Checkpoint防火墙安全配置指南

CheckPoint防火墙安全配置指南

Checkpoint防火墙安全配置指南

中国联通信息化事业部

2012年 12月

中国联通信息化事业部 第 1 页 共 15 页

CheckPoint防火墙安全配置指南

版本 V1.0 备注：

1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

创建 版本控制信息 更新日期 2012年12月 更新人 审批人 中国联通信息化事业部 第 2 页 共 15 页

CheckPoint防火墙安全配置指南

目 录

第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5

目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1

第2章 安全配置要求 ......................................................................................................................... 2 2.1

系统安全 ................................................................................................................................. 2

2.1.1 2.1.2 2.1.3 2.1.4

用户账号分配 ................................................................................................................. 2 删除无关的账号 ............................................................................................................. 3 密码复杂度 ..................................................................................................................... 3 配置用户所需的最小权限 ............................................................................................. 4 安全登陆 ......................................................................................................................... 5 配置NTP .......................................................................................................................... 6 安全配置SNMP ................................................................................................................ 6

2.1.5

2.1.6 2.1.7

第3章 日志安全要求 ......................................................................................................................... 7 3.1

日志安全 ................................................................................................................................. 7

3.1.1 3.1.2 3.1.3 3.1.4

启用日志功能 ................................................................................................................. 7 记录管理日志 ................................................................................................................. 8 配置日志服务器 ............................................................................................................. 9 日志服务器磁盘空间 ................................................................................................... 10

第4章 访问控制策略要求 ............................................................................................................... 11 4.1

访问控制策略安全 ............................................................................................................... 11

4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6

过滤所有与业务不相关的流量 ................................................................................... 11 透明桥模式须关闭状态检测有关项 ........................................................................... 12 账号与IP绑定 ............................................................................................................. 13 双机架构采用VRRP模式部署 ..................................................................................... 14 打开防御DDOS攻击功能 ............................................................................................. 15 开启攻击防御功能 ....................................................................................................... 15

第5章 评审与修订 ........................................................................................................................... 16

中国联通信息化事业部 第 3 页 共 15 页

CheckPoint防火墙安全配置指南

第1章 概述

1.1 目的

本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3 适用版本

CheckPoint防火墙；

1.4 实施

本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国联通集团信息化事业部进行审批备案。

中国联通信息化事业部 第 1 页 共 15 页

CheckPoint防火墙安全配置指南

第2章 安全配置要求

2.1 系统安全 2.1.1 用户账号分配

项目名称 编号 用户账号分配要求 CheckPointFW-02-01-01 项目说明 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 检测操作步骤 符合性判定依据 2. 网络管理员确认用户与帐号分配关系明确 配置方法 使用客服端登陆设备，输入用户名密码登陆，如图所示添加用户和设置密码。1.安装GUI客户端在计算机上 2.登陆查看 1. 配置文件中，存在不同的帐号分配 中国联通信息化事业部 第 2 页 共 15 页

CheckPoint防火墙安全配置指南

实施风险 备注 确认所添加的用户无误。 2.1.2 删除无关的账号

项目名称 编号 删除无关的账号要求 CheckPointFW-02-01-02 项目说明 应删除或锁定与设备运行、维护等工作无关的账号。 检测操作步骤 符合性判定依据 配置方法 1.安装GUI客户端在计算机上。 2.登陆查看。 配置中不存在无关账号 使用客服端登陆设备，进入administrator permission,如图所示进行操作： 实施风险 备注

确认操作无误。 2.1.3 密码复杂度

项目名称 密码复杂度要求

第 3 页 共 15 页

中国联通信息化事业部

CheckPoint防火墙安全配置指南

编号 CheckPointFW-02-01-03 项目说明 防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字检测操作步骤 基线符合性判定依据 配置方法 母和特殊符号4类中至少3类。 1.安装GUI客户端在计算机上。 2.登陆查看。 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类 使用客服端登陆设备，进行用户添加时设置密码复杂度，如图所示： 实施风险 备注

确认操作无误，在不影响业务的前提下进行更新。 2.1.4 配置用户所需的最小权限

项目名称 编号 配置用户所需的最小权限要求项。 CheckPointFW-02-01-04 项目说明 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。 中国联通信息化事业部 第 4 页 共 15 页

CheckPoint防火墙安全配置指南

检测操作步骤 符合性判定依据 配置方法 不同用户登陆，尝试访问不同的模块。 不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外的模块。 使用客户端登陆设备，进行权限配置，如图所示： 实施风险 备注 确认操作无误。 2.1.5 安全登陆

项目名称 编号 安全登陆配置 CheckPointFW-02-01-05 项目说明 在PC机上安装CheckPoint GUI客服端，专机专用，确保设备的安全性。 检测操作步骤 符合性判定依据 配置方法 1. 检查在专用机上是否安装GUI客服端。 2. 使用客服端检测能否登陆设备 1. 检查是否专机专用 2. 是否安装客服端 将设备提供的客服端安装在专用的PC机上即可。 中国联通信息化事业部 第 5 页 共 15 页

CheckPoint防火墙安全配置指南

实施风险 备注

确认安装无误。 确保PC机为专用，无其他业务往来。 2.1.6 配置NTP

项目名称 编号 配置NTP服务器。 CheckPointFW-02-01-06 项目说明 开启NTP服务，保证日志功能记录的时间的准确性。 检测操作步骤 符合性判定依据 配置方法 用系统命令’date’查看系统时间。 系统时间和时钟源同步。 登陆设备，在Voyager界面的‘Router Services’启动NTP服务；在’Configuration’的‘Configure system time’指定NTP服务器IP地址。 实施风险 备注 确认操作无误。 2.1.7 安全配置SNMP

项目名称 编号 安全配置SNMP要求 CheckPointFW-02-01-07 项目说明 使用 SNMP V3以上的版本对防火墙做远程管理。去除SNMP 默认的共同体名中国联通信息化事业部

第 6 页 共 15 页

CheckPoint防火墙安全配置指南

(Community Name)和用户名（如public或private）。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。 检测操作步骤 符合性判定依据 配置方法 实施风险 备注

1.安装GUI客户端在计算机上。 2.登陆查看。 不存在SNMP 默认的共同体名(Community Name)如public或private 在Voyager界面配置系统SNMP读取或写权限口令，修改默认口令。 更改配置需测试充分。 第3章 日志安全要求

3.1 日志安全 3.1.1 启用日志功能

项目名称 编号 项目说明 启用日志功能。 CheckPointFW-03-01-01 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址等。 检测操作步骤 符合性判定依据 配置方法 检查在服务器上正确纪录了日志信息。 使用客服端登陆设备，进入日志模块，启用日志功能，如图所示进行操作： 使用客服端登陆设备，检查日志模块，查看是否启用。 中国联通信息化事业部 第 7 页 共 15 页

CheckPoint防火墙安全配置指南

实施风险 备注 确认操作无误及日志备份。 3.1.2 记录管理日志

项目名称 编号 记录管理日志。 CheckPointFW-03-01-02 项目说明 设备应配置日志功能，记录用户对设备的重要操作。 检测操作步骤 符合性判定依据 配置方法 对设备的操作会记录在日志中。 使用客服端登陆设备，进入日志模块，启用日志功能，如图所示进行操作： 使用客服端登陆设备，进入日志模块进行查看。 中国联通信息化事业部 第 8 页 共 15 页

CheckPoint防火墙安全配置指南

实施风险 备注 确认操作无误。 3.1.3 配置日志服务器

项目名称 编号 配置日志服务器。 CheckPointFW-03-01-03 项目说明 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 检测操作步骤 符合性判定依据 配置方法 使用客户端登陆设备，进入Global properties界面，如图所示进行配置： 使用客户端登陆设备，在日志服务器上查看信息。 日志服务器上是否接收到了正确的日志信息。 中国联通信息化事业部 第 9 页 共 15 页

CheckPoint防火墙安全配置指南

实施风险 备注 确认操作无误。 3.1.4 日志服务器磁盘空间

项目名称 编号 日志服务器磁盘空间。 CheckPointFW-03-01-04 项目说明 对管理服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间。 建议每个日志文件不超过50M，每天换一个日志文件。磁盘空间剩余少于500M的时候告警。 检测操作步骤 符合性判定依据 配置方法 1.安装GUI客户端在计算机上。 2.登陆查看。 登陆设备查看磁盘空间是否少于500M。 登陆设备，进入Check Point Gateway-Management界面，如图所示进行操作： 中国联通信息化事业部 第 10 页 共 15 页

CheckPoint防火墙安全配置指南

实施风险 备注 确认操作无误。 第4章 访问控制策略要求

4.1 访问控制策略安全

4.1.1 过滤所有与业务不相关的流量

项目名称 编号 过滤所有与业务不相关的流量。 CheckPointFW-04-01-01 项目说明 应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。 检测操作步使用不同的流量进行测试。

第 11 页 共 15 页

中国联通信息化事业部

CheckPoint防火墙安全配置指南

骤 符合性判定依据 配置方法 查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。 登陆设备,如图所示进行配置： 实施风险 备注

确保操作无误。 4.1.2 透明桥模式须关闭状态检测有关项

项目名称 编号 透明桥模式须关闭状态检测有关项要求。 CheckPointFW-04-01-02 项目说明 透明桥模式须关闭状态检测有关项，确保资源的利用率。 检测操作步骤 符合性判定依据 配置方法 1．安装GUI客户端在计算机上。 2．登陆查看。 登陆设备界面查看。 在Voyager界面配置透明桥端口模式。 在SmartDashBoard配置防火墙对象，针对这个防火墙关闭有关状态检测项。 中国联通信息化事业部 第 12 页 共 15 页

CheckPoint防火墙安全配置指南

实施风险 备注

确认关闭的状态检测无误。 4.1.3 账号与IP绑定

项目名称 编号 账号与IP绑定要求项。 CheckPointFW-04-01-03 使用非允许的ip地址登陆。 项目说明 对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。 检测操作步骤 符合性判定依据 配置方法 对于非允许的ip地址不能登陆。 登陆设备，如图所示进行操作： 中国联通信息化事业部 第 13 页 共 15 页

CheckPoint防火墙安全配置指南

实施风险 备注

确认操作无误。 4.1.4 双机架构采用VRRP模式部署

项目名称 编号 双机架构采用VRRP模式部署。 CheckPointFW-04-01-04 项目说明 双机架构采用VRRP模式部署，确保网络的稳定性。 检测操作步骤 符合性判定依据 配置方法 1．安装GUI客户端在计算机上。 2．登陆查看。 双机切换，网络连接不中断。 1.在Voyager界面配置VRRP模式双机集群，采用简单电路监控模式。 2.启用’Accept Connections to VRRP IPs’ 。 3.启用’Monitor Firewall State’。 4.在SmartDashBoard配置VRRP双机模块。 变得较大，需测试充分。 实施风险 备注 中国联通信息化事业部 第 14 页 共 15 页

CheckPoint防火墙安全配置指南

4.1.5 打开防御DDOS攻击功能

项目名称 编号 打开防御DDOS攻击功能。 CheckPointFW-04-01-05 项目说明 打开防DDOS攻击功能，确保系统安全。 检测操作步骤 符合性判定依据 配置方法 1．安装GUI客户端在计算机上。 2．登陆查看。 登陆设备，查看是否已经将此功能打开。 登陆设备，如图所示进行操作： 实施风险 备注

配置变化，注意CPU、内存利用率变化情况。 4.1.6 开启攻击防御功能

项目名称 编号 开启攻击防御功能。 CheckPointFW-04-01-06 项目说明 对于各端口要开启防欺骗功能。 检测操作步骤 符合性判定依据 配置方法 1．安装GUI客户端在计算机上。 2．登陆查看。 查看防欺骗功能是否打开。 登陆设备，如图所示进行操作： 实施风险 配置改变，注意CPU、内存利用率变化情况。 中国联通信息化事业部 第 15 页 共 15 页

CheckPoint防火墙安全配置指南

备注

第5章 评审与修订

本标准由中国联通集团信息化事业部定期进行审查，根据审视结果修订标准，并颁发执行。

中国联通信息化事业部 第 16 页 共 15 页