CheckPoint防火墙配置.docx

1、CheckPoint防火墙配置-实施-发布CheckPoint防火墙配置Specification for CheckPoint FireWall Configuration Used in China Mobile版本号：. 中国移动通信有限公司网络部目录1 概述 11.1 适用范围 11.2 内部适用性说明 11.3 外部引用说明 31.4 术语和定义 31.5 符号和缩略语 42 CHECKPOINT防火墙设备配置要求 4前 言概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设

2、备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2 内部适用性说明本规范是依据中国移动防火墙配置规范中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为 “完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。内容采纳意见备注1. 不同等级管理员分配不同账号，避免账号混用。完全采纳2. 应删除或锁定与设备运行、维护等工作

3、无关的账号。完全采纳3. 防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。完全采纳4. 账户口令的生存期不长于90天。部分采纳IPSO操作系统支持5. 应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。部分采纳IPSO操作系统支持6. 应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。部分采纳IPSO操作系统支持7. 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。完全采纳8. 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用

4、的IP地址。完全采纳9. 设备应配置日志功能，记录用户对设备的重要操作。完全采纳10. 设备应配置日志功能，记录对与设备相关的安全事件。完全采纳11. 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。完全采纳12. 防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。完全采纳13. 对于使用IP协议进行远程维护的设备，设备应配置使用SSH，HTTPS等加密协议。完全采纳14. 所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。完全采纳15. 在配置访问规则时，源地址和目的地址的范围必须以实

5、际访问需求为前提，尽可能的缩小范围。完全采纳16. 对于访问规则的排列，应当遵从范围由小到大的排列规则。完全采纳17. 在进行重大配置修改前，必须对当前配置进行备份。完全采纳18. 对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。完全采纳19. 访问规则必须按照一定的规则进行分组。完全采纳20. 打开防DDOS攻击功能。完全采纳21. 对于常见病毒的端口号应当进行端口的关闭配置。完全采纳22. 限制ping包的大小，以及一段时间内同一主机发送的次数。完全采纳23. 对于各端口要开启防欺骗功能。完全采纳24. 对于具备字符交互界面的设备，应配置定

6、时账户自动登出。完全采纳25. 对于具备图形界面（含WEB界面）的设备，应配置定时自动登出。完全采纳26. 对于具备console口的设备，应配置console口密码保护功能。完全采纳27. 对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。完全采纳28. 对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。完全采纳29. 设定统一时钟源完全采纳30. 设定对防火墙的保护安全规则完全采纳31. 根据实际的网络连接调整防火墙并发连接数完全采纳32. 双机集群架构采用VRRP模式部署部分采纳33. 透明桥模式须关闭状态检测有关项完全采纳34. 对管理

7、服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间完全采纳35. 配置SNMP监控完全采纳36. 设置与防火墙互联的网络设备端口速率，双工状态完全采纳1.3 外部引用说明中国移动网络与信息安全保障体系总纲中国移动内部控制手册（第二版）中国移动标准化控制矩阵（第二版）1.4 术语和定义设备配置要求：描述在规范适用范围内设备必须和推荐采用的配置要求。在工程验收和运行维护时采用。功能要求是实现配置要求的基础。1.5 符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述CHECKPOINTFWCheckPoint Firewall CheckPoint防火墙2 C

8、HECKPOINT防火墙设备配置要求编号：CHECKPOINTFW-PZ-1要求内容不同等级管理员分配不同账号，避免账号混用。操作指南1、参考配置操作2、补充操作说明无。检测方法1、 判定条件用配置中没有的用户名去登录，结果是不能登录2、 检测操作在图形界面登陆3、 补充说明无。编号：CHECKPOINTFW-PZ-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作 2、补充操作说明无。检测方法1、 判定条件配置中用户信息被删除。2、 检测操作无。3、 补充说明无。编号：CHECKPOINTFW-PZ-3要求内容防火墙管理员账号口令长度至少8位，并包括数字、小写字

9、母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作2、补充操作说明无。检测方法1、 判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2、 检测操作无。3、 补充说明无。编号：CHECKPOINTFW-PZ-4要求内容账户口令的生存期不长于90天。操作指南1、参考配置操作设备无此功能2、补充操作说明无。检测方法1、 判定条件设备无此功能2、 检测操作无。3、 补充说明无。编号：CHECKPOINTFW-PZ-5要求内容应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作设备无此功能。2、补充操作说明无。检测方法1. 判定条件无

10、。2. 检测操作无。 3. 补充说明无。编号：CHECKPOINTFW-PZ-6要求内容应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作设备无此功能2、补充操作说明无。检测方法1. 判定条件无。1. 检测操作无。 2. 补充说明无。编号：CHECKPOINTFW-PZ-7要求内容在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。操作指南1、参考配置操作2、补充操作说明对于管理员不同权限设置，可以定义不同管理员的访问模块以及相应权限。检测方法1. 判定条件不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外的模块。2. 检测

11、操作不同用户登陆，尝试访问不同的模块。3. 补充说明无。编号：CHECKPOINTFW-PZ-8要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作2、补充操作说明设备只能部分支持该项配置要求。检测方法1. 判定条件在服务器上正确纪录了日志信息。2. 检测操作查看日志模块。3. 补充说明无。编号：CHECKPOINTFW-PZ-9要求内容设备应配置日志功能，记录用户对设备的重要操作。操作指南1、参考配置操作2、补充操作说明设备只支持纪录部分关键操作。检测方法1. 判定条件对设备的操作

12、会记录在日志中。2. 检测操作查看日志模块。3. 补充说明无。编号：CHECKPOINTFW-PZ-10要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作2、补充操作说明支持纪录所有的安全事件。检测方法1. 判定条件在服务器上正确纪录了日志信息。2. 检测操作display logbuffer3. 补充说明无。编号：CHECKPOINTFW-PZ-11要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。操作指南1、参考配置操作2、补充操作说明可以设置发送的日志服务器IP地址。检测方法1. 判定条件日志服务器上是否接收到了正确的日志信息。2. 检

13、测操作在日志服务器上查看信息。3. 补充说明无。编号：CHECKPOINTFW-PZ-12要求内容防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1、参考配置操作2、补充操作说明无。检测方法1. 判定条件查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。2. 检测操作使用不同的流量进行测试。3. 补充说明无。编号：CHECKPOINTFW-PZ-13要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。操作指南1、参考配置操作使用SSH客户端登陆防火墙。2、补充操作说明

14、无。检测方法1. 判定条件SSH可以登陆防火墙。2. 检测操作使用SSH客户端登陆防火墙。3. 补充说明无。编号：CHECKPOINTFW-PZ-14要求内容所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。操作指南1、参考配置操作将最后一条策略配置成拒绝一切流量。2、补充操作说明无。检测方法1. 判定条件无。2. 检测操作查看策略配置。3. 补充说明无。编号：CHECKPOINTFW-PZ-15要求内容在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。操作指南1、参考配置操作根据实际访问需求，缩小地址范围。2、补充操作说明无。检测方法1. 判定条件无。

15、2. 检测操作根据实际访问需求，检查配置情况。3. 补充说明无。编号：CHECKPOINTFW-PZ-16要求内容对于访问规则的排列，应当遵从范围由小到大的排列规则。操作指南1、参考配置操作按照访问规则涉及范围大小来排序。2、补充操作说明无。检测方法1. 判定条件检查访问规则的排列，查看是否是遵从范围由小到大的排列原则。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-PZ-17要求内容在进行重大配置修改前，必须对当前配置进行备份。操作指南1、参考配置操作在进行重大配置修改前，备份当前配置。2、补充操作说明无。检测方法1. 判定条件查看是否有前期的配置备份。2. 检测操作查看

16、备份配置3. 补充说明无。编号：CHECKPOINTFW-PZ-18要求内容对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。操作指南1、参考配置操作2、补充操作说明无。检测方法1. 判定条件查看用户是否已经按照权限不同进行分组。2. 检测操作查看用户分组情况。3. 补充说明无。编号：CHECKPOINTFW-PZ-19要求内容访问规则必须按照一定的规则进行分组。操作指南1、参考配置操作按照一定的规则对访问控制规则进行分组。2、补充操作说明无。检测方法1. 判定条件查看访问控制规则是否已经分组。2. 检测操作查看访问控制规则分组情况。3. 补充说

17、明无。编号：CHECKPOINTFW-PZ-20要求内容打开防DDOS攻击功能。操作指南1、参考配置操作打开防DDOS攻击功能。2、补充操作说明打开该功能后，对该功能进行一定的配置。检测方法1. 判定条件查看是否已经将此功能打开。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-PZ-21要求内容对于常见病毒的端口号应当进行端口的关闭配置。操作指南1、参考配置操作使用访问控制策略关闭病毒常用端口2、补充操作说明无。检测方法1. 判定条件是否已经将常用病毒端口关闭。2. 检测操作查看访问控制策略。3. 补充说明无。编号：CHECKPOINTFW-PZ-22要求内容限制ping包

18、的大小，以及一段时间内同一主机发送的次数。操作指南1、参考配置操作2、补充操作说明打开该功能后需进行一定的配置。检测方法1. 判定条件查看该功能是否已经打开。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-PZ-23要求内容对于各端口要开启防欺骗功能。操作指南1、参考配置操作2、补充操作说明无。检测方法1. 判定条件查看防欺骗功能是否打开。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-PZ-24要求内容对于具备字符交互界面的设备，应配置定时账户自动登出。操作指南1、参考配置操作该设备自动设定。2、补充操作说明无。检测方法1. 判定条件停止操作一段时间，

19、查看是否已经自动登出。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-PZ-25要求内容对于具备图形界面（含WEB界面）的设备，应配置定时自动登出。操作指南1、参考配置操作该设备自动进行默认设置。2、补充操作说明无。检测方法1. 判定条件在超出设定时间后，用户自动登出设备。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-PZ-26要求内容对于具备consol口的设备，应配置consol口密码保护功能。操作指南1、参考配置操作该设备无此功能。2、补充操作说明无。检测方法1. 判定条件无。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-P

20、Z-27要求内容对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。操作指南1、参考配置操作2、补充操作说明无。检测方法1. 判定条件对于非允许的ip地址不能登陆。2. 检测操作使用非允许的ip地址登陆。 3. 补充说明无。编号：CHECKPOINTFW-PZ-28要求内容对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。操作指南1、参考配置操作在策略中添加一条禁止ping外网口的策略。2、补充操作说明无。检测方法1. 判定条件对于外网口的ping测试不成功。2. 检测操作对于外网口进行ping测试。 3. 补充说明无。编号：CHECKPOINT

21、FW-PZ-29要求内容设定统一的时钟源。操作指南1、参考配置操作在Voyager界面的Router Services启动NTP服务；在Configuration的Configure system time指定NTP服务器IP地址。2、补充操作说明无。检测方法4. 判定条件系统时间和时钟源同步。5. 检测操作用系统命令date查看系统时间。 6. 补充说明无。编号：CHECKPOINTFW-PZ-30要求内容设定对防火墙的保护安全规则操作指南1、参考配置操作在策略最前面中添加一条允许指定主机/网络管理防火墙的策略。2、补充操作说明无。检测方法7. 判定条件指定主机/网络之外的客户端不能访问防火

22、墙。8. 检测操作无。 9. 补充说明无。编号：CHECKPOINTFW-PZ-31要求内容根据实际的网络连接调整防火墙并发连接数。操作指南1、参考配置操作在防火墙管理界面调整防火墙并发连接数。2、补充操作说明无。检测方法10. 判定条件根据网络流量实际状况调整并发连接数至稍大于实际连接数。11. 检测操作无。 12. 补充说明无。编号：CHECKPOINTFW-PZ-32要求内容双机架构采用VRRP模式部署操作指南1、参考配置操作在Voyager界面配置VRRP模式双机集群，采用简单电路监控模式。启用Accept Connections to VRRP IPs启用Monitor Firewa

23、ll State在SmartDashBoard配置VRRP双机模块。2、补充操作说明建议采用VRRP集群模式。检测方法13. 判定条件双机切换，网络连接不中断。14. 检测操作无。 15. 补充说明无。编号：CHECKPOINTFW-PZ-33要求内容透明桥模式须关闭状态检测有关项操作指南1、参考配置操作在Voyager界面配置透明桥端口模式。在SmartDashBoard配置防火墙对象，针对这个防火墙关闭有关状态检测项。2、补充操作说明无。检测方法16. 判定条件无。17. 检测操作无。 18. 补充说明无。编号：CHECKPOINTFW-PZ-34要求内容对管理服务器的日志文件大小和转存必

24、须进行设置，并保护系统磁盘空间操作指南1、参考配置操作2、补充操作说明建议每个日志文件不超过50M，每天换一个日志文件。磁盘空间剩余少于500M的时候告警。检测方法19. 判定条件无。20. 检测操作无。 21. 补充说明无。编号：CHECKPOINTFW-PZ-35要求内容配置SNMP监控操作指南1、参考配置操作在Voyager界面配置系统SNMP 读取-写权限口令。配置SNMP Trap2、补充操作说明无。检测方法22. 判定条件SNMP服务器可以读取防火墙SNMP信息。SNMP服务器可以收到来自防火墙的SNMP Trap信息。23. 检测操作无。 24. 补充说明无。编号：CHECKPOINTFW-PZ-36要求内容设置与防火墙互联的网络设备端口速率，双工状态操作指南1、参考配置操作在Voyager界面配置物理接口速率和双工状态。相应在与防火墙互联的交换机上配置相匹配的2、补充操作说明无。检测方法25. 判定条件无。26. 检测操作无。 27. 补充说明无。