Checkpoint防火墙安全配置的指南

1、 . .页脚. CheckpointCheckpoint 防火墙安全配置指南防火墙安全配置指南中国联通信息化事业部中国联通信息化事业部2012 年 12 月 . .页脚. 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人V1.0创建2012 年 12 月备注：备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 . .页脚. 目目 录录第第 1 1 章章概述概述 .1 11.1目的 .11.2适用范围 .11.3适用版本 .11.4实施 .11.5例外条款 .1第第 2 2 章章安全配置要求安全配置要求 .2 22.1系统安全 .22.1.

2、1用户账号分配.22.1.2删除无关的账号.32.1.3密码复杂度.32.1.4配置用户所需的最小权限.42.1.5安全登陆.52.1.6配置 NTP .62.1.7安全配置 SNMP .6第第 3 3 章章日志安全要求日志安全要求 .7 73.1日志安全 .73.1.1启用日志功能.73.1.2记录管理日志.83.1.3配置日志服务器.93.1.4日志服务器磁盘空间.10第第 4 4 章章访问控制策略要求访问控制策略要求 .11114.1访问控制策略安全 .114.1.1过滤所有与业务不相关的流量.114.1.2透明桥模式须关闭状态检测有关项.124.1.3账号与 IP 绑定.134.1.4

3、双机架构采用 VRRP 模式部署.144.1.5打开防御 DDOS 攻击功能.154.1.6开启攻击防御功能.15第第 5 5 章章评审与修订评审与修订 .1616 . .页脚. 第第 1 1 章章概述概述1.11.1 目的目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的 CheckPoint 防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行 CheckPoint 防火墙的安全配置。1.21.2 适用范围适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint

4、 防火墙。1.31.3 适用版本适用版本CheckPoint 防火墙；1.41.4 实施实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.51.5 例外条款例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国联通集团信息化事业部进行审批备案。 . .页脚. 第第 2 2 章章安全配置要求安全配置要求2.12.1 系统安全系统安全2.1.12.1.1用户账号分配用户账号分配项目名称项目名称用户账号分配要求编号编号CheckPointFW-02-01-01项目说明项目说明 应按照

5、用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。检测操作步检测操作步骤骤1.安装 GUI 客户端在计算机上2.登陆查看符合性判定符合性判定依据依据1. 配置文件中，存在不同的帐号分配2. 网络管理员确认用户与帐号分配关系明确配置方法配置方法使用客服端登陆设备，输入用户名密码登陆，如图所示添加用户和设置密码。 . .页脚. 实施风险实施风险确认所添加的用户无误。备注备注2.1.22.1.2删除无关的账号删除无关的账号项目名称项目名称删除无关的账号要求编号编号CheckPointFW-02-01-02项目说明项目说明 应删除或锁定与设备运行、维护等工作无关的账号。 检

6、测操作步检测操作步骤骤1.安装GUI客户端在计算机上。 2.登陆查看。符合性判定符合性判定依据依据配置中不存在无关账号 配置方法配置方法使用客服端登陆设备，进入 administrator permission,如图所示进行操作：实施风险实施风险确认操作无误。备注备注 . .页脚. 2.1.32.1.3密码复杂度密码复杂度项目名称项目名称密码复杂度要求编号编号CheckPointFW-02-01-03 项目说明项目说明 防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。检测操作步检测操作步骤骤1.安装GUI客户端在计算机上。 2.登陆查看。基线符合性基线

7、符合性判定依据判定依据口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类配置方法配置方法使用客服端登陆设备，进行用户添加时设置密码复杂度，如图所示：实施风险实施风险确认操作无误，在不影响业务的前提下进行更新。备注备注2.1.42.1.4配置用户所需的最小权限配置用户所需的最小权限项目名称项目名称配置用户所需的最小权限要求项。 . .页脚. 编号编号CheckPointFW-02-01-04项目说明项目说明 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。检测操作步检测操作步骤骤不同用户登陆，尝试访问不同的模块。 符合性判定符合性判定依据依据不同用户登陆

8、，尝试访问不同的模块。用户不能访问自己权限以外的模块。 配置方法配置方法使用客户端登陆设备，进行权限配置，如图所示：实施风险实施风险确认操作无误。备注备注2.1.52.1.5安全登陆安全登陆项目名称项目名称安全登陆配置编号编号CheckPointFW-02-01-05项目说明项目说明 在 PC 机上安装 CheckPoint GUI 客服端，专机专用，确保设备的安全性。检测操作步检测操作步1. 检查在专用机上是否安装GUI客服端。 . .页脚. 骤骤2. 使用客服端检测能否登陆设备符合性判定符合性判定依据依据1. 检查是否专机专用2. 是否安装客服端配置方法配置方法将设备提供的客服端安装在专用

9、的 PC 机上即可。实施风险实施风险确认安装无误。备注备注确保 PC 机为专用，无其他业务往来。2.1.62.1.6配置配置 NTPNTP项目名称项目名称配置 NTP 服务器。编号编号CheckPointFW-02-01-06项目说明项目说明 开启 NTP 服务，保证日志功能记录的时间的准确性。检测操作步检测操作步骤骤用系统命令date查看系统时间。 符合性判定符合性判定依据依据系统时间和时钟源同步。 配置方法配置方法登陆设备，在 Voyager 界面的Router Services启动 NTP 服务；在Configuration的Configure system time指定 NTP 服务器

10、 IP 地址。 实施风险实施风险确认操作无误。备注备注 . .页脚. 2.1.72.1.7安全配置安全配置 SNMPSNMP项目名称项目名称安全配置 SNMP 要求编号编号CheckPointFW-02-01-07项目说明项目说明 使用 SNMP V3 以上的版本对防火墙做远程管理。去除 SNMP 默认的共同体名(Community Name)和用户名（如 public 或 private） 。并且不同的用户名和共同体明对应不同的权限（只读或者读写） 。检测操作步检测操作步骤骤1.安装GUI客户端在计算机上。 2.登陆查看。符合性判定符合性判定依据依据不存在SNMP 默认的共同体名(Commu

11、nity Name)如public或private配置方法配置方法在Voyager界面配置系统SNMP读取或写权限口令，修改默认口令。实施风险实施风险更改配置需测试充分。备注备注第第 3 3 章章日志安全要求日志安全要求3.13.1 日志安全日志安全3.1.13.1.1启用日志功能启用日志功能项目名称项目名称启用日志功能。编号编号CheckPointFW-03-01-01 项目说明项目说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址等。检测操作步检测操作步骤骤使用客服端登陆设备，检查日志模块，查看是否启用

12、。符合性判定符合性判定依据依据检查在服务器上正确纪录了日志信息。 配置方法配置方法使用客服端登陆设备，进入日志模块，启用日志功能，如图所示进行操作： . .页脚. 实施风险实施风险确认操作无误及日志备份。备注备注3.1.23.1.2记录管理日志记录管理日志项目名称项目名称记录管理日志。编号编号CheckPointFW-03-01-02项目说明项目说明 设备应配置日志功能，记录用户对设备的重要操作。 检测操作步检测操作步骤骤使用客服端登陆设备，进入日志模块进行查看。符合性判定符合性判定依据依据对设备的操作会记录在日志中。 配置方法配置方法使用客服端登陆设备，进入日志模块，启用日志功能，如图所示进

13、行操作： . .页脚. 实施风险实施风险确认操作无误。备注备注3.1.33.1.3配置日志服务器配置日志服务器项目名称项目名称配置日志服务器。编号编号CheckPointFW-03-01-03项目说明项目说明 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检测操作步检测操作步骤骤使用客户端登陆设备，在日志服务器上查看信息。 符合性判定符合性判定依据依据日志服务器上是否接收到了正确的日志信息。 配置方法配置方法使用客户端登陆设备，进入 Global properties 界面，如图所示进行配置： . .页脚. 实施风险实施风险确认操作无误。备注备注3.1.43.1.4日志服务器

14、磁盘空间日志服务器磁盘空间项目名称项目名称日志服务器磁盘空间。编号编号CheckPointFW-03-01-04项目说明项目说明 对管理服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间。建议每个日志文件不超过50M，每天换一个日志文件。磁盘空间剩余少于500M的时候告警。检测操作步检测操作步骤骤1.安装GUI客户端在计算机上。 2.登陆查看。符合性判定符合性判定依据依据登陆设备查看磁盘空间是否少于500M。配置方法配置方法登陆设备，进入 Check Point Gateway-Management 界面，如图所示进行操作： . .页脚. 实施风险实施风险确认操作无误。备注备注第第 4

15、 4 章章访问控制策略要求访问控制策略要求4.14.1 访问控制策略安全访问控制策略安全4.1.14.1.1过滤所有与业务不相关的流量过滤所有与业务不相关的流量项目名称项目名称过滤所有与业务不相关的流量。编号编号CheckPointFW-04-01-01项目说明项目说明 应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。检测操作步检测操作步使用不同的流量进行测试。 . .页脚. 骤骤符合性判定符合性判定依据依据查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。配置方法配置方法登陆设备,如图所示进行配置：实施

16、风险实施风险确保操作无误。备注备注 4.1.24.1.2透明桥模式须关闭状态检测有关项透明桥模式须关闭状态检测有关项项目名称项目名称透明桥模式须关闭状态检测有关项要求。编号编号CheckPointFW-04-01-02项目说明项目说明 透明桥模式须关闭状态检测有关项，确保资源的利用率。检测操作步检测操作步骤骤1安装GUI客户端在计算机上。 2登陆查看。符合性判定符合性判定依据依据登陆设备界面查看。配置方法配置方法在Voyager界面配置透明桥端口模式。 在SmartDashBoard配置防火墙对象，针对这个防火墙关闭有关状态检测项。 . .页脚. 实施风险实施风险确认关闭的状态检测无误。备注备

17、注4.1.34.1.3账号与账号与 IPIP 绑定绑定项目名称项目名称账号与 IP 绑定要求项。编号编号CheckPointFW-04-01-03项目说明项目说明 对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。检测操作步检测操作步骤骤使用非允许的ip地址登陆。 符合性判定符合性判定依据依据对于非允许的ip地址不能登陆。 配置方法配置方法登陆设备，如图所示进行操作： . .页脚. 实施风险实施风险确认操作无误。备注备注 4.1.44.1.4双机架构采用双机架构采用 VRRPVRRP 模式部署模式部署项目名称项目名称双机架构采用VRRP模式部署。编号编号CheckPointFW-04-0

18、1-04项目说明项目说明 双机架构采用VRRP模式部署，确保网络的稳定性。检测操作步检测操作步骤骤1安装GUI客户端在计算机上。 2登陆查看。符合性判定符合性判定依据依据双机切换，网络连接不中断。 配置方法配置方法1.在Voyager界面配置VRRP模式双机集群，采用简单电路监控模式。2.启用Accept Connections to VRRP IPs 。3.启用Monitor Firewall State。 4.在SmartDashBoard配置VRRP双机模块。 实施风险实施风险变得较大，需测试充分。备注备注 . .页脚. 4.1.54.1.5打开防御打开防御 DDOSDDOS 攻击功能攻击功能项目名称项目名称打开防御 DDOS 攻击功能。编号编号CheckPointFW-04-01-05项目说明项目说明 打开防DDOS攻击功能，确保系统安全。检测操作步检测操作步骤骤1安装GUI客户端在计算机上。 2登陆查看。符合性判定符合性判定依据依据登陆设备，查看是否已经将此功能打开。 配置方法配置方法登陆设备，如图所示进行操作：实施风险实施风险配置变化，注意 CP