CheckPoint防火墙配置Word文档格式.docx

1、采纳意见备注1. 不同等级管理员分配不同账号，避免账号混用。完全采纳2. 应删除或锁定与设备运行、维护等工作无关的账号。3. 防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。4. 账户口令的生存期不长于90天。部分采纳IPSO操作系统支持5. 应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。6. 应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。7. 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。8. 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时

2、间，以及远程登录时，用户使用的IP地址。9. 设备应配置日志功能，记录用户对设备的重要操作。10. 设备应配置日志功能，记录对与设备相关的安全事件。11. 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。12. 防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。13. 对于使用IP协议进行远程维护的设备，设备应配置使用SSH，HTTPS等加密协议。14. 所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。15. 在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩

3、小范围。16. 对于访问规则的排列，应当遵从范围由小到大的排列规则。17. 在进行重大配置修改前，必须对当前配置进行备份。18. 对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。19. 访问规则必须按照一定的规则进行分组。20. 打开防DDOS攻击功能。21. 对于常见病毒的端口号应当进行端口的关闭配置。22. 限制ping包的大小，以及一段时间内同一主机发送的次数。23. 对于各端口要开启防欺骗功能。24. 对于具备字符交互界面的设备，应配置定时账户自动登出。25. 对于具备图形界面（含WEB界面）的设备，应配置定时自动登出。26. 对于具备

4、console口的设备，应配置console口密码保护功能。27. 对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。28. 对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。29. 设定统一时钟源30. 设定对防火墙的保护安全规则31. 根据实际的网络连接调整防火墙并发连接数32. 双机集群架构采用VRRP模式部署33. 透明桥模式须关闭状态检测有关项34. 对管理服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间35. 配置SNMP监控36. 设置与防火墙互联的网络设备端口速率，双工状态1.3 外部引用说明中国移动网络与信息安全保障

5、体系总纲中国移动内部控制手册（第二版）中国移动标准化控制矩阵（第二版）1.4 术语和定义设备配置要求：描述在规范适用范围内设备必须和推荐采用的配置要求。在工程验收和运行维护时采用。功能要求是实现配置要求的基础。1.5 符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述CHECKPOINTFWCheckPoint Firewall CheckPoint防火墙2 CHECKPOINT防火墙设备配置要求编号：CHECKPOINTFW-PZ-1要求内容不同等级管理员分配不同账号，避免账号混用。操作指南1、参考配置操作2、补充操作说明无。检测方法1、 判定条件用配置中没有

6、的用户名去登录，结果是不能登录2、 检测操作在图形界面登陆3、 补充说明CHECKPOINTFW-PZ-2应删除或锁定与设备运行、维护等工作无关的账号。 配置中用户信息被删除。CHECKPOINTFW-PZ-3防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。CHECKPOINTFW-PZ-4账户口令的生存期不长于90天。设备无此功能CHECKPOINTFW-PZ-5应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。设备无此功能。1. 判定条件2. 检测操作3. 补充说明CHEC

7、KPOINTFW-PZ-6应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。1. 检测操作2. 补充说明CHECKPOINTFW-PZ-7在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。对于管理员不同权限设置，可以定义不同管理员的访问模块以及相应权限。不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外的模块。CHECKPOINTFW-PZ-8设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。设备只能部分支持该项配置要求。在服务器上正确纪录了日志信息。查看日志模块。

8、CHECKPOINTFW-PZ-9设备应配置日志功能，记录用户对设备的重要操作。设备只支持纪录部分关键操作。对设备的操作会记录在日志中。CHECKPOINTFW-PZ-10设备应配置日志功能，记录对与设备相关的安全事件。支持纪录所有的安全事件。display logbufferCHECKPOINTFW-PZ-11设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。可以设置发送的日志服务器IP地址。日志服务器上是否接收到了正确的日志信息。在日志服务器上查看信息。CHECKPOINTFW-PZ-12防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、

9、目的端口的流量过滤，过滤所有和业务不相关的流量。查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。使用不同的流量进行测试。CHECKPOINTFW-PZ-13对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。使用SSH客户端登陆防火墙。SSH可以登陆防火墙。CHECKPOINTFW-PZ-14所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。将最后一条策略配置成拒绝一切流量。查看策略配置。CHECKPOINTFW-PZ-15在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。根据实际访问需求，缩小地址范围。根据实际访问需求，检查配

10、置情况。CHECKPOINTFW-PZ-16对于访问规则的排列，应当遵从范围由小到大的排列规则。按照访问规则涉及范围大小来排序。检查访问规则的排列，查看是否是遵从范围由小到大的排列原则。CHECKPOINTFW-PZ-17在进行重大配置修改前，必须对当前配置进行备份。在进行重大配置修改前，备份当前配置。查看是否有前期的配置备份。查看备份配置CHECKPOINTFW-PZ-18对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。查看用户是否已经按照权限不同进行分组。查看用户分组情况。CHECKPOINTFW-PZ-19访问规则必须按照一定的规则进行分

11、组。按照一定的规则对访问控制规则进行分组。查看访问控制规则是否已经分组。查看访问控制规则分组情况。CHECKPOINTFW-PZ-20打开防DDOS攻击功能。打开该功能后，对该功能进行一定的配置。查看是否已经将此功能打开。CHECKPOINTFW-PZ-21对于常见病毒的端口号应当进行端口的关闭配置。使用访问控制策略关闭病毒常用端口是否已经将常用病毒端口关闭。查看访问控制策略。CHECKPOINTFW-PZ-22限制ping包的大小，以及一段时间内同一主机发送的次数。打开该功能后需进行一定的配置。查看该功能是否已经打开。CHECKPOINTFW-PZ-23对于各端口要开启防欺骗功能。查看防欺骗

12、功能是否打开。CHECKPOINTFW-PZ-24对于具备字符交互界面的设备，应配置定时账户自动登出。该设备自动设定。停止操作一段时间，查看是否已经自动登出。CHECKPOINTFW-PZ-25对于具备图形界面（含WEB界面）的设备，应配置定时自动登出。该设备自动进行默认设置。在超出设定时间后，用户自动登出设备。CHECKPOINTFW-PZ-26对于具备consol口的设备，应配置consol口密码保护功能。该设备无此功能。CHECKPOINTFW-PZ-27对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。对于非允许的ip地址不能登陆。使用非允许的ip地址登陆。CHECKPOINTF

13、W-PZ-28对于外网口地址，关闭对ping包的回应。在策略中添加一条禁止ping外网口的策略。对于外网口的ping测试不成功。对于外网口进行ping测试。CHECKPOINTFW-PZ-29设定统一的时钟源。在Voyager界面的Router Services启动NTP服务；在Configuration的Configure system time指定NTP服务器IP地址。4. 判定条件系统时间和时钟源同步。5. 检测操作用系统命令date查看系统时间。6. 补充说明CHECKPOINTFW-PZ-30设定对防火墙的保护安全规则在策略最前面中添加一条允许指定主机/网络管理防火墙的策略。7. 判

14、定条件指定主机/网络之外的客户端不能访问防火墙。8. 检测操作9. 补充说明CHECKPOINTFW-PZ-31根据实际的网络连接调整防火墙并发连接数。在防火墙管理界面调整防火墙并发连接数。10. 判定条件根据网络流量实际状况调整并发连接数至稍大于实际连接数。11. 检测操作12. 补充说明CHECKPOINTFW-PZ-32双机架构采用VRRP模式部署在Voyager界面配置VRRP模式双机集群，采用简单电路监控模式。启用Accept Connections to VRRP IPs启用Monitor Firewall State在SmartDashBoard配置VRRP双机模块。建议采用VR

15、RP集群模式。13. 判定条件双机切换，网络连接不中断。14. 检测操作15. 补充说明CHECKPOINTFW-PZ-33透明桥模式须关闭状态检测有关项在Voyager界面配置透明桥端口模式。在SmartDashBoard配置防火墙对象，针对这个防火墙关闭有关状态检测项。16. 判定条件17. 检测操作18. 补充说明CHECKPOINTFW-PZ-34对管理服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间建议每个日志文件不超过50M，每天换一个日志文件。磁盘空间剩余少于500M的时候告警。19. 判定条件20. 检测操作21. 补充说明CHECKPOINTFW-PZ-35配置SNMP监控在Voyager界面配置系统SNMP 读取-写权限口令。配置SNMP Trap22. 判定条件SNMP服务器可以读取防火墙SNMP信息。SNMP服务器可以收到来自防火墙的SNMP Trap信息。23. 检测操作24. 补充说明CHECKPOINTFW-PZ-36设置与防火墙互联的网络设备端口速率，双工状态在Voyager界面配置物理接口速率和双工状态。相应在与防火墙互联的交换机上配置相匹配的25. 判定条件26. 检测操作27. 补充说明