CheckPoint防火墙配置.docVIP

PAGE ╳╳╳╳-╳╳- ╳╳╳╳-╳╳-╳╳实施 ╳╳╳╳-╳╳-╳╳发布 CheckPoint防火墙配置 CheckPoint防火墙配置 Specification for Specification for CheckPoint FireWall Configuration Used in China Mobile 版本号： 版本号：１.０.０ 中国移动通信有限公司网络部 中国移动通信有限公司网络部 中国移动CHECKPOINT防火墙配置规范 PAGE 5 目录 TOC \o 1-3 \h \z \u 1 概述 1 1.1 适用范围 1 1.2 内部适用性说明 1 1.3 外部引用说明 3 1.4 术语和定义 3 1.5 符号和缩略语 4 2 CHECKPOINT防火墙设备配置要求 4  前 言 概述 适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考 内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为 “完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。 内容 采纳意见 备注 不同等级管理员分配不同账号，避免账号混用。 完全采纳 应删除或锁定与设备运行、维护等工作无关的账号。 完全采纳 防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 完全采纳 账户口令的生存期不长于90天。 部分采纳 IPSO操作系统支持 应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 部分采纳 IPSO操作系统支持 应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 部分采纳 IPSO操作系统支持 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。 完全采纳 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 完全采纳 设备应配置日志功能，记录用户对设备的重要操作。 完全采纳 设备应配置日志功能，记录对与设备相关的安全事件。 完全采纳 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 完全采纳 防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。 完全采纳 对于使用IP协议进行远程维护的设备，设备应配置使用SSH，HTTPS等加密协议。 完全采纳 所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。 完全采纳 在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。 完全采纳 对于访问规则的排列，应当遵从范围由小到大的排列规则。 完全采纳 在进行重大配置修改前，必须对当前配置进行备份。 完全采纳 对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。 完全采纳 访问规则必须按照一定的规则进行分组。 完全采纳 打开防DDOS攻击功能。 完全采纳 对于常见病毒的端口号应当进行端口的关闭配置。 完全采纳 限制ping包的大小，以及一段时间内同一主机发送的次数。 完全采纳 对于各端口要开启防欺骗功能。 完全采纳 对于具备字符交互界面的设备，应配置定时账户自动登出。 完全采纳 对于具备图形界面（含WEB界面）的设备，应配置定时自动登出。 完全采纳 对于具备console口的设备，应配置console口密码保护功能。 完全采纳 对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。 完全采纳 对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。 完全采纳 设定统一时钟源 完全采纳 设定对防火墙的保护安全规则 完全采纳 根据实际的网络连接调整防火墙并发连接数 完全采纳 双机集群架构采用VRRP模式部署 部分采纳 透明桥模式须关闭状态检测有关项 完全采纳 对管理服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间 完全采纳 配置SNMP监控 完全采纳 设置与防火墙互联的网络设备端口速率，双工状态