資源描述:
《CheckPoint防火墻配置》由會(huì)員上傳分享����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1���、╳╳╳╳-╳╳-╳╳實(shí)施╳╳╳╳-╳╳-╳╳發(fā)布CheckPoint防火墻配置SpecificationforCheckPointFireWallConfigurationUsedinChinaMobile版本號(hào):1.0.0中國移動(dòng)通信有限公司網(wǎng)絡(luò)部中國移動(dòng)CHECKPOINT防火墻配置規(guī)范目錄1概述11.1適用范圍11.2內(nèi)部適用性說明11.3外部引用說明31.4術(shù)語和定義31.5符號(hào)和縮略語42CHECKPOINT防火墻設(shè)備配置要求41中國移動(dòng)CHECKPOINT防火墻配置規(guī)范前言概述1.1適用范圍本規(guī)范適用于中國移動(dòng)通信
2、網(wǎng)���、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的CHECKPOINT防火墻設(shè)備�。本規(guī)范明確了設(shè)備的基本配置要求��,為在設(shè)備入網(wǎng)測(cè)試�、工程驗(yàn)收和設(shè)備運(yùn)行維護(hù)環(huán)節(jié)明確相關(guān)配置要求提供指南。本規(guī)范可作為編制設(shè)備入網(wǎng)測(cè)試規(guī)范���,工程驗(yàn)收手冊(cè)�����,局?jǐn)?shù)據(jù)模板等文檔的參考1.2內(nèi)部適用性說明本規(guī)范是依據(jù)《中國移動(dòng)防火墻配置規(guī)范》中配置類規(guī)范要求的基礎(chǔ)上提出的CHECKPOINT防火墻配置要求規(guī)范,為便于比較�����,特作以下逐一比較及說明(在“采納意見”部分對(duì)應(yīng)為“完全采納”、“部分采納”���、“增強(qiáng)要求”���、“新增要求”、“不采納”��。在“補(bǔ)充說明”部分����,對(duì)于增強(qiáng)要求的情況,說明在本
3����、規(guī)范的相應(yīng)條款中描述了增強(qiáng)的要求。對(duì)于“不采納”的情況��,說明采納的原因)����。內(nèi)容采納意見備注1.不同等級(jí)管理員分配不同賬號(hào),避免賬號(hào)混用�����。完全采納2.應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)����。完全采納3.防火墻管理員賬號(hào)口令長度至少8位,并包括數(shù)字�、小寫字母、大寫字母和特殊符號(hào)4類中至少2類���。完全采納4.賬戶口令的生存期不長于90天����。部分采納IPSO操作系統(tǒng)支持5.應(yīng)配置設(shè)備����,使用戶不能重復(fù)使用最近5次(含5次)內(nèi)已使用的口令。部分采納IPSO操作系統(tǒng)支持6.應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次(不含6次)�����,鎖定該用戶使用的
4���、賬號(hào)�。部分采納IPSO操作系統(tǒng)支持7.完全采納1中國移動(dòng)CHECKPOINT防火墻配置規(guī)范在設(shè)備權(quán)限配置能力內(nèi)���,根據(jù)用戶的管理等級(jí)�,配置其所需的最小管理權(quán)限�����。1.設(shè)備應(yīng)配置日志功能����,對(duì)用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登錄使用的賬號(hào)�,登錄是否成功,登錄時(shí)間��,以及遠(yuǎn)程登錄時(shí)��,用戶使用的IP地址�����。完全采納2.設(shè)備應(yīng)配置日志功能��,記錄用戶對(duì)設(shè)備的重要操作。完全采納3.設(shè)備應(yīng)配置日志功能�����,記錄對(duì)與設(shè)備相關(guān)的安全事件��。完全采納4.設(shè)備配置遠(yuǎn)程日志功能���,將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器�。完全采納5.防火墻應(yīng)根據(jù)業(yè)務(wù)需要�����,配置基于源
5��、IP地址�、通信協(xié)議TCP或UDP、目的IP地址���、源端口��、目的端口的流量過濾�����,過濾所有和業(yè)務(wù)不相關(guān)的流量����。完全采納6.對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備,設(shè)備應(yīng)配置使用SSH��,HTTPS等加密協(xié)議�����。完全采納7.所有防火墻在配置訪問規(guī)則時(shí)���,最后一條必須是拒絕一切流量。完全采納8.在配置訪問規(guī)則時(shí)��,源地址和目的地址的范圍必須以實(shí)際訪問需求為前提�����,盡可能的縮小范圍�。完全采納9.對(duì)于訪問規(guī)則的排列,應(yīng)當(dāng)遵從范圍由小到大的排列規(guī)則�����。完全采納10.在進(jìn)行重大配置修改前,必須對(duì)當(dāng)前配置進(jìn)行備份����。完全采納11.對(duì)于VPN用戶,必須按照其訪問權(quán)限
6����、不同而進(jìn)行分組,并在訪問控制規(guī)則中對(duì)該組的訪問權(quán)限進(jìn)行嚴(yán)格限制�。完全采納12.訪問規(guī)則必須按照一定的規(guī)則進(jìn)行分組。完全采納13.打開防DDOS攻擊功能���。完全采納14.對(duì)于常見病毒的端口號(hào)應(yīng)當(dāng)進(jìn)行端口的關(guān)閉配置����。完全采納15.限制ping包的大小����,以及一段時(shí)間內(nèi)同一主機(jī)發(fā)送的次數(shù)。完全采納16.對(duì)于各端口要開啟防欺騙功能�。完全采納17.對(duì)于具備字符交互界面的設(shè)備,應(yīng)配置定時(shí)賬戶自動(dòng)登出�����。完全采納1中國移動(dòng)CHECKPOINT防火墻配置規(guī)范1.對(duì)于具備圖形界面(含WEB界面)的設(shè)備,應(yīng)配置定時(shí)自動(dòng)登出��。完全采納2.對(duì)于具備cons
7���、ole口的設(shè)備�����,應(yīng)配置console口密碼保護(hù)功能�。完全采納3.對(duì)于登陸賬戶的ip地址�,配置為只允許從某些ip地址登陸�����。完全采納4.對(duì)于外網(wǎng)口地址�����,關(guān)閉對(duì)ping包的回應(yīng)�����。建議通過VPN隧道獲得內(nèi)網(wǎng)地址�,從內(nèi)網(wǎng)口進(jìn)行遠(yuǎn)程管理�����。完全采納5.設(shè)定統(tǒng)一時(shí)鐘源完全采納6.設(shè)定對(duì)防火墻的保護(hù)安全規(guī)則完全采納7.根據(jù)實(shí)際的網(wǎng)絡(luò)連接調(diào)整防火墻并發(fā)連接數(shù)完全采納8.雙機(jī)集群架構(gòu)采用VRRP模式部署部分采納9.透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)完全采納10.對(duì)管理服務(wù)器的日志文件大小和轉(zhuǎn)存必須進(jìn)行設(shè)置�,并保護(hù)系統(tǒng)磁盤空間完全采納11.配置SNMP監(jiān)
8����、控完全采納12.設(shè)置與防火墻互聯(lián)的網(wǎng)絡(luò)設(shè)備端口速率,雙工狀態(tài)完全采納1.1外部引用說明《中國移動(dòng)網(wǎng)絡(luò)與信息安全保障體系總綱》《中國移動(dòng)內(nèi)部控制手冊(cè)(第二版)》《中國移動(dòng)標(biāo)準(zhǔn)化控制矩陣(第二版)》1.2術(shù)語和定義設(shè)備配置要求:描述在規(guī)范適用范圍內(nèi)設(shè)備必須和推薦采用的配置要求���。在
