Checkpoint防火墻安全配置指南

1、Check point防火墻安全配置指南中國聯(lián)通信息化事業(yè)部2012年12月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年 12月備注:1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格， 否則刪除版本控制表格。第 1章 概述1.1 目的本文檔規(guī)定了中國聯(lián)通通信有限公司信息化事業(yè)部所維護(hù)管理的CheckPoint 防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)， 本文檔旨在指導(dǎo)系統(tǒng) 管理人員進(jìn)行 CheckPoint 防火墻的安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控 人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國聯(lián)通總部和各省公司信息化部門維 護(hù)管理的 Ch

2、eckPoint 防火墻。1.3 適用版本CheckPoint 防火墻；1.4 實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國聯(lián)通集團(tuán)信息化事業(yè)部，在本標(biāo)準(zhǔn) 的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù) 需求和原因，送交中國聯(lián)通集團(tuán)信息化事業(yè)部進(jìn)行審批備案。第2章 安全配置要求2.1系統(tǒng)安全2.1.1用戶賬號分配項(xiàng)目名稱用戶賬號分配要求編號Check Poin tFW-02-01-01項(xiàng)目說明應(yīng)按照用戶分配賬號。避免不同用戶間共享賬號。 避免用戶賬號和設(shè)備間通信使用的賬號共享。檢測操作1.安裝GUI客戶端在計(jì)

3、算機(jī)上步驟2.登陸查看符合性判1.配置文件中，存在不同的帳號分配定依據(jù)2.網(wǎng)絡(luò)管理員確認(rèn)用戶與帳號分配關(guān)系明確配置方法使用客服端登陸設(shè)備，輸入用戶名密碼登陸，如圖所示添加用戶和設(shè)置密碼。Afid AdfnnrrtiatorFesiiWuld亡jjtfuni PdJiVud.FefP>i?(oniAlC H«Ad旦n如 Al實(shí)施風(fēng)險備注cbTiiriishrctor N qmc：R S acu re Und 卜 mDdigge:friead/Wrire-JR L'hpck Pjr-il Jverv1日日:sdAvVi怕k LDA UsfTP D.rl社J.=RR-piii

4、HfbWi'itFi二U Secuhtv oicio:1 XandAvb 怕jj,應(yīng) Ji'iS Priinu|RamfVWrigd匚二=： 1，J勺1d匸二:二口 1 ly 1.="1±.1 Mu itutil 01 仃U 曰 K1CriLd11 1 clu1確認(rèn)所添加的用戶無誤。2.1.2刪除無關(guān)的賬號項(xiàng)目名稱刪除無關(guān)的賬號要求編號Check Poin tFW-02-01-02項(xiàng)目說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。檢測操作1.安裝GUI客戶端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判配置中不存在無關(guān)賬號定依據(jù)配置方法使用客服端登陸設(shè)備，進(jìn)入a

5、dmi nistrator permissio n,如圖所示進(jìn)行操作：實(shí)施風(fēng)險確認(rèn)操作無誤。備注2.1.3密碼復(fù)雜度項(xiàng)目名稱密碼復(fù)雜度要求編號Check Poin tFW-02-01-03項(xiàng)目說明防火墻管理員賬號口令長度至少 8位，并包括數(shù)字、小寫字母、 大寫字母和特殊符號4類中至少3類。檢測操作1.安裝GUI客戶端在計(jì)算機(jī)上。步驟2.登陸查看?；€符合口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊性判定依符號4類中至少3類據(jù)配置方法使用客服端登陸設(shè)備，進(jìn)行用戶添加時設(shè)置密碼復(fù)雜度，如圖所示：實(shí)施風(fēng)險確認(rèn)操作無誤，在不影響業(yè)務(wù)的前提下進(jìn)行更新。備注2.1.4配置用戶所需的最小權(quán)限項(xiàng)目名

6、稱配置用戶所需的最小權(quán)限要求項(xiàng)。編號Check Poin tFW-02-01-04項(xiàng)目說明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的管理等級，配置其所需的 最小管理權(quán)限。檢測操作不同用戶登陸，嘗試訪問不同的模塊。步驟符合性判不同用戶登陸，嘗試訪問不同的模塊。用戶不能訪問自己權(quán)限定依據(jù)以外的模塊。配置方法使用客戶端登陸設(shè)備，進(jìn)行權(quán)限配置，如圖所示：實(shí)施風(fēng)險確認(rèn)操作無誤。備注2.1.5安全登陸項(xiàng)目名稱安全登陸配置編號Check Poin tFW-02-01-05項(xiàng)目說明在PC機(jī)上安裝CheckPoint GUI客服端，專機(jī)專用，確保設(shè)備 的安全性。檢測操作1.檢查在專用機(jī)上是否安裝 GUI客服端。步驟2.使

7、用客服端檢測能否登陸設(shè)備符合性判1.檢查是否專機(jī)專用定依據(jù)2.是否安裝客服端配置方法將設(shè)備提供的客服端安裝在專用的PC機(jī)上即可。實(shí)施風(fēng)險確認(rèn)安裝無誤。備注確保PC機(jī)為專用，無其他業(yè)務(wù)往來。2.1.6 配置 NTP項(xiàng)目名稱配置NTP服務(wù)器。編號Check Poin tFW-02-01-06項(xiàng)目說明幵啟NTP服務(wù)，保證日志功能記錄的時間的準(zhǔn)確性。檢測操作步驟用系統(tǒng)命令date '查看系統(tǒng)時間。符合性判定依據(jù)系統(tǒng)時間和時鐘源同步。配置方法登陸設(shè)備，在 Voyager界面的Router Services '啟動 NTP 服務(wù)； 在' Con figuratio n '的

8、Con figure system time '指 定NTP服務(wù)器IP地址。實(shí)施風(fēng)險確認(rèn)操作無誤。備注2.1.7安全配置SNMP項(xiàng)目名稱安全配置SNMP要求編號Check Poin tFW-02-01-07項(xiàng)目說明使用SNMPV3以上的版本對防火墻做遠(yuǎn)程管理。去除SNMP默認(rèn)的共同體名 （Community Name）和用戶名（女口 public 或private ）。并且不同的用戶名和共同體明對應(yīng)不同的權(quán)限（只讀或者讀寫)。檢測操作1.安裝GUI客戶端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判不存在SNMP默認(rèn)的共同體名 (Community Name)如public或定依據(jù)p riva

9、te配置方法在Voyager界面配置系統(tǒng)SNM讀取或?qū)憴?quán)限口令，修改默認(rèn)口令。實(shí)施風(fēng)險更改配置需測試充分。備注第3章 日志安全要求3.1日志安全3.1.1啟用日志功能項(xiàng)目名稱啟用日志功能。編號Check Poin tFW-03-01-01項(xiàng)目說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用 戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄 時，用戶使用的IP地址等。檢測操作步驟使用客服端登陸設(shè)備，檢查日志模塊，查看是否啟用。符合性判定依據(jù)檢杳在服務(wù)器上正確紀(jì)錄了日志信息。配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作：實(shí)施風(fēng)險確認(rèn)操作無誤及日志備份。備

10、注3.1.2記錄管理日志項(xiàng)目名稱記錄管理日志。編號Check Poin tFW-03-01-02項(xiàng)目說明設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的重要操作。檢測操作使用客服端登陸設(shè)備，進(jìn)入日志模塊進(jìn)行查看。步驟符合性判對設(shè)備的操作會記錄在日志中。定依據(jù)配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作：實(shí)施風(fēng)險確認(rèn)操作無誤。備注3.1.3配置日志服務(wù)器項(xiàng)目名稱配置日志服務(wù)器。編號Check Poin tFW-03-01-03項(xiàng)目說明設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺?志服務(wù)器。檢測操作使用客戶端登陸設(shè)備，在日志服務(wù)器上杳看信息。步驟符合性判日志服務(wù)器上是否接

11、收到了正確的日志信息。定依據(jù)配置方法使用客戶端登陸設(shè)備，進(jìn)入 Global properties 界面，如圖所示進(jìn)行配置：實(shí)施風(fēng)險確認(rèn)操作無誤。備注3.1.4日志服務(wù)器磁盤空間項(xiàng)目名稱日志服務(wù)器磁盤空間。編號Check Poin tFW-03-01-04項(xiàng)目說明對管理服務(wù)器的日志文件大小和轉(zhuǎn)存必須進(jìn)行設(shè)置，并保護(hù)系統(tǒng)磁盤空間。建議每個日志文件不超過50M每天換 個日志文件。磁盤空間剩余少于500M勺時候告警。檢測操作1.安裝GUI客戶端在計(jì)算機(jī)上。步驟2.登陸杳看。符合性判定依據(jù)登陸設(shè)備杳看磁盤空間是否少于 500M配置方法登陸設(shè)備，進(jìn)入 Check P oi nt Gateway-Ma na

12、geme nt 界面，如圖所示進(jìn)行操作：實(shí)施風(fēng)險確認(rèn)操作無誤。備注第4章 訪問控制策略要求4.1訪問控制策略安全4.1.1過濾所有與業(yè)務(wù)不相關(guān)的流量項(xiàng)目名稱過濾所有與業(yè)務(wù)不相關(guān)的流量。編號Check Poin tFW-04-01-01項(xiàng)目說明應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP地址、通信協(xié)議TCP或UDR目 的IP地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務(wù)不 相關(guān)的流量。檢測操作步驟使用不同的流量進(jìn)行測試。符合性判查看正常流量是否可以通過防火墻，非法流量是否被防火墻阻定依據(jù)隔。配置方法登陸設(shè)備，如圖所示進(jìn)行配置：4.1.2透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項(xiàng)項(xiàng)目名稱透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項(xiàng)要求

13、。編號Check Poin tFW-04-01-02項(xiàng)目說明透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項(xiàng)，確保資源的利用率。檢測操作1.安裝GUI客戶端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判登陸設(shè)備界面查看。定依據(jù)配置方法在Voyager界面配置透明橋端口模式。在SmartDashBoard配置防火墻對象，針對這個防火墻關(guān)閉有關(guān)狀態(tài)檢測項(xiàng)。實(shí)施風(fēng)險確認(rèn)關(guān)閉的狀態(tài)檢測無誤。備注4.1.3賬號與IP綁定項(xiàng)目名稱賬號與IP綁定要求項(xiàng)。編號Check Poin tFW-04-01-03項(xiàng)目說明對于登陸賬戶的ip地址，配置為只允許從某些ip地址登陸。檢測操作使用非允許的ip地址登陸。步驟符合性判對于非允許的ip地址不

14、能登陸。定依據(jù)配置方法登陸設(shè)備，如圖所示進(jìn)行操作：實(shí)施風(fēng)險確認(rèn)操作無誤。備注4.1.4雙機(jī)架構(gòu)米用VRRP模式部署項(xiàng)目名稱雙機(jī)架構(gòu)采用VRR模式部署。編號Check Poin tFW-04-01-04項(xiàng)目說明雙機(jī)架構(gòu)采用VRR模式部署，確保網(wǎng)絡(luò)的穩(wěn)定性。檢測操作1.安裝GUI客戶端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判雙機(jī)切換，網(wǎng)絡(luò)連接不中斷。定依據(jù)配置方法1. 在Voyager界面配置VRRP模式雙機(jī)集群，采用簡單電路監(jiān)控 模式。2. 啟用Accept Connections to VRRP IPs '。3. 啟用'Monitor Firewall State'。4. 在SmartDashBoard配置VRR雙機(jī)模塊。實(shí)施風(fēng)險變得較大，需測試充分。備注4.1.5打幵防御DDO啟擊功能項(xiàng)目名稱打幵防御DDO啟擊功能。編號Check Poin tFW-04-01-05項(xiàng)目說明打幵防DDO攻擊功能，確保系統(tǒng)安全。檢測操作1.安裝GUI客戶端在計(jì)算機(jī)上。步驟2.登陸查看。符合性判登陸設(shè)備，查看是否已經(jīng)將此功能打幵。定依據(jù)配置方登陸設(shè)備，如圖所示進(jìn)行操作：法實(shí)施風(fēng)險配