Checkpoint防火墙安全配置指南.docx
《Checkpoint防火墙安全配置指南.docx》由会员分享,可在线阅读,更多相关《Checkpoint防火墙安全配置指南.docx(13页珍藏版)》请在冰点文库上搜索。
Checkpoint防火墙安全配置指南
ThismodelpaperwasrevisedbytheStandardizationOfficeonDecember10,2020
Checkpoint防火墙安全配置指南
Checkpoint防火墙安全配置指南
中国联通信息化事业部
2012年12月
版本
版本控制信息
更新日期
更新人
审批人
创建
2012年12月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
第1章概述
1.1目的
本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:
中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。
1.3适用版本
CheckPoint防火墙;
1.4实施
本标准的解释权和修改权属于中国联通集团信息化事业部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国联通集团信息化事业部进行审批备案。
第2章
安全配置要求
2.1系统安全
2.1.1用户账号分配
项目名称
用户账号分配要求
编号
CheckPointFW-02-01-01
项目说明
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
检测操作步骤
1.安装GUI客户端在计算机上
2.登陆查看
符合性判定依据
1.配置文件中,存在不同的帐号分配
2.网络管理员确认用户与帐号分配关系明确
配置方法
使用客服端登陆设备,输入用户名密码登陆,如图所示添加用户和设置密码。
实施风险
确认所添加的用户无误。
备注
2.1.2删除无关的账号
项目名称
删除无关的账号要求
编号
CheckPointFW-02-01-02
项目说明
应删除或锁定与设备运行、维护等工作无关的账号。
检测操作步骤
1.安装GUI客户端在计算机上。
2.登陆查看。
符合性判定依据
配置中不存在无关账号
配置方法
使用客服端登陆设备,进入administratorpermission,如图所示进行操作:
实施风险
确认操作无误。
备注
2.1.3密码复杂度
项目名称
密码复杂度要求
编号
CheckPointFW-02-01-03
项目说明
防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
检测操作步骤
1.安装GUI客户端在计算机上。
2.登陆查看。
基线符合性判定依据
口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类
配置方法
使用客服端登陆设备,进行用户添加时设置密码复杂度,如图所示:
实施风险
确认操作无误,在不影响业务的前提下进行更新。
备注
2.1.4配置用户所需的最小权限
项目名称
配置用户所需的最小权限要求项。
编号
CheckPointFW-02-01-04
项目说明
在设备权限配置能力内,根据用户的管理等级,配置其所需的最小管理权限。
检测操作步骤
不同用户登陆,尝试访问不同的模块。
符合性判定依据
不同用户登陆,尝试访问不同的模块。
用户不能访问自己权限以外的模块。
配置方法
使用客户端登陆设备,进行权限配置,如图所示:
实施风险
确认操作无误。
备注
2.1.5安全登陆
项目名称
安全登陆配置
编号
CheckPointFW-02-01-05
项目说明
在PC机上安装CheckPointGUI客服端,专机专用,确保设备的安全性。
检测操作步骤
1.检查在专用机上是否安装GUI客服端。
2.使用客服端检测能否登陆设备
符合性判定依据
1.检查是否专机专用
2.是否安装客服端
配置方法
将设备提供的客服端安装在专用的PC机上即可。
实施风险
确认安装无误。
备注
确保PC机为专用,无其他业务往来。
2.1.6配置NTP
项目名称
配置NTP服务器。
编号
CheckPointFW-02-01-06
项目说明
开启NTP服务,保证日志功能记录的时间的准确性。
检测操作步骤
用系统命令’date’查看系统时间。
符合性判定依据
系统时间和时钟源同步。
配置方法
登陆设备,在Voyager界面的‘RouterServices’启动NTP服务;在’Configuration’的‘Configuresystemtime’指定NTP服务器IP地址。
实施风险
确认操作无误。
备注
2.1.7安全配置SNMP
项目名称
安全配置SNMP要求
编号
CheckPointFW-02-01-07
项目说明
使用SNMPV3以上的版本对防火墙做远程管理。
去除SNMP默认的共同体名(CommunityName)和用户名(如public或private)。
并且不同的用户名和共同体明对应不同的权限(只读或者读写)。
检测操作步骤
1.安装GUI客户端在计算机上。
2.登陆查看。
符合性判定依据
不存在SNMP默认的共同体名(CommunityName)如public或private
配置方法
在Voyager界面配置系统SNMP读取或写权限口令,修改默认口令。
实施风险
更改配置需测试充分。
备注
第3章日志安全要求
3.1日志安全
3.1.1启用日志功能
项目名称
启用日志功能。
编号
CheckPointFW-03-01-01
项目说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址等。
检测操作步骤
使用客服端登陆设备,检查日志模块,查看是否启用。
符合性判定依据
检查在服务器上正确纪录了日志信息。
配置方法
使用客服端登陆设备,进入日志模块,启用日志功能,如图所示进行操作:
实施风险
确认操作无误及日志备份。
备注
3.1.2记录管理日志
项目名称
记录管理日志。
编号
CheckPointFW-03-01-02
项目说明
设备应配置日志功能,记录用户对设备的重要操作。
检测操作步骤
使用客服端登陆设备,进入日志模块进行查看。
符合性判定依据
对设备的操作会记录在日志中。
配置方法
使用客服端登陆设备,进入日志模块,启用日志功能,如图所示进行操作:
实施风险
确认操作无误。
备注
3.1.3配置日志服务器
项目名称
配置日志服务器。
编号
CheckPointFW-03-01-03
项目说明
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
检测操作步骤
使用客户端登陆设备,在日志服务器上查看信息。
符合性判定依据
日志服务器上是否接收到了正确的日志信息。
配置方法
使用客户端登陆设备,进入Globalproperties界面,如图所示进行配置:
实施风险
确认操作无误。
备注
3.1.4日志服务器磁盘空间
项目名称
日志服务器磁盘空间。
编号
CheckPointFW-03-01-04
项目说明
对管理服务器的日志文件大小和转存必须进行设置,并保护系统磁盘空间。
建议每个日志文件不超过50M,每天换一个日志文件。
磁盘空间剩余少于500M的时候告警。
检测操作步骤
1.安装GUI客户端在计算机上。
2.登陆查看。
符合性判定依据
登陆设备查看磁盘空间是否少于500M。
配置方法
登陆设备,进入CheckPointGateway-Management界面,如图所示进行操作:
实施风险
确认操作无误。
备注
第4章访问控制策略要求
4.1访问控制策略安全
4.1.1过滤所有与业务不相关的流量
项目名称
过滤所有与业务不相关的流量。
编号
CheckPointFW-04-01-01
项目说明
应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
检测操作步骤
使用不同的流量进行测试。
符合性判定依据
查看正常流量是否可以通过防火墙,非法流量是否被防火墙阻隔。
配置方法
登陆设备,如图所示进行配置:
实施风险
确保操作无误。
备注
4.1.2透明桥模式须关闭状态检测有关项
项目名称
透明桥模式须关闭状态检测有关项要求。
编号
CheckPointFW-04-01-02
项目说明
透明桥模式须关闭状态检测有关项,确保资源的利用率。
检测操作步骤
1.安装GUI客户端在计算机上。
2.登陆查看。
符合性判定依据
登陆设备界面查看。
配置方法
在Voyager界面配置透明桥端口模式。
在SmartDashBoard配置防火墙对象,针对这个防火墙关闭有关状态检测项。
实施风险
确认关闭的状态检测无误。
备注
4.1.3账号与IP绑定
项目名称
账号与IP绑定要求项。
编号
CheckPointFW-04-01-03
项目说明
对于登陆账户的ip地址,配置为只允许从某些ip地址登陆。
检测操作步骤
使用非允许的ip地址登陆。
符合性判定依据
对于非允许的ip地址不能登陆。
配置方法
登陆设备,如图所示进行操作:
实施风险
确认操作无误。
备注
4.1.4双机架构采用VRRP模式部署
项目名称
双机架构采用VRRP模式部署。
编号
CheckPointFW-04-01-04
项目说明
双机架构采用VRRP模式部署,确保网络的稳定性。
检测操作步骤
1.安装GUI客户端在计算机上。
2.登陆查看。
符合性判定依据
双机切换,网络连接不中断。
配置方法
1.在Voyager界面配置VRRP模式双机集群,采用简单电路监控模式。
2.启用’AcceptConnectionstoVRRPIPs’。
3.启用’MonitorFirewallState’。
4.在SmartDashBoard配置VRRP双机模块。
实施风险
变得较大,需测试充分。
备注
4.1.5打开防御DDOS攻击功能
项目名称
打开防御DDOS攻击功能。
编号
CheckPointFW-04-01-05
项目说明
打开防DDOS攻击功能,确保系统安全。
检测操作步骤
1.安装GUI客户端在计算机上。
2.登陆查看。
符合性判定依据
登陆设备,查看是否已经将此功能打开。
配置方法
登陆设备,如图所示进行操作:
实施风险
配置变化,注意CPU、内存利用率变化情况。
备注
4.1.6开启攻击防御功能
项目名称
开启攻击防御功能。
编号
CheckPointFW-04-01-06
项目说明
对于各端口要开启防欺骗功能。
检测操作步骤
1.安装GUI客户端在计算机上。
2.登陆查看。
符合性判定依据
查看防欺骗功能是否打开。
配置方法
登陆设备,如图所示进行操作:
实施风险
配置改变,注意CPU、内存利用率变化情况。
备注
第5章评审与修订
本标准由中国联通集团信息化事业部定期进行审查,根据审视结果修订标准,并颁发执行。
升级会员 