Checkpoint防火墻安全配置指南

1、Check point防火墻安全配置指南中國(guó)聯(lián)通信息化事業(yè)部2012年12月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年 12月備注:1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格， 否則刪除版本控制表格。第 1章 概述1.1 目的本文檔規(guī)定了中國(guó)聯(lián)通通信有限公司信息化事業(yè)部所維護(hù)管理的CheckPoint 防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)， 本文檔旨在指導(dǎo)系統(tǒng) 管理人員進(jìn)行 CheckPoint 防火墻的安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控 人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)聯(lián)通總部和各省公司信息化部門(mén)維 護(hù)管理的 Ch

2、eckPoint 防火墻。1.3 適用版本CheckPoint 防火墻；1.4 實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)聯(lián)通集團(tuán)信息化事業(yè)部，在本標(biāo)準(zhǔn) 的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書(shū)面申請(qǐng)文件，說(shuō)明業(yè)務(wù) 需求和原因，送交中國(guó)聯(lián)通集團(tuán)信息化事業(yè)部進(jìn)行審批備案。第2章 安全配置要求2.1系統(tǒng)安全2.1.1用戶(hù)賬號(hào)分配項(xiàng)目名稱(chēng)用戶(hù)賬號(hào)分配要求編號(hào)Check Poin tFW-02-01-01項(xiàng)目說(shuō)明應(yīng)按照用戶(hù)分配賬號(hào)。避免不同用戶(hù)間共享賬號(hào)。 避免用戶(hù)賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。檢測(cè)操作1.安裝GUI客戶(hù)端在計(jì)

3、算機(jī)上步驟2.登陸查看符合性判1.配置文件中，存在不同的帳號(hào)分配定依據(jù)2.網(wǎng)絡(luò)管理員確認(rèn)用戶(hù)與帳號(hào)分配關(guān)系明確配置方法使用客服端登陸設(shè)備，輸入用戶(hù)名密碼登陸，如圖所示添加用戶(hù)和設(shè)置密碼。Afid AdfnnrrtiatorFesiiWuld亡jjtfuni PdJiVud.FefP>i?(oniAlC H«Ad旦n如 Al實(shí)施風(fēng)險(xiǎn)備注cbTiiriishrctor N qmc：R S acu re Und 卜 mDdigge:friead/Wrire-JR L'hpck Pjr-il Jverv1日日:sdAvVi怕k LDA UsfTP D.rl社J.=RR-piii

4、HfbWi'itFi二U Secuhtv oicio:1 XandAvb 怕jj,應(yīng) Ji'iS Priinu|RamfVWrigd匚二=： 1，J勺1d匸二:二口 1 ly 1.="1±.1 Mu itutil 01 仃U 曰 K1CriLd11 1 clu1確認(rèn)所添加的用戶(hù)無(wú)誤。2.1.2刪除無(wú)關(guān)的賬號(hào)項(xiàng)目名稱(chēng)刪除無(wú)關(guān)的賬號(hào)要求編號(hào)Check Poin tFW-02-01-02項(xiàng)目說(shuō)明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。檢測(cè)操作1.安裝GUI客戶(hù)端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判配置中不存在無(wú)關(guān)賬號(hào)定依據(jù)配置方法使用客服端登陸設(shè)備，進(jìn)入a

5、dmi nistrator permissio n,如圖所示進(jìn)行操作：實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注2.1.3密碼復(fù)雜度項(xiàng)目名稱(chēng)密碼復(fù)雜度要求編號(hào)Check Poin tFW-02-01-03項(xiàng)目說(shuō)明防火墻管理員賬號(hào)口令長(zhǎng)度至少 8位，并包括數(shù)字、小寫(xiě)字母、 大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少3類(lèi)。檢測(cè)操作1.安裝GUI客戶(hù)端在計(jì)算機(jī)上。步驟2.登陸查看。基線(xiàn)符合口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊性判定依符號(hào)4類(lèi)中至少3類(lèi)據(jù)配置方法使用客服端登陸設(shè)備，進(jìn)行用戶(hù)添加時(shí)設(shè)置密碼復(fù)雜度，如圖所示：實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤，在不影響業(yè)務(wù)的前提下進(jìn)行更新。備注2.1.4配置用戶(hù)所需的最小權(quán)限項(xiàng)目名

6、稱(chēng)配置用戶(hù)所需的最小權(quán)限要求項(xiàng)。編號(hào)Check Poin tFW-02-01-04項(xiàng)目說(shuō)明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的管理等級(jí)，配置其所需的 最小管理權(quán)限。檢測(cè)操作不同用戶(hù)登陸，嘗試訪問(wèn)不同的模塊。步驟符合性判不同用戶(hù)登陸，嘗試訪問(wèn)不同的模塊。用戶(hù)不能訪問(wèn)自己權(quán)限定依據(jù)以外的模塊。配置方法使用客戶(hù)端登陸設(shè)備，進(jìn)行權(quán)限配置，如圖所示：實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注2.1.5安全登陸項(xiàng)目名稱(chēng)安全登陸配置編號(hào)Check Poin tFW-02-01-05項(xiàng)目說(shuō)明在PC機(jī)上安裝CheckPoint GUI客服端，專(zhuān)機(jī)專(zhuān)用，確保設(shè)備 的安全性。檢測(cè)操作1.檢查在專(zhuān)用機(jī)上是否安裝 GUI客服端。步驟2.使

7、用客服端檢測(cè)能否登陸設(shè)備符合性判1.檢查是否專(zhuān)機(jī)專(zhuān)用定依據(jù)2.是否安裝客服端配置方法將設(shè)備提供的客服端安裝在專(zhuān)用的PC機(jī)上即可。實(shí)施風(fēng)險(xiǎn)確認(rèn)安裝無(wú)誤。備注確保PC機(jī)為專(zhuān)用，無(wú)其他業(yè)務(wù)往來(lái)。2.1.6 配置 NTP項(xiàng)目名稱(chēng)配置NTP服務(wù)器。編號(hào)Check Poin tFW-02-01-06項(xiàng)目說(shuō)明幵啟NTP服務(wù)，保證日志功能記錄的時(shí)間的準(zhǔn)確性。檢測(cè)操作步驟用系統(tǒng)命令date '查看系統(tǒng)時(shí)間。符合性判定依據(jù)系統(tǒng)時(shí)間和時(shí)鐘源同步。配置方法登陸設(shè)備，在 Voyager界面的Router Services '啟動(dòng) NTP 服務(wù)； 在' Con figuratio n '的

8、Con figure system time '指 定NTP服務(wù)器IP地址。實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注2.1.7安全配置SNMP項(xiàng)目名稱(chēng)安全配置SNMP要求編號(hào)Check Poin tFW-02-01-07項(xiàng)目說(shuō)明使用SNMPV3以上的版本對(duì)防火墻做遠(yuǎn)程管理。去除SNMP默認(rèn)的共同體名 （Community Name）和用戶(hù)名（女口 public 或private ）。并且不同的用戶(hù)名和共同體明對(duì)應(yīng)不同的權(quán)限（只讀或者讀寫(xiě))。檢測(cè)操作1.安裝GUI客戶(hù)端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判不存在SNMP默認(rèn)的共同體名 (Community Name)如public或定依據(jù)p riva

9、te配置方法在Voyager界面配置系統(tǒng)SNM讀取或?qū)憴?quán)限口令，修改默認(rèn)口令。實(shí)施風(fēng)險(xiǎn)更改配置需測(cè)試充分。備注第3章 日志安全要求3.1日志安全3.1.1啟用日志功能項(xiàng)目名稱(chēng)啟用日志功能。編號(hào)Check Poin tFW-03-01-01項(xiàng)目說(shuō)明設(shè)備應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用 戶(hù)登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄 時(shí)，用戶(hù)使用的IP地址等。檢測(cè)操作步驟使用客服端登陸設(shè)備，檢查日志模塊，查看是否啟用。符合性判定依據(jù)檢杳在服務(wù)器上正確紀(jì)錄了日志信息。配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作：實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤及日志備份。備

10、注3.1.2記錄管理日志項(xiàng)目名稱(chēng)記錄管理日志。編號(hào)Check Poin tFW-03-01-02項(xiàng)目說(shuō)明設(shè)備應(yīng)配置日志功能，記錄用戶(hù)對(duì)設(shè)備的重要操作。檢測(cè)操作使用客服端登陸設(shè)備，進(jìn)入日志模塊進(jìn)行查看。步驟符合性判對(duì)設(shè)備的操作會(huì)記錄在日志中。定依據(jù)配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作：實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注3.1.3配置日志服務(wù)器項(xiàng)目名稱(chēng)配置日志服務(wù)器。編號(hào)Check Poin tFW-03-01-03項(xiàng)目說(shuō)明設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺?志服務(wù)器。檢測(cè)操作使用客戶(hù)端登陸設(shè)備，在日志服務(wù)器上杳看信息。步驟符合性判日志服務(wù)器上是否接

11、收到了正確的日志信息。定依據(jù)配置方法使用客戶(hù)端登陸設(shè)備，進(jìn)入 Global properties 界面，如圖所示進(jìn)行配置：實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注3.1.4日志服務(wù)器磁盤(pán)空間項(xiàng)目名稱(chēng)日志服務(wù)器磁盤(pán)空間。編號(hào)Check Poin tFW-03-01-04項(xiàng)目說(shuō)明對(duì)管理服務(wù)器的日志文件大小和轉(zhuǎn)存必須進(jìn)行設(shè)置，并保護(hù)系統(tǒng)磁盤(pán)空間。建議每個(gè)日志文件不超過(guò)50M每天換 個(gè)日志文件。磁盤(pán)空間剩余少于500M勺時(shí)候告警。檢測(cè)操作1.安裝GUI客戶(hù)端在計(jì)算機(jī)上。步驟2.登陸杳看。符合性判定依據(jù)登陸設(shè)備杳看磁盤(pán)空間是否少于 500M配置方法登陸設(shè)備，進(jìn)入 Check P oi nt Gateway-Ma na

12、geme nt 界面，如圖所示進(jìn)行操作：實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注第4章 訪問(wèn)控制策略要求4.1訪問(wèn)控制策略安全4.1.1過(guò)濾所有與業(yè)務(wù)不相關(guān)的流量項(xiàng)目名稱(chēng)過(guò)濾所有與業(yè)務(wù)不相關(guān)的流量。編號(hào)Check Poin tFW-04-01-01項(xiàng)目說(shuō)明應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP地址、通信協(xié)議TCP或UDR目 的IP地址、源端口、目的端口的流量過(guò)濾，過(guò)濾所有和業(yè)務(wù)不 相關(guān)的流量。檢測(cè)操作步驟使用不同的流量進(jìn)行測(cè)試。符合性判查看正常流量是否可以通過(guò)防火墻，非法流量是否被防火墻阻定依據(jù)隔。配置方法登陸設(shè)備，如圖所示進(jìn)行配置：4.1.2透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)項(xiàng)目名稱(chēng)透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)要求

13、。編號(hào)Check Poin tFW-04-01-02項(xiàng)目說(shuō)明透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)，確保資源的利用率。檢測(cè)操作1.安裝GUI客戶(hù)端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判登陸設(shè)備界面查看。定依據(jù)配置方法在Voyager界面配置透明橋端口模式。在SmartDashBoard配置防火墻對(duì)象，針對(duì)這個(gè)防火墻關(guān)閉有關(guān)狀態(tài)檢測(cè)項(xiàng)。實(shí)施風(fēng)險(xiǎn)確認(rèn)關(guān)閉的狀態(tài)檢測(cè)無(wú)誤。備注4.1.3賬號(hào)與IP綁定項(xiàng)目名稱(chēng)賬號(hào)與IP綁定要求項(xiàng)。編號(hào)Check Poin tFW-04-01-03項(xiàng)目說(shuō)明對(duì)于登陸賬戶(hù)的ip地址，配置為只允許從某些ip地址登陸。檢測(cè)操作使用非允許的ip地址登陸。步驟符合性判對(duì)于非允許的ip地址不

14、能登陸。定依據(jù)配置方法登陸設(shè)備，如圖所示進(jìn)行操作：實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注4.1.4雙機(jī)架構(gòu)米用VRRP模式部署項(xiàng)目名稱(chēng)雙機(jī)架構(gòu)采用VRR模式部署。編號(hào)Check Poin tFW-04-01-04項(xiàng)目說(shuō)明雙機(jī)架構(gòu)采用VRR模式部署，確保網(wǎng)絡(luò)的穩(wěn)定性。檢測(cè)操作1.安裝GUI客戶(hù)端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判雙機(jī)切換，網(wǎng)絡(luò)連接不中斷。定依據(jù)配置方法1. 在Voyager界面配置VRRP模式雙機(jī)集群，采用簡(jiǎn)單電路監(jiān)控 模式。2. 啟用Accept Connections to VRRP IPs '。3. 啟用'Monitor Firewall State'。4. 在SmartDashBoard配置VRR雙機(jī)模塊。實(shí)施風(fēng)險(xiǎn)變得較大，需測(cè)試充分。備注4.1.5打幵防御DDO啟擊功能項(xiàng)目名稱(chēng)打幵防御DDO啟擊功能。編號(hào)Check Poin tFW-04-01-05項(xiàng)目說(shuō)明打幵防DDO攻擊功能，確保系統(tǒng)安全。檢測(cè)操作1.安裝GUI客戶(hù)端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判登陸設(shè)備，查看是否已經(jīng)將此功能打幵。定依據(jù)配置方登陸設(shè)備，如圖所示進(jìn)行操作：法實(shí)施風(fēng)險(xiǎn)配