最新CheckPoint防火墙安全配置基线要点.doc

《最新CheckPoint防火墙安全配置基线要点.doc》由会员分享，可在线阅读，更多相关《最新CheckPoint防火墙安全配置基线要点.doc（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateCheckPoint防火墙安全配置基线要点1CheckPoint防火墙安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章帐号管理、认证授权安全要求22.1帐号管理22.

2、1.1用户帐号分配*22.1.2删除无关的帐号*22.1.3帐户登录超时*32.1.4帐户密码错误自动锁定*42.2口令42.2.1口令复杂度要求42.3授权52.3.1远程维护的设备使用加密协议5第3章日志及配置安全要求73.1日志安全73.1.1记录用户对设备的操作73.1.2开启记录NAT日志*73.1.3开启记录VPN日志*83.1.4配置记录流量日志93.1.5配置记录拒绝和丢弃报文规则的日志93.2安全策略配置要求103.2.1访问规则列表最后一条必须是拒绝一切流量103.2.2配置访问规则应尽可能缩小范围103.2.3配置OPSEC类型对象*113.2.4配置NAT地址转换*11

3、3.2.5限制用户连接数*123.2.6Syslog转发SmartCenter日志*123.3攻击防护配置要求143.3.1定义执行IPS的防火墙*143.3.2定义IPS Profile*15第4章防火墙备份与恢复164.1.1SmartCenter备份和恢复(upgrade_tools)*16第5章评审与修订17-第1章 概述1.1 目的本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本CheckPoint防火墙。1.4 实施1.5 例外条款第2章 帐号管理、认证授权安全要求

4、2.1 帐号管理2.1.1 用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-CP-02-01-01 安全基线项说明 不同等级管理员分配不同帐号，避免帐号混用。检测操作步骤1. 参考配置操作set user newpass passwd2. 补充操作说明 。基线符合性判定依据1. 判定条件用配置中没有的用户名去登录，结果是不能登录。2. 检测操作show usersshow user username3. 补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。2.1.2 删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-

5、CP-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1. 参考配置操作config tEnter configuration commands, one per line. End with CNTL/Z.no username ruser32. 补充操作说明基线符合性判定依据1. 判定条件配置中用户信息被删除。2. 检测操作 delete user username3. 补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3 帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL- CP -02-

6、01-03 安全基线项说明 配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、 参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据1. 判定条件在超出设定时间后，用户自动登出设备。2. 参考检测操作3. 补充说明无。备注需要手工检查2.1.4 帐户密码错误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-CP-02-01-04 安全基线项说明 在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒检测操作步骤1、 参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据1. 判

7、定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2. 参考检测操作3. 补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL- CP -02-02-01 安全基线项说明 防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1. 参考配置操作 show password-controls2. 补充操作说明口令字符不完全符合要求。基线

8、符合性判定依据1. 判定条件需要管理员打开或关闭此功能。2. 检测操作3. 补充说明无。备注2.3 授权2.3.1 远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编号SBL-CP-02-03-01 安全基线项说明 对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP。检测操作步骤1. 参考配置操作show ssh serverenable2. 补充操作说明基线符合性判定依据1. 判定条件查看是否启用SSH连接。2. 检测操作 show ssh serverallow-groupsallo

9、w-usersdeny-groupsdeny-userspermit-root-login3. 补充说明无。备注第3章 日志及配置安全要求3.1 日志安全3.1.1 记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-CP-03-01-01安全基线项说明 配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。检测操作步骤1参考配置操作 2补充操作说明在启动日志记录的情况下，CP会记录相关的日志，无需额外配置。基线符合性判定依据1.判定条件SmartView Trac

10、ker2.检测操作可以通过“开始”“程序”“Check Point SmartCosole R75”“SmartView Tracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，Management：显示审计相关的数据，记录管理员、应用和操作详细信息。比如修改对象、添加策略、安装策略等双击日志条目可以查看详细信息。备注3.1.2 开启记录NAT日志*安全基线项目名称开启记录NAT日志安全基线要求项安全基线编号SBL-CP-03-01-02安全基线项说明 开启记录NAT日志，记录转换前后IP地址的对应关系。检测操作步骤1参考配置操作

11、 I.启动日志记录 2补充操作说明在启动日志记录的情况下，CP会记录NAT的日志，无需额外配置。基线符合性判定依据1.判定条件检查配置中的loggig相关配置2.检测操作可以通过“开始”“程序”“Check Point SmartCosole R75”“SmartView Tracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，双击日志条目可以查看详细信息。在滤镜工具里面选择NAT备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.3 开启记录VPN日志*安全基线项目名称开启记录VPN日志安全基线要求项安全基线

12、编号SBL-CP-03-01-03安全基线项说明 开启记录VPN日志，记录VPN访问登陆、退出等信息。检测操作步骤1参考配置操作 2补充操作说明在启动日志记录的情况下，CP会记录VPN的日志，无需额外配置。基线符合性判定依据1.判定条件检查配置中的loggig相关配置2.检测操作可以通过“开始”“程序”“Check Point SmartCosole R75”“SmartView Tracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，双击日志条目可以查看详细信息。左侧选择VPN备注根据应用场景的不同，如部署场景需开启此功能，则强

13、制要求此项。3.1.4 配置记录流量日志安全基线项目名称配置记录流量日志安全基线要求项安全基线编号SBL-CP-03-01-04安全基线项说明 配置记录流量日志，记录通过防火墙的网络连接的信息。检测操作步骤1参考配置操作 SmartView Monitor2补充操作说明 基线符合性判定依据1.判定条件 2.检测操作可以通过“开始”“程序”“Check Point SmartCosole R75”“SmartView Monitor”或登录“SmartDashboard”“Windows”“SmartView Monitor”打开该工具左侧Traffic备注3.1.5 配置记录拒绝和丢弃报文规则

14、的日志安全基线项目名称配置记录拒绝和丢弃报文规则的日志安全基线要求项安全基线编号SBL-CP-03-01-05安全基线项说明 配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。检测操作步骤1参考配置操作CP防火墙自动将在访问控制列表（access-list）中拒绝（deny）的数据包生成log信息。2补充操作说明基线符合性判定依据可以通过“开始”“程序”“Check Point SmartCosole R75”“SmartView Tracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具,选择Drop备注3.2 安全策略配置要求3.2

15、.1 访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后一条必须是拒绝一切流量安全基线要求项安全基线编号SBL-CP-03-02-01安全基线项说明 防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。检测操作步骤1参考配置操作在设置最后一条规则时，配置规则：来源选择Any 目的选择any 动作选择 drop 2补充操作说明基线符合性判定依据1.判定条件2.检测操作 备注3.2.2 配置访问规则应尽可能缩小范围安全基线项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-CP-03-02-02安全基线项说明 在配置访问规则时，源地址，目的地址，服务或端口

16、的范围必须以实际访问需求为前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。检测操作步骤1 参考配置操作2补充操作说明细化对象所允许的端口基线符合性判定依据1.判定条件检查配置2.检测操作备注3.2.3 配置OPSEC类型对象*安全基线项目名称配置OPSEC类型对象安全基线编号SBL-CP-03-02-03安全基线项说明 OPSEC是Check Point发起组建的开放的安全平台组织，主要旨在提供与Check Point相兼容的开放应用程序接口，实现与Check Point产品在安全平台上联动起来，最大限度的调用企业信息资源最大化安全配置，加入

17、OPSEC组织的厂商有近百家，如微软、CISCO以及其他厂商。检测操作步骤1参考配置操作Check Point防火墙可以与Radius、LDAP、TACACS、以及Securid等等实现联动配置，下面具体举例配置Radius 定义Radius主要用在管理员帐号或者VPN帐号登录的集中验证，需要与Radius服务器联动，因此需要预先在管理服务器上定义好Radius属性。选择配置标签，右键点击“Services and OPSEC Applications”， 选择“New”，“RADIUS” 如下图RADIUS Server属性界面，配置“Name”，“Host”以及“Service”和“Sha

18、red Secret”等属性，这部分属于RADIUS服务端的配置，需要RADIUS管理员确认好，确保配置一致。定义完成Radius对象后，需要定义Radius用户，通常定义一个“generic*代表所有需要认证请求的用户，即通配用户。如下点击用户定义模块“”， 选择“External User Profiles”，选择“Match all users”，定义外部用户，通常以“generic*”表示。选择认证模式“RADIUS”认证，然后在下面选择定义好的“RADIUS”服务器。配置完成Radius用户后，再配置Radius用户组，如下所示，新建一个“User Group”，将“generic*

19、”用户添加到用户组名称为“Radius_User”的对象中。定义完成Radius服务器对象、Radius用户对象以及Radius组对象之后，下面即定义Radius策略。用户组为使用Radius服务器上的VPN用户访问IPSEC VPN的策略；2补充操作说明基线符合性判定依据1.判定条件2.检测操作 备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.2.4 配置NAT地址转换*安全基线项目名称配置NAT地址转换安全基线要求项安全基线编号SBL-CP-03-02-04安全基线项说明 配置NAT地址转换，对互联网隐藏内网主机的实际地址。检测操作步骤1参考配置操作通常是内部网段要通过

20、防火墙访问到Internet，因此我给需要访问internet的网络对象配置NAT，Hide在防火墙后面访问到互联网；首先定义内部网段对象，新建一个“Network”配置“Network”的名称，网络地址，子网掩码，然后点击“NAT”属性，注意，点击“OK”之后，此时在NAT页的标签里会自动生成NAT的策略；2补充操作说明基线符合性判定依据1.判定条件配置中有nat或者static的内容2.检测操作备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.2.5 限制用户连接数*安全基线项目名称限制用户连接数安全基线编号SBL-CP-03-02-05安全基线项说明 限制用户连接数检测

21、操作步骤1参考配置操作 在IPS模块中定义网络防护，选择IPSIP and ICMP Network QuotaChange Action 为PreventEditAllow up to 100 connections per second from the same source.2补充操作说明基线符合性判定依据1.判定条件2.检测操作备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.2.6 Syslog转发SmartCenter日志*安全基线项目名称Syslog转发SmartCenter日志安全基线编号SBL-CP-03-02-06安全基线项说明 使用Syslog方式将防

22、火墙产生的日志转发到日志服务器，先把syslog 服务器上配置好，可以使用比如Kiwi，3CDeamon等程序测试，装完syslog服务端后，确认UDP 514端口开放。访问到防火墙管理服务器的网络访问正常。检测操作步骤1参考配置操作配置防火墙管理服务器syslog属性，确认管理服务器到syslog服务器网络访问正常。ExpertSMC-R75# vi /etc/syslog.conf # Kernel messages clutter the screen, they go to /var/log/messsages anywaykern.* /dev/null# Log anything

23、of level info or higher.# Dont log private authentication messages and GateD logs!*.info;authpriv.none;cron.none;local5.none 192.168.0.20 #添加syslog server IP# The authpriv file has restricted access.authpriv.* /var/log/secure# Log cron stuffcron.* /var/log/cron# Everybody gets emergency messages*.em

24、erg;local5.none *# Save boot messages also to boot.loglocal4.info 192.168.0.20#添加syslog server IPlocal7.* /var/log/boot.logauth.* /var/log/authmail.* /var/log/maillogmail.* |/opt/postfix/log_npipeExpertSMC-R75# vi /etc/rc.d/init.d/cpboot#!/bin/sh# chkconfig: 2345 99 99# description: Runs Check Point

25、s ProductsCPDIR=/opt/CPshrd-R75LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/CPshrd-R75/libumask 0007. /opt/CPshrd-R75/tmp/.CPprofile.shcase $1 in start) $CPDIR/bin/cpstart -b ; stop ) $CPDIR/bin/cpstop ; Esacfw log -ftnl 2 /dev/null | awk NF | logger -p local4.info -t Firewall & #在末尾添加此行2补充操作说明基线符合性判定依据1.判

26、定条件2.检测操作 ExpertSMC-R75# service syslog restart # 重启syslog服务Shutting down kernel logger: OK Shutting down system logger: OK Starting system logger: FAILEDStarting kernel logger: OK 备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3 攻击防护配置要求3.3.1 定义执行IPS的防火墙*安全基线项目名称定义执行IPS的防火墙安全基线编号SBL-CP-03-03-01安全基线项说明 定义执行IPS的防

27、火墙检测操作步骤1参考配置操作打开IPS-Enforcing Gateways，可以查看目前运行IPS的安全网关，双击Gateway进行编辑在Firewall选项卡，打开Network Objects-CheckPoint，双击要启用IPS的防火墙对象，选中IPS选项，即在该防火墙上启用了IPS。在IPS页面，“Assign IPS Profile”为该网关分配一个IPS配置文件。“Protect internal hosts only”只保护内网主机。“Perform IPS inspection on all traffic”对所有流量执行IPS检测，此选项将占用更多防火墙资源。选择“By

28、pass IPS inspection when gateway is under heavy load”和“Track”“log”，防火墙在高负荷下不再执行IPS检测并记录log，可在“Advanced”处定义当CPU在什么范围时为高负荷。2补充操作说明应根据实际情况调整。基线符合性判定依据1.判定条件2.检测操作备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.2 定义IPS Profile*安全基线项目名称定义IPS Profile安全基线编号SBL-CP-03-03-02安全基线项说明 定义IPS Profile检测操作步骤1参考配置操作打开IPS-Profile

29、s页面，可以查看当前已定义的IPS配置(Default和Recommended为系统自定义配置)点击New-Create new profile可以手动创建一个IPS Profile说明： 两种IPS Mode：Prevent检测到异常，阻止连接；Detect只检测不阻止 Activate protections according to IPS Policy根据IPS Policy激活相关防护；Activate protections manually手动激活相关防护，选择此项后IPS Policy页面所有选项为灰色。在“Updates Polic”页面指定最新更新的防护自动设定为“Dete

30、ct”还是“Prevent”，打开“Network Exceptions”页面定义不执行IPS检测的资源(新建的Profile需要先完成创建过程才能添加排除)，点击New按钮2补充操作说明基线符合性判定依据1.判定条件 2.检测操作 备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。第4章 防火墙备份与恢复 4.1.1 SmartCenter备份和恢复(upgrade_tools)*安全基线项目名称SmartCenter备份和恢复(upgrade_tools)安全基线编号SBL-CP-04-01-01安全基线项说明 CheckPoint使用upgrade_export和upgra

31、de_import两个工具进行SmartCenter的备份和恢复，两个工具位于SmartCenter的$FWDIR/bin/upgrade_tools/目录下。备份文件可以通过ftp或其他方式上传到ftp服务器或网络共享空间，以便保管。检测操作步骤1参考配置操作格式：ExpertSmart-1# . /upgrade_export 文件名.tgz #备份工具，备份文件存放在当前目录下ExpertSmart-1# . /upgrade_import 文件名.tgz #恢复工具2补充操作说明基线符合性判定依据1.判定条件2.检测操作备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。第5章 评审与修订