CheckPoint
XXXXXX
防火墙安全配置基线
版本
V2.0
备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
创建
版本控制信息 更新日期 更新人 审批人
目 录
第
1
章 概述
......................................................................................................................................... 1
1.1
1.2
1.3
1.4
1.5
目的
......................................................................................................................................... 1
适用范围
................................................................................................................................. 1
适用版本
................................................................................................................................. 1
实施
......................................................................................................................................... 1
例外条款
................................................................................................................................. 1
第
2
章 帐号管理、认证授权安全要求
............................................................................................. 2
2.1
帐号管理
................................................................................................................................. 2
用户帐号分配
* ............................................................................................................... 2
2.1.2
删除无关的帐号
*........................................................................................................... 2
2.1.3
帐户登录超时
* ............................................................................................................... 3
2.1.4
帐户密码错误自动锁定
*............................................................................................... 4
2.2
口令
......................................................................................................................................... 4
2.2.1
口令复杂度要求
............................................................................................................. 4
2.3
授权
......................................................................................................................................... 5
2.3.1
远程维护的设备使用加密协议
..................................................................................... 5
第
3
章 日志及配置安全要求
............................................................................................................. 7
3.1
日志安全
................................................................................................................................. 7
2.1.1
记录用户对设备的操作
................................................................................................. 7
3.1.2
开启记录
NAT
日志
* ...................................................................................................... 7
3.1.3
开启记录
VPN
日志
*...................................................................................................... 8
3.1.4
配置记录流量日志
......................................................................................................... 9
3.1.5
配置记录拒绝和丢弃报文规则的日志
......................................................................... 9
3.2
安全策略配置要求
............................................................................................................... 10
3.2.1
访问规则列表最后一条必须是拒绝一切流量
........................................................... 10
3.2.2
配置访问规则应尽可能缩小范围
............................................................................... 10
3.2.3
配置
OPSEC
类型对象
*............................................................................................... 11
3.2.4
配置
NAT
地址转换
* .................................................................................................... 11
3.2.5
限制用户连接数
*......................................................................................................... 12
3.2.6 Syslog
转发
SmartCenter
日志
*....................................................................................... 12
3.3
攻击防护配置要求
............................................................................................................... 14
3.3.1
定义执行
IPS
的防火墙
*............................................................................................. 14
3.3.2
定义
IPS Profile*.......................................................................................................... 15
第
4
章 防火墙备份与恢复
............................................................................................................... 16
4.1.1
SmartCenter
备份和恢复
(upgrade_tools)*
.................................................................. 16
第
5
章 评审与修订
........................................................................................................................... 17
3.1.1
第
1
章 概述
1.1
目的
本文档规定了
XXXXXX
管理信息系统部所维护管理的
CheckPoint
防火墙应当遵循的设
备安全性设置标准,本文档旨在指导系统管理人员进行
CheckPoint
防火墙的安全配置。
1.2
适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:
XXXXXX
总部和各省公司信息化部门维护管理的
CheckPoint
防火墙。
1.3
适用版本
CheckPoint
防火墙。
1.4
实施
本标准的解释权和修改权属于
XXXXXX
集团管理信息系统部,在本标准的执行过程中
若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5
例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交
XXXXXX
通信有限公司管理信息系统部进行审批备案。
第
2
章 帐号管理、认证授权安全要求
2.1
帐号管理
2.1.1
用户帐号分配
*
安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
用户帐号分配安全基线要求项
SBL-CP-02-01-01
不同等级管理员分配不同帐号,避免帐号混用。
1.
参考配置操作
set user <admin | monitor> newpass passwd
2.
补充操作说明
。
基线符合性
判定依据
1.
判定条件
用配置中没有的用户名去登录,结果是不能登录。
2.
检测操作
show users
show user username
3.
补充说明
无。
备注
有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。
2.1.2
删除无关的帐号
*
安全基线项
目名称
安全基线编
号
安全基线项
说明
无关的帐号安全基线要求项
SBL- CP-02-01-02
应删除或锁定与设备运行、维护等工作无关的帐号。