序号
类别
测评项
测评实施
预期结果
说明
b应能根据会话状态信息为数据流提供明确的允许拒绝访问的能力，控制粒度为端口级；
1）检查访问控制策略列表，查看是否配置了明确的允许拒绝的访问能力，控制颗粒度为端口级。1）防火墙安全策略具备源IP地址、输入“getco
fig”命令，应存在如下类似配置：目标IP地址、允许拒绝和应用服务setpolicyid1formTrusttoU
trusta
ya
y端口号。ftppermit
访1问控制
c应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、1）检查防火墙安全策略是否对重要数据流启用应用1）防火墙安全策略配置并启用了TELNET、SMTP、POP3等协议命令层协议深层检测。DeepI
spectio
。级的控制；
深度检测包括httpsmtppop3ftp启用深度检测有可能会影响防火墙的处理性能。
d应在会话处于非活跃一定时间或会话结束后终止网络连接；
1）防火墙能够根据业务需要在没有数1）访谈系统管理员，是否在会话处于非活跃一定时据传输一段时间后终止网络会话连间或会话结束后终止网络连接；接。
第1页共7页
f序号
类别
测评项
测评实施
预期结果
说明
e应限制网络最大流量数及网络连接数；
1）访谈系统管理员并检查防火墙配置，是否限制网络最大流量数及网络连接数。输入“getco
fig”命令，应存在如下类似配置：setzo
edmzscree
limitsessio
sourceipbased1setzo
edmzscree
limitsessio
sourceipbasedsetzo
etrustscree
limitsessio
sourceipbased801）防火墙配置并启用基于源IP地址setzo
etrustscree
limitsessio
和基于目标IP地址的抗攻击设置。sourceipbasedsetzo
eu
trustscree
limitsessio
desti
atio
ipbased4000依据业务需求设定此值setzo
eu
trustscree
limitsessio
desti
atio
ipbasedsetflowagi
glowwatermark70setflowagi
ghighwatermark80setflowagi
gearlyageout4NA该功能一般由接入交换机实现。
f重要网段应采取技术手段防止地址欺骗；
第2页共7页
f序号
类别
测评项g应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h应限制具有拨号访问权限的用户数量。
测评实施
预期结果
说明
NA
该设备无拨号功能。
NA1检查防火墙是否开启日志功能。WebGUI方式进入reportssystemlogeve
t选择时间级别进行查询，co
figuratio
reportsetti
gssyslog是否设置日志服务器。
该设备无拨号功能。
安2全审计
a应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；
命令方式：输入“getco
fig”命r