Checkpoint防火墻安全配置指南中國(guó)聯(lián)通信息化事業(yè)部

2012年12月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年12月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 1\o"CurrentDocument"1.1 目的 1\o"CurrentDocument"1.2 適用范圍 1\o"CurrentDocument"1.3 適用版本 1\o"CurrentDocument"1.4 實(shí)施 1\o"CurrentDocument"1.5 例外條款 1\o"CurrentDocument"第2章 安全配置要求 2\o"CurrentDocument"系統(tǒng)安全 2用戶(hù)賬號(hào)分配 2\o"CurrentDocument"刪除無(wú)關(guān)的賬號(hào) 3\o"CurrentDocument"密碼復(fù)雜度 3\o"CurrentDocument"配置用戶(hù)所需的最小權(quán)限 4\o"CurrentDocument"安全登陸 5配置NTP 6\o"CurrentDocument"安全配置SNMP 6\o"CurrentDocument"第3章 日志安全要求 7\o"CurrentDocument"日志安全 7啟用日志功能 7記錄管理日志 8\o"CurrentDocument"配置日志服務(wù)器 9\o"CurrentDocument"日志服務(wù)器磁盤(pán)空間 10\o"CurrentDocument"第4章 訪(fǎng)問(wèn)控制策略要求 11\o"CurrentDocument"訪(fǎng)問(wèn)控制策略安全 11\o"CurrentDocument"過(guò)濾所有與業(yè)務(wù)不相關(guān)的流量 11\o"CurrentDocument"透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng) 12\o"CurrentDocument"賬號(hào)與IP綁定 13\o"CurrentDocument"雙機(jī)架構(gòu)采用VRRP模式部署 14\o"CurrentDocument"打開(kāi)防御DD0S攻擊功能 15\o"CurrentDocument"開(kāi)啟攻擊防御功能 15\o"CurrentDocument"第5章 評(píng)審與修訂 16第1章概述1.1目的本文檔規(guī)定了中國(guó)聯(lián)通通信有限公司信息化事業(yè)部所維護(hù)管理的Checkpoint防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Checkpoint防火墻的安全配置。1.2適用范本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)聯(lián)通總部和各省公司信息化部門(mén)維護(hù)管理的Checkpoint防火墻。1.3適用版本Checkpoint防火墻；1.4實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)聯(lián)通集團(tuán)信息化事業(yè)部，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書(shū)面申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交中國(guó)聯(lián)通集團(tuán)信息化事業(yè)部進(jìn)行審批備案。

第2章安全配置要求系統(tǒng)安全用戶(hù)賬號(hào)分配廠(chǎng)^□orting-ftn':中國(guó)聯(lián)通信息化事業(yè)部廠(chǎng)^□orting-gn':GMcnitoringGMcnitoringI 3|在胡陽(yáng)證—第2川共15廠(chǎng)^□orting-ftn':中國(guó)聯(lián)通信息化事業(yè)部廠(chǎng)^□orting-gn':GMcnitoringGMcnitoringI 3|在胡陽(yáng)證—第2川共15頁(yè)iRradAA/riljc共15頁(yè)DKCanedHelpI實(shí)施風(fēng)險(xiǎn)確認(rèn)所添加的用戶(hù)無(wú)誤。備注2.1.2刪除無(wú)關(guān)的賬號(hào)2.1.3密碼復(fù)雜度項(xiàng)目名稱(chēng)密碼復(fù)雜度要求

編號(hào)CheckPointFW-02-01-03項(xiàng)目說(shuō)明檢測(cè)操作步

驟基線(xiàn)符合性

判定依據(jù)

配置方法防火墻管理員賬號(hào)口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少3類(lèi)。安裝GU編號(hào)CheckPointFW-02-01-03項(xiàng)目說(shuō)明檢測(cè)操作步

驟基線(xiàn)符合性

判定依據(jù)

配置方法防火墻管理員賬號(hào)口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少3類(lèi)。安裝GUI客戶(hù)端在計(jì)算機(jī)上。登陸查看?？诹铋L(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少3類(lèi)使用客服端登陸設(shè)備，進(jìn)行用戶(hù)添加時(shí)設(shè)置密碼復(fù)雜度，如圖所示：AddAdrmnrelratar広Read地r也AlrR心旦亦山廠(chǎng)CusbomiaEd冋SBCureUpdabH兩ObjectsDatable:麗CheckPerilDatabase帀LDAPUsersDaiabasft-2EmcurityPoiaies￥Uo5PolicjJ：廠(chǎng)遇Zcnsalidgbor：廠(chǎng)^□□rting 巫.時(shí)s皿ng 實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤，在不影響業(yè)務(wù)的前提下進(jìn)行更新。備注DKCanedHelp2.1.4配置用戶(hù)所需的最小權(quán)限項(xiàng)目名稱(chēng)配置用戶(hù)所需的最小權(quán)限要求項(xiàng)。編號(hào)CheckPointFW-02-01-04項(xiàng)目說(shuō)明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的管理等級(jí)，配置其所需的最小管理權(quán)限。

rieads-wrire備注冋SBCureUpdats:兩Check"ri：user?LmWbmset驟依據(jù)檢測(cè)操作步符合性判定配置方法實(shí)施風(fēng)險(xiǎn)不同用戶(hù)登陸，嘗試訪(fǎng)問(wèn)不同的模塊。不同用戶(hù)登陸，嘗試訪(fǎng)問(wèn)不同的模塊。用戶(hù)不能訪(fǎng)問(wèn)自己權(quán)限以外的模塊。使用客戶(hù)端登陸設(shè)備，進(jìn)行權(quán)限配置，如圖所示:CReadOnl^Al|ReadAprils麗DbiecisDatabfiit:peadAViiie _||ReadA>yrite審LDAPUsersDaiabasArieads-wrire備注冋SBCureUpdats:兩Check"ri：user?LmWbmset驟依據(jù)檢測(cè)操作步符合性判定配置方法實(shí)施風(fēng)險(xiǎn)不同用戶(hù)登陸，嘗試訪(fǎng)問(wèn)不同的模塊。不同用戶(hù)登陸，嘗試訪(fǎng)問(wèn)不同的模塊。用戶(hù)不能訪(fǎng)問(wèn)自己權(quán)限以外的模塊。使用客戶(hù)端登陸設(shè)備，進(jìn)行權(quán)限配置，如圖所示:CReadOnl^Al|ReadAprils麗DbiecisDatabfiit:peadAViiie _||ReadA>yrite審LDAPUsersDaiabasAVSBCurityPoiaies:疋DoSPolicu：!~［四LonsalidDbcz:|ReadAprilsDKCanedHelp |JReadAprilsMoiluuxi2.1.5安全登陸項(xiàng)目名稱(chēng)安全登陸配置編號(hào)CheckPointFW-02-01-05項(xiàng)目說(shuō)明在PC機(jī)上安裝CheckPointGUI客服端，專(zhuān)機(jī)專(zhuān)用，確保設(shè)備的安全性。檢測(cè)操作步1.檢查在專(zhuān)用機(jī)上是否安裝GUI客服端。驟2.使用客服端檢測(cè)能否登陸設(shè)備符合性判定1.檢查是否專(zhuān)機(jī)專(zhuān)用依據(jù)2.是否安裝客服端配置方法將設(shè)備提供的客服端安裝在專(zhuān)用的PC機(jī)上即可。

Client5陽(yáng)収jnmtww已trtifico冊(cè)cfimiDdnn住花旳匚:dticgtoUil^Heri^ycrClient5陽(yáng)収jnmtww已trtifico冊(cè)cfimiDdnn住花旳匚:dticgtoUil^Heri^ycrki4Settcl59pji?mi矽termsit啼&liuents5mphkl[ilaGLI口自弁Ftfflrtehn:hare:C-a-icel確認(rèn)安裝無(wú)誤。2?1?6配置NTP項(xiàng)目名稱(chēng)配置NTP服務(wù)器。編號(hào)CheckPointFW-02-01-06項(xiàng)目說(shuō)明開(kāi)啟NTP服務(wù)，保證日志功能記錄的時(shí)間的準(zhǔn)確性。檢測(cè)操作步驟用系統(tǒng)命令'date'查看系統(tǒng)時(shí)間。符合性判定依據(jù)系統(tǒng)時(shí)間和時(shí)鐘源同步。配置方法登陸設(shè)備，在Voyager界面的'RouterServices'啟動(dòng)NTP服務(wù)；在'Configuration'的'Configuresystemtime'指定NTP服務(wù)器IP地址。實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注2.1.7安全配置SNMP項(xiàng)目名稱(chēng)安全配置SNMP要求編號(hào)CheckPointFW-02-01-07項(xiàng)目說(shuō)明使用SNMPV3以上的版本對(duì)防火墻做遠(yuǎn)程管理。去除SNMP默認(rèn)的共同體名

(CommunityName)和用戶(hù)名(如public或private)。并且不同的用戶(hù)名和共同體明對(duì)應(yīng)不同的權(quán)限(只讀或者讀寫(xiě))。檢測(cè)操作步驟安裝GUI客戶(hù)端在計(jì)算機(jī)上。登陸查看。符合性判定依據(jù)不存在SNMP默認(rèn)的共同體名(CommunityName)如public或private配置方法在Voyager界面配置系統(tǒng)SNMP讀取或?qū)憴?quán)限口令，修改默認(rèn)口令。實(shí)施風(fēng)險(xiǎn)更改配置需測(cè)試充分。備注第3章日志安全要求日志安全啟用日志功能項(xiàng)目名稱(chēng)啟用日志功能。編號(hào)CheckPointFW-03-01-01項(xiàng)目說(shuō)明設(shè)備應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶(hù)使用的IP地址等。檢測(cè)操作步驟使用客服端登陸設(shè)備，檢查日志模塊，查看是否啟用。符合性判定依據(jù)檢查在服務(wù)器上正確紀(jì)錄了日志信息。配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作：

E：L|E-t-1.JinQwrIitIvMiI：:11fjfah!>3d*a 蜻云wp城IB15UEQItAMiitji14iviaiiSannj]■2山伽*5無(wú)kLb*M*a.\:TlfIB—總>L占I.fitbsbbLCun.Fci.ilM?_11只_iLuiijU-'it血Ilaniir-￡<r3|miZlIMUaE：L|E-t-1.JinQwrIitIvMiI：:11fjfah!>3d*a 蜻云wp城IB15UEQItAMiitji14iviaiiSannj]■2山伽*5無(wú)kLb*M*a.\:TlfIB—總>L占I.fitbsbbLCun.Fci.ilM?_11只_iLuiijU-'it血Ilaniir-￡<r3|miZlIMUa-llL?LWclRRWeGHErkdSEfwino?BCkd：加曲iAfiW Eh13 Erd%D ;E*Ap!?hrd bf3ir4ralr ￡$F^I h^ignj.4^2* X.1U?4 *山23Ali￡kaJCJajljdkR&iij|iiT^cau-fn:111IKwardr 陷需欄舊*- A?*.矗肛,”瞬仙I畐mEgFulwsaV[B'fJTLlS日Iowttw?".?Mr*p-^3-HiCMJc9LAll?fmmj?:fH?!MK-.?H-].LIE/nT5K]7]rB&■1:ITI■■JLi.1J?-fl-.-p'>t_BI1J—-J..1I-zrt9J—!■J.1tJIIIII"U<SWHI-=r宛樂(lè)血顯*BAHkcvhBtudiU?fllSnixi^iri0￡?cwrilirBlBV%hUu?niD*r-UTSTIJinldlBQGi44EriIFLinIZXML%C90￡L^clI3fi￡炸0-1遠(yuǎn)mriLOZJTUrL*I￡：皿工Alri^；JWrtSKUOfiSEMHtZKI勵(lì)U?￡tt.LOt込吐丁21?-山HS鋁詔hlwfFiCl^nUhItHiCiiik_niAa^fcl.lVl￡”a■亠《■?l?uth31:Et4?MuiiRVaUiit111354.111inniiiHIII￡5411i'III曲勺P1.1JB4.LIrnIRlP+rfHiIeW|*?I■誕rffHEiaLldj|l*PfLlilUIII 口弓1兇{E*□l： iii+1:l￡ L：唱T?4 rri-i-13ix l±<ikfakiJ It11 Lf-llibbrink2實(shí)施風(fēng)險(xiǎn) 確認(rèn)操作無(wú)誤及日志備份。備注記錄管理日志項(xiàng)目名稱(chēng)記錄管理日志。編號(hào)CheckPointFW-03-01-02項(xiàng)目說(shuō)明設(shè)備應(yīng)配置日志功能，記錄用戶(hù)對(duì)設(shè)備的重要操作。檢測(cè)操作步驟使用客服端登陸設(shè)備，進(jìn)入日志模塊進(jìn)行查看。符合性判定依據(jù)對(duì)設(shè)備的操作會(huì)記錄在日志中。配置方法使用客服端登陸設(shè)備，進(jìn)入日志模塊，啟用日志功能，如圖所示進(jìn)行操作：[.lLiEblTIW*udT[r>ICili[71litodw￡酩田■百蛙：u<r詁血“tLSr?MET■M?m?3nmnKIsVShrWKHX：9IE耳時(shí)3JkUHETOtSME昭ECrrlTtewELLIllRLTiJ叵^EILE叵一lJ-LJlEBFBL-叵匡IfJLfieIkCdrl>Fu.i_!B'[.lLiEblTIW*udT[r>ICili[71litodw￡酩田■百蛙：u<r詁血“tLSr?MET■M?m?3nmnKIsVShrWKHX：9IE耳時(shí)3JkUHETOtSME昭ECrrlTtewELLIllRLTiJ叵^EILE叵一lJ-LJlEBFBL-叵匡IfJLfieIkCdrl>Fu.i_!B'CillTtms_WCdIhru.s.WilukK,d.i.teakliih.kvna>iilIAMinitdLi-niir-33InJjiITIu*J.i?till34LUIIDEllTHII.Kfell LI汕Lli幻豐ifLIL LL10III?5ll|i1011!?11：iilfit!■&irfIin“D-*JlwLc1jd?ikL」RISu；UukiJKJb.；Iriahid.gir1峠3"』知12用*II皿、IJndJiL2EilhlrMsdl■■.ElUa實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注3.1.3配置日志服務(wù)器項(xiàng)目名稱(chēng)配置日志服務(wù)器。編號(hào)CheckPointFW-03-01-03項(xiàng)目說(shuō)明設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)TO出器。檢測(cè)操作步驟使用客戶(hù)端登陸設(shè)備，在日志服務(wù)器上查看信息。符合性判定依據(jù)日志服務(wù)器上是否接收到了正確的日志信息。配置方法使用客戶(hù)端登陸設(shè)備，進(jìn)入Globalproperties界面，如圖所示進(jìn)行配置：

實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注3.1.4日志服務(wù)器磁盤(pán)空間項(xiàng)目名稱(chēng)日志服務(wù)器磁盤(pán)空間。編號(hào)CheckPointFW-03-01-04項(xiàng)目說(shuō)明對(duì)管理服務(wù)器的日志文件大小和轉(zhuǎn)存必須進(jìn)行設(shè)置，并保護(hù)系統(tǒng)磁盤(pán)空間。建議每個(gè)日志文件不超過(guò)50M,每天換一個(gè)日志文件。磁盤(pán)空間剩余少于500M的時(shí)候告警。檢測(cè)操作步驟安裝GUI客戶(hù)端在計(jì)算機(jī)上。登陸查看。符合性判定依據(jù)登陸設(shè)備查看磁盤(pán)空間是否少于500M。配置方法登陸設(shè)備，進(jìn)入CheckPointGateway-Management界面，如圖所示進(jìn)行操作：

*丨 *丨 IJdOK CancelIHelp實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無(wú)誤。備注第4章訪(fǎng)問(wèn)控制策略要求4.1訪(fǎng)問(wèn)控制策略安全4.1.1過(guò)濾所有與業(yè)務(wù)不相關(guān)的流量項(xiàng)目名稱(chēng)過(guò)濾所有與業(yè)務(wù)不相關(guān)的流量。編號(hào)CheckPointFW-04-01-01項(xiàng)目說(shuō)明應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP地址、通信協(xié)議TCP或UDP、目的IP地址、源端口、目的端口的流量過(guò)濾，過(guò)濾所有和業(yè)務(wù)不相關(guān)的流量。檢測(cè)操作步使用不冋的流量進(jìn)行測(cè)試。

驟符合性判定查看正常流量是否可以通過(guò)防火墻，非法流量是否被防火墻阻隔。依據(jù) 配置方法登陸設(shè)備,如圖所示進(jìn)行配置：實(shí)施風(fēng)險(xiǎn)確保操作無(wú)誤。備注透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)項(xiàng)目名稱(chēng)透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)要求。編號(hào)CheckPointFW-04-01-02項(xiàng)目說(shuō)明透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)，確保資源的利用率。檢測(cè)操作步驟1?安裝GUI客戶(hù)端在計(jì)算機(jī)上。2.登陸查看。符合性判定依據(jù)登陸設(shè)備界面查看。配置方法在Voyager界面配置透明橋端口模式。在SmartDashBoard配置防火墻對(duì)象，針對(duì)這個(gè)防火墻關(guān)閉有關(guān)狀態(tài)檢測(cè)項(xiàng)。

實(shí)施風(fēng)險(xiǎn)確認(rèn)關(guān)閉的狀態(tài)檢測(cè)無(wú)誤。備注4.1.3賬號(hào)與IP綁定項(xiàng)目名稱(chēng)賬號(hào)與IP綁定要求項(xiàng)。編號(hào)CheckPointFW-04-01-03項(xiàng)目說(shuō)明對(duì)于登陸賬戶(hù)的ip地址，配置為只允許從某些ip地址登陸。檢測(cè)操作步驟使用非允許的ip地址登陸。符合性判定依據(jù)對(duì)于