checkpoint防火墙安全配置基线要点.docVIP

CheckPoint防火墙安全配置基线  版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 TOC \o 1-3 \h \z \u 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 帐号管理、认证授权安全要求 2 2.1 帐号管理 2 2.1.1 用户帐号分配* 2 2.1.2 删除无关的帐号* 2 2.1.3 帐户登录超时* 3 2.1.4 帐户密码错误自动锁定* 4 2.2 口令 4 2.2.1 口令复杂度要求 4 2.3 授权 5 2.3.1 远程维护的设备使用加密协议 5 第3章 日志及配置安全要求 7 3.1 日志安全 7 3.1.1 记录用户对设备的操作 7 3.1.2 开启记录NAT日志* 7 3.1.3 开启记录VPN日志* 8 3.1.4 配置记录流量日志 9 3.1.5 配置记录拒绝和丢弃报文规则的日志 9 3.2 安全策略配置要求 10 3.2.1 访问规则列表最后一条必须是拒绝一切流量 10 3.2.2 配置访问规则应尽可能缩小范围 10 3.2.3 配置OPSEC类型对象* 11 3.2.4 配置NAT地址转换* 11 3.2.5 限制用户连接数* 12 3.2.6 Syslog转发SmartCenter日志* 12 3.3 攻击防护配置要求 14 3.3.1 定义执行IPS的防火墙* 14 3.3.2 定义IPS Profile* 15 第4章 防火墙备份与恢复 16 4.1.1 SmartCenter备份和恢复(upgrade_tools)* 16 第5章 评审与修订 17 概述 目的 本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 适用版本 CheckPoint防火墙。 实施 例外条款  帐号管理、认证授权安全要求 帐号管理 用户帐号分配* 安全基线项目名称 用户帐号分配安全基线要求项 安全基线编号 SBL-CP-02-01-01 安全基线项说明 不同等级管理员分配不同帐号，避免帐号混用。 检测操作步骤 参考配置操作 set user admin | monitor newpass passwd 补充操作说明 。 基线符合性判定依据 判定条件 用配置中没有的用户名去登录，结果是不能登录。 检测操作 show users show user username 补充说明 无。 备注 有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。 删除无关的帐号* 安全基线项目名称 无关的帐号安全基线要求项 安全基线编号 SBL- CP-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。 检测操作步骤 参考配置操作 config t Enter configuration commands, one per line. End with CNTL/Z. no username ruser3 补充操作说明 基线符合性判定依据 判定条件 配置中用户信息被删除。 检测操作 delete user username 补充说明 无。 备注 建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。 帐户登录超时* 安全基线项目名称 帐户登录超时安全基线要求项 安全基线编号 SBL- CP -02-01-03 安全基线项说明 配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。 检测操作步骤 参考配置操作 设置超时时间为5分钟 2、补充说明 无。 基线符合性判定依据 判定条件 在超出设定时间后，用户自动登出设备。 参考检测操作 补充说明 无。 备注 需要手工检查 帐户密码错误自动锁定* 安全基线项目名称 帐户密码错误自动锁定安全基线要求项 安全基线编号 SBL-CP-02-01-04 安全基线项说明 在10次尝试登录失败后锁定帐户，不允许登录。 解锁时间设置为300秒 检测操作步骤 参考配置操作 设置尝试失败锁定次数为10次 2、补充说明 无。 基线符合性判定依据 判定条件 超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。 参考检测操作 补充说明 无。 备注 注意！此项设置会影响性能，建议设置后对访问此设备做源地