CheckPoint防火墙配置.docx
《CheckPoint防火墙配置.docx》由会员分享,可在线阅读,更多相关《CheckPoint防火墙配置.docx(32页珍藏版)》请在冰豆网上搜索。
CheckPoint防火墙配置
╳╳╳╳-╳╳-╳╳实施
╳╳╳╳-╳╳-╳╳发布
CheckPoint防火墙配置
SpecificationforCheckPointFireWall
ConfigurationUsedinChinaMobile
版本号:
1.0.0
中国移动通信有限公司网络部
目录
1概述1
1.1适用范围1
1.2内部适用性说明1
1.3外部引用说明3
1.4术语和定义3
1.5符号和缩略语4
2CHECKPOINT防火墙设备配置要求4
前言
概述
1.1适用范围
本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。
本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。
本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考
1.2内部适用性说明
本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。
在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。
对于“不采纳”的情况,说明采纳的原因)。
内容
采纳意见
备注
1.不同等级管理员分配不同账号,避免账号混用。
完全采纳
2.应删除或锁定与设备运行、维护等工作无关的账号。
完全采纳
3.防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
完全采纳
4.账户口令的生存期不长于90天。
部分采纳
IPSO操作系统支持
5.应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
部分采纳
IPSO操作系统支持
6.应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
部分采纳
IPSO操作系统支持
7.在设备权限配置能力内,根据用户的管理等级,配置其所需的最小管理权限。
完全采纳
8.设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
完全采纳
9.设备应配置日志功能,记录用户对设备的重要操作。
完全采纳
10.设备应配置日志功能,记录对与设备相关的安全事件。
完全采纳
11.设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
完全采纳
12.防火墙应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
完全采纳
13.对于使用IP协议进行远程维护的设备,设备应配置使用SSH,HTTPS等加密协议。
完全采纳
14.所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。
完全采纳
15.在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围。
完全采纳
16.对于访问规则的排列,应当遵从范围由小到大的排列规则。
完全采纳
17.在进行重大配置修改前,必须对当前配置进行备份。
完全采纳
18.对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
完全采纳
19.访问规则必须按照一定的规则进行分组。
完全采纳
20.打开防DDOS攻击功能。
完全采纳
21.对于常见病毒的端口号应当进行端口的关闭配置。
完全采纳
22.限制ping包的大小,以及一段时间内同一主机发送的次数。
完全采纳
23.对于各端口要开启防欺骗功能。
完全采纳
24.对于具备字符交互界面的设备,应配置定时账户自动登出。
完全采纳
25.对于具备图形界面(含WEB界面)的设备,应配置定时自动登出。
完全采纳
26.对于具备console口的设备,应配置console口密码保护功能。
完全采纳
27.对于登陆账户的ip地址,配置为只允许从某些ip地址登陆。
完全采纳
28.对于外网口地址,关闭对ping包的回应。
建议通过VPN隧道获得内网地址,从内网口进行远程管理。
完全采纳
29.设定统一时钟源
完全采纳
30.设定对防火墙的保护安全规则
完全采纳
31.根据实际的网络连接调整防火墙并发连接数
完全采纳
32.双机集群架构采用VRRP模式部署
部分采纳
33.透明桥模式须关闭状态检测有关项
完全采纳
34.对管理服务器的日志文件大小和转存必须进行设置,并保护系统磁盘空间
完全采纳
35.配置SNMP监控
完全采纳
36.设置与防火墙互联的网络设备端口速率,双工状态
完全采纳
1.3外部引用说明
《中国移动网络与信息安全保障体系总纲》
《中国移动内部控制手册(第二版)》
《中国移动标准化控制矩阵(第二版)》
1.4术语和定义
设备配置要求:
描述在规范适用范围内设备必须和推荐采用的配置要求。
在工程验收和运行维护时采用。
功能要求是实现配置要求的基础。
1.5符号和缩略语
(对于规范出现的英文缩略语或符号在这里统一说明。
)
缩写
英文描述
中文描述
CHECKPOINTFW
CheckPointFirewall
CheckPoint防火墙
2CHECKPOINT防火墙设备配置要求
编号:
CHECKPOINTFW-PZ-1
要求内容
不同等级管理员分配不同账号,避免账号混用。
操作指南
1、参考配置操作
2、补充操作说明
无。
检测方法
1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、检测操作
在图形界面登陆
3、补充说明
无。
编号:
CHECKPOINTFW-PZ-2
要求内容
应删除或锁定与设备运行、维护等工作无关的账号。
操作指南
1、参考配置操作
2、补充操作说明
无。
检测方法
1、判定条件
配置中用户信息被删除。
2、检测操作
无。
3、补充说明
无。
编号:
CHECKPOINTFW-PZ-3
要求内容
防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
1、参考配置操作
2、补充操作说明
无。
检测方法
1、判定条件
该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。
2、检测操作
无。
3、补充说明
无。
编号:
CHECKPOINTFW-PZ-4
要求内容
账户口令的生存期不长于90天。
操作指南
1、参考配置操作
设备无此功能
2、补充操作说明
无。
检测方法
1、判定条件
设备无此功能
2、检测操作
无。
3、补充说明
无。
编号:
CHECKPOINTFW-PZ-5
要求内容
应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
设备无此功能。
2、补充操作说明
无。
检测方法
1.判定条件
无。
2.检测操作
无。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-6
要求内容
应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
操作指南
1、参考配置操作
设备无此功能
2、补充操作说明
无。
检测方法
1.判定条件
无。
1.检测操作
无。
2.补充说明
无。
编号:
CHECKPOINTFW-PZ-7
要求内容
在设备权限配置能力内,根据用户的管理等级,配置其所需的最小管理权限。
操作指南
1、参考配置操作
2、补充操作说明
对于管理员不同权限设置,可以定义不同管理员的访问模块以及相应权限。
检测方法
1.判定条件
不同用户登陆,尝试访问不同的模块。
用户不能访问自己权限以外的模块。
2.检测操作
不同用户登陆,尝试访问不同的模块。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-8
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
2、补充操作说明
设备只能部分支持该项配置要求。
检测方法
1.判定条件
在服务器上正确纪录了日志信息。
2.检测操作
查看日志模块。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-9
要求内容
设备应配置日志功能,记录用户对设备的重要操作。
操作指南
1、参考配置操作
2、补充操作说明
设备只支持纪录部分关键操作。
检测方法
1.判定条件
对设备的操作会记录在日志中。
2.检测操作
查看日志模块。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-10
要求内容
设备应配置日志功能,记录对与设备相关的安全事件。
操作指南
1、参考配置操作
2、补充操作说明
支持纪录所有的安全事件。
检测方法
1.判定条件
在服务器上正确纪录了日志信息。
2.检测操作
displaylogbuffer
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-11
要求内容
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
操作指南
1、参考配置操作
2、补充操作说明
可以设置发送的日志服务器IP地址。
检测方法
1.判定条件
日志服务器上是否接收到了正确的日志信息。
2.检测操作
在日志服务器上查看信息。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-12
要求内容
防火墙应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
操作指南
1、参考配置操作
2、补充操作说明
无。
检测方法
1.判定条件
查看正常流量是否可以通过防火墙,非法流量是否被防火墙阻隔。
2.检测操作
使用不同的流量进行测试。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-13
要求内容
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
操作指南
1、参考配置操作
使用SSH客户端登陆防火墙。
2、补充操作说明
无。
检测方法
1.判定条件
SSH可以登陆防火墙。
2.检测操作
使用SSH客户端登陆防火墙。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-14
要求内容
所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。
操作指南
1、参考配置操作
将最后一条策略配置成拒绝一切流量。
2、补充操作说明
无。
检测方法
1.判定条件
无。
2.检测操作
查看策略配置。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-15
要求内容
在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围。
操作指南
1、参考配置操作
根据实际访问需求,缩小地址范围。
2、补充操作说明
无。
检测方法
1.判定条件
无。
2.检测操作
根据实际访问需求,检查配置情况。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-16
要求内容
对于访问规则的排列,应当遵从范围由小到大的排列规则。
操作指南
1、参考配置操作
按照访问规则涉及范围大小来排序。
2、补充操作说明
无。
检测方法
1.判定条件
检查访问规则的排列,查看是否是遵从范围由小到大的排列原则。
2.检测操作
无。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-17
要求内容
在进行重大配置修改前,必须对当前配置进行备份。
操作指南
1、参考配置操作
在进行重大配置修改前,备份当前配置。
2、补充操作说明
无。
检测方法
1.判定条件
查看是否有前期的配置备份。
2.检测操作
查看备份配置
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-18
要求内容
对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
操作指南
1、参考配置操作
2、补充操作说明
无。
检测方法
1.判定条件
查看用户是否已经按照权限不同进行分组。
2.检测操作
查看用户分组情况。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-19
要求内容
访问规则必须按照一定的规则进行分组。
操作指南
1、参考配置操作
按照一定的规则对访问控制规则进行分组。
2、补充操作说明
无。
检测方法
1.判定条件
查看访问控制规则是否已经分组。
2.检测操作
查看访问控制规则分组情况。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-20
要求内容
打开防DDOS攻击功能。
操作指南
1、参考配置操作
打开防DDOS攻击功能。
2、补充操作说明
打开该功能后,对该功能进行一定的配置。
检测方法
1.判定条件
查看是否已经将此功能打开。
2.检测操作
无。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-21
要求内容
对于常见病毒的端口号应当进行端口的关闭配置。
。
操作指南
1、参考配置操作
使用访问控制策略关闭病毒常用端口
2、补充操作说明
无。
检测方法
1.判定条件
是否已经将常用病毒端口关闭。
2.检测操作
查看访问控制策略。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-22
要求内容
限制ping包的大小,以及一段时间内同一主机发送的次数。
操作指南
1、参考配置操作
2、补充操作说明
打开该功能后需进行一定的配置。
检测方法
1.判定条件
查看该功能是否已经打开。
2.检测操作
无。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-23
要求内容
对于各端口要开启防欺骗功能。
操作指南
1、参考配置操作
2、补充操作说明
无。
检测方法
1.判定条件
查看防欺骗功能是否打开。
2.检测操作
无。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-24
要求内容
对于具备字符交互界面的设备,应配置定时账户自动登出。
操作指南
1、参考配置操作
该设备自动设定。
2、补充操作说明
无。
检测方法
1.判定条件
停止操作一段时间,查看是否已经自动登出。
2.检测操作
无。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-25
要求内容
对于具备图形界面(含WEB界面)的设备,应配置定时自动登出。
操作指南
1、参考配置操作
该设备自动进行默认设置。
2、补充操作说明
无。
检测方法
1.判定条件
在超出设定时间后,用户自动登出设备。
2.检测操作
无。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-26
要求内容
对于具备consol口的设备,应配置consol口密码保护功能。
。
操作指南
1、参考配置操作
该设备无此功能。
2、补充操作说明
无。
检测方法
1.判定条件
无。
2.检测操作
无。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-27
要求内容
对于登陆账户的ip地址,配置为只允许从某些ip地址登陆。
操作指南
1、参考配置操作
2、补充操作说明
无。
检测方法
1.判定条件
对于非允许的ip地址不能登陆。
2.检测操作
使用非允许的ip地址登陆。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-28
要求内容
对于外网口地址,关闭对ping包的回应。
建议通过VPN隧道获得内网地址,从内网口进行远程管理。
操作指南
1、参考配置操作
在策略中添加一条禁止ping外网口的策略。
2、补充操作说明
无。
检测方法
1.判定条件
对于外网口的ping测试不成功。
2.检测操作
对于外网口进行ping测试。
3.补充说明
无。
编号:
CHECKPOINTFW-PZ-29
要求内容
设定统一的时钟源。
操作指南
1、参考配置操作
在Voyager界面的‘RouterServices’启动NTP服务;
在’Configuration’的‘Configuresystemtime’指定NTP服务器IP地址。
2、补充操作说明
无。
检测方法
4.判定条件
系统时间和时钟源同步。
5.检测操作
用系统命令’date’查看系统时间。
6.补充说明
无。
编号:
CHECKPOINTFW-PZ-30
要求内容
设定对防火墙的保护安全规则
操作指南
1、参考配置操作
在策略最前面中添加一条允许指定主机/网络管理防火墙的策略。
2、补充操作说明
无。
检测方法
7.判定条件
指定主机/网络之外的客户端不能访问防火墙。
8.检测操作
无。
9.补充说明
无。
编号:
CHECKPOINTFW-PZ-31
要求内容
根据实际的网络连接调整防火墙并发连接数。
操作指南
1、参考配置操作
在防火墙管理界面调整防火墙并发连接数。
2、补充操作说明
无。
检测方法
10.判定条件
根据网络流量实际状况调整并发连接数至稍大于实际连接数。
11.检测操作
无。
12.补充说明
无。
编号:
CHECKPOINTFW-PZ-32
要求内容
双机架构采用VRRP模式部署
操作指南
1、参考配置操作
在Voyager界面配置VRRP模式双机集群,采用简单电路监控模式。
启用’AcceptConnectionstoVRRPIPs’
启用’MonitorFirewallState’
在SmartDashBoard配置VRRP双机模块。
2、补充操作说明
建议采用VRRP集群模式。
检测方法
13.判定条件
双机切换,网络连接不中断。
14.检测操作
无。
15.补充说明
无。
编号:
CHECKPOINTFW-PZ-33
要求内容
透明桥模式须关闭状态检测有关项
操作指南
1、参考配置操作
在Voyager界面配置透明桥端口模式。
在SmartDashBoard配置防火墙对象,针对这个防火墙关闭有关状态检测项。
2、补充操作说明
无。
检测方法
16.判定条件
无。
17.检测操作
无。
18.补充说明
无。
编号:
CHECKPOINTFW-PZ-34
要求内容
对管理服务器的日志文件大小和转存必须进行设置,并保护系统磁盘空间
操作指南
1、参考配置操作
2、补充操作说明
建议每个日志文件不超过50M,每天换一个日志文件。
磁盘空间剩余少于500M的时候告警。
检测方法
19.判定条件
无。
20.检测操作
无。
21.补充说明
无。
编号:
CHECKPOINTFW-PZ-35
要求内容
配置SNMP监控
操作指南
1、参考配置操作
在Voyager界面配置系统SNMP读取-写权限口令。
配置SNMPTrap
2、补充操作说明
无。
检测方法
22.判定条件
SNMP服务器可以读取防火墙SNMP信息。
SNMP服务器可以收到来自防火墙的SNMPTrap信息。
23.检测操作
无。
24.补充说明
无。
编号:
CHECKPOINTFW-PZ-36
要求内容
设置与防火墙互联的网络设备端口速率,双工状态
操作指南
1、参考配置操作
在Voyager界面配置物理接口速率和双工状态。
相应在与防火墙互联的交换机上配置相匹配的
2、补充操作说明
无。
检测方法
25.判定条件
无。
26.检测操作
无。
27.补充说明
无。
升级会员 