CheckPoint防火墙安全配置基线要点

CheckPoint防火墙安全配置基线

LD_LIBRARY_PATH=${LD_LIBRARY_PATH}:/opt/CPshrd-R75/lib umask 0007 . /opt/CPshrd-R75/tmp/.CPprofile.sh case $1 in 'start') $CPDIR/bin/cpstart -b ;; 'stop' ) $CPDIR/bin/cpstop ;; Esac fw log -ftnl 2> /dev/null | awk 'NF' | logger -p local4.info -t Firewall & #在末尾添加此行 2．补充操作说明 基线符合性判定依据 1.判定条件 2.检测操作 Expert@SMC-R75]# service syslog restart # 重启syslog服务 Shutting down kernel logger: [ OK ] Shutting down system logger: [ OK ] Starting system logger: [FAILED] Starting kernel logger: [ OK ] 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 3.3 攻击防护配置要求 3.3.1 定义执行IPS的防火墙*

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 定义执行IPS的防火墙 SBL-CP-03-03-01 定义执行IPS的防火墙 1．参考配置操作 打开IPS->Enforcing Gateways，可以查看目前运行IPS的安全网关，双击Gateway进行编辑在Firewall选项卡，打开Network Objects->CheckPoint，双击要启用IPS的防火墙对象，选中IPS选项，即在该防火墙上启用了IPS。 在IPS页面，“Assign IPS Profile”为该网关分配一个IPS配置文件。“Protect internal hosts only”只保护内网主机。“Perform IPS inspection on all traffic”对所有流量执行IPS检测，此选项将占用更多防火墙资源。选择“Bypass IPS inspection when gateway is under heavy load”和“Track”?“log”，防火

第 14 页 共 20 页

CheckPoint防火墙安全配置基线

墙在高负荷下不再执行IPS检测并记录log，可在“Advanced”处定义当CPU在什么范围时为高负荷。 2．补充操作说明 应根据实际情况调整。 基线符合性判定依据 备注 1.判定条件 2.检测操作 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 3.3.2 定义IPS Profile*

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 定义IPS Profile SBL-CP-03-03-02 定义IPS Profile 1．参考配置操作 打开IPS->Profiles页面，可以查看当前已定义的IPS配置(Default和Recommended为系统自定义配置) 点击New->Create new profile可以手动创建一个IPS Profile 说明： ? 两种IPS Mode：’Prevent’检测到异常，阻止连接；’Detect’只检测不阻止 ? ’Activate protections according to IPS Policy’根据IPS Policy激活相关防护； ’Activate protections manually’手动激活相关防护，选择此项后’IPS Policy’页面所有选项为灰色。在“Updates Polic”页面指定最新更新的防护自动设定为“Detect”还是“Prevent”， 打开“Network Exceptions”页面定义不执行IPS检测的资源(新建的Profile需要先完成创建过程才能添加排除)，点击New按钮 2．补充操作说明 基线符合性判定依据 备注

1.判定条件 2.检测操作 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 第 15 页 共 20 页

CheckPoint防火墙安全配置基线

第4章 防火墙备份与恢复

4.1.1 SmartCenter备份和恢复(upgrade_tools)*

安全基线项目名称 安全基线编号 安全基线项说明 SmartCenter备份和恢复(upgrade_tools) SBL-CP-04-01-01 CheckPoint使用upgrade_export和upgrade_import两个工具进行SmartCenter的备份和恢复，两个工具位于SmartCenter的$FWDIR/bin/upgrade_tools/目录下。备份文件可以通过ftp或其他方式上传到ftp服务器或网络共享空间，以便保管。 1．参考配置操作 格式： [Expert@Smart-1]# . /upgrade_export 文件名.tgz #备份工具，备份文件存放在当前目录下 [Expert@Smart-1]# . /upgrade_import 文件名.tgz #恢复工具 2．补充操作说明 检测操作步骤 基线符合性判定依据 备注 1.判定条件 2.检测操作 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 第 16 页 共 20 页

CheckPoint防火墙安全配置基线

第5章 评审与修订

第 17 页 共 20 页