CheckPoint防火墻安全配置基線1

第頁CheckPoint防火墻安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2019年04月版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2019年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第2章 帳號管理、認(rèn)證授權(quán)安全要求 22.1 帳號管理 22.1.1 用戶帳號分配* 22.1.2 刪除無關(guān)的帳號* 22.1.3 帳戶登錄超時* 32.1.4 帳戶密碼錯誤自動鎖定* 42.2 口令 42.2.1 口令復(fù)雜度要求 42.3 授權(quán) 52.3.1 遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議 5第3章 日志及配置安全要求 73.1 日志安全 73.1.1 記錄用戶對設(shè)備的操作 73.1.2 開啟記錄NAT日志* 73.1.3 開啟記錄VPN日志* 83.1.4 配置記錄流量日志 93.1.5 配置記錄拒絕和丟棄報文規(guī)則的日志 93.2 安全策略配置要求 103.2.1 訪問規(guī)則列表最后一條必須是拒絕一切流量 103.2.2 配置訪問規(guī)則應(yīng)盡可能縮小范圍 103.2.3 配置OPSEC類型對象* 113.2.4 配置NAT地址轉(zhuǎn)換* 113.2.5 限制用戶連接數(shù)* 123.2.6 Syslog轉(zhuǎn)發(fā)SmartCenter日志* 123.3 攻擊防護(hù)配置要求 143.3.1 定義執(zhí)行IPS的防火墻* 143.3.2 定義IPSProfile* 15第4章 防火墻備份與恢復(fù) 164.1.1 SmartCenter備份和恢復(fù)(upgrade_tools)* 16第5章 評審與修訂 17概述目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護(hù)管理的CheckPoint防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行CheckPoint防火墻的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護(hù)管理的CheckPoint防火墻。適用版本CheckPoint防火墻。實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。帳號管理、認(rèn)證授權(quán)安全要求帳號管理用戶帳號分配*安全基線項目名稱用戶帳號分配安全基線要求項安全基線編號SBL-CP-02-01-01安全基線項說明不同等級管理員分配不同帳號，避免帳號混用。檢測操作步驟參考配置操作setuser<admin|monitor>newpasspasswd補(bǔ)充操作說明?；€符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄。檢測操作showusersshowuserusername補(bǔ)充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的帳號，需要手工檢查。刪除無關(guān)的帳號*安全基線項目名稱無關(guān)的帳號安全基線要求項安全基線編號SBL-CP-02-01-02安全基線項說明應(yīng)刪除或鎖定及設(shè)備運行、維護(hù)等工作無關(guān)的帳號。檢測操作步驟參考配置操作configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.nousernameruser3補(bǔ)充操作說明基線符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測操作deleteuserusername補(bǔ)充說明無。備注建議手工抽查系統(tǒng)，無關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。帳戶登錄超時*安全基線項目名稱帳戶登錄超時安全基線要求項安全基線編號SBL-CP-02-01-03安全基線項說明配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟參考配置操作設(shè)置超時時間為5分鐘2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備。參考檢測操作補(bǔ)充說明無。備注需要手工檢查帳戶密碼錯誤自動鎖定*安全基線項目名稱帳戶密碼錯誤自動鎖定安全基線要求項安全基線編號SBL-CP-02-01-04安全基線項說明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設(shè)置為300秒檢測操作步驟參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達(dá)后可以登錄。參考檢測操作補(bǔ)充說明無。備注注意！此項設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查?？诹羁诹顝?fù)雜度要求安全基線項目名稱口令復(fù)雜度要求安全基線要求項安全基線編號SBL-CP-02-02-01安全基線項說明防火墻管理員帳號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步驟參考配置操作showpassword-controls補(bǔ)充操作說明口令字符不完全符合要求?；€符合性判定依據(jù)判定條件需要管理員打開或關(guān)閉此功能。檢測操作補(bǔ)充說明無。備注授權(quán)遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議安全基線項目名稱遠(yuǎn)程維護(hù)使用加密協(xié)議安全基線要求項安全基線編號SBL-CP-02-03-01安全基線項說明對于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEB

SSL，如果只允許從防火墻內(nèi)部進(jìn)行管理，應(yīng)該限定管理IP。檢測操作步驟參考配置操作showsshserverenable補(bǔ)充操作說明基線符合性判定依據(jù)判定條件查看是否啟用SSH連接。檢測操作showsshserverallow-groupsallow-usersdeny-groupsdeny-userspermit-root-login補(bǔ)充說明無。備注日志及配置安全要求日志安全記錄用戶對設(shè)備的操作安全基線項目名稱用戶對設(shè)備記錄安全基線要求項安全基線編號SBL-CP-03-01-01安全基線項說明配置記錄防火墻管理員操作日志，如管理員登錄，修改管理員組操作，帳號解鎖等信息。配置防火墻將相關(guān)的操作日志送往操作日志審計系統(tǒng)或者其他相關(guān)的安全管控系統(tǒng)。檢測操作步驟1．參考配置操作2．補(bǔ)充操作說明在啟動日志記錄的情況下，CP會記錄相關(guān)的日志，無需額外配置。基線符合性判定依據(jù)1.判定條件SmartViewTracker2.檢測操作可以通過“開始”“程序”“CheckPointSmartCosoleR75”“SmartViewTracker”或登錄“SmartDashboard”“Windows”“SmartViewTracker”打開該工具，Management：顯示審計相關(guān)的數(shù)據(jù)，記錄管理員、應(yīng)用和操作詳細(xì)信息。比如修改對象、添加策略、安裝策略等雙擊日志條目可以查看詳細(xì)信息。備注開啟記錄NAT日志*安全基線項目名稱開啟記錄NAT日志安全基線要求項安全基線編號SBL-CP-03-01-02安全基線項說明開啟記錄NAT日志，記錄轉(zhuǎn)換前后IP地址的對應(yīng)關(guān)系。檢測操作步驟1．參考配置操作I.啟動日志記錄2．補(bǔ)充操作說明在啟動日志記錄的情況下，CP會記錄NAT的日志，無需額外配置?；€符合性判定依據(jù)1.判定條件檢查配置中的loggig相關(guān)配置2.檢測操作可以通過“開始”“程序”“CheckPointSmartCosoleR75”“SmartViewTracker”或登錄“SmartDashboard”“Windows”“SmartViewTracker”打開該工具，雙擊日志條目可以查看詳細(xì)信息。在濾鏡工具里面選擇NAT備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。開啟記錄VPN日志*安全基線項目名稱開啟記錄VPN日志安全基線要求項安全基線編號SBL-CP-03-01-03安全基線項說明開啟記錄VPN日志，記錄VPN訪問登陸、退出等信息。檢測操作步驟1．參考配置操作2．補(bǔ)充操作說明在啟動日志記錄的情況下，CP會記錄VPN的日志，無需額外配置?；€符合性判定依據(jù)1.判定條件檢查配置中的loggig相關(guān)配置2.檢測操作可以通過“開始”“程序”“CheckPointSmartCosoleR75”“SmartViewTracker”或登錄“SmartDashboard”“Windows”“SmartViewTracker”打開該工具，雙擊日志條目可以查看詳細(xì)信息。左側(cè)選擇VPN備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。配置記錄流量日志安全基線項目名稱配置記錄流量日志安全基線要求項安全基線編號SBL-CP-03-01-04安全基線項說明配置記錄流量日志，記錄通過防火墻的網(wǎng)絡(luò)連接的信息。檢測操作步驟1．參考配置操作SmartViewMonitor2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件2.檢測操作可以通過“開始”“程序”“CheckPointSmartCosoleR75”“SmartViewMonitor”或登錄“SmartDashboard”“Windows”“SmartViewMonitor”打開該工具左側(cè)Traffic備注配置記錄拒絕和丟棄報文規(guī)則的日志安全基線項目名稱配置記錄拒絕和丟棄報文規(guī)則的日志安全基線要求項安全基線編號SBL-CP-03-01-05安全基線項說明配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報文的日志。檢測操作步驟1．參考配置操作CP防火墻自動將在訪問控制列表（access-list）中拒絕（deny）的數(shù)據(jù)包生成log信息。2．補(bǔ)充操作說明基線符合性判定依據(jù)可以通過“開始”“程序”“CheckPointSmartCosoleR75”“SmartViewTracker”或登錄“SmartDashboard”“Windows”“SmartViewTracker”打開該工具,選擇Drop備注安全策略配置要求訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線項目名稱訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項安全基線編號SBL-CP-03-02-01安全基線項說明防火墻在配置訪問規(guī)則列表時，最后一條必須是拒絕一切流量。檢測操作步驟1．參考配置操作在設(shè)置最后一條規(guī)則時，配置規(guī)則：來源選擇Any目的選擇any動作選擇drop2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件2.檢測操作備注配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線項目名稱配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線要求項安全基線編號SBL-CP-03-02-02安全基線項說明在配置訪問規(guī)則時，源地址，目的地址，服務(wù)或端口的范圍必須以實際訪問需求為前提，盡可能的縮小范圍。禁止源到目的全部允許規(guī)則。禁止目的地址及服務(wù)全允許規(guī)則，禁止全服務(wù)訪問規(guī)則。檢測操作步驟參考配置操作2．補(bǔ)充操作說明細(xì)化對象所允許的端口基線符合性判定依據(jù)1.判定條件檢查配置2.檢測操作備注配置OPSEC類型對象*安全基線項目名稱配置OPSEC類型對象安全基線編號SBL-CP-03-02-03安全基線項說明OPSEC是CheckPoint發(fā)起組建的開放的安全平臺組織，主要旨在提供及CheckPoint相兼容的開放應(yīng)用程序接口，實現(xiàn)及CheckPoint產(chǎn)品在安全平臺上聯(lián)動起來，最大限度的調(diào)用企業(yè)信息資源最大化安全配置，加入OPSEC組織的廠商有近百家，如微軟、CISCO以及其他廠商。檢測操作步驟1．參考配置操作CheckPoint防火墻可以及Radius、LDAP、TACACS、以及Securid等等實現(xiàn)聯(lián)動配置，下面具體舉例配置Radius定義Radius主要用在管理員帳號或者VPN帳號登錄的集中驗證，需要及Radius服務(wù)器聯(lián)動，因此需要預(yù)先在管理服務(wù)器上定義好Radius屬性。選擇配置標(biāo)簽，右鍵點擊“ServicesandOPSECApplications”，選擇“New”，“RADIUS”如下圖RADIUSServer屬性界面，配置“Name”，“Host”以及“Service”和“SharedSecret”等屬性，這部分屬于RADIUS服務(wù)端的配置，需要RADIUS管理員確認(rèn)好，確保配置一致。定義完成Radius對象后，需要定義Radius用戶，通常定義一個“generic*代表所有需要認(rèn)證請求的用戶，即通配用戶。如下點擊用戶定義模塊“”，選擇“ExternalUserProfiles”，選擇“Matchallusers”，定義外部用戶，通常以“generic*”表示。選擇認(rèn)證模式“RADIUS”認(rèn)證，然后在下面選擇定義好的“RADIUS”服務(wù)器。配置完成Radius用戶后，再配置Radius用戶組，如下所示，新建一個“UserGroup”，將“generic*”用戶添加到用戶組名稱為“Radius_User”的對象中。定義完成Radius服務(wù)器對象、Radius用戶對象以及Radius組對象之后，下面即定義Radius策略。用戶組為使用Radius服務(wù)器上的VPN用戶訪問IPSECVPN的策略；2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件2.檢測操作備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。配置NAT地址轉(zhuǎn)換*安全基線項目名稱配置NAT地址轉(zhuǎn)換安全基線要求項安全基線編號SBL-CP-03-02-04安全基線項說明配置NAT地址轉(zhuǎn)換，對互聯(lián)網(wǎng)隱藏內(nèi)網(wǎng)主機(jī)的實際地址。檢測操作步驟1．參考配置操作通常是內(nèi)部網(wǎng)段要通過防火墻訪問到Internet，因此我給需要訪問internet的網(wǎng)絡(luò)對象配置NAT，Hide在防火墻后面訪問到互聯(lián)網(wǎng)；首先定義內(nèi)部網(wǎng)段對象，新建一個“Network”配置“Network”的名稱，網(wǎng)絡(luò)地址，子網(wǎng)掩碼，然后點擊“NAT”屬性，注意，點擊“OK”之后，此時在NAT頁的標(biāo)簽里會自動生成NAT的策略；2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件配置中有nat或者static的內(nèi)容2.檢測操作備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。限制用戶連接數(shù)*安全基線項目名稱限制用戶連接數(shù)安全基線編號SBL-CP-03-02-05安全基線項說明限制用戶連接數(shù)檢測操作步驟1．參考配置操作在IPS模塊中定義網(wǎng)絡(luò)防護(hù)，選擇IPSIPandICMPNetworkQuotaChangeAction為PreventEditAllowupto100connectionspersecondfromthesamesource.2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件2.檢測操作備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。Syslog轉(zhuǎn)發(fā)SmartCenter日志*安全基線項目名稱Syslog轉(zhuǎn)發(fā)SmartCenter日志安全基線編號SBL-CP-03-02-06安全基線項說明使用Syslog方式將防火墻產(chǎn)生的日志轉(zhuǎn)發(fā)到日志服務(wù)器，先把syslog服務(wù)器上配置好，可以使用比如Kiwi，3CDeamon等程序測試，裝完syslog服務(wù)端后，確認(rèn)UDP514端口開放。訪問到防火墻管理服務(wù)器的網(wǎng)絡(luò)訪問正常。檢測操作步驟1．參考配置操作配置防火墻管理服務(wù)器syslog屬性，確認(rèn)管理服務(wù)器到syslog服務(wù)器網(wǎng)絡(luò)訪問正常。[Expert@SMC-R75]#vi/etc/syslog.conf#Kernelmessagesclutterthescreen,theygoto/var/log/messsagesanywaykern.*/dev/null#Loganythingoflevelinfoorhigher.#Don'tlogprivateauthenticationmessagesandGateDlogs!*;authpriv.none;cron.none;local5.none@0#添加syslogserverIP#Theauthprivfilehasrestrictedaccess.authpriv.*/var/log/secure#Logcronstuffcron.*/var/log/cron#Everybodygetsemergencymessages*.emerg;local5.none*#Savebootmessagesalsotoboot.loglocal4@0 #添加syslogserverIPlocal7.*/var/log/boot.logauth.*/var/log/authmail.*/var/log/maillogmail.*|/opt/postfix/log_npipe[Expert@SMC-R75]#vi/etc/rc.d/init.d/cpboot#!/bin/sh#chkconfig:23459999#description:RunsCheckPointsProductsCPDIR=/opt/CPshrd-R75LD_LIBRARY_PATH=${LD_LIBRARY_PATH}:/opt/CPshrd-R75/libumask0007./opt/CPshrd-R75/tmp/.CPprofile.shcase$1in'start')$CPDIR/bin/cpstart-b;;'stop')$CPDIR/bin/cpstop;;Esacfwlog-ftnl2>/dev/null|awk'NF'|logger-plocal4-tFirewall&#在末尾添加此行2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件2.檢測操作Expert@SMC-R75]#servicesyslogrestart#重啟syslog服務(wù)Shuttingdownkernellogger:[OK]Shuttingdownsystemlogger:[OK]Startingsystemlogger:[FAILED]Startingkernellogger:[OK]備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。攻擊防護(hù)配置要求定義執(zhí)行IPS的防火墻*安全基線項目名稱定義執(zhí)行IPS的防火墻安全基線編號SBL-CP-03-03-01安全基線項說明定義執(zhí)行IPS的防火墻檢測操作步驟1．參考配置操作打開IPS->EnforcingGateways，可以查看目前運行IPS的安全網(wǎng)關(guān)，雙擊Gateway進(jìn)行編輯在Firewall選項卡，打開NetworkObjects->CheckPoint，雙擊要啟用IPS的防火墻對象，選中IPS選項，即在該防火墻上啟用了IPS。在IPS頁面，“AssignIPSProfile”為該網(wǎng)關(guān)分配一個IPS配置文件。“Protectinternalhostsonly”只保護(hù)內(nèi)網(wǎng)主機(jī)?！癙erformIPSinspectiononalltraffic”對所有流量執(zhí)行IPS檢測，此選項將占用更多防火墻資源。選擇“BypassIPSinspectionwhengatewayisunderheavyload”和“Track”“l(fā)og”，防火墻在高負(fù)荷下不再執(zhí)行IPS檢測并記錄log，可在“Advanced”處定義當(dāng)CPU在什么范圍時為高負(fù)荷。2．補(bǔ)充操作說明應(yīng)根據(jù)實際情況調(diào)整?；€符合性判定依據(jù)1.判定條件2.檢測操作備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。定義IPSProfile*安全基線項目名稱定義IPSProfile安全基線編號SBL-CP-03-03-02安全基線項說明定義IPSProfile檢測操