Checkpoint防火墙安全配置指南.doc

CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 1 页 共 15 页 CheckpointCheckpoint 防火墙安全配置指南防火墙安全配置指南 中国联通信息化事业部中国联通信息化事业部 2012 年 12 月 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 2 页 共 15 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2012 年 12 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 3 页 共 15 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章安全配置要求安全配置要求 2 2 1系统安全 2 2 1 1用户账号分配 2 2 1 2删除无关的账号 3 2 1 3密码复杂度 3 2 1 4配置用户所需的最小权限 4 2 1 5安全登陆 5 2 1 6配置 NTP 6 2 1 7安全配置 SNMP 6 第第 3 章章日志安全要求日志安全要求 7 3 1日志安全 7 3 1 1启用日志功能 7 3 1 2记录管理日志 8 3 1 3配置日志服务器 9 3 1 4日志服务器磁盘空间 10 第第 4 章章访问控制策略要求访问控制策略要求 11 4 1访问控制策略安全 11 4 1 1过滤所有与业务不相关的流量 11 4 1 2透明桥模式须关闭状态检测有关项 12 4 1 3账号与IP绑定 13 4 1 4双机架构采用 VRRP 模式部署 14 4 1 5打开防御 DDOS 攻击功能 15 4 1 6开启攻击防御功能 15 第第 5 章章评审与修订评审与修订 16 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 1 页 共 15 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国联通通信有限公司信息化事业部所维护管理的 CheckPoint 防火墙应 当遵循的设备安全性设置标准 本文档旨在指导系统管理人员进行 CheckPoint 防火墙的安 全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国联通总部和各省公司信息化部门维护管理的 CheckPoint 防火墙 1 3 适用版本适用版本 CheckPoint 防火墙 1 4 实施实施 本标准的解释权和修改权属于中国联通集团信息化事业部 在本标准的执行过程中若 有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国联通集团信息化事业部进行审批备案 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 2 页 共 15 页 第第 2 章章安全配置要求安全配置要求 2 1 系统安全系统安全 2 1 1 用户账号分配用户账号分配 项目名称项目名称 用户账号分配要求 编号编号 CheckPointFW 02 01 01 项目说明项目说明 应按照用户分配账号 避免不同用户间共享账号 避免用户账号和设备间通 信使用的账号共享 检测操作步检测操作步 骤骤 1 安装 GUI 客户端在计算机上 2 登陆查看 符合性判定符合性判定 依据依据 1 配置文件中 存在不同的帐号分配 2 网络管理员确认用户与帐号分配关系明确 配置方法配置方法 使用客服端登陆设备 输入用户名密码登陆 如图所示添加用户和设置密码 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 3 页 共 15 页 实施风险实施风险 确认所添加的用户无误 备注备注 2 1 2 删除无关的账号删除无关的账号 项目名称项目名称 删除无关的账号要求 编号编号 CheckPointFW 02 01 02 项目说明项目说明 应删除或锁定与设备运行 维护等工作无关的账号 检测操作步检测操作步 骤骤 1 安装GUI客户端在计算机上 2 登陆查看 符合性判定符合性判定 依据依据 配置中不存在无关账号 配置方法配置方法 使用客服端登陆设备 进入 administrator permission 如图所示进行操作 实施风险实施风险 确认操作无误 备注备注 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 4 页 共 15 页 2 1 3 密码复杂度密码复杂度 项目名称项目名称密码复杂度要求 编号编号 CheckPointFW 02 01 03 项目说明项目说明 防火墙管理员账号口令长度至少8位 并包括数字 小写字母 大写 字母和特殊符号4类中至少3类 检测操作步检测操作步 骤骤 1 安装GUI客户端在计算机上 2 登陆查看 基线符合性基线符合性 判定依据判定依据 口令长度至少8位 并包括数字 小写字母 大写字母和特殊符号4类 中至少3类 配置方法配置方法 使用客服端登陆设备 进行用户添加时设置密码复杂度 如图所示 实施风险实施风险 确认操作无误 在不影响业务的前提下进行更新 备注备注 2 1 4 配置用户所需的最小权限配置用户所需的最小权限 项目名称项目名称 配置用户所需的最小权限要求项 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 5 页 共 15 页 编号编号 CheckPointFW 02 01 04 项目说明项目说明 在设备权限配置能力内 根据用户的管理等级 配置其所需的最小管理权限 检测操作步检测操作步 骤骤 不同用户登陆 尝试访问不同的模块 符合性判定符合性判定 依据依据 不同用户登陆 尝试访问不同的模块 用户不能访问自己权限以外的模块 配置方法配置方法使用客户端登陆设备 进行权限配置 如图所示 实施风险实施风险 确认操作无误 备注备注 2 1 52 1 5安全登陆安全登陆 项目名称项目名称 安全登陆配置 编号编号 CheckPointFW 02 01 05 项目说明项目说明 在 PC 机上安装 CheckPoint GUI 客服端 专机专用 确保设备的安全性 检测操作步检测操作步1 检查在专用机上是否安装GUI客服端 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 6 页 共 15 页 骤骤2 使用客服端检测能否登陆设备 符合性判定符合性判定 依据依据 1 检查是否专机专用 2 是否安装客服端 配置方法配置方法 将设备提供的客服端安装在专用的 PC 机上即可 实施风险实施风险 确认安装无误 备注备注 确保 PC 机为专用 无其他业务往来 2 1 6 配置配置 NTPNTP 项目名称项目名称 配置 NTP 服务器 编号编号 CheckPointFW 02 01 06 项目说明项目说明 开启 NTP 服务 保证日志功能记录的时间的准确性 检测操作步检测操作步 骤骤 用系统命令 date 查看系统时间 符合性判定符合性判定 依据依据 系统时间和时钟源同步 配置方法配置方法 登陆设备 在 Voyager 界面的 Router Services 启动 NTP 服务 在 Configuration 的 Configure system time 指定 NTP 服务器 IP 地址 实施风险实施风险 确认操作无误 备注备注 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 7 页 共 15 页 2 1 7 安全配置安全配置 SNMPSNMP 项目名称项目名称 安全配置 SNMP 要求 编号编号 CheckPointFW 02 01 07 项目说明项目说明 使用 SNMP V3 以上的版本对防火墙做远程管理 去除 SNMP 默认的共同体名 Community Name 和用户名 如 public 或 private 并且不同的用户名和共 同体明对应不同的权限 只读或者读写 检测操作步检测操作步 骤骤 1 安装GUI客户端在计算机上 2 登陆查看 符合性判定符合性判定 依据依据 不存在SNMP 默认的共同体名 Community Name 如public或private 配置方法配置方法在Voyager界面配置系统SNMP读取或写权限口令 修改默认口令 实施风险实施风险 更改配置需测试充分 备注备注 第第 3 章章日志安全要求日志安全要求 3 1 日志安全日志安全 3 1 1 启用日志功能启用日志功能 项目名称项目名称 启用日志功能 编号编号 CheckPointFW 03 01 01 项目说明项目说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址等 检测操作步检测操作步 骤骤 使用客服端登陆设备 检查日志模块 查看是否启用 符合性判定符合性判定 依据依据 检查在服务器上正确纪录了日志信息 配置方法配置方法 使用客服端登陆设备 进入日志模块 启用日志功能 如图所示进行操作 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 8 页 共 15 页 实施风险实施风险 确认操作无误及日志备份 备注备注 3 1 2 记录管理日志记录管理日志 项目名称项目名称 记录管理日志 编号编号 CheckPointFW 03 01 02 项目说明项目说明 设备应配置日志功能 记录用户对设备的重要操作 检测操作步检测操作步 骤骤 使用客服端登陆设备 进入日志模块进行查看 符合性判定符合性判定 依据依据 对设备的操作会记录在日志中 配置方法配置方法 使用客服端登陆设备 进入日志模块 启用日志功能 如图所示进行操作 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 9 页 共 15 页 实施风险实施风险 确认操作无误 备注备注 3 1 3 配置日志服务器配置日志服务器 项目名称项目名称 配置日志服务器 编号编号 CheckPointFW 03 01 03 项目说明项目说明 设备配置远程日志功能 将需要重点关注的日志内容传输到日志服务 器 检测操作步检测操作步 骤骤 使用客户端登陆设备 在日志服务器上查看信息 符合性判定符合性判定 依据依据 日志服务器上是否接收到了正确的日志信息 配置方法配置方法使用客户端登陆设备 进入 Global properties 界面 如图所示进行配置 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 10 页 共 15 页 实施风险实施风险 确认操作无误 备注备注 3 1 4 日志服务器磁盘空间日志服务器磁盘空间 项目名称项目名称 日志服务器磁盘空间 编号编号 CheckPointFW 03 01 04 项目说明项目说明 对管理服务器的日志文件大小和转存必须进行设置 并保护系统磁盘空间 建议每个日志文件不超过50M 每天换一个日志文件 磁盘空间剩余少于 500M的时候告警 检测操作步检测操作步 骤骤 1 安装GUI客户端在计算机上 2 登陆查看 符合性判定符合性判定 依据依据 登陆设备查看磁盘空间是否少于500M 配置方法配置方法登陆设备 进入 Check Point Gateway Management 界面 如图所示进行操作 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 11 页 共 15 页 实施风险实施风险 确认操作无误 备注备注 第第 4 章章访问控制策略要求访问控制策略要求 4 1 访问控制策略安全访问控制策略安全 4 1 1 过滤所有与业务不相关的流量过滤所有与业务不相关的流量 项目名称项目名称 过滤所有与业务不相关的流量 编号编号 CheckPointFW 04 01 01 项目说明项目说明 应根据业务需要 配置基于源IP地址 通信协议TCP或UDP 目的IP地 址 源端口 目的端口的流量过滤 过滤所有和业务不相关的流量 检测操作步检测操作步使用不同的流量进行测试 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 12 页 共 15 页 骤骤 符合性判定符合性判定 依据依据 查看正常流量是否可以通过防火墙 非法流量是否被防火墙阻隔 配置方法配置方法 登陆设备 如图所示进行配置 实施风险实施风险 确保操作无误 备注备注 4 1 2 透明桥模式须关闭状态检测有关项透明桥模式须关闭状态检测有关项 项目名称项目名称 透明桥模式须关闭状态检测有关项要求 编号编号 CheckPointFW 04 01 02 项目说明项目说明 透明桥模式须关闭状态检测有关项 确保资源的利用率 检测操作步检测操作步 骤骤 1 安装GUI客户端在计算机上 2 登陆查看 符合性判定符合性判定 依据依据 登陆设备界面查看 配置方法配置方法在Voyager界面配置透明桥端口模式 在SmartDashBoard配置防火墙对象 针对这个防火墙关闭有关状态检测项 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 13 页 共 15 页 实施风险实施风险 确认关闭的状态检测无误 备注备注 4 1 3 账号与账号与 IP 绑定绑定 项目名称项目名称 账号与 IP 绑定要求项 编号编号 CheckPointFW 04 01 03 项目说明项目说明 对于登陆账户的ip地址 配置为只允许从某些ip地址登陆 检测操作步检测操作步 骤骤 使用非允许的ip地址登陆 符合性判定符合性判定 依据依据 对于非允许的ip地址不能登陆 配置方法配置方法登陆设备 如图所示进行操作 CheckPoint 防火墙安全配置指南 中国联通信息化事业部第 14 页 共 15 页 实施风险实施风险 确认操作无误 备注备注 4 1 4 双机架构采用双机架构采用 VRRPVRRP 模式部署模式部署 项目名称项目名称双机架构采用VRRP模式部署 编号编号 CheckPointFW 04 01 04 项目说明项目说明 双机架构采用VRRP模式部署 确保网络的稳定性 检测操作步检测操作步 骤骤 1 安装GUI客户端在计算机上 2 登陆查看 符合性判定符合性判定 依据依据 双机切换 网络连接不中断 配置方法配置方法1 在Voyager界面配置VRRP模式双机集群 采用简单电路监控模式 2 启用 Accept Connections to VRRP IPs 3 启用 Monitor Firew