CheckPoint防火墙安全配置基线.doc

CheckPoint 防火墙安全配置基线 中国移动集团公司第 1 页 共 20 页 CheckPointCheckPoint 防火墙安全配置基线防火墙安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 CheckPoint 防火墙安全配置基线 中国移动集团公司第 2 页 共 20 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2 0创建2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 CheckPoint 防火墙安全配置基线 中国移动集团公司第 3 页 共 20 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章帐号管理 认证授权安全要求帐号管理 认证授权安全要求 2 2 1帐号管理 2 2 1 1用户帐号分配 2 2 1 2删除无关的帐号 2 2 1 3帐户登录超时 3 2 1 4帐户密码错误自动锁定 4 2 2口令 4 2 2 1口令复杂度要求 4 2 3授权 5 2 3 1远程维护的设备使用加密协议 5 第第 3 章章日志及配置安全要求日志及配置安全要求 7 3 1日志安全 7 3 1 1记录用户对设备的操作 7 3 1 2开启记录NAT日志 7 3 1 3开启记录VPN日志 8 3 1 4配置记录流量日志 9 3 1 5配置记录拒绝和丢弃报文规则的日志 9 3 2安全策略配置要求 10 3 2 1访问规则列表最后一条必须是拒绝一切流量 10 3 2 2配置访问规则应尽可能缩小范围 10 3 2 3配置OPSEC类型对象 11 3 2 4配置NAT地址转换 11 3 2 5限制用户连接数 12 3 2 6Syslog转发SmartCenter日志 12 3 3攻击防护配置要求 14 3 3 1定义执行IPS的防火墙 14 3 3 2定义IPS Profile 15 第第 4 章章防火墙备份与恢复防火墙备份与恢复 16 4 1 1SmartCenter备份和恢复 upgrade tools 16 第第 5 章章评审与修订评审与修订 17 CheckPoint 防火墙安全配置基线 中国移动集团公司第 1 页 共 20 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 CheckPoint 防火墙应当遵循的设 备安全性设置标准 本文档旨在指导系统管理人员进行 CheckPoint 防火墙的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 CheckPoint 防火墙 1 3 适用版本适用版本 CheckPoint 防火墙 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 CheckPoint 防火墙安全配置基线 中国移动集团公司第 2 页 共 20 页 第第 2 章章帐号管理 认证授权安全要求帐号管理 认证授权安全要求 2 1 帐号管理帐号管理 2 1 1 用户帐号分配用户帐号分配 安全基线项安全基线项 目名称目名称 用户帐号分配安全基线要求项 安全基线编安全基线编 号号 SBL CP 02 01 01 安全基线项安全基线项 说明说明 不同等级管理员分配不同帐号 避免帐号混用 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 set user newpass passwd 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 用配置中没有的用户名去登录 结果是不能登录 2 检测操作检测操作 show users show user username 3 补充说明补充说明 无 备注备注 有些防火墙系统本身就携带三种不同权限的帐号 需要手工检查 2 1 2 删除无关的删除无关的帐号帐号 安全基线项安全基线项 目名称目名称 无关的帐号安全基线要求项 安全基线编安全基线编 号号 SBL CP 02 01 02 安全基线项安全基线项 说明说明 应删除或锁定与设备运行 维护等工作无关的帐号 CheckPoint 防火墙安全配置基线 中国移动集团公司第 3 页 共 20 页 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 config t Enter configuration commands one per line End with CNTL Z no username ruser3 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置中用户信息被删除 2 检测操作检测操作 delete user username 3 补充说明补充说明 无 备注备注 建议手工抽查系统 无关账户更多属于管理层面 需要人为确认 2 1 3 帐户登录超时帐户登录超时 安全基线项安全基线项 目名称目名称 帐户登录超时安全基线要求项 安全基线编安全基线编 号号 SBL CP 02 01 03 安全基线项安全基线项 说明说明 配置定时帐户自动登出 空闲 5 分钟自动登出 登出后用户需再次登录才能 进入系统 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置超时时间为 5 分钟 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 在超出设定时间后 用户自动登出设备 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 无 CheckPoint 防火墙安全配置基线 中国移动集团公司第 4 页 共 20 页 备注备注 需要手工检查 2 1 4 帐户密码错误自动锁定帐户密码错误自动锁定 安全基线项安全基线项 目名称目名称 帐户密码错误自动锁定安全基线要求项 安全基线编安全基线编 号号 SBL CP 02 01 04 安全基线项安全基线项 说明说明 在 10 次尝试登录失败后锁定帐户 不允许登录 解锁时间设置为 300 秒 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置尝试失败锁定次数为 10 次 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 超出重试次数后帐号锁定 不允许登录 解锁时间到达后可以登录 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 无 备注备注 注意 此项设置会影响性能 建议设置后对访问此设备做源地址做限制 需要手工检查 需要手工检查 2 2 口令口令 2 2 1 口令复杂度要求口令复杂度要求 安全基线项安全基线项 目名称目名称 口令复杂度要求安全基线要求项 安全基线编安全基线编 号号 SBL CP 02 02 01 安全基线项安全基线项 说明说明 防火墙管理员帐号口令长度至少 8 位 并包括数字 小写字母 大写字母 CheckPoint 防火墙安全配置基线 中国移动集团公司第 5 页 共 20 页 和特殊符号四类中至少两类 且 5 次次以内不得设置相同的口令 密码应至少 每 90 天天进行更换 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 show password controls 2 补充操作说明补充操作说明 口令字符不完全符合要求 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 需要管理员打开或关闭此功能 2 检测操作检测操作 3 补充说明补充说明 无 备注备注 2 3 授权授权 2 3 1 远程维护的设备使用加密协议远程维护的设备使用加密协议 安全基线项安全基线项 目名称目名称 远程维护使用加密协议安全基线要求项 安全基线编安全基线编 号号 SBL CP 02 03 01 安全基线项安全基线项 说明说明 对于防火墙远程管理的配置 必须是基于加密的协议 如 SSH 或者 WEB SSL 如果只允许从防火墙内部进行管理 应该限定管理 IP 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 show ssh server enable 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否启用 SSH 连接 2 检测操作检测操作 CheckPoint 防火墙安全配置基线 中国移动集团公司第 6 页 共 20 页 show ssh server allow groups allow users deny groups deny users permit root login 3 补充说明补充说明 无 备注备注 CheckPoint 防火墙安全配置基线 中国移动集团公司第 7 页 共 20 页 第第 3 章章日志及配置安全要求日志及配置安全要求 3 1 日志安全日志安全 3 1 1 记录用户对设备的操作记录用户对设备的操作 安全基线项安全基线项 目名称目名称 用户对设备记录安全基线要求项 安全基线编安全基线编 号号 SBL CP 03 01 01 安全基线项安全基线项 说明说明 配置记录防火墙管理员操作日志 如管理员登录 修改管理员组操作 帐号 解锁等信息 配置防火墙将相关的操作日志送往操作日志审计系统或者其他 相关的安全管控系统 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 2 补充操作说明 补充操作说明 在启动日志记录的情况下 CP 会记录相关的日志 无需额外配置 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 SmartView Tracker 2 检测操作检测操作 可以通过 开始 程序 Check Point SmartCosole R75 SmartView Tracker 或登录 SmartDashboard Windows SmartViewTracker 打开该工具 Management 显示审计相关的数据 记录管理员 应用和操作详细信息 比如修改对象 添加策略 安装策略等 双击日志条目可以查看详细信息 备注备注 3 1 2 开启记录开启记录 NAT 日志日志 安全基线项安全基线项 目名称目名称 开启记录 NAT 日志安全基线要求项 安全基线编安全基线编 号号 SBL CP 03 01 02 安全基线项安全基线项开启记录 NAT 日志 记录转换前后 IP 地址的对应关系 CheckPoint 防火墙安全配置基线 中国移动集团公司第 8 页 共 20 页 说明说明 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 I 启动日志记录 2 补充操作说明 补充操作说明 在启动日志记录的情况下 CP 会记录 NAT 的日志 无需额外配置 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 loggig 相关配置 2 检测操作检测操作 可以通过 开始 程序 Check Point SmartCosole R75 SmartView Tracker 或登录 SmartDashboard Windows SmartViewTracker 打开该工具 双击日志条目可以查看详细信息 在滤镜工具里面选择 NAT 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 1 3 开启记录开启记录 VPN 日志日志 安全基线项安全基线项 目名称目名称 开启记录 VPN 日志安全基线要求项 安全基线编安全基线编 号号 SBL CP 03 01 03 安全基线项安全基线项 说明说明 开启记录 VPN 日志 记录 VPN 访问登陆 退出等信息 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 2 补充操作说明 补充操作说明 在启动日志记录的情况下 CP 会记录 VPN 的日志 无需额外配置 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 loggig 相关配置 2 检测操作检测操作 可以通过 开始 程序 Check Point SmartCosole R75 SmartView Tracker 或登录 SmartDashboard Windows SmartViewTracker 打开该工具 双击日志条目可以查看详细信息 左侧选择 VPN 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 CheckPoint 防火墙安全配置基线 中国移动集团公司第 9 页 共 20 页 3 1 4 配置记录流量日志配置记录流量日志 安全基线项安全基线项 目名称目名称 配置记录流量日志安全基线要求项 安全基线编安全基线编 号号 SBL CP 03 01 04 安全基线项安全基线项 说明说明 配置记录流量日志 记录通过防火墙的网络连接的信息 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 SmartView Monitor 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 可以通过 开始 程序 Check Point SmartCosole R75 SmartView Monitor 或登录 SmartDashboard Windows SmartView Monitor 打开该工具 左侧 Traffic 备注备注 3 1 5 配置记录拒绝和丢弃报文规则的日志配置记录拒绝和丢弃报文规则的日志 安全基线项安全基线项 目名称目名称 配置记录拒绝和丢弃报文规则的日志安全基线要求项 安全基线编安全基线编 号号 SBL CP 03 01 05 安全基线项安全基线项 说明说明 配置防火墙规则 记录防火墙拒绝和丢弃报文的日志 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 CP 防火墙自动将在访问控制列表 access list 中拒绝 deny 的数据包生 成 log 信息 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 可以通过 开始 程序 Check Point SmartCosole R75 SmartView Tracker 或登录 SmartDashboard Windows SmartViewTracker 打开该工具 选择 Drop 备注备注 CheckPoint 防火墙安全配置基线 中国移动集团公司第 10 页 共 20 页 3 2 安全策略配置要求安全策略配置要求 3 2 1 访问规则列表最后一条必须是拒绝一切流量访问规则列表最后一条必须是拒绝一切流量 安全基线项安全基线项 目名称目名称 访问规则列表最后一条必须是拒绝一切流量安全基线要求项 安全基线编安全基线编 号号 SBL CP 03 02 01 安全基线项安全基线项 说明说明 防火墙在配置访问规则列表时 最后一条必须是拒绝一切流量 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 在设置最后一条规则时 配置规则 来源选择 Any 目的选择 any 动作选择 drop 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 备注备注 3 2 2 配置访问规则应尽可能缩小范围配置访问规则应尽可能缩小范围 安全基线项安全基线项 目名称目名称 配置访问规则应尽可能缩小范围安全基线要求项 安全基线编安全基线编 号号 SBL CP 03 02 02 安全基线项安全基线项 说明说明 在配置访问规则时 源地址 目的地址 服务或端口的范围必须以实际访问 需求为前提 尽可能的缩小范围 禁止源到目的全部允许规则 禁止目的地 址及服务全允许规则 禁止全服务访问规则 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 2 补充操作说明 补充操作说明 细化对象所允许的端口 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置 2 检测操作检测操作 备注备注 CheckPoint 防火墙安全配置基线 中国移动集团公司第 11 页 共 20 页 3 2 3 配置配置 OPSEC 类型对象类型对象 安全基线项安全基线项 目名称目名称 配置 OPSEC 类型对象 安全基线编安全基线编 号号 SBL CP 03 02 03 安全基线项安全基线项 说明说明 OPSEC 是 Check Point 发起组建的开放的安全平台组织 主要旨在提供与 Check Point 相兼容的开放应用程序接口 实现与 Check Point 产品在安全平 台上联动起来 最大限度的调用企业信息资源最大化安全配置 加入 OPSEC 组织的厂商有近百家 如微软 CISCO 以及其他厂商 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 Check Point 防火墙可以与 Radius LDAP TACACS 以及 Securid 等 等实现联动配置 下面具体举例配置 Radius 定义 Radius 主要用在管理员帐号或者 VPN 帐号登录的集中验证 需要 与 Radius 服务器联动 因此需要预先在管理服务器上定义好 Radius 属性 选择配置标签 右键点击 Services and OPSEC Applications 选择 New RADIUS 如下图RADIUS Server属性界面 配置 Name Host 以及 Service 和 Shared Secret 等属性 这部分属于RADIUS 服务端的配置 需要RADIUS管理员确认好 确保配置一致 定义完成 Radius对象后 需要定义Radius用户 通常定义一个 generic 代表所有需 要认证请求的用户 即通配用户 如下点击用户定义模块 选择 External User Profiles 选择 Match all users 定义外部用户 通 常以 generic 表示 选择认证模式 RADIUS 认证 然后在下面选择 定义好的 RADIUS 服务器 配置完成Radius用户后 再配置Radius用户 组 如下所示 新建一个 User Group 将 generic 用户添加到用户 组名称为 Radius User 的对象中 定义完成Radius服务器对象 Radius 用户对象以及Radius组对象之后 下面即定义Radius策略 用户组为使用 Radius服务器上的VPN用户访问IPSEC VPN的策略 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 2 4 配置配置 NAT 地址转换地址转换 安全基线项安全基线项 目名称目名称 配置 NAT 地址转换安全基线要求项 安全基线编安全基线编 号号 SBL CP 03 02 04 安全基线项安全基线项配置 NAT 地址转换 对互联网隐藏内网主机的实际地址 CheckPoint 防火墙安全配置基线 中国移动集团公司第 12 页 共 20 页 说明说明 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 通常是内部网段要通过防火墙访问到 Internet 因此我给需要 访问 internet 的网络对象配置 NAT Hide 在防火墙后面访问到互 联网 首先定义内部网段对象 新建一个 Network 配置 Network 的名称 网络地址 子网掩码 然后点击 NAT 属性 注意 点击 OK 之后 此时在 NAT 页的标签里会自动生 成 NAT 的策略 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置中有 nat 或者 static 的内容 2 检测操作检测操作 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 2 5 限制用户连接数限制用户连接数 安全基线项安全基线项 目名称目名称 限制用户连接数 安全基线编安全基线编 号号 SBL CP 03 02 05 安全基线项安全基线项 说明说明 限制用户连接数 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 在 IPS 模块中定义网络防护 选择 IPS IP and ICMP Network Quota Change Action 为 Prevent Edit Allow up to 100 connections per second from the same source 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 2 6 Syslog 转发转发 SmartCenter 日志日志 安全基线项安全基线项 目名称目名称 Syslog 转发 SmartCenter 日志 CheckPoint 防火墙安全配置基线 中国移动集团公司第 13 页 共 20 页 安全基线编安全基线编 号号 SBL CP 03 02 06 安全基线项安全基线项 说明说明 使用 Syslog 方式将防火墙产生的日志转发到日志服务器 先 把 syslog 服务器上配置好 可以使用比如 Kiwi 3CDeamon 等程 序测试 装完 syslog 服务端后 确认 UDP 514 端口开放 访问到 防火墙管理服务器的网络访问正常 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 配置防火墙管理服务器 syslog 属性 确认管理服务器到 syslog 服务器网络访问正常 Expert SMC R75 vi etc syslog conf Kernel messages clutter the screen they go to var log messsages anyway kern dev null Log anything of level info or higher Don t log private authentication messages and GateD logs info authpriv none cron none local5 none 192 168 0 20 添加 syslog server IP The authpriv file has restricted access authpriv var log secure Log cron stuff cron var log cron Everybody gets emergency messages emerg local5 none Save boot messages also to boot log local4 info 192 168 0 20 添加 syslog server IP local7 var log boot log auth var log auth mail var log maillog mail opt postfix log npipe Expert SMC R75 vi etc rc d init d cpboot bin sh chkconfig 2345 99 99 description Runs Check Points Products CPDIR opt CPshrd R75 CheckPoint 防火墙安全配置基线 中国移动集团公司第 14 页 共 20 页 LD LIBRARY PATH LD LIBRARY PATH opt CPshrd R75 lib umask 0007 opt CPshrd R75 tmp CPprofile sh case 1 in start CPDIR bin cpstart b stop CPDIR bin cpstop Esac fw log ftnl 2 dev null awk NF logger p local4 info t Firewall 在末 尾添加此行 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 Expert SMC R75 service syslog restart 重启 syslog 服务 Shutting down kernel logger OK Shutting down system logger OK Starting system logger FAILED Starting kernel logger OK 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 3 攻击防护配置要求攻击防护配置要求 3 3 1 定义执行定义执行 IPS 的防火墙的防火墙 安全基线项安全基线项 目名称目名称 定义执行 IPS 的防火墙 安全基线编安全基线编 号号 SBL CP 03 03 01 安全基线项安全基线项 说明说明 定义执行 IPS 的防火墙 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 打开 IPS Enforcing Gateways 可以查看目前运行 IPS 的安全网关 双击 Gateway 进行编辑在 Firewall 选项卡 打开 Network Objects CheckPoint 双击要启用 IPS 的防火墙对象 选中 IPS 选项 即在该防火墙上启用了 IPS 在 IPS 页面 Assign IPS Profile 为该网关分配一个 IPS 配置文件 Protect internal hosts only 只保护内网主机 Perform IPS inspection on all traffic 对所有流量执行 IPS 检测 此选项将占用更多防火墙资源 选择 CheckPoint 防火墙安全配置基线 中国移动集团公司第 15 页 共 20 页 Bypass IPS inspection when gateway is under heavy load 和 Track log 防火墙在高负荷下不再执行 IPS 检测并记录 log 可在 Advanced 处定义当 CPU 在什么范围时为高负荷 2 补充操作说明 补充操作说明 应根据实际情况调整 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 3 2 定义定义 IPS Profile 安全基线项安全基线项 目名称目名称 定义 IPS Profile 安全基线编安全基线编 号号 SBL CP 03 03 02 安全基线项安全基线项 说明说明 定义 IPS Profile 检测操作步检