防火墙安全策略检查表模板

设备型号受检单位受检日期文件版本号V1.1检查人员客户确认序号检查项符合不符合备注4.防火墙是否具有超时退出的功能；防火墙安全检查表防火墙登录控制防火墙接入控制一二5.防火墙是否设置了访问鉴别失败的处理；6.远程登陆时，是否可以防止鉴别信息在网络传输过程中被窃取；7.检查是否对管理主机的地址进行限制1.检查网络拓扑结构图，检查是否划分防火墙安全区域及IP子网规划。2.查看防火墙及链路是否有冗余，如双机热备。3.防火墙以何种方式接入网络，包括透明模式、混合模式和路由模式等4.防火墙是否有VPN配置。检查具体内容1.防火墙是否具有身份标识和身份鉴别（本地认证、AAA认证）机制；2.检查是否实现特权用户的权限分离，为超级管理员、审计员、运维人员等分配不同的权限；3.口令应具有复杂度，长度至少应为8位，并且每季度至少更换1次，更新的口令至少5次内不能重复，口令文件是否采用加密形式存储；防火墙系统配置检查1.检查系统时钟是否有权威时间源配置并保持同步；2.检查系统升级许可；设备名称设备应用说明三第1页六防火墙应用模式安全检查七防火墙软件检查防火墙系统配置检查3.检查防火墙是否设置了防DOS攻击安全策略3.检查防火墙的口令设置情况，口令设置是否满足安全要求3.检查导入导出功能是否正常；4.检查报警邮箱设置是否启用且是否正常工作；5.检查是否配置域名服务器。1.安全规则的创建是否有规划文档；防火墙安全网关核心配置检查四防火墙安全策略检查五5.检查防火墙是否设置了抗扫描安全措施；6.防火墙抗攻击配置项阀值的设定是否合理。1.防火墙采用何种应用模式（透明、NAT、路由），是否采用了必要的NAT、PAT措施隐藏服务器及内部网络结构1.检查防火墙操作系统是否为最新版本、是否安装相应的安全补丁。1.检查防火墙通过什么方式进行管理，是否为安全的管理方式2.检查防火墙是否根据权限不同进行分级管理2.是否启用防欺骗的IP地址与MAC地址绑定功能3.对于P2P的限制是否启用4.针对不同端口是否配置抗攻击策略；5.检查是否配置与IDS进行联动；在没有部署IDS的情况下，是否配置基本的入侵检测功能；6.防火墙是否启用连接限制。1.检查防火墙是否只开放了必须要开放的端口；2.检查防火墙是否禁止了所有不必要开放的端口；4.检查防火墙是否设置了防DDOS攻击安全策略三防火墙管理检查八第2页3.查看防火墙启用的哪些服务，采取安全措施保证服务的安全性；4.关闭不必要的服务及端口：关闭CDP、PING、TELNET、HTTP、finger等服务；5.防火墙是否标注NAT地址转换和MAP等；3.检查防火墙的日志保存情况，所记录的日志是否有连续性；4.检查防火墙日志的查看情况，网络安全管理员是否按照防火墙管理制度对防火墙进行日常维护5.检查是否有保护防火墙的日志记录,避免未授权的覆盖、修改和删除操作，日志记录应至少保存6个月以上6.是否具备完善的日志导出和报表生成，定期审计日志记录，并生成审计报告7.是否使用第三方的日志服务器，集中收集防火墙的日志信息并设置访问权限1.查看防火墙安全区域的划分，在区域与区域之间是否设置了访问控制策略；2.检查防火墙的日志设置是否合理，是否有所有拒绝数据包的记录日志4.检查是否采用USB电子钥匙和证书通过web方式管理。5.检查防火墙默认管理IP地址和管理帐户及用户名是否更改；6.检查否是启用多用户管理；1.防火墙日志审计记录是否包括日期和时间、用户、事件类型、事件是否成功等。6.是否采用认证服务器进行用户认证。1.是否有专职人员对防火墙设备进行监控和操作；防火墙管理检查八防火墙日志检查九防火墙访问控制检查十防火墙运行维护检查十一2.防火墙根据数据的源IP地址、目的IP地址和端口号为数据流提供明确的允许/拒绝控制；第3页8.设备服务商是否提供及时的售后服务和技术支持，并对设备维护人员做设备培训。防火墙运行维护检查十一3.是否设置网络监控系统，实时监控网络设备的运行情况；4.是否设置报警机制，检测到网络异常时发出报警；5.防火墙管理人员是否岗位互相备份；6.是否具有防火墙应急预案，并定期进行应急演练；7.有无发生过安全事件，出现安全事件后是否可以启动应急预案进行恢复；2.是否将防火墙配置文件及时保存并导出，配置文件是否有备份第4页