系统安全-WAF入侵防御系统测评指标

WAF（Web Application Firewall）是一种部署在web应用程序前面的安全系统，其作用是在用户请求到达web服务器之前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。WAF可以防止源自web应用程序的安全漏洞（如SQL注入，跨站脚本攻击，文件包含和安全配置错误）的攻击。

入侵防御检查是WAF的一项重要功能，其目的是及时发现并阻止针对web应用程序的恶意攻击，保护网站和应用程序的安全。入侵防御检查可以识别并防止各种类型的攻击，如SQL注入、跨站脚本攻击、文件包含和安全配置错误等。

软件开发、管理、实施、运维、交付全周期文件支撑下载：点我获取

1、WAF入侵防御系统标准检查表

分类	测评项	预期结果
			访问控制	应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级	配置了合理的安全策略，只允许授权的IP地址、协议、端口通过
应对进出网络的信息内容进行过滤	过滤的内容包括java Applet，cookie，script，object这4种中的几种
应在会话处于非活跃一定时间或会话结束后终止网络连接	配置了会话超时管理策略，自动终止超时的网络会话
应限制网络最大流量数及网络连接数	配置了网络最大流量数及网络连接数
重要网段应采取技术手段防止地址欺骗	防火墙开启IP/MAC地址绑定方式，防止重要网段的地址欺骗
安全审计	防火墙应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录	对运行状况，网络流量，用户行为等都进行了记录
	审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件	审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
	应能够根据记录数据进行分析，并生成审计报表	能够根据记录数据进行分析，并生成审计报表
	应对审计记录进行保护，避免受到未预期的删除、修改或覆盖	提供用户日志的完整性检查，防止用户删除操作记录
网络设备防护	应对登录网络设备的用户进行身份鉴别	通过web界面登录和通过console登录都需要账号和口令，并不存在空口令和弱口令
	应对网络设备的管理员登录地址进行限制	控制中心远程登录时对登录地址进行限制，避免未授权访问
	主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别	尽量都采用两种鉴别技术进行身份鉴别，如动态密码，CA证书等方式
	身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换	口令长度至少为10位，包含数字，字母（大小写），特殊字符三种形式，更换周期为90天
	应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施	限制非法登录次数为5次，登录超时退出时间为300秒
	当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听	通过web界面登录防火墙时使用了ssl协议进行加密处理，即https登录