Checkpoint防火墙安全配置指南.docx
《Checkpoint防火墙安全配置指南.docx》由会员分享,可在线阅读,更多相关《Checkpoint防火墙安全配置指南.docx(15页珍藏版)》请在冰豆网上搜索。
Checkpoint防火墙安全配置指南
Checkpoint防火墙安全配置指南
中国联通信息化事业部
2012年12月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2012年12
月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格
第1章
概述
1
1.1
目的
1
1.2
适用范围
1
1.3
适用版本
1
1.4
实施
1
1.5
例外条款
1
第2章
安全配置要求
....2
2.1系统安全2
2.1.1用户账号分配2
2.1.2
删除无关的账号
3
2.1.3
密码复杂度
4
2.1.4
配置用户所需的最小权限
...5
2.1.5
安全登陆
5
2.1.6
配置NTP
6
2.1.7
安全配置SNMP
7
3.1日志安全
3.1.1启用日志功能8
3.1.2记录管理日志9
3.1.3配置日志服务器9
3.1.4日志服务器磁盘空间10
第4章访问控制策略要求11
4.1访问控制策略安全
11
11
4.1.1
过滤所有与业务不相关的流量
4.1.2
透明桥模式须关闭状态检测有关项
....12
4.1.3
账号与IP绑定
13
4.1.4
双机架构米用VRRP莫式部署
14
4.1.5
打开防御DDO數击功能
14
4.1.6
开启攻击防御功能
15
第1章概述
1.1目的
本文档规定了中国联通通信有限公司信息化事业部所维护管理的
CheckPoint防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理
人员进行CheckPoint防火墙的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:
中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。
1.3适用版本
CheckPoint防火墙;
1.4实施
本标准的解释权和修改权属于中国联通集团信息化事业部,在本标准的执行
过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国联通集团信息化事业部进行审批备案。
第2章安全配置要求
2.1系统安全
2.1.1用户账号分配
项目名称
用户账号分配要求
编号
CheckPointFW-02-01-01
项目说明
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和
设备间通信使用的账号共享。
检测操作
1.安装GUI客户端在计算机上
步骤
2.登陆查看
符合性判
1.配置文件中,存在不同的帐号分配
定依据
2.网络管理员确认用户与帐号分配关系明确
配置方法
使用客服端登陆设备,输入用户名密码登陆,如图所示添加用户和
设置密码。
实施风险确认所添加的用户无误
备注
2.1.2删除无关的账号
项目名称
删除无关的账号要求
编号
CheckPointFW-02-01-02
项目说明
应删除或锁疋与设备运行、维护等工作无关的账号。
检测操作
1.安装GU客户端在计算机上。
步骤
2.登陆查看。
符合性判
配置中不存在无关账号
定依据
配置方法
使用客服端登陆设备,进入administratorpermission,如图所示
进行操作:
实施风险
确认操作无误。
备注
2.1.3密码复杂度
项目名称
密码复杂度要求
编号
CheckPointFW-02-01-03
项目说明
防火墙管理员账号口令长度至少8位,并包括数子、小与子母、大
写字母和特殊符号4类中至少3类。
检测操作
1.安装GUI客户端在计算机上。
步骤
2.登陆查看。
基线符合
口令长度至少8位,并包括数字、小与字母、大与字母和特殊符号4
性判定依
类中至少3类
据
配置方法
使用客服端登陆设备,进行用户添加时设置密码复杂度,如图所示:
实施风险
确认操作无误,在不影响业务的前提下进行更新。
备注
2.1.4配置用户所需的最小权限
项目名称
配置用户所需的最小权限要求项。
编号
CheckPointFW-02-01-04
项目说明
在设备权限配置能力内,根据用户的管理等级,配置其所需的最小
管理权限。
检测操作
不同用户登陆,尝试访问不同的模块。
步骤
符合性判
不同用户登陆,尝试访问不同的模块。
用户不能访问自己权限以外
定依据
的模块。
配置方法
使用客户端登陆设备,进行权限配置,如图所示:
实施风险
确认操作无误。
备注
2.1.5安全登陆
项目名称
安全登陆配置
编号
CheckPointFW-02-01-05
项目说明
在PC机上安装CheckPointGUI客服端,专机专用,确保设备的安
全性。
检测操作
1.检查在专用机上是否安装GU客服端。
步骤
2.使用客服端检测能否登陆设备
符合性判
1.检查是否专机专用
定依据
2.是否安装客服端
配置方法
将设备提供的客服端安装在专用的PC机上即可。
实施风险
确认安装无误。
备注
确保PC机为专用,无其他业务往来。
2.1.6配置NTP
项目名称
配置NTP服务器。
编号
CheckPointFW-02-01-06
项目说明
开启NTP月艮务,保证日志功能记录的时间的准确性。
检测操作
步骤
用系统命令’date'查看系统时间。
符合性判
系统时间和时钟源同步。
定依据
配置方法
登陆设备,在Voyager界面的’RouterServices'启动NTP服务;在'Configuration'的'Configuresystemtime'指定NTP服务器IP地址。
实施风险
确认操作无误。
备注
2.1.7安全配置SNMP
项目名称
安全配置SNM要求
编号
CheckPointFW-02-01-07
项目说明
使用SNMPV3以上的版本对防火墙做远程管理。
去除SNMP默认的共同体名(CommunityName)和用户名(如public或private)。
并且不同的用户名和共同体明对应不同的权限(只读或者读写)。
检测操作
1.安装GU客户端在计算机上。
步骤
2.登陆查看。
符合性判
不存在SNMP默认的共同体名(CommunityName)如public或private
定依据
配置方法
在Voyager界面配置系统SNM读取或与权限口令,修改默认口令。
实施风险
更改配置需测试充分。
备注
第3章日志安全要求
3.1日志安全
3.1.1启用日志功能
项目名称
启用日志功能。
编号
CheckPointFW-03-01-01
项目说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址等。
检测操作
步骤
使用客服端登陆设备,检查日志模块,查看是否启用。
符合性判
定依据
检查在服务器上正确纪录了日志信息。
配置方法
使用客服端登陆设备,进入日志模块,启用日志功能,如图所示进行操作:
实施风险
确认操作无误及日志备份。
备注
3.1.2记录管理日志
项目名称
记录管理日志。
编号
CheckPointFW-03-01-02
项目说明
设备应配置日志功能,记录用户对设备的重要操作。
检测操作
使用客服端登陆设备,进入日志模块进行查看。
步骤
符合性判
对设备的操作会记录在日志中。
定依据
配置方法
使用客服端登陆设备,进入日志模块,启用日志功能,如图所示进行操作:
实施风险
确认操作无误。
备注
3.1.3配置日志服务器
项目名称
配置日志服务器。
编号
CheckPointFW-03-01-03
项目说明
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
检测操作
使用客户端登陆设备,在日志服务器上查看信息。
步骤
符合性判
日志服务器上是否接收到了正确的日志信息。
定依据
配置方法
使用客户端登陆设备,进入Globalproperties界面,如图所示进
行配置:
实施风险
确认操作无误。
备注
3.1.4日志服务器磁盘空间
项目名称
日志服务器磁盘空间。
编号
CheckPointFW-03-01-04
项目说明
对管理服务器的日志文件大小和转存必须进行设置,并保护系统磁
盘空间。
建议每个日志文件不超过50M每天换一个日志文件。
磁盘空间剩
余少于500M勺时候告警。
检测操作
1.安装GU客户端在计算机上。
步骤
2.登陆查看。
符合性判
登陆设备查看磁盘空间是否少于500M
定依据
配置方法
登陆设备,进入CheckPointGateway-Management界面,如图所
示进行操作:
实施风险
确认操作无误。
备注
第4章访问控制策略要求
4.1访问控制策略安全
4.1.1过滤所有与业务不相关的流量
项目名称
过滤所有与业务不相关的流量。
编号
CheckPointFW-04-01-01
项目说明
应根据业务需要,配置基于源IP地址、通信协议TCP或UDP目的IP
地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流
量。
检测操作
使用不同的流量进行测试。
步骤
符合性判
查看正常流量是否可以通过防火墙,非法流量是否被防火墙阻隔。
定依据
配置方法
登陆设备,如图所示进行配置:
实施风险
确保操作无误。
备注
4.1.2透明桥模式须关闭状态检测有关项
项目名称
透明桥模式须关闭状态检测有关项要求。
编号
CheckPointFW-04-01-02
项目说明
透明桥模式须关闭状态检测有关项,确保资源的利用率。
检测操作
1•安装GU客户端在计算机上。
步骤
2•登陆查看。
符合性判
登陆设备界面查看。
定依据
配置方法
在Voyager界面配置透明桥端口模式。
在SmartDashBoarc配置防火
墙对象,针对这个防火墙关闭有关状态检测项。
实施风险
确认关闭的状态检测无误。
备注
4.1.3账号与IP绑定
项目名称
账号与IP绑定要求项。
编号
CheckPointFW-04-01-03
项目说明
对于登陆账户的ip地址,配置为只允许从某些ip地址登陆。
检测操作
使用非允许的ip地址登陆。
步骤
符合性判
对于非允许的ip地址不能登陆。
定依据
配置方法
登陆设备,如图所示进行操作:
实施风险
确认操作无误。
备注
4.1.4双机架构采用VRRP莫式部署
项目名称
双机架构采用VRR模式部署。
编号
CheckPointFW-04-01-04
项目说明
双机架构采用VRR模式部署,确保网络的稳定性。
检测操作
1•安装GU客户端在计算机上。
步骤
2•登陆查看。
符合性判
双机切换,网络连接不中断。
定依据
配置方法
1.在Voyager界面配置VRR模式双机集群,米用简单电路监控模式。
2.启用’AcceptConnectionstoVRRPIPs'。
3.启用'MonitorFirewallState'。
4.在SmartDashBoard配置VRR双机模块。
实施风险
变得较大,需测试充分。
备注
4.1.5打开防御DDOSfc击功能
项目名称
打开防御DDO攻击功能。
编号
CheckPointFW-04-01-05
项目说明
打开防DDO攻击功能,确保系统安全。
检测操作
步骤
1•安装GU客户端在计算机上。
2•登陆查看。
符合性判
定依据
登陆设备,查看是否已经将此功能打开。
配置方法
登陆设备,如图所示进行操作:
实施风险
配置变化,注意CPU内存利用率变化情况。
备注
4.1.6开启攻击防御功能
项目名称
开启攻击防御功能。
编号
CheckPointFW-04-01-06
项目说明
对于各端口要开启防欺骗功能。
检测操作
1•安装GU客户端在计算机上。
步骤
2•登陆查看。
符合性判
查看防欺骗功能是否打开。
定依据
配置方法
登陆设备,如图所示进行操作:
实施风险
配置改变,注意CPU内存利用率变化情况。
备注
第5章评审与修订
本标准由中国联通集团信息化事业部定期进行审查,根据审视结果修订标
准,并颁发执行。
升级会员 