CheckPoint防火墙安全配置基线要点

CheckPoint防火墙安全配置基线

3.2 安全策略配置要求

3.2.1 访问规则列表最后一条必须是拒绝一切流量

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 访问规则列表最后一条必须是拒绝一切流量安全基线要求项 SBL-CP-03-02-01 防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。 1．参考配置操作 在设置最后一条规则时，配置规则： 来源选择Any 目的选择any 动作选择 drop 2．补充操作说明 基线符合性判定依据 备注 1.判定条件 2.检测操作 3.2.2 配置访问规则应尽可能缩小范围

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置访问规则应尽可能缩小范围安全基线要求项 SBL-CP-03-02-02 在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。 1． 参考配置操作 2．补充操作说明 细化对象所允许的端口 基线符合性判定依据 1.判定条件 检查配置 2.检测操作 备注 第 10 页 共 20 页

CheckPoint防火墙安全配置基线

3.2.3 配置OPSEC类型对象*

安全基线项目名称 安全基线编号 安全基线项说明 配置OPSEC类型对象 SBL-CP-03-02-03 OPSEC是Check Point发起组建的开放的安全平台组织，主要旨在提供与Check Point相兼容的开放应用程序接口，实现与Check Point产品在安全平台上联动起来，最大限度的调用企业信息资源最大化安全配置，加入OPSEC组织的厂商有近百家，如微软、CISCO以及其他厂商。 1．参考配置操作 Check Point防火墙可以与Radius、LDAP、TACACS、以及Securid等等实现联动配置，下面具体举例配置Radius 定义Radius主要用在管理员帐号或者VPN帐号登录的集中验证，需要与Radius服务器联动，因此需要预先在管理服务器上定义好Radius属性。 选择配置标签，右键点击“Services and OPSEC Applications”， 选择“New”，“RADIUS” 如下图RADIUS Server属性界面，配置“Name”，“Host”以及“Service”和“Shared Secret”等属性，这部分属于RADIUS服务端的配置，需要RADIUS管理员确认好，确保配置一致。定义完成Radius对象后，需要定义Radius用户，通常定义一个“generic*代表所有需要认证请求的用户，即通配用户。如下点击用户定义模块“”， 选择“External User Profiles”，选择“Match all users”，定义外部用户，通常以“generic*”表示。选择认证模式“RADIUS”认证，然后在下面选择定义好的“RADIUS”服务器。配置完成Radius用户后，再配置Radius用户组，如下所示，新建一个“User Group”，将“generic*”用户添加到用户组名称为“Radius_User”的对象中。定义完成Radius服务器对象、Radius用户对象以及Radius组对象之后，下面即定义Radius策略。用户组为使用Radius服务器上的VPN用户访问IPSEC VPN的策略； 2．补充操作说明 基线符合性判定依据 备注 检测操作步骤 1.判定条件 2.检测操作 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 3.2.4 配置NAT地址转换*

安全基线项目名称 安全基线编号 安全基线项

配置NAT地址转换安全基线要求项 SBL-CP-03-02-04 配置NAT地址转换，对互联网隐藏内网主机的实际地址。

第 11 页 共 20 页

CheckPoint防火墙安全配置基线

说明 检测操作步骤 1．参考配置操作 通常是内部网段要通过防火墙访问到Internet，因此我给需要访问internet的网络对象配置NAT，Hide在防火墙后面访问到互联网；首先定义内部网段对象，新建一个“Network” 配置“Network”的名称，网络地址，子网掩码，然后点击“NAT”属性， 注意，点击“OK”之后，此时在NAT页的标签里会自动生成NAT的策略； 2．补充操作说明 基线符合性判定依据 1.判定条件 配置中有nat或者static的内容 2.检测操作 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 3.2.5 限制用户连接数*

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 限制用户连接数 SBL-CP-03-02-05 限制用户连接数 1．参考配置操作 在IPS模块中定义网络防护，选择IPS?IP and ICMP ?Network Quota?Change Action 为Prevent?Edit?Allow up to 100 connections per second from the same source. 2．补充操作说明 基线符合性判定依据 备注 1.判定条件 2.检测操作 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 3.2.6 Syslog转发SmartCenter日志*

安全基线项目名称 Syslog转发SmartCenter日志 第 12 页 共 20 页

CheckPoint防火墙安全配置基线

安全基线编号 安全基线项说明 SBL-CP-03-02-06 使用Syslog方式将防火墙产生的日志转发到日志服务器，先把syslog 服务器上配置好，可以使用比如Kiwi，3CDeamon等程序测试，装完syslog服务端后，确认UDP 514端口开放。访问到防火墙管理服务器的网络访问正常。 1．参考配置操作 检测操作步骤 配置防火墙管理服务器syslog属性，确认管理服务器到syslog服务器网络访问正常。 [Expert@SMC-R75]# vi /etc/syslog.conf # Kernel messages clutter the screen, they go to /var/log/messsages anyway kern.* /dev/null # Log anything of level info or higher. # Don't log private authentication messages and GateD logs! *.info;authpriv.none;cron.none;local5.none @192.168.0.20 #添加syslog server IP # The authpriv file has restricted access. authpriv.* /var/log/secure # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg;local5.none * # Save boot messages also to boot.log local4.info @192.168.0.20 #添加syslog server IP local7.* /var/log/boot.log auth.* /var/log/auth mail.* /var/log/maillog mail.* |/opt/postfix/log_npipe [Expert@SMC-R75]# vi /etc/rc.d/init.d/cpboot #!/bin/sh # chkconfig: 2345 99 99 # description: Runs Check Points Products CPDIR=/opt/CPshrd-R75 第 13 页 共 20 页