CheckPoint防火墙配置Word文档下载推荐.docx
《CheckPoint防火墙配置Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《CheckPoint防火墙配置Word文档下载推荐.docx(32页珍藏版)》请在冰豆网上搜索。
采纳意见
备注
1.不同等级管理员分配不同账号,避免账号混用。
完全采纳
2.应删除或锁定与设备运行、维护等工作无关的账号。
3.防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
4.账户口令的生存期不长于90天。
部分采纳
IPSO操作系统支持
5.应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
6.应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
7.在设备权限配置能力内,根据用户的管理等级,配置其所需的最小管理权限。
8.设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
9.设备应配置日志功能,记录用户对设备的重要操作。
10.设备应配置日志功能,记录对与设备相关的安全事件。
11.设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
12.防火墙应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
13.对于使用IP协议进行远程维护的设备,设备应配置使用SSH,HTTPS等加密协议。
14.所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。
15.在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围。
16.对于访问规则的排列,应当遵从范围由小到大的排列规则。
17.在进行重大配置修改前,必须对当前配置进行备份。
18.对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
19.访问规则必须按照一定的规则进行分组。
20.打开防DDOS攻击功能。
21.对于常见病毒的端口号应当进行端口的关闭配置。
22.限制ping包的大小,以及一段时间内同一主机发送的次数。
23.对于各端口要开启防欺骗功能。
24.对于具备字符交互界面的设备,应配置定时账户自动登出。
25.对于具备图形界面(含WEB界面)的设备,应配置定时自动登出。
26.对于具备console口的设备,应配置console口密码保护功能。
27.对于登陆账户的ip地址,配置为只允许从某些ip地址登陆。
28.对于外网口地址,关闭对ping包的回应。
建议通过VPN隧道获得内网地址,从内网口进行远程管理。
29.设定统一时钟源
30.设定对防火墙的保护安全规则
31.根据实际的网络连接调整防火墙并发连接数
32.双机集群架构采用VRRP模式部署
33.透明桥模式须关闭状态检测有关项
34.对管理服务器的日志文件大小和转存必须进行设置,并保护系统磁盘空间
35.配置SNMP监控
36.设置与防火墙互联的网络设备端口速率,双工状态
1.3外部引用说明
《中国移动网络与信息安全保障体系总纲》
《中国移动内部控制手册(第二版)》
《中国移动标准化控制矩阵(第二版)》
1.4术语和定义
设备配置要求:
描述在规范适用范围内设备必须和推荐采用的配置要求。
在工程验收和运行维护时采用。
功能要求是实现配置要求的基础。
1.5符号和缩略语
(对于规范出现的英文缩略语或符号在这里统一说明。
)
缩写
英文描述
中文描述
CHECKPOINTFW
CheckPointFirewall
CheckPoint防火墙
2CHECKPOINT防火墙设备配置要求
编号:
CHECKPOINTFW-PZ-1
要求内容
不同等级管理员分配不同账号,避免账号混用。
操作指南
1、参考配置操作
2、补充操作说明
无。
检测方法
1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、检测操作
在图形界面登陆
3、补充说明
CHECKPOINTFW-PZ-2
应删除或锁定与设备运行、维护等工作无关的账号。
配置中用户信息被删除。
CHECKPOINTFW-PZ-3
防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。
CHECKPOINTFW-PZ-4
账户口令的生存期不长于90天。
设备无此功能
CHECKPOINTFW-PZ-5
应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
设备无此功能。
1.判定条件
2.检测操作
3.补充说明
CHECKPOINTFW-PZ-6
应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
1.检测操作
2.补充说明
CHECKPOINTFW-PZ-7
在设备权限配置能力内,根据用户的管理等级,配置其所需的最小管理权限。
对于管理员不同权限设置,可以定义不同管理员的访问模块以及相应权限。
不同用户登陆,尝试访问不同的模块。
用户不能访问自己权限以外的模块。
CHECKPOINTFW-PZ-8
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
设备只能部分支持该项配置要求。
在服务器上正确纪录了日志信息。
查看日志模块。
CHECKPOINTFW-PZ-9
设备应配置日志功能,记录用户对设备的重要操作。
设备只支持纪录部分关键操作。
对设备的操作会记录在日志中。
CHECKPOINTFW-PZ-10
设备应配置日志功能,记录对与设备相关的安全事件。
支持纪录所有的安全事件。
displaylogbuffer
CHECKPOINTFW-PZ-11
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
可以设置发送的日志服务器IP地址。
日志服务器上是否接收到了正确的日志信息。
在日志服务器上查看信息。
CHECKPOINTFW-PZ-12
防火墙应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
查看正常流量是否可以通过防火墙,非法流量是否被防火墙阻隔。
使用不同的流量进行测试。
CHECKPOINTFW-PZ-13
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
使用SSH客户端登陆防火墙。
SSH可以登陆防火墙。
CHECKPOINTFW-PZ-14
所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。
将最后一条策略配置成拒绝一切流量。
查看策略配置。
CHECKPOINTFW-PZ-15
在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围。
根据实际访问需求,缩小地址范围。
根据实际访问需求,检查配置情况。
CHECKPOINTFW-PZ-16
对于访问规则的排列,应当遵从范围由小到大的排列规则。
按照访问规则涉及范围大小来排序。
检查访问规则的排列,查看是否是遵从范围由小到大的排列原则。
CHECKPOINTFW-PZ-17
在进行重大配置修改前,必须对当前配置进行备份。
在进行重大配置修改前,备份当前配置。
查看是否有前期的配置备份。
查看备份配置
CHECKPOINTFW-PZ-18
对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
查看用户是否已经按照权限不同进行分组。
查看用户分组情况。
CHECKPOINTFW-PZ-19
访问规则必须按照一定的规则进行分组。
按照一定的规则对访问控制规则进行分组。
查看访问控制规则是否已经分组。
查看访问控制规则分组情况。
CHECKPOINTFW-PZ-20
打开防DDOS攻击功能。
打开该功能后,对该功能进行一定的配置。
查看是否已经将此功能打开。
CHECKPOINTFW-PZ-21
对于常见病毒的端口号应当进行端口的关闭配置。
。
使用访问控制策略关闭病毒常用端口
是否已经将常用病毒端口关闭。
查看访问控制策略。
CHECKPOINTFW-PZ-22
限制ping包的大小,以及一段时间内同一主机发送的次数。
打开该功能后需进行一定的配置。
查看该功能是否已经打开。
CHECKPOINTFW-PZ-23
对于各端口要开启防欺骗功能。
查看防欺骗功能是否打开。
CHECKPOINTFW-PZ-24
对于具备字符交互界面的设备,应配置定时账户自动登出。
该设备自动设定。
停止操作一段时间,查看是否已经自动登出。
CHECKPOINTFW-PZ-25
对于具备图形界面(含WEB界面)的设备,应配置定时自动登出。
该设备自动进行默认设置。
在超出设定时间后,用户自动登出设备。
CHECKPOINTFW-PZ-26
对于具备consol口的设备,应配置consol口密码保护功能。
该设备无此功能。
CHECKPOINTFW-PZ-27
对于登陆账户的ip地址,配置为只允许从某些ip地址登陆。
对于非允许的ip地址不能登陆。
使用非允许的ip地址登陆。
CHECKPOINTFW-PZ-28
对于外网口地址,关闭对ping包的回应。
在策略中添加一条禁止ping外网口的策略。
对于外网口的ping测试不成功。
对于外网口进行ping测试。
CHECKPOINTFW-PZ-29
设定统一的时钟源。
在Voyager界面的‘RouterServices’启动NTP服务;
在’Configuration’的‘Configuresystemtime’指定NTP服务器IP地址。
4.判定条件
系统时间和时钟源同步。
5.检测操作
用系统命令’date’查看系统时间。
6.补充说明
CHECKPOINTFW-PZ-30
设定对防火墙的保护安全规则
在策略最前面中添加一条允许指定主机/网络管理防火墙的策略。
7.判定条件
指定主机/网络之外的客户端不能访问防火墙。
8.检测操作
9.补充说明
CHECKPOINTFW-PZ-31
根据实际的网络连接调整防火墙并发连接数。
在防火墙管理界面调整防火墙并发连接数。
10.判定条件
根据网络流量实际状况调整并发连接数至稍大于实际连接数。
11.检测操作
12.补充说明
CHECKPOINTFW-PZ-32
双机架构采用VRRP模式部署
在Voyager界面配置VRRP模式双机集群,采用简单电路监控模式。
启用’AcceptConnectionstoVRRPIPs’
启用’MonitorFirewallState’
在SmartDashBoard配置VRRP双机模块。
建议采用VRRP集群模式。
13.判定条件
双机切换,网络连接不中断。
14.检测操作
15.补充说明
CHECKPOINTFW-PZ-33
透明桥模式须关闭状态检测有关项
在Voyager界面配置透明桥端口模式。
在SmartDashBoard配置防火墙对象,针对这个防火墙关闭有关状态检测项。
16.判定条件
17.检测操作
18.补充说明
CHECKPOINTFW-PZ-34
对管理服务器的日志文件大小和转存必须进行设置,并保护系统磁盘空间
建议每个日志文件不超过50M,每天换一个日志文件。
磁盘空间剩余少于500M的时候告警。
19.判定条件
20.检测操作
21.补充说明
CHECKPOINTFW-PZ-35
配置SNMP监控
在Voyager界面配置系统SNMP读取-写权限口令。
配置SNMPTrap
22.判定条件
SNMP服务器可以读取防火墙SNMP信息。
SNMP服务器可以收到来自防火墙的SNMPTrap信息。
23.检测操作
24.补充说明
CHECKPOINTFW-PZ-36
设置与防火墙互联的网络设备端口速率,双工状态
在Voyager界面配置物理接口速率和双工状态。
相应在与防火墙互联的交换机上配置相匹配的
25.判定条件
26.检测操作
27.补充说明