Checkpoint防火墻安全配置指南

1、Checkpoint防火墻安全配置指南Checkpoint防火墻安全配置指南中國聯(lián)通信息化事業(yè)部2012年12月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年12月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。中國聯(lián)通信息化事業(yè)部第3頁共15頁目錄第1章概述11.1 目的 11.2 適用范圍11.3 適用版本 11.4 實施11.5 例外條款1第2章安全配置要求 22.1 系統(tǒng)安全22.1.1 用戶賬號分配22.1.2 刪除無關的賬號32.1.3 密碼復雜度32.1.4 配置用戶所需的最小權限 42.1.5 安全登陸52.1.6 配置 NTP 62

2、.1.7 安全配置SNMP 6第3章日志安全要求73.1 日志安全73.1.1 啟用日志功能73.1.2 記錄管理日志83.1.3 配置日志服務器93.1.4 日志服務器磁盤空間 10第4章訪問控制策略要求 114.1 訪問控制策略安全 114.1.1 過濾所有與業(yè)務不相關的流量 114.1.2 透明橋模式須關閉狀態(tài)檢測有關項 124.1.3 賬號與IP綁定134.1.4 雙機架卞采用 VRRP莫式部署 144.1.5 打開防御DDOSC擊功能 154.1.6 開啟攻擊防御功能 15第5章 評審與修訂16Checkpoint防火墻安全配置指南第1章概述1.1 目的本文檔規(guī)定了中國聯(lián)通通信有限公

3、司信息化事業(yè)部所維護管理的Checkpoint防火墻應當遵循的設備安全性設置標準，本文檔旨在指導系統(tǒng)管理人員進行Checkpoint防火墻的安全配置。1.2 適用范圍本配置標準的使用者包括：網絡管理員、網絡安全管理員、網絡監(jiān)控人員。本配置標準適用的范圍包括：中國聯(lián)通總部和各省公司信息化部門維護管理的Checkpoint 防火墻。1.3 適用版本Checkpoint 防火墻；1.4 實施本標準的解釋權和修改權屬于中國聯(lián)通集團信息化事業(yè)部，在本標準的執(zhí)行過程中若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。1.5 例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務需求和原因

4、， 送交中國聯(lián)通集團信息化事業(yè)部進行審批備案。第2章安全配置要求2.1系統(tǒng)安全2.1.1用戶賬號分配項目名稱用戶賬號分配要求編RCheckPointFW-02-01-01項目說明應按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設備間通信使用的賬號共享。檢測操作步 驟1 .安裝GUI客戶端在計算機上2 .登陸查看符合性判定 依據1 .配置文件中，存在不同的帳號分配2 .網絡管理員確認用戶與帳號分配關系明確配置方法使用客服端登陸設備，輸入用戶名密碼登陸，如圖所示添加用戶和設置密碼。實施風險確認所添加的用戶無誤。備注2.1.2刪除無關的賬號項目名稱刪除無關的賬號要求編RCheckPoint

5、FW-02-01-02項目說明應刪除或鎖定與設備運行、維護等工作無關的賬號。檢測操作步 驟1 .安裝GU客戶端在計算機上。2 .登陸查看。符合性判定 依據配置中不存在無關賬號配置方法使用客服端登陸設備，進入administrator permission,如圖所示進行操作：< Bsk 1 Caned IH日口實施風險確認操作無誤。備注2.1.3密碼復雜度項目名稱密他復雜度要求編PCheckPointFW-02-01-03項目說明防火墻管理員賬號口令長度至少8位，并包括數字、小寫字母、大寫字 母和特殊符號4類中至少3類。檢測操作步 驟1 .安裝GU客戶端在計算機上。2 .登陸查看?；€符合

6、性 判定依據口令長度至少8位，并包括數字、小寫字母、大寫字母和特殊符號 4類中至少3類配置方法使用客服端登陸設備，進行用戶添加時設置密碼復雜度，如圖所示：實施風險確認操作無誤，在不影響業(yè)務的前提卜進行更新。備注2.1.4配置用戶所需的最小權限項目名稱配置用戶所需的最小權限要求項。編RCheckPointFW-02-01-04項目說明在設備權限配置能力內， 根據用戶的管理等級， 配置其所需的最小管理權限。中國聯(lián)通信息化事業(yè)部第3頁共15頁Checkpoint防火墻安全配置指南檢測操作步 驟不同用戶登陸，嘗試訪問不同的模塊。符合性判定 依據不同用戶登陸，嘗試訪問不同的模塊。用戶不能訪問自己權限以外

7、的模塊。配置方法使用客戶端登陸設備，進行權限配置，如圖所示:KCanedHd 口實施風險確認操作無誤。備注2.1.5安全登陸項目名稱安全登陸配置編RCheckPointFW-02-01-05項目說明在PC機上安裝Checkpoint GUI客服端，專機專用，確保設備的安全性。檢測操作步 驟1 .檢查在專用機上是否安裝 GU客服端。2 .使用客服端檢測能否登陸設備符合性判定 依據1 .檢查是否專機專用2 .是否安裝客服端配置方法將設備提供的客服端安裝在專用的PC機上即可。B=_r |b*11二-i上T = |,實施風險確認安裝無誤。備注確保PC機為專用，無其他業(yè)務往來。2.1.6 配置 NTP項

8、目名稱配置NTP服務器。編RCheckPointFW-02-01-06項目說明開啟NTP服務，保證日志功能記錄的時間的準確性。檢測操作步 驟用系統(tǒng)命令date'查看系統(tǒng)時間。符合性判定 依據系統(tǒng)時間和時鐘源同步。配置方法登陸 設備，在 Voyager界面的Router Services ' 啟 動 NTP服務；在'Configuration '的Configure system time'指定 NTP服務器 IP地址。實施風險確認操作無誤。備注2.1.7安全配置SNMP項目名稱安全配置SNM哽求編RCheckPointFW-02-01-07項目說明使用S

9、NMP V3以上的版本對防火墻做遠程管理。去除SNMP默認的共同體名（Community Name和用戶名（如 public或private）。并且/、同的用戶名和共同體明對應不同的權限（只讀或者讀寫）。檢測操作步 驟1 .安裝GU客戶端在計算機上。2 .登陸查看。符合性判定 依據不存在SNMP默認的共同體名（Community Name）如public或private配置方法在Voyager界囿配置系統(tǒng)SNMP取或與權限口令，修改默認口令。實施風險更改配置需測試充分。備注第3章日志安全要求3.1日志安全3.1.1啟用日志功能項目名稱啟用日志功能。編RCheckPointFW-03-01-01

10、項目說明設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址等。檢測操作步 驟使用客服端登陸設備，檢查日志模塊，查看是否啟用。符合性判定 依據檢查在服務器上正確紀錄了日志信息。配置方法使用客服端登陸設備，進入日志模塊，啟用日志功能，如圖所示進行操作：IsLh |c i I：-h twrr friH，bhLl t-Un' Qm-1 Jn i(pBFl，Xfcnf實施風險Ju« iwisic4Lcil.UR.二七iikir»£Llki£C&IW&Mi'

11、;HciW 1nrlA Eir"£WlM nsrirar求噓儂 DDcCJCLHU in? iBriZSTU1*L3E m.Di-4 Hli /舅.<一|由.£ 4 4_型衛(wèi)一 a E一乂3頁三？里E1r-I - - - - - I - I - - 2 - 也H»西誣H落至返 的*£» 隼第里siii作落.BSEn M鼻uNiIIK«fclrnuru13u1lnJ>JI，H M-M工.1!ll,K*v-fllM*n#!1r.«-14.1|舄.* IIItlliilt，G rIfr修-I.二hliMm-

12、IF 1 4 I EItI -*"id *aFhm- ma 91 g事El?j. Lmm. fulv-M-«： .ilb >3T V 4 up i.嘴 土J iiliUbJK.Mi確認操作無誤及日志備份。備注3.1.2記錄管理日志項目名稱記錄管理日志。編RCheckPointFW-03-01-02項目說明設備應配置日志功能，記錄用戶對設備的重要操作。檢測操作步 驟使用客服端登陸設備，進入日志模塊進行查看。符合性判定 依據對設備的操作會記錄在日志中。配置方法使用客服端登陸設備，進入日志模塊，啟用日志功能，如圖所示進行操作：實施風險h*叵 & - =工- - JI

13、&口下 - -BE.- hL-1，»一 曾 一 a a 3 « «!確認操作無誤。備注3.1.3 配置日志服務器項目名稱配置日志服務器。編RCheckPointFW-03-01-03項目說明設備配置遠程日志功能,將需要重點關注的日志內容傳輸到日志服務 器。檢測操作步 驟使用客戶端登陸設備，在日志服務器上查看信息。符合性判定 依據日志服務器上是否接收到了正確的日志信息。配置方法使用客戶端登陸設備，進入 Global properties界囿，如圖所不進行配置：實施風險確認操作無誤。備注3.1.4 日志服務器磁盤空間項目名稱日志服務器磁盤空間。編RCheckP

14、ointFW-03-01-04項目說明對管理服務器的日志文件大小和轉存必須進行設置，并保護系統(tǒng)磁盤空間。建議每個日志文件不超過 50M每天氏-個日志文件。 磁盤空間剩余少于500M 的時候告警。檢測操作步 驟1 .安裝GU客戶端在計算機上。2 .登陸查看。符合性判定 依據登陸設備查看磁盤空間是否少于500M。配置方法登陸設備，進入 Check Point Gateway-Management界囿，如圖所不進行操作：實施風險確認操作無誤。第4章訪問控制策略要求4.1 訪問控制策略安全4.1.1 過濾所有與業(yè)務不相關的流量項目名稱過濾所有與業(yè)務不相關的流量。編RCheckPointFW-04-01

15、-01項目說明應根據業(yè)務需要，配置基于源IP地址、通信協(xié)議TCFpgUDP目的IP地 址、源端口、目的端口的流量過濾，過濾所有和業(yè)務不相關的流量。檢測操作步使用不同的流量進行測試。驟符合性判定依據配置方法查看正常流量是否可以通過防火墻，非法流量是否被防火墻阻隔。登陸設備，如圖所示進行配置:4月|出|小人|£| DljMka.同 d d Fa口風田島XI '-1號 | 吃 Ubifak| 口 中“L I 0 . Uwe曰“國協(xié)：(+T，1EWKtHMNArnu,dW卬F1*第n12 m Tr*»c T*P 口 iB-LBxUV1 Eimk修 419H¥曜由g

16、 131 1«LCVB P B-3HTT1,迷 PttiEu OlkiMU.ILQondiliMu。 箸丁國由RW1回網1*Fh<£k1QuahJh» 口 bM»4i9FMH因Tr *cR «1#1«二U£ vw效 B«MU14t"4iriLidmES £3 .1.r1Jl工力.1! 8 fkw '!»<« RjIjt l“ir|r -：(> >打AH,加口也也，且 0 Qff/占嗎國J用亙H好二九|Kq口0：回入Fbf bit. ”|A1*

17、q 0 mMn f |實施風險確保操作無誤。備注4.1.2 透明橋模式須關閉狀態(tài)檢測有關項項目名稱透明橋模式須關閉狀態(tài)檢測有美項要求。編RCheckPointFW-04-01-02項目說明透明橋模式須關閉狀態(tài)檢測有關項，確保資源的利用率。檢測操作步 驟1 .安裝GU客戶端在計算機上。2 .登陸查看。符合性判定 依據登陸設備界面查看。配置方法在Voyager界囿配置透明橋端口模式。在SmartDashBoard配置防火墻對象，針對這個防火墻關閉有關狀態(tài)檢測項。實施風險確認關閉的狀態(tài)檢測無誤。備注4.1.3 賬號與IP綁定項目名稱賬號與IP綁定要求項。編RCheckPointFW-04-01-03

18、項目說明對于登陸賬戶的ip地址，配置為只允許從某些ip地址登陸。檢測操作步 驟使用非允許的ip地址登陸。符合性判定 依據對于非允許的ip地址不能登陸。配置方法登陸設備，如圖所示進行操作：4.1.4 雙機架構采用VRRP莫式部署項目名稱雙機架卞采用VRR模式部署。編RCheckPointFW-04-01-04項目說明雙機架卞采用VRR模式部署，確保網絡的穩(wěn)定性。檢測操作步 驟1 .安裝GU客戶端在計算機上。2 .登陸查看。符合性判定 依據雙機切換，網絡連接/、中斷。配置方法1 .在Voyager界面配置VRR模式雙機集群，米用簡單電路監(jiān)控模式。2 .啟用Accept Connections to VRRP IPs'。3 .啟用'Monitor Firewall State'。4 .在SmartDashBoard酉己置VRRP機模塊。實施風險變得較大，需測試充