Checkpoint防火墻安全配置的指南

1、 . .頁腳. CheckpointCheckpoint 防火墻安全配置指南防火墻安全配置指南中國聯(lián)通信息化事業(yè)部中國聯(lián)通信息化事業(yè)部2012 年 12 月 . .頁腳. 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人V1.0創(chuàng)建2012 年 12 月備注：備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。 . .頁腳. 目目 錄錄第第 1 1 章章概述概述 .1 11.1目的 .11.2適用范圍 .11.3適用版本 .11.4實施 .11.5例外條款 .1第第 2 2 章章安全配置要求安全配置要求 .2 22.1系統(tǒng)安全 .22.1.

2、1用戶賬號分配.22.1.2刪除無關(guān)的賬號.32.1.3密碼復(fù)雜度.32.1.4配置用戶所需的最小權(quán)限.42.1.5安全登陸.52.1.6配置 NTP .62.1.7安全配置 SNMP .6第第 3 3 章章日志安全要求日志安全要求 .7 73.1日志安全 .73.1.1啟用日志功能.73.1.2記錄管理日志.83.1.3配置日志服務(wù)器.93.1.4日志服務(wù)器磁盤空間.10第第 4 4 章章訪問控制策略要求訪問控制策略要求 .11114.1訪問控制策略安全 .114.1.1過濾所有與業(yè)務(wù)不相關(guān)的流量.114.1.2透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項.124.1.3賬號與 IP 綁定.134.1.4

3、雙機(jī)架構(gòu)采用 VRRP 模式部署.144.1.5打開防御 DDOS 攻擊功能.154.1.6開啟攻擊防御功能.15第第 5 5 章章評審與修訂評審與修訂 .1616 . .頁腳. 第第 1 1 章章概述概述1.11.1 目的目的本文檔規(guī)定了中國聯(lián)通通信有限公司信息化事業(yè)部所維護(hù)管理的 CheckPoint 防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 CheckPoint 防火墻的安全配置。1.21.2 適用范圍適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國聯(lián)通總部和各省公司信息化部門維護(hù)管理的CheckPoint

4、 防火墻。1.31.3 適用版本適用版本CheckPoint 防火墻；1.41.4 實施實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國聯(lián)通集團(tuán)信息化事業(yè)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.51.5 例外條款例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國聯(lián)通集團(tuán)信息化事業(yè)部進(jìn)行審批備案。 . .頁腳. 第第 2 2 章章安全配置要求安全配置要求2.12.1 系統(tǒng)安全系統(tǒng)安全2.1.12.1.1用戶賬號分配用戶賬號分配項目名稱項目名稱用戶賬號分配要求編號編號CheckPointFW-02-01-01項目說明項目說明 應(yīng)按照

5、用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。檢測操作步檢測操作步驟驟1.安裝 GUI 客戶端在計算機(jī)上2.登陸查看符合性判定符合性判定依據(jù)依據(jù)1. 配置文件中，存在不同的帳號分配2. 網(wǎng)絡(luò)管理員確認(rèn)用戶與帳號分配關(guān)系明確配置方法配置方法使用客服端登陸設(shè)備，輸入用戶名密碼登陸，如圖所示添加用戶和設(shè)置密碼。 . .頁腳. 實施風(fēng)險實施風(fēng)險確認(rèn)所添加的用戶無誤。備注備注2.1.22.1.2刪除無關(guān)的賬號刪除無關(guān)的賬號項目名稱項目名稱刪除無關(guān)的賬號要求編號編號CheckPointFW-02-01-02項目說明項目說明 應(yīng)刪除或鎖定與設(shè)備運行、維護(hù)等工作無關(guān)的賬號。 檢

6、測操作步檢測操作步驟驟1.安裝GUI客戶端在計算機(jī)上。 2.登陸查看。符合性判定符合性判定依據(jù)依據(jù)配置中不存在無關(guān)賬號 配置方法配置方法使用客服端登陸設(shè)備，進(jìn)入 administrator permission,如圖所示進(jìn)行操作：實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤。備注備注 . .頁腳. 2.1.32.1.3密碼復(fù)雜度密碼復(fù)雜度項目名稱項目名稱密碼復(fù)雜度要求編號編號CheckPointFW-02-01-03 項目說明項目說明 防火墻管理員賬號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少3類。檢測操作步檢測操作步驟驟1.安裝GUI客戶端在計算機(jī)上。 2.登陸查看。基線符合性基線

7、符合性判定依據(jù)判定依據(jù)口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少3類配置方法配置方法使用客服端登陸設(shè)備，進(jìn)行用戶添加時設(shè)置密碼復(fù)雜度，如圖所示：實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤，在不影響業(yè)務(wù)的前提下進(jìn)行更新。備注備注2.1.42.1.4配置用戶所需的最小權(quán)限配置用戶所需的最小權(quán)限項目名稱項目名稱配置用戶所需的最小權(quán)限要求項。 . .頁腳. 編號編號CheckPointFW-02-01-04項目說明項目說明 在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的管理等級，配置其所需的最小管理權(quán)限。檢測操作步檢測操作步驟驟不同用戶登陸，嘗試訪問不同的模塊。 符合性判定符合性判定依據(jù)依據(jù)不同用戶登陸

8、，嘗試訪問不同的模塊。用戶不能訪問自己權(quán)限以外的模塊。 配置方法配置方法使用客戶端登陸設(shè)備，進(jìn)行權(quán)限配置，如圖所示：實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤。備注備注2.1.52.1.5安全登陸安全登陸項目名稱項目名稱安全登陸配置編號編號CheckPointFW-02-01-05項目說明項目說明 在 PC 機(jī)上安裝 CheckPoint GUI 客服端，專機(jī)專用，確保設(shè)備的安全性。檢測操作步檢測操作步1. 檢查在專用機(jī)上是否安裝GUI客服端。 . .頁腳. 驟驟2. 使用客服端檢測能否登陸設(shè)備符合性判定符合性判定依據(jù)依據(jù)1. 檢查是否專機(jī)專用2. 是否安裝客服端配置方法配置方法將設(shè)備提供的客服端安裝在專用

9、的 PC 機(jī)上即可。實施風(fēng)險實施風(fēng)險確認(rèn)安裝無誤。備注備注確保 PC 機(jī)為專用，無其他業(yè)務(wù)往來。2.1.62.1.6配置配置 NTPNTP項目名稱項目名稱配置 NTP 服務(wù)器。編號編號CheckPointFW-02-01-06項目說明項目說明 開啟 NTP 服務(wù)，保證日志功能記錄的時間的準(zhǔn)確性。檢測操作步檢測操作步驟驟用系統(tǒng)命令date查看系統(tǒng)時間。 符合性判定符合性判定依據(jù)依據(jù)系統(tǒng)時間和時鐘源同步。 配置方法配置方法登陸設(shè)備，在 Voyager 界面的Router Services啟動 NTP 服務(wù)；在Configuration的Configure system time指定 NTP 服務(wù)器

10、 IP 地址。 實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤。備注備注 . .頁腳. 2.1.72.1.7安全配置安全配置 SNMPSNMP項目名稱項目名稱安全配置 SNMP 要求編號編號CheckPointFW-02-01-07項目說明項目說明 使用 SNMP V3 以上的版本對防火墻做遠(yuǎn)程管理。去除 SNMP 默認(rèn)的共同體名(Community Name)和用戶名（如 public 或 private） 。并且不同的用戶名和共同體明對應(yīng)不同的權(quán)限（只讀或者讀寫） 。檢測操作步檢測操作步驟驟1.安裝GUI客戶端在計算機(jī)上。 2.登陸查看。符合性判定符合性判定依據(jù)依據(jù)不存在SNMP 默認(rèn)的共同體名(Commu

11、nity Name)如public或private配置方法配置方法在Voyager界面配置系統(tǒng)SNMP讀取或?qū)憴?quán)限口令，修改默認(rèn)口令。實施風(fēng)險實施風(fēng)險更改配置需測試充分。備注備注第第 3 3 章章日志安全要求日志安全要求3.13.1 日志安全日志安全3.1.13.1.1啟用日志功能啟用日志功能項目名稱項目名稱啟用日志功能。編號編號CheckPointFW-03-01-01 項目說明項目說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的 IP 地址等。檢測操作步檢測操作步驟驟使用客服端登陸設(shè)備，檢查日志模塊，查看是否啟用

12、。符合性判定符合性判定依據(jù)依據(jù)檢查在服務(wù)器上正確紀(jì)錄了日志信息。 配置方法配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作： . .頁腳. 實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤及日志備份。備注備注3.1.23.1.2記錄管理日志記錄管理日志項目名稱項目名稱記錄管理日志。編號編號CheckPointFW-03-01-02項目說明項目說明 設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的重要操作。 檢測操作步檢測操作步驟驟使用客服端登陸設(shè)備，進(jìn)入日志模塊進(jìn)行查看。符合性判定符合性判定依據(jù)依據(jù)對設(shè)備的操作會記錄在日志中。 配置方法配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)

13、行操作： . .頁腳. 實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤。備注備注3.1.33.1.3配置日志服務(wù)器配置日志服務(wù)器項目名稱項目名稱配置日志服務(wù)器。編號編號CheckPointFW-03-01-03項目說明項目說明 設(shè)備配置遠(yuǎn)程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。檢測操作步檢測操作步驟驟使用客戶端登陸設(shè)備，在日志服務(wù)器上查看信息。 符合性判定符合性判定依據(jù)依據(jù)日志服務(wù)器上是否接收到了正確的日志信息。 配置方法配置方法使用客戶端登陸設(shè)備，進(jìn)入 Global properties 界面，如圖所示進(jìn)行配置： . .頁腳. 實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤。備注備注3.1.43.1.4日志服務(wù)器

14、磁盤空間日志服務(wù)器磁盤空間項目名稱項目名稱日志服務(wù)器磁盤空間。編號編號CheckPointFW-03-01-04項目說明項目說明 對管理服務(wù)器的日志文件大小和轉(zhuǎn)存必須進(jìn)行設(shè)置，并保護(hù)系統(tǒng)磁盤空間。建議每個日志文件不超過50M，每天換一個日志文件。磁盤空間剩余少于500M的時候告警。檢測操作步檢測操作步驟驟1.安裝GUI客戶端在計算機(jī)上。 2.登陸查看。符合性判定符合性判定依據(jù)依據(jù)登陸設(shè)備查看磁盤空間是否少于500M。配置方法配置方法登陸設(shè)備，進(jìn)入 Check Point Gateway-Management 界面，如圖所示進(jìn)行操作： . .頁腳. 實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤。備注備注第第 4

15、 4 章章訪問控制策略要求訪問控制策略要求4.14.1 訪問控制策略安全訪問控制策略安全4.1.14.1.1過濾所有與業(yè)務(wù)不相關(guān)的流量過濾所有與業(yè)務(wù)不相關(guān)的流量項目名稱項目名稱過濾所有與業(yè)務(wù)不相關(guān)的流量。編號編號CheckPointFW-04-01-01項目說明項目說明 應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP地址、通信協(xié)議TCP或UDP、目的IP地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務(wù)不相關(guān)的流量。檢測操作步檢測操作步使用不同的流量進(jìn)行測試。 . .頁腳. 驟驟符合性判定符合性判定依據(jù)依據(jù)查看正常流量是否可以通過防火墻，非法流量是否被防火墻阻隔。配置方法配置方法登陸設(shè)備,如圖所示進(jìn)行配置：實施

16、風(fēng)險實施風(fēng)險確保操作無誤。備注備注 4.1.24.1.2透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項項目名稱項目名稱透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項要求。編號編號CheckPointFW-04-01-02項目說明項目說明 透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項，確保資源的利用率。檢測操作步檢測操作步驟驟1安裝GUI客戶端在計算機(jī)上。 2登陸查看。符合性判定符合性判定依據(jù)依據(jù)登陸設(shè)備界面查看。配置方法配置方法在Voyager界面配置透明橋端口模式。 在SmartDashBoard配置防火墻對象，針對這個防火墻關(guān)閉有關(guān)狀態(tài)檢測項。 . .頁腳. 實施風(fēng)險實施風(fēng)險確認(rèn)關(guān)閉的狀態(tài)檢測無誤。備注備

17、注4.1.34.1.3賬號與賬號與 IPIP 綁定綁定項目名稱項目名稱賬號與 IP 綁定要求項。編號編號CheckPointFW-04-01-03項目說明項目說明 對于登陸賬戶的ip地址，配置為只允許從某些ip地址登陸。檢測操作步檢測操作步驟驟使用非允許的ip地址登陸。 符合性判定符合性判定依據(jù)依據(jù)對于非允許的ip地址不能登陸。 配置方法配置方法登陸設(shè)備，如圖所示進(jìn)行操作： . .頁腳. 實施風(fēng)險實施風(fēng)險確認(rèn)操作無誤。備注備注 4.1.44.1.4雙機(jī)架構(gòu)采用雙機(jī)架構(gòu)采用 VRRPVRRP 模式部署模式部署項目名稱項目名稱雙機(jī)架構(gòu)采用VRRP模式部署。編號編號CheckPointFW-04-0

18、1-04項目說明項目說明 雙機(jī)架構(gòu)采用VRRP模式部署，確保網(wǎng)絡(luò)的穩(wěn)定性。檢測操作步檢測操作步驟驟1安裝GUI客戶端在計算機(jī)上。 2登陸查看。符合性判定符合性判定依據(jù)依據(jù)雙機(jī)切換，網(wǎng)絡(luò)連接不中斷。 配置方法配置方法1.在Voyager界面配置VRRP模式雙機(jī)集群，采用簡單電路監(jiān)控模式。2.啟用Accept Connections to VRRP IPs 。3.啟用Monitor Firewall State。 4.在SmartDashBoard配置VRRP雙機(jī)模塊。 實施風(fēng)險實施風(fēng)險變得較大，需測試充分。備注備注 . .頁腳. 4.1.54.1.5打開防御打開防御 DDOSDDOS 攻擊功能攻擊功能項目名稱項目名稱打開防御 DDOS 攻擊功能。編號編號CheckPointFW-04-01-05項目說明項目說明 打開防DDOS攻擊功能，確保系統(tǒng)安全。檢測操作步檢測操作步驟驟1安裝GUI客戶端在計算機(jī)上。 2登陸查看。符合性判定符合性判定依據(jù)依據(jù)登陸設(shè)備，查看是否已經(jīng)將此功能打開。 配置方法配置方法登陸設(shè)備，如圖所示進(jìn)行操作：實施風(fēng)險實施風(fēng)險配置變化，注意 CP