CheckPoint防火墙配置.docx

《CheckPoint防火墙配置.docx》由会员分享，可在线阅读，更多相关《CheckPoint防火墙配置.docx（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、C h e c k P o i n t防火墙配置S p e c i f i c a t i o n f o rC h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版 本 号 ： . . - - 发 布 - - 实 施中国移动通信网络部中国移动CHECKPOINT 防火墙配置标准名目1 概述21.1 适用范围21.2 内部适用性说明21.3 外部引用说明41.4 术语和定义41.5 符号和缩略语42 CHECKPOINT 防火墙设备配置要求51前言概述1.1 适

2、用范围本标准适用于中国移动通信网、业务系统和支撑系统的 CHECKPOINT 防火墙设备。本标准明确了设备的根本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求供给指南。本标准可作为编制设备入网测试标准，工程验收手册，局数据模板等文档的参考1.2 内部适用性说明内容承受意见备注本标准是依据中国移动防火墙配置标准中配置类标准要求的根底上提出的 CHECKPOINT 防火墙配置要求标准，为便于比较，特作以下逐一比较及说明在“承受意见”局部对应为 “完全承受”、“局部承受”、“增加要求”、“增要求”、“不承受”。在“补充说明”局部，对于增加要求的状况，说明在本标准的相应条款中描

3、述了增加的要求。对于“不承受”的状况，说明承受的缘由。1. 不同等级治理员安排不同账号，避开账号混用。2. 应删除或锁定与设备运行、维护等工作无关的账号。3. 防火墙治理员账号口令长度至少 8 位，并包括数字、小写字母、大写字母和特别符号 4 类中至少 2 类。4. 账户口令的生存期不长于 90 天。5. 应配置设备，使用户不能重复使用最近 5 次含 5 次内已使用的口令。完全承受完全承受完全承受局部承受局部承受IPSO 操作系统支持IPSO 操作系统支持6. 应配置当用户连续认证失败次数超过 6 次不含6 次，锁定该用户使用的账号。7. 在设备权限配置力量内，依据用户的治理等级，配置其所需的

4、最小管局部承受IPSO 操作系统支持完全承受理权限。8. 设备应配置日志功能，对用户登录进展记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。9. 设备应配置日志功能，记录用户对设备的重要操作。10. 设备应配置日志功能，记录对与设备相关的安全大事。11. 设备配置远程日志功能，将需要重点关注的日志内容传输到日志效劳器。12. 防火墙应依据业务需要，配置基于 源 IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、源端口、目的端口的流量过滤，过滤全部和业务不相关 的流量。13. 对于使用IP 协议进展远程维护的设备，设备应配置使用 S

5、SH， S 等加密协议。14. 全部防火墙在配置访问规章时，最终一条必需是拒绝一切流量。15. 在配置访问规章时，源地址和目的地址的范围必需以实际访问需求为前提，尽可能的缩小范围。16. 对于访问规章的排列，应当遵从范围由小到大的排列规章。17. 在进展重大配置修改前，必需对当前配置进展备份。18. 对于VPN 用户，必需依据其访问权限不同而进展分组，并在访问掌握规章中对该组的访问权限进展严格限制。19. 访问规章必需依据肯定的规章进展分组。20. 翻开防DDOS 攻击功能。21. 对于常见病毒的端口号应当进展端口的关闭配置。22. 限制 ping 包的大小，以及一段时间内同一主机发送的次数。

6、23. 对于各端口要开启防哄骗功能。24. 对于具备字符交互界面的设备，应配置定时账户自动登出。完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受完全承受25. 对于具备图形界面含WEB 界面 的设备，应配置定时自动登出。26. 对于具备console 口的设备，应配置console 口密码保护功能。27. 对于登陆账户的ip 地址，配置为只允许从某些ip 地址登陆。28. 对于外网口地址，关闭对ping 包的回应。建议通过 VPN 隧道获得内网地址，从内网口进展远程治理。29. 设定统一时钟源30. 设定对防火墙的

7、保护安全规章31. 依据实际的网络连接调整防火墙并发连接数32. 双机集群架构承受VRRP 模式部署33. 透亮桥模式须关闭状态检测有关项34. 对治理效劳器的日志文件大小和转存必需进展设置，并保护系统磁盘空间35. 配置 SNMP 监控36. 设置与防火墙互联的网络设备端口速率，双工状态完全承受完全承受完全承受完全承受完全承受完全承受完全承受局部承受完全承受完全承受完全承受完全承受1.3 外部引用说明中国移动网络与信息安全保障体系总纲中国移动内部掌握手册其次版中国移动标准化掌握矩阵其次版1.4 术语和定义设备配置要求：描述在标准适用范围内设备必需和推举承受的配置要求。在工程验收和运行维护时承

8、受。功能要求是实现配置要求的根底。1.5 符号和缩略语对于标准消灭的英文缩略语或符号在这里统一说明。中国移动CHECKPOINT 防火墙配置标准缩写英文描述中文描述CHECKPOINTFW CheckPoint FirewallCheckPoint 防火墙2 CHECKPOINT 防火墙设备配置要求要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-1不同等级治理员安排不同账号，避开账号混用。1、参考配置操作2、补充操作说明无。1、 判定条件用配置中没有的用户名去登录，结果是不能登录2、 检测操作在图形界面登陆3、 补充说明10无。编号：CHECKPOINTFW-PZ-2要求内容操作

9、指南检测方法应删除或锁定与设备运行、维护等工作无关的账号。1、参考配置操作2、补充操作说明无。1、 判定条件配置中用户信息被删除。2、 检测操作无。3、 补充说明无。编号：CHECKPOINTFW-PZ-3要求内容操作指南防火墙治理员账号口令长度至少 8 位，并包括数字、小写字母、大写字母和特别符号 4 类中至少 2 类。1、参考配置操作2、补充操作说明无。检测方法1、 判定条件该级别的密码设置由治理员进展密码的生成，设备本身无此强制功能。2、 检测操作无。3、 补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-4账户口令的生存期不长于 90 天。1、参考配置操作设备无

10、此功能 2、补充操作说明无。1、 判定条件设备无此功能 2、 检测操作无。3、 补充说明无。编号：CHECKPOINTFW-PZ-5要求内容操作指南检测方法应配置设备，使用户不能重复使用最近 5 次含 5 次内已使用的口令。1、参考配置操作设备无此功能。 2、补充操作说明无。1. 判定条件无。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-PZ-6要求内容操作指南检测方法应配置当用户连续认证失败次数超过 6 次不含 6 次，锁定该用户使用的账号。1、参考配置操作设备无此功能2、补充操作说明无。1. 判定条件无。1. 检测操作无。2.补充说明无。要求内容操作指南检测方法编号：

11、CHECKPOINTFW-PZ-7在设备权限配置力量内，依据用户的治理等级，配置其所需的最小治理权限。1、参考配置操作2、补充操作说明对于治理员不同权限设置，可以定义不同治理员的访问模块以及相应权限。1. 判定条件不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外的模块。2. 检测操作不同用户登陆，尝试访问不同的模块。3. 补充说明无。编号：CHECKPOINTFW-PZ-8要求内容设备应配置日志功能，对用户登录进展记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。操作指南1、参考配置操作2、补充操作说明设备只能局部支持该项配置要求。

12、检测方法1. 判定条件在效劳器上正确纪录了日志信息。2. 检测操作 查看日志模块。3.补充说明无。编号：CHECKPOINTFW-PZ-9要求内容操作指南设备应配置日志功能，记录用户对设备的重要操作。1、参考配置操作2、补充操作说明设备只支持纪录局部关键操作。检测方法1. 判定条件对设备的操作会记录在日志中。2. 检测操作 查看日志模块。3.补充说明无。编号：CHECKPOINTFW-PZ-10要求内容操作指南设备应配置日志功能，记录对与设备相关的安全大事。1、参考配置操作2、补充操作说明支持纪录全部的安全大事。检测方法1. 判定条件在效劳器上正确纪录了日志信息。2. 检测操作display

13、logbuffer3.补充说明无。编号：CHECKPOINTFW-PZ-11要求内容操作指南设备配置远程日志功能，将需要重点关注的日志内容传输到日志效劳器。1、参考配置操作2、补充操作说明可以设置发送的日志效劳器IP 地址。检测方法1. 判定条件日志效劳器上是否接收到了正确的日志信息。2. 检测操作在日志效劳器上查看信息。3.补充说明无。编号：CHECKPOINTFW-PZ-12要求内容操作指南防火墙应依据业务需要，配置基于源 IP 地址、通信协议TCP 或 UDP、目的IP 地址、源端口、目的端口的流量过滤， 过滤全部和业务不相关的流量。1、参考配置操作2、补充操作说明无。检测方法1. 判定

14、条件查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。2. 检测操作使用不同的流量进展测试。3.补充说明无。编号：CHECKPOINTFW-PZ-13要求内容操作指南检测方法对于使用 IP 协议进展远程维护的设备，设备应配置使用SSH 等加密协议。1、参考配置操作使用 SSH 客户端登陆防火墙。2、补充操作说明无。1. 判定条件SSH 可以登陆防火墙。2. 检测操作使用 SSH 客户端登陆防火墙。3. 补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-14全部防火墙在配置访问规章时，最终一条必需是拒绝一切流量。1、参考配置操作将最终一条策略配置成拒绝一切流量。2

15、、补充操作说明无。1. 判定条件无。2. 检测操作 查看策略配置。3. 补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-15在配置访问规章时，源地址和目的地址的范围必需以实际访问需求为前提，尽可能的缩小范围。1、参考配置操作依据实际访问需求，缩小地址范围。2、补充操作说明无。1. 判定条件无。2. 检测操作依据实际访问需求，检查配置状况。3. 补充说明无。编号：CHECKPOINTFW-PZ-16要求内容对于访问规章的排列，应当遵从范围由小到大的排列规章。操作指南1、参考配置操作依据访问规章涉及范围大小来排序。2、补充操作说明无。检测方法1. 判定条件检查访问规章的排

16、列，查看是否是遵从范围由小到大的排列原则。2. 检测操作无。3.补充说明无。编号：CHECKPOINTFW-PZ-17要求内容操作指南检测方法在进展重大配置修改前，必需对当前配置进展备份。1、参考配置操作在进展重大配置修改前，备份当前配置。2、补充操作说明无。1. 判定条件查看是否有前期的配置备份。2. 检测操作查看备份配置3. 补充说明无。要求内容操作指南编号：CHECKPOINTFW-PZ-18对于 VPN 用户，必需依据其访问权限不同而进展分组，并在访问掌握规章中对该组的访问权限进展严格限制。1、参考配置操作2、补充操作说明无。检测方法1. 判定条件查看用户是否已经依据权限不同进展分组。

17、2. 检测操作查看用户分组状况。3.补充说明无。编号：CHECKPOINTFW-PZ-19要求内容操作指南检测方法访问规章必需依据肯定的规章进展分组。1、参考配置操作依据肯定的规章对访问掌握规章进展分组。2、补充操作说明无。1. 判定条件查看访问掌握规章是否已经分组。2. 检测操作查看访问掌握规章分组状况。3. 补充说明无。编号：CHECKPOINTFW-PZ-20要求内容操作指南翻开防 DDOS 攻击功能。1、参考配置操作翻开防DDOS 攻击功能。2、补充操作说明翻开该功能后，对该功能进展肯定的配置。检测方法1. 判定条件查看是否已经将此功能翻开。2. 检测操作无。3.补充说明无。编号：CH

18、ECKPOINTFW-PZ-21要求内容操作指南检测方法对于常见病毒的端口号应当进展端口的关闭配置。1、参考配置操作使用访问掌握策略关闭病毒常用端口2、补充操作说明无。1. 判定条件是否已经将常用病毒端口关闭。2. 检测操作查看访问掌握策略。3. 补充说明无。编号：CHECKPOINTFW-PZ-22要求内容操作指南限制 ping 包的大小，以及一段时间内同一主机发送的次数。1、参考配置操作2、补充操作说明翻开该功能后需进展肯定的配置。检测方法1. 判定条件查看该功能是否已经翻开。2. 检测操作无。3.补充说明无。编号：CHECKPOINTFW-PZ-23要求内容操作指南检测方法对于各端口要开

19、启防哄骗功能。1、参考配置操作2、补充操作说明无。1. 判定条件查看防哄骗功能是否翻开。2. 检测操作无。3. 补充说明无。编号：CHECKPOINTFW-PZ-24要求内容操作指南对于具备字符交互界面的设备，应配置定时账户自动登出。1、参考配置操作该设备自动设定。2、补充操作说明无。检测方法1. 判定条件停顿操作一段时间，查看是否已经自动登出。2. 检测操作无。3.补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-25对于具备图形界面含 WEB 界面的设备，应配置定时自动登出。1、参考配置操作该设备自动进展默认设置。2、补充操作说明无。1. 判定条件在超出设定时间后，

20、用户自动登出设备。2. 检测操作无。3. 补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-26对于具备 consol 口的设备，应配置 consol 口密码保护功能。1、参考配置操作该设备无此功能。2、补充操作说明无。1. 判定条件无。2. 检测操作无。3.补充说明无。编号：CHECKPOINTFW-PZ-27要求内容操作指南检测方法对于登陆账户的ip 地址，配置为只允许从某些ip 地址登陆。1、参考配置操作2、补充操作说明无。1. 判定条件对于非允许的 ip 地址不能登陆。2. 检测操作使用非允许的ip 地址登陆。3. 补充说明无。编号：CHECKPOINTFW-P

21、Z-28要求内容操作指南对于外网口地址，关闭对 ping 包的回应。建议通过 VPN隧道获得内网地址，从内网口进展远程治理。1、参考配置操作在策略中添加一条制止ping 外网口的策略。2、补充操作说明无。检测方法1. 判定条件对于外网口的 ping 测试不成功。2. 检测操作对于外网口进展ping 测试。3.补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-29设定统一的时钟源。1、参考配置操作在 Voyager 界面的Router Services启动NTP 效劳；在Configuration的Configure system time指定NTP 效劳器 IP 地址。

22、2、补充操作说明无。4. 判定条件系统时间和时钟源同步。5. 检测操作用系统命令date查看系统时间。6. 补充说明无。中国移动CHECKPOINT 防火墙配置标准要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-30设定对防火墙的保护安全规章1、参考配置操作在策略最前面中添加一条允许指定主机/网络治理防火墙的策略。2、补充操作说明无。7. 判定条件指定主机/网络之外的客户端不能访问防火墙。8. 检测操作无。9. 补充说明无。1要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-31依据实际的网络连接调整防火墙并发连接数。1、参考配置操作在防火墙治理界面调整防火墙并发连接

23、数。2、补充操作说明无。10. 判定条件依据网络流量实际状况调整并发连接数至稍大于实际连接数。11. 检测操作无。12. 补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-32双机架构承受VRRP 模式部署1、参考配置操作在 Voyager 界面配置VRRP 模式双机集群，承受简洁电路监控模式。启用Accept Connections to VRRP IPs启用Monitor Firewall State在 SmartDashBoard 配置VRRP 双机模块。2、补充操作说明建议承受VRRP 集群模式。13. 判定条件双机切换，网络连接不中断。14. 检测操作无。15

24、. 补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-33透亮桥模式须关闭状态检测有关项1、参考配置操作在 Voyager 界面配置透亮桥端口模式。在 SmartDashBoard 配置防火墙对象，针对这个防火墙关闭有关状态检测项。2、补充操作说明无。16. 判定条件无。17. 检测操作无。18. 补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-34对治理效劳器的日志文件大小和转存必需进展设置，并保护系统磁盘空间1、参考配置操作2、补充操作说明建议每个日志文件不超过 50M，每天换一个日志文件。磁盘空间剩余少于 500M 的时候告警。19. 判

25、定条件无。20. 检测操作无。21. 补充说明无。要求内容操作指南检测方法编号：CHECKPOINTFW-PZ-35配置 SNMP 监控1、参考配置操作在 Voyager 界面配置系统SNMP 读取-写权限口令。配置 SNMP Trap2、补充操作说明无。22. 判定条件SNMP 效劳器可以读取防火墙 SNMP 信息。SNMP 效劳器可以收到来自防火墙的 SNMP Trap 信息。23. 检测操作无。24. 补充说明无。编号：CHECKPOINTFW-PZ-36要求内容操作指南检测方法设置与防火墙互联的网络设备端口速率，双工状态1、参考配置操作在 Voyager 界面配置物理接口速率和双工状态。相应在与防火墙互联的交换机上配置相匹配的2、补充操作说明无。25. 判定条件无。26. 检测操作无。27. 补充说明无。