ 管理制度对防火墙进行日常维护 √ 第4页共6页
设备品牌 设备类型 X 安全设备 设备型号 检查人员 设备名称 X防火墙 X.03.16 检查地点 X区 X工程师 检查日期 陪同人员 检查项目 序 号 检查步骤/方法 符合 部分符合 不符合 5.保护防火墙的日志记录,避免未授权的覆盖、修改和删 除操作,日志记录应至少保存 6个月以上 定期审计日志记录, √ 6.具备完善的日志导出和报表生成, 并生成审计报告 √ 7.是否使用第三方的日志服务器,集中收集防火墙的日 志信息并设置访问权限 √ 1. 查看防火墙安全区域的划分,在区域与区域 之间是否设置了访问控制策略; 2. 防火墙根据数据的源 √ IP地址、目的IP地址 /拒绝控制; 和端口号为数据流提供明确的允许 √ 3. 查看防火墙启用的哪些服务,米取安全措施 保证服10 防火墙访 问控制检 查 务的安全性; √ 4. 关闭不必要的服务及端口:关闭 TELNET HTTP fin ger 等服务; CDP PlNG √ 5. 防火墙是否标注 NAT地址转换和MAP等; 6. 是否采用认证服务器进行用户认证。 防火墙运 √ √ 11 1. 有专职人员对防火墙设备进行监控和操作; √ 第5页共6页
设备品牌 设备类型 X 安全设备 设备型号 检查人员 设备名称 X防火墙 X.03.16 检查地点 X区 X工程师 检查日期 陪同人员 检查项目 序 号 检查步骤/方法 符合 部分符合 不符合 行维护检 查 2. 是否将防火墙配置文件及时保存并导出,配 置文件是否有备份 √ 3. 是否设置网络监控系统,实时监控网络设备 的运行情况; √ 4. 设置报警机制,检测到网络异常时发出报警; 5. 防火墙管理人员是否岗位互相备份; 6. 是否具有防火墙应急预案,并定期进行应急 演练; √ √ √ 7. 有无发生过安全事件,出现安全事件后是否 可以启动应急预案进行恢复; √ 8. 设备服务商提供及时的售后服务和技术支 持,并对设备维护人员做设备培训。 √ 第6页共6页
