資源描述:
《Checkpoint防火墻安全配置的指南》由會員上傳分享,免費在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、..Checkpoint防火墻安全配置指南中國聯(lián)通信息化事業(yè)部2012年12月Word格式..版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年12月備注:1.若此文檔需要日后更新,請創(chuàng)建人填寫版本控制表格���,否則刪除版本控制表格��。Word格式..目錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實施11.5例外條款1第2章安全配置要求22.1系統(tǒng)安全22.1.1用戶賬號分配22.1.2刪除無關(guān)的賬號32.1.3密碼復(fù)雜度32.1.4配置用戶所需的最小權(quán)限42.1.5安全登陸52.1.6配置NTP62.1.7安全配置SNMP6第3章日志安全要求73.1日志安全7
2��、3.1.1啟用日志功能73.1.2記錄管理日志83.1.3配置日志服務(wù)器93.1.4日志服務(wù)器磁盤空間10第4章訪問控制策略要求114.1訪問控制策略安全114.1.1過濾所有與業(yè)務(wù)不相關(guān)的流量114.1.2透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項124.1.3賬號與IP綁定134.1.4雙機架構(gòu)采用VRRP模式部署144.1.5打開防御DDOS攻擊功能154.1.6開啟攻擊防御功能15第5章評審與修訂16Word格式..第1章概述1.1目的本文檔規(guī)定了中國聯(lián)通通信有限公司信息化事業(yè)部所維護(hù)管理的CheckPoint防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)����,本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行CheckP
3、oint防火墻的安全配置����。1.2適用范圍本配置標(biāo)準(zhǔn)的使用者包括:網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員�����、網(wǎng)絡(luò)監(jiān)控人員��。本配置標(biāo)準(zhǔn)適用的范圍包括:中國聯(lián)通總部和各省公司信息化部門維護(hù)管理的CheckPoint防火墻�����。1.3適用版本CheckPoint防火墻���;1.4實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國聯(lián)通集團信息化事業(yè)部��,在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議����,應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效��。1.5例外條款欲申請本標(biāo)準(zhǔn)的例外條款���,申請人必須準(zhǔn)備書面申請文件����,說明業(yè)務(wù)需求和原因���,送交中國聯(lián)通集團信息化事業(yè)部進(jìn)行審批備案�����。第2章Word格式..安全配置要求1.1系統(tǒng)安全1.1.1用戶賬號分配項目名稱用戶
4��、賬號分配要求編號CheckPointFW-02-01-01項目說明應(yīng)按照用戶分配賬號�。避免不同用戶間共享賬號���。避免用戶賬號和設(shè)備間通信使用的賬號共享。檢測操作步驟1.安裝GUI客戶端在計算機上2.登陸查看符合性判定依據(jù)1.配置文件中���,存在不同的帳號分配2.網(wǎng)絡(luò)管理員確認(rèn)用戶與帳號分配關(guān)系明確配置方法使用客服端登陸設(shè)備����,輸入用戶名密碼登陸,如圖所示添加用戶和設(shè)置密碼�。Word格式..實施風(fēng)險確認(rèn)所添加的用戶無誤。備注1.1.1刪除無關(guān)的賬號項目名稱刪除無關(guān)的賬號要求編號CheckPointFW-02-01-02項目說明應(yīng)刪除或鎖定與設(shè)備運行��、維護(hù)等工作無關(guān)的賬號�。檢測操作步驟1.安裝G
5、UI客戶端在計算機上����。2.登陸查看。符合性判定依據(jù)配置中不存在無關(guān)賬號配置方法使用客服端登陸設(shè)備�,進(jìn)入administratorpermission,如圖所示進(jìn)行操作:實施風(fēng)險確認(rèn)操作無誤。備注1.1.2密碼復(fù)雜度項目名稱密碼復(fù)雜度要求Word格式..編號CheckPointFW-02-01-03項目說明防火墻管理員賬號口令長度至少8位�,并包括數(shù)字、小寫字母��、大寫字母和特殊符號4類中至少3類���。檢測操作步驟1.安裝GUI客戶端在計算機上�����。2.登陸查看����。基線符合性判定依據(jù)口令長度至少8位��,并包括數(shù)字��、小寫字母�、大寫字母和特殊符號4類中至少3類配置方法使用客服端登陸設(shè)備,進(jìn)行用戶添加時設(shè)置
6���、密碼復(fù)雜度�����,如圖所示:實施風(fēng)險確認(rèn)操作無誤��,在不影響業(yè)務(wù)的前提下進(jìn)行更新�。備注1.1.1配置用戶所需的最小權(quán)限項目名稱配置用戶所需的最小權(quán)限要求項����。編號CheckPointFW-02-01-04項目說明在設(shè)備權(quán)限配置能力內(nèi),根據(jù)用戶的管理等級���,配置其所需的最小管理權(quán)限�����。Word格式..檢測操作步驟不同用戶登陸��,嘗試訪問不同的模塊���。符合性判定依據(jù)不同用戶登陸,嘗試訪問不同的模塊���。用戶不能訪問自己權(quán)限以外的模塊�����。配置方法使用客戶端登陸設(shè)備��,進(jìn)行權(quán)限配置���,如圖所示:實施風(fēng)險確認(rèn)操作無誤。備注1.1.1安全登陸項目名稱安全登陸配置編號CheckPointFW-02-01-05項目說明在PC機
7�����、上安裝CheckPointGUI客服端,專機專用�,確保設(shè)備的安全性。檢測操作步驟1.檢查在專用機上是否安裝GUI客服端���。2.使用客服端檢測能否登陸設(shè)備符合性判定依據(jù)1.檢查是否專機專用2.是否安裝客服端配置方法將設(shè)備提供的客服端安裝在專用的PC機上即可���。Word格式..實施風(fēng)險確認(rèn)安裝無誤。備注確保PC機為專用��,無其他業(yè)務(wù)往來��。1.1.1配置NTP項目名稱配置NTP服務(wù)器���。編號CheckPointFW-02-01-06項目說明開啟NTP服務(wù)�,保證日志功能記
