Checkpoint防火墙安全配置指南

1、Checkpoint防火墙安全配置指南Checkpoint防火墙安全配置指南中国联通信息化事业部2012年12月版本版本控制信息更新日期更新人审批人V1.0创建2012年12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。中国联通信息化事业部第3页共15页目录第1章概述11.1 目的 11.2 适用范围11.3 适用版本 11.4 实施11.5 例外条款1第2章安全配置要求 22.1 系统安全22.1.1 用户账号分配22.1.2 删除无关的账号32.1.3 密码复杂度32.1.4 配置用户所需的最小权限 42.1.5 安全登陆52.1.6 配置 NTP 62

2、.1.7 安全配置SNMP 6第3章日志安全要求73.1 日志安全73.1.1 启用日志功能73.1.2 记录管理日志83.1.3 配置日志服务器93.1.4 日志服务器磁盘空间 10第4章访问控制策略要求 114.1 访问控制策略安全 114.1.1 过滤所有与业务不相关的流量 114.1.2 透明桥模式须关闭状态检测有关项 124.1.3 账号与IP绑定134.1.4 双机架卞采用 VRRP莫式部署 144.1.5 打开防御DDOSC击功能 154.1.6 开启攻击防御功能 15第5章 评审与修订16Checkpoint防火墙安全配置指南第1章概述1.1 目的本文档规定了中国联通通信有限公

3、司信息化事业部所维护管理的Checkpoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Checkpoint防火墙的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的Checkpoint 防火墙。1.3 适用版本Checkpoint 防火墙；1.4 实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因

4、， 送交中国联通集团信息化事业部进行审批备案。第2章安全配置要求2.1系统安全2.1.1用户账号分配项目名称用户账号分配要求编RCheckPointFW-02-01-01项目说明应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。检测操作步 骤1 .安装GUI客户端在计算机上2 .登陆查看符合性判定 依据1 .配置文件中，存在不同的帐号分配2 .网络管理员确认用户与帐号分配关系明确配置方法使用客服端登陆设备，输入用户名密码登陆，如图所示添加用户和设置密码。实施风险确认所添加的用户无误。备注2.1.2删除无关的账号项目名称删除无关的账号要求编RCheckPoint

5、FW-02-01-02项目说明应删除或锁定与设备运行、维护等工作无关的账号。检测操作步 骤1 .安装GU客户端在计算机上。2 .登陆查看。符合性判定 依据配置中不存在无关账号配置方法使用客服端登陆设备，进入administrator permission,如图所示进行操作：< Bsk 1 Caned IH日口实施风险确认操作无误。备注2.1.3密码复杂度项目名称密他复杂度要求编PCheckPointFW-02-01-03项目说明防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字 母和特殊符号4类中至少3类。检测操作步 骤1 .安装GU客户端在计算机上。2 .登陆查看。基线符合

6、性 判定依据口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号 4类中至少3类配置方法使用客服端登陆设备，进行用户添加时设置密码复杂度，如图所示：实施风险确认操作无误，在不影响业务的前提卜进行更新。备注2.1.4配置用户所需的最小权限项目名称配置用户所需的最小权限要求项。编RCheckPointFW-02-01-04项目说明在设备权限配置能力内， 根据用户的管理等级， 配置其所需的最小管理权限。中国联通信息化事业部第3页共15页Checkpoint防火墙安全配置指南检测操作步 骤不同用户登陆，尝试访问不同的模块。符合性判定 依据不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外

7、的模块。配置方法使用客户端登陆设备，进行权限配置，如图所示:KCanedHd 口实施风险确认操作无误。备注2.1.5安全登陆项目名称安全登陆配置编RCheckPointFW-02-01-05项目说明在PC机上安装Checkpoint GUI客服端，专机专用，确保设备的安全性。检测操作步 骤1 .检查在专用机上是否安装 GU客服端。2 .使用客服端检测能否登陆设备符合性判定 依据1 .检查是否专机专用2 .是否安装客服端配置方法将设备提供的客服端安装在专用的PC机上即可。B=_r |b*11二-i上T = |,实施风险确认安装无误。备注确保PC机为专用，无其他业务往来。2.1.6 配置 NTP项

8、目名称配置NTP服务器。编RCheckPointFW-02-01-06项目说明开启NTP服务，保证日志功能记录的时间的准确性。检测操作步 骤用系统命令date'查看系统时间。符合性判定 依据系统时间和时钟源同步。配置方法登陆 设备，在 Voyager界面的Router Services ' 启 动 NTP服务；在'Configuration '的Configure system time'指定 NTP服务器 IP地址。实施风险确认操作无误。备注2.1.7安全配置SNMP项目名称安全配置SNM哽求编RCheckPointFW-02-01-07项目说明使用S

9、NMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名（Community Name和用户名（如 public或private）。并且/、同的用户名和共同体明对应不同的权限（只读或者读写）。检测操作步 骤1 .安装GU客户端在计算机上。2 .登陆查看。符合性判定 依据不存在SNMP默认的共同体名（Community Name）如public或private配置方法在Voyager界囿配置系统SNMP取或与权限口令，修改默认口令。实施风险更改配置需测试充分。备注第3章日志安全要求3.1日志安全3.1.1启用日志功能项目名称启用日志功能。编RCheckPointFW-03-01-01

10、项目说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址等。检测操作步 骤使用客服端登陆设备，检查日志模块，查看是否启用。符合性判定 依据检查在服务器上正确纪录了日志信息。配置方法使用客服端登陆设备，进入日志模块，启用日志功能，如图所示进行操作：IsLh |c i I：-h twrr friH，bhLl t-Un' Qm-1 Jn i(pBFl，Xfcnf实施风险Ju« iwisic4Lcil.UR.二七iikir»£Llki£C&IW&Mi'

11、;HciW 1nrlA Eir"£WlM nsrirar求嘘侬 DDcCJCLHU in? iBriZSTU1*L3E m.Di-4 Hli /舅.<一|由.£ 4 4_型卫一 a E一乂3页三？里E1r-I - - - - - I - I - - 2 - 也H»西诬H落至返 的*£» 隼第里siii作落.BSEn M鼻uNiIIK«fclrnuru13u1lnJ>JI，H M-M工.1!ll,K*v-fllM*n#!1r.«-14.1|舄.* IIItlliilt，G rIfr修-I.二hliMm-

12、IF 1 4 I EItI -*"id *aFhm- ma 91 g事El?j. Lmm. fulv-M-«： .ilb >3T V 4 up i.嘴 土J iiliUbJK.Mi确认操作无误及日志备份。备注3.1.2记录管理日志项目名称记录管理日志。编RCheckPointFW-03-01-02项目说明设备应配置日志功能，记录用户对设备的重要操作。检测操作步 骤使用客服端登陆设备，进入日志模块进行查看。符合性判定 依据对设备的操作会记录在日志中。配置方法使用客服端登陆设备，进入日志模块，启用日志功能，如图所示进行操作：实施风险h*叵 & - =工- - JI

13、&口下 - -BE.- hL-1，»一 曾 一 a a 3 « «!确认操作无误。备注3.1.3 配置日志服务器项目名称配置日志服务器。编RCheckPointFW-03-01-03项目说明设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务 器。检测操作步 骤使用客户端登陆设备，在日志服务器上查看信息。符合性判定 依据日志服务器上是否接收到了正确的日志信息。配置方法使用客户端登陆设备，进入 Global properties界囿，如图所不进行配置：实施风险确认操作无误。备注3.1.4 日志服务器磁盘空间项目名称日志服务器磁盘空间。编RCheckP

14、ointFW-03-01-04项目说明对管理服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间。建议每个日志文件不超过 50M每天氏-个日志文件。 磁盘空间剩余少于500M 的时候告警。检测操作步 骤1 .安装GU客户端在计算机上。2 .登陆查看。符合性判定 依据登陆设备查看磁盘空间是否少于500M。配置方法登陆设备，进入 Check Point Gateway-Management界囿，如图所不进行操作：实施风险确认操作无误。第4章访问控制策略要求4.1 访问控制策略安全4.1.1 过滤所有与业务不相关的流量项目名称过滤所有与业务不相关的流量。编RCheckPointFW-04-01

15、-01项目说明应根据业务需要，配置基于源IP地址、通信协议TCFpgUDP目的IP地 址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。检测操作步使用不同的流量进行测试。骤符合性判定依据配置方法查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。登陆设备，如图所示进行配置:4月|出|小人|£| DljMka.同 d d Fa口风田岛XI '-1号 | 吃 Ubifak| 口 中“L I 0 . Uwe曰“国协：(+T，1EWKtHMNArnu,dW卬F1*第n12 m Tr*»c T*P 口 iB-LBxUV1 Eimk修 419H¥曜由g

16、 131 1«LCVB P B-3HTT1,迷 PttiEu OlkiMU.ILQondiliMu。 箸丁国由RW1回网1*Fh<£k1QuahJh» 口 bM»4i9FMH因Tr *cR «1#1«二U£ vw效 B«MU14t"4iriLidmES £3 .1.r1Jl工力.1! 8 fkw '!»<« RjIjt l“ir|r -：(> >打AH,加口也也，且 0 Qff/占吗国J用亘H好二九|Kq口0：回入Fbf bit. ”|A1*

17、q 0 mMn f |实施风险确保操作无误。备注4.1.2 透明桥模式须关闭状态检测有关项项目名称透明桥模式须关闭状态检测有美项要求。编RCheckPointFW-04-01-02项目说明透明桥模式须关闭状态检测有关项，确保资源的利用率。检测操作步 骤1 .安装GU客户端在计算机上。2 .登陆查看。符合性判定 依据登陆设备界面查看。配置方法在Voyager界囿配置透明桥端口模式。在SmartDashBoard配置防火墙对象，针对这个防火墙关闭有关状态检测项。实施风险确认关闭的状态检测无误。备注4.1.3 账号与IP绑定项目名称账号与IP绑定要求项。编RCheckPointFW-04-01-03

18、项目说明对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。检测操作步 骤使用非允许的ip地址登陆。符合性判定 依据对于非允许的ip地址不能登陆。配置方法登陆设备，如图所示进行操作：4.1.4 双机架构采用VRRP莫式部署项目名称双机架卞采用VRR模式部署。编RCheckPointFW-04-01-04项目说明双机架卞采用VRR模式部署，确保网络的稳定性。检测操作步 骤1 .安装GU客户端在计算机上。2 .登陆查看。符合性判定 依据双机切换，网络连接/、中断。配置方法1 .在Voyager界面配置VRR模式双机集群，米用简单电路监控模式。2 .启用Accept Connections to VRRP IPs'。3 .启用'Monitor Firewall State'。4 .在SmartDashBoard酉己置VRRP机模块。实施风险变得较大，需测试充