CheckPoint防火墙安全配置基线要点

CheckPoint防火墙安全配置基线

CheckPoint

第 1 页 共 20 页防火墙安全配置基线

CheckPoint防火墙安全配置基线

版本 V2.0 创建 版本控制信息 更新日期 2012年4月 更新人 审批人 备注：

1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

第 2 页 共 20 页

CheckPoint防火墙安全配置基线

目 录

第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5

目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1

第2章 帐号管理、认证授权安全要求 ............................................................................................. 2 2.1

帐号管理 ................................................................................................................................. 2

用户帐号分配* ............................................................................................................... 2

2.1.2 删除无关的帐号* ........................................................................................................... 2 2.1.3 帐户登录超时* ............................................................................................................... 3 2.1.4 帐户密码错误自动锁定* ............................................................................................... 4 2.2 口令 ......................................................................................................................................... 4 2.2.1 口令复杂度要求 ............................................................................................................. 4 2.3 授权 ......................................................................................................................................... 5 2.3.1 远程维护的设备使用加密协议 ..................................................................................... 5

第3章 日志及配置安全要求 ............................................................................................................. 7 3.1

日志安全 ................................................................................................................................. 7

2.1.1

记录用户对设备的操作 ................................................................................................. 7 3.1.2 开启记录NAT日志* ...................................................................................................... 7 3.1.3 开启记录VPN日志*...................................................................................................... 8 3.1.4 配置记录流量日志 ......................................................................................................... 9 3.1.5 配置记录拒绝和丢弃报文规则的日志 ......................................................................... 9 3.2 安全策略配置要求 ............................................................................................................... 10 3.2.1 访问规则列表最后一条必须是拒绝一切流量 ........................................................... 10 3.2.2 配置访问规则应尽可能缩小范围 ............................................................................... 10 3.2.3 配置OPSEC类型对象* ............................................................................................... 11 3.2.4 配置NAT地址转换* .................................................................................................... 11 3.2.5 限制用户连接数* ......................................................................................................... 12 3.2.6 Syslog转发SmartCenter日志* ....................................................................................... 12 3.3 攻击防护配置要求 ............................................................................................................... 14 3.3.1 定义执行IPS的防火墙* ............................................................................................. 14 3.3.2 定义IPS Profile* .......................................................................................................... 15

第4章 防火墙备份与恢复 ............................................................................................................... 16

4.1.1 SmartCenter备份和恢复(upgrade_tools)* .................................................................. 16 第5章 评审与修订 ........................................................................................................................... 17

3.1.1

第 3 页 共 20 页

CheckPoint防火墙安全配置基线

第1章 概述

1.1 目的

本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本

CheckPoint防火墙。

1.4 实施 1.5 例外条款

第 1 页 共 20 页