checkpoint防火墙安全配置指南.docVIP

Checkpoint防火墙安全配置指南 中国联通信息化事业部 2012年 12月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2012年12月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 安全配置要求 2 2.1 系统安全 2 2.1.1 用户账号分配 2 2.1.2 删除无关的账号 3 2.1.3 密码复杂度 3 2.1.4 配置用户所需的最小权限 4 2.1.5 安全登陆 5 2.1.6 配置NTP 6 2.1.7 安全配置SNMP 6 第3章 日志安全要求 7 3.1 日志安全 7 3.1.1 启用日志功能 7 3.1.2 记录管理日志 8 3.1.3 配置日志服务器 9 3.1.4 日志服务器磁盘空间 10 第4章 访问控制策略要求 11 4.1 访问控制策略安全 11 4.1.1 过滤所有与业务不相关的流量 11 4.1.2 透明桥模式须关闭状态检测有关项 12 4.1.3 账号与IP绑定 13 4.1.4 双机架构采用VRRP模式部署 14 4.1.5 打开防御DDOS攻击功能 15 4.1.6 开启攻击防御功能 15 第5章 评审与修订 16 概述 目的 本文档规定了应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行的安全配置。本的使用者包括：、网络安全管理员。本适用的范围包括：的。实施本的解释权和修改权属于，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交进行审批备案。安全配置要求 系统安全 用户账号分配 项目名称 用户账号分配要求 编号 CheckPointFW-02-01-01 项目说明 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 检测操作步骤 1.安装GUI客户端在计算机上 2.登陆查看 符合性判定依据 1. 配置文件中，存在不同的帐号分配 2. 网络管理员确认用户与帐号分配关系明确 配置方法 使用客服端登陆设备，输入用户名密码登陆，如图所示添加用户和设置密码。 实施风险 确认所添加的用户无误。 备注 删除无关的账号 项目名称 删除无关的账号要求 编号 CheckPointFW-02-01-02 项目说明 应删除或锁定与设备运行、维护等工作无关的账号。 检测操作步骤 1.安装GUI客户端在计算机上。 2.登陆查看。 符合性判定依据 配置中不存在无关账号 配置方法 使用客服端登陆设备，进入administrator permission,如图所示进行操作： 实施风险 确认操作无误。 备注 密码复杂度 项目名称 密码复杂度要求 编号 CheckPointFW-02-01-03 项目说明 防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。 检测操作步骤 1.安装GUI客户端在计算机上。 2.登陆查看。 基线符合性判定依据 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类 配置方法 使用客服端登陆设备，进行用户添加时设置密码复杂度，如图所示： 实施风险 确认操作无误，在不影响业务的前提下进行更新。 备注 配置用户所需的最小权限 项目名称 配置用户所需的最小权限要求项。 编号 CheckPointFW-02-01-04 项目说明 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。 检测操作步骤 不同用户登陆，尝试访问不同的模块。 符合性判定依据 不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外的模块。 配置方法 使用客户端登陆设备，进行权限配置，如图所示： 实施风险 确认操作无误。 备注 安全登陆 项目名称 安全登陆配置 编号 CheckPointFW-02-01-05 项目说明 在PC机上安装CheckPoint GUI客服端，专机专用，确保设备的安全性。 检测操作步骤 检查在专用机上是否安装GUI客服端。 使用客服端检测能否登陆设备 符合性判定依据 检查是否专机专用 是否安装客服端 配置方法 将设备提供的客服端安装在专用的PC机上即可。 实施风险 确认安装无误。 备注 确保PC机为专用，无其他业务往来。 配置NTP 项目名称 配置NTP服务器。 编号 CheckPointFW-02-01-06