Checkpoint防火墻安全配置指南

Checkpoint防火墻安全配置指南中國聯(lián)通信息化事業(yè)部

2012年12月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年12月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 1\o"CurrentDocument"1.1 目的 1\o"CurrentDocument"1.2 適用范圍 1\o"CurrentDocument"1.3 適用版本 1\o"CurrentDocument"1.4 實(shí)施 1\o"CurrentDocument"1.5 例外條款 1\o"CurrentDocument"第2章 安全配置要求 2\o"CurrentDocument"系統(tǒng)安全 2用戶賬號(hào)分配 2\o"CurrentDocument"刪除無關(guān)的賬號(hào) 3\o"CurrentDocument"密碼復(fù)雜度 3\o"CurrentDocument"配置用戶所需的最小權(quán)限 4\o"CurrentDocument"安全登陸 5配置NTP 6\o"CurrentDocument"安全配置SNMP 6\o"CurrentDocument"第3章 日志安全要求 7\o"CurrentDocument"日志安全 7啟用日志功能 7記錄管理日志 8\o"CurrentDocument"配置日志服務(wù)器 9\o"CurrentDocument"日志服務(wù)器磁盤空間 10\o"CurrentDocument"第4章 訪問控制策略要求 11\o"CurrentDocument"訪問控制策略安全 11\o"CurrentDocument"過濾所有與業(yè)務(wù)不相關(guān)的流量 11\o"CurrentDocument"透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng) 12\o"CurrentDocument"賬號(hào)與IP綁定 13\o"CurrentDocument"雙機(jī)架構(gòu)采用VRRP模式部署 14\o"CurrentDocument"打開防御DD0S攻擊功能 15\o"CurrentDocument"開啟攻擊防御功能 15\o"CurrentDocument"第5章 評(píng)審與修訂 16第1章概述1.1目的本文檔規(guī)定了中國聯(lián)通通信有限公司信息化事業(yè)部所維護(hù)管理的Checkpoint防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Checkpoint防火墻的安全配置。1.2適用范本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國聯(lián)通總部和各省公司信息化部門維護(hù)管理的Checkpoint防火墻。1.3適用版本Checkpoint防火墻；1.4實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國聯(lián)通集團(tuán)信息化事業(yè)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件，說明業(yè)務(wù)需求和原因，送交中國聯(lián)通集團(tuán)信息化事業(yè)部進(jìn)行審批備案。

第2章安全配置要求系統(tǒng)安全用戶賬號(hào)分配廠^□orting-ftn':中國聯(lián)通信息化事業(yè)部廠^□orting-gn':GMcnitoringGMcnitoringI 3|在胡陽證—第2川共15廠^□orting-ftn':中國聯(lián)通信息化事業(yè)部廠^□orting-gn':GMcnitoringGMcnitoringI 3|在胡陽證—第2川共15頁iRradAA/riljc共15頁DKCanedHelpI實(shí)施風(fēng)險(xiǎn)確認(rèn)所添加的用戶無誤。備注2.1.2刪除無關(guān)的賬號(hào)2.1.3密碼復(fù)雜度項(xiàng)目名稱密碼復(fù)雜度要求

編號(hào)CheckPointFW-02-01-03項(xiàng)目說明檢測(cè)操作步

驟基線符合性

判定依據(jù)

配置方法防火墻管理員賬號(hào)口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少3類。安裝GU編號(hào)CheckPointFW-02-01-03項(xiàng)目說明檢測(cè)操作步

驟基線符合性

判定依據(jù)

配置方法防火墻管理員賬號(hào)口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少3類。安裝GUI客戶端在計(jì)算機(jī)上。登陸查看。口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少3類使用客服端登陸設(shè)備，進(jìn)行用戶添加時(shí)設(shè)置密碼復(fù)雜度，如圖所示：AddAdrmnrelratar広Read地r也AlrR心旦亦山廠CusbomiaEd冋SBCureUpdabH兩ObjectsDatable:麗CheckPerilDatabase帀LDAPUsersDaiabasft-2EmcurityPoiaies￥Uo5PolicjJ：廠遇Zcnsalidgbor：廠^□□rting 巫.時(shí)s皿ng 實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無誤，在不影響業(yè)務(wù)的前提下進(jìn)行更新。備注DKCanedHelp2.1.4配置用戶所需的最小權(quán)限項(xiàng)目名稱配置用戶所需的最小權(quán)限要求項(xiàng)。編號(hào)CheckPointFW-02-01-04項(xiàng)目說明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的管理等級(jí)，配置其所需的最小管理權(quán)限。

rieads-wrire備注冋SBCureUpdats:兩Check"ri：user?LmWbmset驟依據(jù)檢測(cè)操作步符合性判定配置方法實(shí)施風(fēng)險(xiǎn)不同用戶登陸，嘗試訪問不同的模塊。不同用戶登陸，嘗試訪問不同的模塊。用戶不能訪問自己權(quán)限以外的模塊。使用客戶端登陸設(shè)備，進(jìn)行權(quán)限配置，如圖所示:CReadOnl^Al|ReadAprils麗DbiecisDatabfiit:peadAViiie _||ReadA>yrite審LDAPUsersDaiabasArieads-wrire備注冋SBCureUpdats:兩Check"ri：user?LmWbmset驟依據(jù)檢測(cè)操作步符合性判定配置方法實(shí)施風(fēng)險(xiǎn)不同用戶登陸，嘗試訪問不同的模塊。不同用戶登陸，嘗試訪問不同的模塊。用戶不能訪問自己權(quán)限以外的模塊。使用客戶端登陸設(shè)備，進(jìn)行權(quán)限配置，如圖所示:CReadOnl^Al|ReadAprils麗DbiecisDatabfiit:peadAViiie _||ReadA>yrite審LDAPUsersDaiabasAVSBCurityPoiaies:疋DoSPolicu：!~［四LonsalidDbcz:|ReadAprilsDKCanedHelp |JReadAprilsMoiluuxi2.1.5安全登陸項(xiàng)目名稱安全登陸配置編號(hào)CheckPointFW-02-01-05項(xiàng)目說明在PC機(jī)上安裝CheckPointGUI客服端，專機(jī)專用，確保設(shè)備的安全性。檢測(cè)操作步1.檢查在專用機(jī)上是否安裝GUI客服端。驟2.使用客服端檢測(cè)能否登陸設(shè)備符合性判定1.檢查是否專機(jī)專用依據(jù)2.是否安裝客服端配置方法將設(shè)備提供的客服端安裝在專用的PC機(jī)上即可。

Client5陽収jnmtww已trtifico冊(cè)cfimiDdnn住花旳匚:dticgtoUil^Heri^ycrClient5陽収jnmtww已trtifico冊(cè)cfimiDdnn住花旳匚:dticgtoUil^Heri^ycrki4Settcl59pji?mi矽termsit啼&liuents5mphkl[ilaGLI口自弁Ftfflrtehn:hare:C-a-icel確認(rèn)安裝無誤。2?1?6配置NTP項(xiàng)目名稱配置NTP服務(wù)器。編號(hào)CheckPointFW-02-01-06項(xiàng)目說明開啟NTP服務(wù)，保證日志功能記錄的時(shí)間的準(zhǔn)確性。檢測(cè)操作步驟用系統(tǒng)命令'date'查看系統(tǒng)時(shí)間。符合性判定依據(jù)系統(tǒng)時(shí)間和時(shí)鐘源同步。配置方法登陸設(shè)備，在Voyager界面的'RouterServices'啟動(dòng)NTP服務(wù)；在'Configuration'的'Configuresystemtime'指定NTP服務(wù)器IP地址。實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無誤。備注2.1.7安全配置SNMP項(xiàng)目名稱安全配置SNMP要求編號(hào)CheckPointFW-02-01-07項(xiàng)目說明使用SNMPV3以上的版本對(duì)防火墻做遠(yuǎn)程管理。去除SNMP默認(rèn)的共同體名

(CommunityName)和用戶名(如public或private)。并且不同的用戶名和共同體明對(duì)應(yīng)不同的權(quán)限(只讀或者讀寫)。檢測(cè)操作步驟安裝GUI客戶端在計(jì)算機(jī)上。登陸查看。符合性判定依據(jù)不存在SNMP默認(rèn)的共同體名(CommunityName)如public或private配置方法在Voyager界面配置系統(tǒng)SNMP讀取或?qū)憴?quán)限口令，修改默認(rèn)口令。實(shí)施風(fēng)險(xiǎn)更改配置需測(cè)試充分。備注第3章日志安全要求日志安全啟用日志功能項(xiàng)目名稱啟用日志功能。編號(hào)CheckPointFW-03-01-01項(xiàng)目說明設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址等。檢測(cè)操作步驟使用客服端登陸設(shè)備，檢查日志模塊，查看是否啟用。符合性判定依據(jù)檢查在服務(wù)器上正確紀(jì)錄了日志信息。配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作：

E：L|E-t-1.JinQwrIitIvMiI：:11fjfah!>3d*a 蜻云wp城IB15UEQItAMiitji14iviaiiSannj]■2山伽*5無kLb*M*a.\:TlfIB—總>L占I.fitbsbbLCun.Fci.ilM?_11只_iLuiijU-'it血Ilaniir-￡<r3|miZlIMUaE：L|E-t-1.JinQwrIitIvMiI：:11fjfah!>3d*a 蜻云wp城IB15UEQItAMiitji14iviaiiSannj]■2山伽*5無kLb*M*a.\:TlfIB—總>L占I.fitbsbbLCun.Fci.ilM?_11只_iLuiijU-'it血Ilaniir-￡<r3|miZlIMUa-llL?LWclRRWeGHErkdSEfwino?BCkd：加曲iAfiW Eh13 Erd%D ;E*Ap!?hrd bf3ir4ralr ￡$F^I h^ignj.4^2* X.1U?4 *山23Ali￡kaJCJajljdkR&iij|iiT^cau-fn:111IKwardr 陷需欄舊*- A?*.矗肛,”瞬仙I畐mEgFulwsaV[B'fJTLlS日Iowttw?".?Mr*p-^3-HiCMJc9LAll?fmmj?:fH?!MK-.?H-].LIE/nT5K]7]rB&■1:ITI■■JLi.1J?-fl-.-p'>t_BI1J—-J..1I-zrt9J—!■J.1tJIIIII"U<SWHI-=r宛樂血顯*BAHkcvhBtudiU?fllSnixi^iri0￡?cwrilirBlBV%hUu?niD*r-UTSTIJinldlBQGi44EriIFLinIZXML%C90￡L^clI3fi￡炸0-1遠(yuǎn)mriLOZJTUrL*I￡：皿工Alri^；JWrtSKUOfiSEMHtZKI勵(lì)U?￡tt.LOt込吐丁21?-山HS鋁詔hlwfFiCl^nUhItHiCiiik_niAa^fcl.lVl￡”a■亠《■?l?uth31:Et4?MuiiRVaUiit111354.111inniiiHIII￡5411i'III曲勺P1.1JB4.LIrnIRlP+rfHiIeW|*?I■誕rffHEiaLldj|l*PfLlilUIII 口弓1兇{E*□l： iii+1:l￡ L：唱T?4 rri-i-13ix l±<ikfakiJ It11 Lf-llibbrink2實(shí)施風(fēng)險(xiǎn) 確認(rèn)操作無誤及日志備份。備注記錄管理日志項(xiàng)目名稱記錄管理日志。編號(hào)CheckPointFW-03-01-02項(xiàng)目說明設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的重要操作。檢測(cè)操作步驟使用客服端登陸設(shè)備，進(jìn)入日志模塊進(jìn)行查看。符合性判定依據(jù)對(duì)設(shè)備的操作會(huì)記錄在日志中。配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作：[.lLiEblTIW*udT[r>ICili[71litodw￡酩田■百蛙：u<r詁血“tLSr?MET■M?m?3nmnKIsVShrWKHX：9IE耳時(shí)3JkUHETOtSME昭ECrrlTtewELLIllRLTiJ叵^EILE叵一lJ-LJlEBFBL-叵匡IfJLfieIkCdrl>Fu.i_!B'[.lLiEblTIW*udT[r>ICili[71litodw￡酩田■百蛙：u<r詁血“tLSr?MET■M?m?3nmnKIsVShrWKHX：9IE耳時(shí)3JkUHETOtSME昭ECrrlTtewELLIllRLTiJ叵^EILE叵一lJ-LJlEBFBL-叵匡IfJLfieIkCdrl>Fu.i_!B'CillTtms_WCdIhru.s.WilukK,d.i.teakliih.kvna>iilIAMinitdLi-niir-33InJjiITIu*J.i?till34LUIIDEllTHII.Kfell LI汕Lli幻豐ifLIL LL10III?5ll|i1011!?11：iilfit!■&irfIin“D-*JlwLc1jd?ikL」RISu；UukiJKJb.；Iriahid.gir1峠3"』知12用*II皿、IJndJiL2EilhlrMsdl■■.ElUa實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無誤。備注3.1.3配置日志服務(wù)器項(xiàng)目名稱配置日志服務(wù)器。編號(hào)CheckPointFW-03-01-03項(xiàng)目說明設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)TO出器。檢測(cè)操作步驟使用客戶端登陸設(shè)備，在日志服務(wù)器上查看信息。符合性判定依據(jù)日志服務(wù)器上是否接收到了正確的日志信息。配置方法使用客戶端登陸設(shè)備，進(jìn)入Globalproperties界面，如圖所示進(jìn)行配置：

實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無誤。備注3.1.4日志服務(wù)器磁盤空間項(xiàng)目名稱日志服務(wù)器磁盤空間。編號(hào)CheckPointFW-03-01-04項(xiàng)目說明對(duì)管理服務(wù)器的日志文件大小和轉(zhuǎn)存必須進(jìn)行設(shè)置，并保護(hù)系統(tǒng)磁盤空間。建議每個(gè)日志文件不超過50M,每天換一個(gè)日志文件。磁盤空間剩余少于500M的時(shí)候告警。檢測(cè)操作步驟安裝GUI客戶端在計(jì)算機(jī)上。登陸查看。符合性判定依據(jù)登陸設(shè)備查看磁盤空間是否少于500M。配置方法登陸設(shè)備，進(jìn)入CheckPointGateway-Management界面，如圖所示進(jìn)行操作：

*丨 *丨 IJdOK CancelIHelp實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無誤。備注第4章訪問控制策略要求4.1訪問控制策略安全4.1.1過濾所有與業(yè)務(wù)不相關(guān)的流量項(xiàng)目名稱過濾所有與業(yè)務(wù)不相關(guān)的流量。編號(hào)CheckPointFW-04-01-01項(xiàng)目說明應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP地址、通信協(xié)議TCP或UDP、目的IP地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務(wù)不相關(guān)的流量。檢測(cè)操作步使用不冋的流量進(jìn)行測(cè)試。

驟符合性判定查看正常流量是否可以通過防火墻，非法流量是否被防火墻阻隔。依據(jù) 配置方法登陸設(shè)備,如圖所示進(jìn)行配置：實(shí)施風(fēng)險(xiǎn)確保操作無誤。備注透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)項(xiàng)目名稱透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)要求。編號(hào)CheckPointFW-04-01-02項(xiàng)目說明透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)，確保資源的利用率。檢測(cè)操作步驟1?安裝GUI客戶端在計(jì)算機(jī)上。2.登陸查看。符合性判定依據(jù)登陸設(shè)備界面查看。配置方法在Voyager界面配置透明橋端口模式。在SmartDashBoard配置防火墻對(duì)象，針對(duì)這個(gè)防火墻關(guān)閉有關(guān)狀態(tài)檢測(cè)項(xiàng)。

實(shí)施風(fēng)險(xiǎn)確認(rèn)關(guān)閉的狀態(tài)檢測(cè)無誤。備注4.1.3賬號(hào)與IP綁定項(xiàng)目名稱賬號(hào)與IP綁定要求項(xiàng)。編號(hào)CheckPointFW-04-01-03項(xiàng)目說明對(duì)于登陸賬戶的ip地址，配置為只允許從某些ip地址登陸。檢測(cè)操作步驟使用非允許的ip地址登陸。符合性判定依據(jù)對(duì)于