收藏
下载资源

《CheckPoint防火墙安全配置基线要点》

上传人:tang****xu1 文档编号:157007371 上传时间:2020-12-20 格式:DOCX 页数:23 大小:26.57KB
返回 下载 相关 举报
《CheckPoint防火墙安全配置基线要点》_第1页
第1页 / 共23页
《CheckPoint防火墙安全配置基线要点》_第2页
第2页 / 共23页
《CheckPoint防火墙安全配置基线要点》_第3页
第3页 / 共23页
《CheckPoint防火墙安全配置基线要点》_第4页
第4页 / 共23页
《CheckPoint防火墙安全配置基线要点》_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《《CheckPoint防火墙安全配置基线要点》》由会员分享,可在线阅读,更多相关《《CheckPoint防火墙安全配置基线要点》(23页珍藏版)》请在金锄头文库上搜索。

1、Checkpoint防火墙安全配置基线版本版本控制信息|更新日期更新人审批人V2.0创建2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目 录第1章概述11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章帐号管理、认证授权安全要求 22.1 帐号管理 22.1.1 用户帐号分配* 22.1.2 删除无关的帐号* 22.1.3 帐户登录超时* 32.1.4 帐户密码错误自动锁定* 42.2 口令 42.2.1 口令复杂度要求 42.3 授权 52.3.1 远程维护的设备使用加密协议 5第3章日志及配置安

2、全要求 73.1 日志安全 73.1.1 记录用户对设备的操作 73.1.2 开启记录NAT日志* 73.1.3 开启记录 VPN日志* 83.1.4 配置记录流量日志 93.1.5 配置记录拒绝和丢弃报文规则的日志 93.2 安全策略配置要求 103.2.1 访问规则列表最后一条必须是拒绝一切流量 103.2.2 配置访问规则应尽可能缩小范围 103.2.3 配置OPSE类型对象* 113.2.4 配置NATM址转换* 113.2.5 限制用户连接数* 123.2.6 Syslog 转发 SmartCenter 日志* 123.3 攻击防护配置要求 143.3.1 定义执行IPS的防火墙*

3、143.3.2 定义 IPS Profile* 15第4章防火墙备份与恢复 174.1.1 SmartCenter 备份和恢复(upgrade_tools)* 17第5章评审与修订 18第1章概述1.1目的本文档旨在指导系统管理人员进行Checkpoint防火墙的安全配置。1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。1.3适用版本Checkpoint 防火墙。1.4实施1.5例外条款第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*王基线项 目名称用户帐号分配安全基线要求项王基线编号SBL-CP-02-01-01王基线项 说明不问等级管理

4、员分配不问帐号,避免帐号混用。检测操作步骤1. 参考配置操作set user newpass passwd2. 补充操作说明o基线符合性 判定依据1. 判定条件用配置中没有的用户名去登录,结果是不能登录。2. 检测操作show usersshow user username3. 补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。2.1.2删除无关的帐号*王基线项 目名称无关的帐号安全基线要求项王基线编号SBL- CP-02-01-02王基线项 说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1. 参考配置操作config tEnter configurat

5、ion commands, one per line. End with CNTL/Z.no username ruser32. 补充操作说明基线符合性 判定依据1. 判定条件配置中用户信息被删除。2. 检测操作delete user username3. 补充说明无。备注建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。2.1.3帐户登录超时*王基线项 目名称帐户登录超时安全基线要求项王基线编号SBL- CP -02-01-03王基线项 说明配置定时帐户自动登出,空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作设置超时时间为5分钟2、补充说明无。基线

6、符合性 判定依据1. 判定条件在超出设定时间后,用户自动登出设备。2. 参考检测操作3. 补充说明无。备注需要手工检查2.1.4帐户密码错误自动锁定*王基线项 目名称帐户密码错误自动锁定安全基线要求项王基线编号SBL-CP-02-01-04王基线项 说明在10次尝试登录失败后锁定帐户,不允许登录。解锁时间设置为 300秒检测操作步 骤1、参考配置操作设置尝试失败锁定次数为 10次2、补充说明无。基线符合性 判定依据1. 判定条件超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。2. 参考检测操作3. 补充说明无。备注注意!此项设置会影响性能,建议设置后对访问此设备做源地址做限制。需要

7、手工检查。2.2 口令2.2.1 口令复杂度要求王基线项 目名称口令复杂度要求安全基线要求项王基线编 号SBL- CP -02-02-01王基线项 说明防火墙管理员号口令长度至少8位,并包括数子、小与子母、大与子母和特殊符号四类中至少两类。且5次以内不得设置相问的口令。密码应至少每90天进行更换。检测操作步 骤1. 参考配置操作show password-controls2. 补充操作说明口令字符不完全符合要求。基线符合性 判定依据1. 判定条件需要管理员打开或关闭此功能。2. 检测操作3. 补充说明无。备注2.3授权2.3.1远程维护的设备使用加密协议王基线项 目名称远程维护使用加密协议安全

8、基线要求项王基线编号SBL-CP-02-03-01王基线项 说明对于防火墙远程管理的配置,必须是基于加密的协议。如SSH或者WEBSSL,如果只允许从防火墙内部进行管理,应该限定管理IP。检测操作步骤1. 参考配置操作show ssh server enable2. 补充操作说明基线符合性 判定依据1. 判定条件查看是否启用SSHi接。2. 检测操作show ssh server allow-groups allow-users deny-groups deny-users permit-root-login3.补充说明 无。备注第3章 日志及配置安全要求3.1日志安全3.1.1记录用户对设备

9、的操作王基线项 目名称用户对设备记录安全基线要求项王基线编号SBL-CP-03-01-01王基线项 说明配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号 解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他 相关的安全管控系统。检测操作步骤1. 参考配置操作2. 补充操作说明在启动日志记录的情况下,CP会记录相关的日志,无需额外配置。基线符合性 判定依据1. 判定条件SmartView Tracker2. 检测操作可以通过开始程序”Check Point SmartCosole R75”“SmartView Tracker 或登录 “SmartDashboard

10、 WindowsSmartViewTracker打开该工具,Management显示审计相关的数据,记录管理员、应用和操作详细信息。比如修改对象、添加策略、安装策略等双 击日志条目可以查看详细信息。备注3.1.2开启记录NAT日志*王基线项 目名称开启记录NAT日志安全基线要求项王基线编号SBL-CP-03-01-02王基线项开启记录NAT日志,记录转换前后IP地址的对应关系。说明检测操作步骤1. 参考配置操作I. 启动日志记录2. 补充操作说明在启动日志记录的情况下,CP会记录NAT的日志,无需额外配置。基线符合性 判定依据1. 判定条件检查配置中的loggig相关配置2. 检测操作可以通过

11、开始程序”Check Point SmartCosole R75”“SmartView Tracker 或登录 “SmartDashboard WindowsSmartViewTracker打开该工具,双击日志条目可以查看详细信息。在滤镜工具里面选择 NAT备注根据应用场景的不问,如部署场景需开启此功能,则强制要求此项。3.1.3开启记录 VPN日志*王基线项 目名称开启记录VPN日志安全基线要求项王基线编号SBL-CP-03-01-03王基线项 说明开启记录VPN日志,记录VPN访问登陆、退出等信息。检测操作步骤1. 参考配置操作2. 补充操作说明在启动日志记录的情况下,CP会记录VPN的日

12、志,无需额外配置。基线符合性 判定依据1. 判定条件检查配置中的loggig相关配置2. 检测操作可以通过开始程序”Check Point SmartCosole R75”“SmartView Tracker 或登录 “SmartDashboard WindowsSmartViewTracker打开该工具,双击日志条目可以查看详细信息。左侧选择VPN备注根据应用场景的不问,如部署场景需开启此功能,则强制要求此项。3.1.4配置记录流虽日志王基线项 目名称配置记录流量日志安全基线要求项王基线编号SBL-CP-03-01-04王基线项 说明配置记录流量日志,记录通过防火墙的网络连接的信息。检测操作

13、步骤1. 参考配置操作SmartView Monitor2. 补充操作说明基线符合性 判定依据1. 判定条件2. 检测操作可以通过开始 程序” Check Point SmartCosole R75 SmartView Monitor 或登录SmartDashboard Windows SmartView Monitor 打开该工具左侧 Traffic备注3.1.5配置记录拒绝和丢弃报文规则的日志王基线项 目名称配置记录拒绝和丢弃报文规则的日志安全基线要求项王基线编 号SBL-CP-03-01-05王基线项 说明配置防火墙规则,记录防火墙拒绝和丢弃报文的日志。检测操作步骤1. 参考配置操作CP防火墙自动将在访问控制列表( access-list )中拒绝(deny)的数据包 生成log信息。2. 补充操作说明基线符合性 判定依据可以通过开始 程序” Check Point SmartCosole R75 SmartView Tracker ”或登录SmartDashboard Windows SmartViewTracker ” 打开该工具,选择Drop备注3.2安全策略配置要求3.2.1访问规则列表最后一条必须是拒绝一切流H王基线项 目名称访问规则列表最后一条

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号