CheckPoint防火墻安全配置基線要點.doc

《CheckPoint防火墻安全配置基線要點.doc》由會員上傳分享，免費在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、CheckPoint防火墻安全配置基線CheckPoint防火墻安全配置基線第16頁共20頁CheckPoint防火墻安全配置基線版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第16頁共20頁CheckPoint防火墻安全配置基線目錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實施11.5例外條款1第2章帳號管理、認證授權(quán)安全要求22.1帳號管理22.1.1用戶帳號分配*22.1.2刪除無關(guān)的帳號*22.1.3

2、帳戶登錄超時*32.1.4帳戶密碼錯誤自動鎖定*42.2口令42.2.1口令復雜度要求42.3授權(quán)52.3.1遠程維護的設備使用加密協(xié)議5第3章日志及配置安全要求73.1日志安全73.1.1記錄用戶對設備的操作73.1.2開啟記錄NAT日志*73.1.3開啟記錄VPN日志*83.1.4配置記錄流量日志93.1.5配置記錄拒絕和丟棄報文規(guī)則的日志93.2安全策略配置要求103.2.1訪問規(guī)則列表最后一條必須是拒絕一切流量103.2.2配置訪問規(guī)則應盡可能縮小范圍103.2.3配置OPSEC類型對象*113.2.4配置NAT地

3、址轉(zhuǎn)換*113.2.5限制用戶連接數(shù)*123.2.6Syslog轉(zhuǎn)發(fā)SmartCenter日志*123.3攻擊防護配置要求143.3.1定義執(zhí)行IPS的防火墻*143.3.2定義IPSProfile*15第4章防火墻備份與恢復164.1.1SmartCenter備份和恢復(upgrade_tools)*16第5章評審與修訂17第16頁共20頁CheckPoint防火墻安全配置基線第1章概述1.1目的本文檔旨在指導系統(tǒng)管理人員進行CheckPoint防火墻的安全配置。1.2適用范圍本配置標準的使用者包括：網(wǎng)絡管理員、網(wǎng)絡安全

4、管理員、網(wǎng)絡監(jiān)控人員。1.3適用版本CheckPoint防火墻。1.4實施1.5例外條款第16頁共20頁CheckPoint防火墻安全配置基線第1章帳號管理、認證授權(quán)安全要求1.1帳號管理1.1.1用戶帳號分配*安全基線項目名稱用戶帳號分配安全基線要求項安全基線編號SBL-CP-02-01-01安全基線項說明不同等級管理員分配不同帳號，避免帳號混用。檢測操作步驟1.參考配置操作setuser

5、monitor>newpasspasswd2.補充操作說明?；€符合性判定依據(jù)1.判定條件用配置中沒有的用戶名去登錄，結(jié)

6、果是不能登錄。2.檢測操作showusersshowuserusername3.補充說明無。備注有些防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的帳號，需要手工檢查。1.1.2刪除無關(guān)的帳號*安全基線項目名稱無關(guān)的帳號安全基線要求項安全基線編號SBL-CP-02-01-02安全基線項說明應刪除或鎖定與設備運行、維護等工作無關(guān)的帳號。第16頁共20頁CheckPoint防火墻安全配置基線檢測操作步驟1.參考配置操作configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.nou

7、sernameruser32.補充操作說明基線符合性判定依據(jù)1.判定條件配置中用戶信息被刪除。2.檢測操作deleteuserusername3.補充說明無。備注建議手工抽查系統(tǒng)，無關(guān)賬戶更多屬于管理層面，需要人為確認。1.1.1帳戶登錄超時*安全基線項目名稱帳戶登錄超時安全基線要求項安全基線編號SBL-CP-02-01-03安全基線項說明配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進入系統(tǒng)。檢測操作步驟1、參考配置操作設置超時時間為5分鐘2、補充說明無?；€符合性判定依據(jù)1.判定條件在超出設定時間后

8、，用戶自動登出設備。2.參考檢測操作3.補充說明無。第16頁共20頁CheckPoint防火墻安全配置基線備注需要手工檢查1.1.1帳戶密碼錯誤自動鎖定*安全基線項目名稱帳戶密碼錯誤自動鎖定安全基線要求項安全基線編號SBL-CP-02-01-04安全基線項說明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設置為300秒檢測操作步驟1、參考配置操作設置嘗試失敗鎖定次數(shù)為10次2、補充說明無?；€符合性判定依據(jù)1.判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達后可以登錄。2.參考檢測操作3.補充說明無。備注注意

9、！此項設置會影響性能，建議設置后對訪問此設備做源地址做限制。需要手工檢查。1.2口令1.2.1口令復雜度要求安全基線項目名稱口令復雜度要求安全基線要求項安全基線編號SBL-CP-02-02-01安全基線項說明防火墻管理員帳號口令長度至少8第16頁共20頁CheckPoint防火墻安全配置基線位，并包括數(shù)