CheckPoint防火墙安全配置基线要点

/CheckPoint防火墙平安配置基线

版本版本限制信息更新日期更新人审批人V2.0创建2012年4月备注：若此文档须要日后更新，请创建人填写版本限制表格，否则删除版本限制表格。

目录第1章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章 帐号管理、认证授权平安要求 22.1 帐号管理 2 用户帐号安排* 2 删除无关的帐号* 2 帐户登录超时* 3 帐户密码错误自动锁定* 42.2 口令 4 口令困难度要求 42.3 授权 5 远程维护的设备运用加密协议 5第3章 日志及配置平安要求 73.1 日志平安 7 记录用户对设备的操作 7 开启记录NAT日志* 7 开启记录VPN日志* 8 配置记录流量日志 9 配置记录拒绝和丢弃报文规则的日志 93.2 平安策略配置要求 10 访问规则列表最终一条必需是拒绝一切流量 10 配置访问规则应尽可能缩小范围 10 配置OPSEC类型对象* 11 配置NAT地址转换* 11 限制用户连接数* 12 Syslog转发SmartCenter日志* 123.3 攻击防护配置要求 14 定义执行IPS的防火墙* 14 定义IPSProfile* 15第4章 防火墙备份和复原 16 SmartCenter备份和复原(upgrade_tools)* 16第5章 评审和修订 17概述目的本文档旨在指导系统管理人员进行CheckPoint防火墙的平安配置。适用范围本配置标准的运用者包括：网络管理员、网络平安管理员、网络监控人员。适用版本CheckPoint防火墙。实施例外条款

帐号管理、认证授权平安要求帐号管理用户帐号安排*平安基线项目名称用户帐号安排平安基线要求项平安基线编号SBL-CP-02-01-01平安基线项说明不同等级管理员安排不同帐号，避开帐号混用。检测操作步骤参考配置操作setuser<admin|monitor>newpasspasswd补充操作说明。基线符合性判定依据判定条件用配置中没有的用户名去登录，结果是不能登录。检测操作showusersshowuserusername补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号，须要手工检查。删除无关的帐号*平安基线项目名称无关的帐号平安基线要求项平安基线编号SBL-CP-02-01-02平安基线项说明应删除或锁定和设备运行、维护等工作无关的帐号。检测操作步骤参考配置操作configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.nousernameruser3补充操作说明基线符合性判定依据判定条件配置中用户信息被删除。检测操作deleteuserusername补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，须要人为确认。帐户登录超时*平安基线项目名称帐户登录超时平安基线要求项平安基线编号SBL-CP-02-01-03平安基线项说明配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据判定条件在超出设定时间后，用户自动登出设备。参考检测操作补充说明无。备注须要手工检查帐户密码错误自动锁定*平安基线项目名称帐户密码错误自动锁定平安基线要求项平安基线编号SBL-CP-02-01-04平安基线项说明在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒检测操作步骤参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。参考检测操作补充说明无。备注留意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。须要手工检查。口令口令困难度要求平安基线项目名称口令困难度要求平安基线要求项平安基线编号SBL-CP-02-02-01平安基线项说明防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特别符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤参考配置操作showpassword-controls补充操作说明口令字符不完全符合要求。基线符合性判定依据判定条件须要管理员打开或关闭此功能。检测操作补充说明无。备注授权远程维护的设备运用加密协议平安基线项目名称远程维护运用加密协议平安基线要求项平安基线编号SBL-CP-02-03-01平安基线项说明对于防火墙远程管理的配置，必需是基于加密的协议。如SSH或者WEB

SSL，假如只允许从防火墙内部进行管理，应当限定管理IP。检测操作步骤参考配置操作showsshserverenable补充操作说明基线符合性判定依据判定条件查看是否启用SSH连接。检测操作showsshserverallow-groupsallow-usersdeny-groupsdeny-userspermit-root-login补充说明无。备注

日志及配置平安要求日志平安记录用户对设备的操作平安基线项目名称用户对设备记录平安基线要求项平安基线编号SBL-CP-03-01-01平安基线项说明配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的平安管控系统。检测操作步骤1．参考配置操作2．补充操作说明在启动日志记录的状况下，CP会记录相关的日志，无需额外配置。基线符合性判定依据1.判定条件SmartViewTracker2.检测操作可以通过“起先”“程序”“CheckPointSmartCosoleR75”“SmartViewTracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，Management：显示审计相关的数据，记录管理员、应用和操作具体信息。比如修改对象、添加策略、安装策略等双击日志条目可以查看具体信息。备注开启记录NAT日志*平安基线项目名称开启记录NAT日志平安基线要求项平安基线编号SBL-CP-03-01-02平安基线项说明开启记录NAT日志，记录转换前后IP地址的对应关系。检测操作步骤1．参考配置操作I.启动日志记录2．补充操作说明在启动日志记录的状况下，CP会记录NAT的日志，无需额外配置。基线符合性判定依据1.判定条件检查配置中的loggig相关配置2.检测操作可以通过“起先”“程序”“CheckPointSmartCosoleR75”“SmartViewTracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，双击日志条目可以查看具体信息。在滤镜工具里面选择NAT备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。开启记录VPN日志*平安基线项目名称开启记录VPN日志平安基线要求项平安基线编号SBL-CP-03-01-03平安基线项说明开启记录VPN日志，记录VPN访问登陆、退出等信息。检测操作步骤1．参考配置操作2．补充操作说明在启动日志记录的状况下，CP会记录VPN的日志，无需额外配置。基线符合性判定依据1.判定条件检查配置中的loggig相关配置2.检测操作可以通过“起先”“程序”“CheckPointSmartCosoleR75”“SmartViewTracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，双击日志条目可以查看具体信息。左侧选择VPN备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。配置记录流量日志平安基线项目名称配置记录流量日志平安基线要求项平安基线编号SBL-CP-03-01-04平安基线项说明配置记录流量日志，记录通过防火墙的网络连接的信息。检测操作步骤1．参考配置操作SmartViewMonitor2．补充操作说明基线符合性判定依据1.判定条件2.检测操作可以通过“起先”“程序”“CheckPointSmartCosoleR75”“SmartViewMonitor”或登录“SmartDashboard”“Windows”“SmartViewMonitor”打开该工具左侧Traffic备注配置记录拒绝和丢弃报文规则的日志平安基线项目名称配置记录拒绝和丢弃报文规则的日志平安基线要求项平安基线编号SBL-CP-03-01-05平安基线项说明配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。检测操作步骤1．参考配置操作CP防火墙自动将在访问限制列表（access-list）中拒绝（deny）的数据包生成log信息。2．补充操作说明基线符合性判定依据可以通过“起先”“程序”“CheckPointSmartCosoleR75”“SmartViewTracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具,选择Drop备注平安策略配置要求访问规则列表最终一条必需是拒绝一切流量平安基线项目名称访问规则列表最终一条必需是拒绝一切流量平安基线要求项平安基线编号SBL-CP-03-02-01平安基线项说明防火墙在配置访问规则列表时，最终一条必需是拒绝一切流量。检测操作步骤1．参考配置操作在设置最终一条规则时，配置规则：来源选择Any目的选择any动作选择drop2．补充操作说明基线符合性判定依据1.判定条件2.检测操作备注配置访问规则应尽可能缩小范围平安基线项目名称配置访问规则应尽可能缩小范围平安基线要求项平安基线编号SBL-CP-03-02-02平安基线项说明在配置访问规则时，源地址，目的地址，服务或端口的范围必需以实际访问需求为前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。检测操作步骤参考配置操作2．补充操作说明细化对象所允许的端口基线符合性判定依据1.判定条件检查配置2.检测操作备注配置OPSEC类型对象*平安基线项目名称配置OPSEC类型对象平安基线编号SBL-CP-03-02-03平安基线项说明OPSEC是CheckPoint发起组建的开放的平安平台组织，主要旨在供应和CheckPoint相兼容的开放应用程序接口，实现和CheckPoint产品在平安平台上联动起来，最大限度的调用企业信息资源最大化平安配置，加入OPSEC组织的厂商有近百家，如微软、CISCO以及其他厂商。检测操作步骤1．参考配置操作CheckPoint防火墙可以和Radius、LDAP、TACACS、以及Securid等等实现联动配置，下面具体举例配置Radius定义Radius主要用在管理员帐号或者VPN帐号登录的集中验证，须要和Radius服务器联动，因此须要预先在管理服务器上定义好Radius属性。选择配置标签，右键点击“ServicesandOPSECApplications”，选择“New”，“RADIUS”如下图RADIUSServer属性界面，配置“Name”，“Host”以及“Service”和“SharedSecret”等属性，这部分属于RADIUS服务端的配置，须要RADIUS管理员确认好，确保配置一样。定义完成Radius对象后，须要定义Radius用户，通常定义一个“generic*代表全部须要认证恳求的用户，即通配用户。如下点击用户定义模块“”，选择“ExternalUserProfiles”，选择“Matchallusers”，定义外部用户，通常以“generic*”表示。选择认证模式“RADIUS”认证，然后在下面选择定义好的“RADIUS”服务器。配置完成Radius用户后，再配置Radius用户组，如下所示，新建一个“UserGroup”，将“generic*”用户添加到用户组名称为“Radius_User”的对象中。定义完成Radius服务器对象、Radius用户对象以及Radius组对象之后，下面即定义Radius策略。用户组为运用Radius服务器上的VPN用户访问IPSECVPN的策略；2．补充操作说明基线符合性判定依据1.判定条件2.检测操作备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。配置NAT地址转换*平安基线项目名称配置NAT地址转换平安基线要求项平安基线编号SBL-CP-03-02-04平安基线项说明配置NAT地址转换，对互联网隐藏内网主机的实际地址。检测操作步骤1．参考配置操作通常是内部网段要通过防火墙访问到Internet，因此我给须要访问internet的网络对象配置NAT，Hide在防火墙后面访问到互联网；首先定义内部网段对象，新建一个“Network”配置“Network”的名称，网络地址，子网掩码，然后点击“NAT”属性，留意，点击“OK”之后，此时在NAT页的标签里会自动生成NAT的策略；2．补充操作说明基线符合性判定依据1.判定条件配置中有nat或者static的内容2.检测操作备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。限制用户连接数*平安基线项目名称限制用户连接数平安基线编号SBL-CP-03-02-05平安基线项说明限制用户连接数检测操作步骤1．参考配置操作在IPS模块中定义网络防护，选择IPSIPandICMPNetworkQuotaChangeAction为PreventEditAllowupto100connectionspersecondfromthesamesource.2．补充操作说明基线符合性判定依据1.判定条件2.检测操作备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。Syslog转发SmartCenter日志*平安基线项目名称Syslog转发SmartCenter日志平安基线编号SBL-CP-03-02-06平安基线项说明运用Syslog方式将防火墙产生的日志转发到日志服务器，先把syslog服务器上配置好，可以运用比如Kiwi，3CDeamon等程序测试，装完syslog服务端后，确认UDP514端口开放。访问到防火墙管理服务器的网络访问正常。检测操作步骤1．参考配置操作配置防火墙管理服务器syslog属性，确认管理服务器到syslog服务器网络访问正常。[Expert@SMC-R75]#vi/etc/syslog.conf#Kernelmessagesclutterthescreen,theygoto/var/log/messsagesanywaykern.*/dev/null#Loganythingoflevelinfoorhigher.#Don'tlogprivateauthenticationmessagesandGateDlogs!*.info;authpriv.none;cron.none;local5.none@0#添加syslogserverIP#Theauthprivfilehasrestrictedaccess.authpriv.*/var/log/secure#Logcronstuffcron.*/var/log/cron#Everybodygetsemergencymessages*.emerg;local5.none*#Savebootmessagesalsotoboot.log #添加syslogserverIPlocal7.*/var/log/boot.logauth.*/var/log/authmail.*/var/log/maillogmail.*|/opt/postfix/log_npipe[Expert@SMC-R75]#vi/etc/rc.d/init.d/cpboot#!/bin/sh#chkconfig:23459999#description:RunsCheckPointsProductsCPDIR=/opt/CPshrd-R75LD_LIBRARY_PATH=${LD_LIBRARY_PATH}:/opt/CPshrd-R75/libumask0007./opt/CPshrd-R75/tmp/.CPprofile.shcase$1in'start')$CPDIR/bin/cpstart-b;;'stop')$CPDIR/bin/cpstop;;Esacfwlog-ftnl2>/dev/null|awk'NF'|logger-p-tFirewall&#在末尾添加此行2．补充操作说明基线符合性判定依据1.判定条件2.检测操作Expert@SMC-R75]#servicesyslogrestart#重启syslog服务Shuttingdownkernellogger:[OK]Shuttingdownsystemlogger:[OK]Startingsystemlogger:[FAILED]Startingkernellogger:[OK]备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。攻击防护配置要求定义执行IPS的防火墙*平安基线项目名称定义执行IPS的防火墙平安基线编号SBL-CP-03-03-01平安基线项说明定义执行IPS的防火墙检测操作步骤1．参考配置操作打开IPS->EnforcingGateways，可以查看目前运行IPS的平安网关，双击Gateway进行编辑在Firewall选项卡，打开NetworkObjects->CheckPoint，双击要启用IPS的防火墙对象，选中IPS选项，即在该防火墙上启用了IPS。在IPS页面，“AssignIPSProfile”为该网关安排一个IPS配置文件。“Protectinternalhostsonly”只爱护内网主机。“PerformIPSinspectiononalltraffic”对全部流量执行IPS检测，此选项将占用更多防火墙资源。选择“BypassIPSinspectionwhengatewayisunderheavyload”和“Track”“log”，防