CiscoASA 等级测评指导书

XX公司

2010年12月

项目编号：

测评等级：二级

测评指导书适用范围:

Cisco ASA 5500 系列设备,IOS系统版本高于7.0 版本：Ver1.0

一、 测评对象

名称 型号 Cisco自适应安全Cisco ASA 5520 设备 对象分类 产品类 说明 二、测评指标类别

网络安全：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护

三、测评实施

类别 测评项 实施过程 Show cpu 查看CPU使用率； show memory查看内存使用情况； show resource usage all查看会话连接数情况。 预期结果 CPU、内存使用率不超过50%，conn会话数不超过最大值70%； 说明 a、设备的业务处理能力具备冗余空间，满足业务高峰期需要 结构安全 b、应保证网络各个部分的带宽满足业务高峰期需要 show interface 计算得出的值应小gigabitEthernet 0/X查于带宽值的70% 看端口工作信息，判断端口的流量状况，如： 5 minute input rate 1729 pkts/sec, 94488 bytes/sec 1 / 4

5 minute output rate 3884 pkts/sec, 4987242 bytes/sec c、应绘制与当前运行情况相符的网络拓扑结构图； d、应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段 a、应在网络边界部署访问控制设备，启用访问控制功能 b、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级 c、应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户 show access-list查看部署有访问控制列是否配置访问控制列表 表，控制网络间的网络访问 show running-config查看配置有NAT地址转换配置； show access-list每条策略是否有明确的源IP、目的IP及协议等 show running-config查看各个接口是否配置IP地址； show interface gigabitEthernet 0/X查看端口工作是否正常 针对不同业务接口配置不同网段； 各个接口工作状态正常，收发包数量在合理范围内 检查网络拓扑图看是否当前允许情况一致 网络拓扑图与当前允许情况一致 配置有NAT配置； 每条策略有明确的源IP、目的IP、协议及端口 访 问 控 制 show access-list查看部署有访问控制列是否配置访问控制列表 表，控制各个网段间的网络访问 d、应限制具有拨号访问权限的用户数量 show version查看系统通过配置拨号用户的授权信息； 获得IP地址的数量show running-config查来限制用户数 看系统配置信息，确认拨号用户数的数量配置 Show logging; Show local-host; show resource usage all； show cpu; show menory Show nat或者通过ASDM登陆ASA设备查看能查看系统运行状况，系统保留日志及用户行为记录,以及系统的运行状况 安全审计a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录

2 / 4

相关信息 b、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 边 界 完 整 性 检 查 恶 意 代 码 防 范 a、 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查 a、应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 Show logging; Show local-host; show resource usage all； 能查看系统运行状况，系统保留日志及用户行为记录,以及系统的运行状况 此设备不具备此功能，此项为不适应项 通过端口扫描工具等测试工具判断此项 能监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击功能 有配置用户名及密码，对console、telnet、ssh、web已开启认证 网 络 设 备 防 护 show running-config 查看用户名密码机认证配置如：username admin password fMQ/rjnxl9Vwe9mv encrypted privilege a、应对登录网络设备15； 的用户进行身份鉴别 aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL aaa authentication enable console LOCAL b、应对网络设备的管理员登录地址进行限制 show access-lis查看是确定有控制列表或否有控制列表对管理员登陆设置对登陆的登陆进行控制； 地址进行限制 show run telnet 0.0.0.0 0.0.0.0 inside ssh 0.0.0.0 0.0.0.0 Outside Show run 查看系统配置 确认设备用户的标识是唯一 c、网络设备用户的标识应唯一

3 / 4

d、身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换 e、应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施 f、当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听 通过访谈检查设备的用户、口令信息及是否定期更换Show run 查看系统配置 登陆测试 用户名口令复杂度 高，密码定期更换 登录失败时系统采取结束会话、限制非法登录次数和当网络登录连接超时自动退出 Show run查看配置是否配置中有此项配置 开启ssh，如 aaa authentication ssh console LOCAL

4 / 4