資源描述:
《CheckPoint防火墻配置》由會(huì)員上傳分享��,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�����。
1����、╳╳╳╳-╳╳-╳╳實(shí)施╳╳╳╳-╳╳-╳╳發(fā)布CheckPoint防火墻配置SpecificationforCheckPointFireWallConfigurationUsedinChinaMobile版本號(hào):1.0.0中國(guó)移動(dòng)通信有限公司網(wǎng)絡(luò)部中國(guó)移動(dòng)CHECKPOINT防火墻配置規(guī)范目錄1概述11.1適用范圍11.2內(nèi)部適用性說(shuō)明11.3外部引用說(shuō)明31.4術(shù)語(yǔ)和定義31.5符號(hào)和縮略語(yǔ)42CHECKPOINT防火墻設(shè)備配置要求41中國(guó)移動(dòng)CHECKPOINT防火墻配置規(guī)范前言概述1.1適用范圍本規(guī)范適用于中國(guó)移動(dòng)通信
2���、網(wǎng)���、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的CHECKPOINT防火墻設(shè)備。本規(guī)范明確了設(shè)備的基本配置要求���,為在設(shè)備入網(wǎng)測(cè)試���、工程驗(yàn)收和設(shè)備運(yùn)行維護(hù)環(huán)節(jié)明確相關(guān)配置要求提供指南。本規(guī)范可作為編制設(shè)備入網(wǎng)測(cè)試規(guī)范�,工程驗(yàn)收手冊(cè)���,局?jǐn)?shù)據(jù)模板等文檔的參考1.2內(nèi)部適用性說(shuō)明本規(guī)范是依據(jù)《中國(guó)移動(dòng)防火墻配置規(guī)范》中配置類(lèi)規(guī)范要求的基礎(chǔ)上提出的CHECKPOINT防火墻配置要求規(guī)范,為便于比較��,特作以下逐一比較及說(shuō)明(在“采納意見(jiàn)”部分對(duì)應(yīng)為“完全采納”�、“部分采納”、“增強(qiáng)要求”��、“新增要求”���、“不采納”�。在“補(bǔ)充說(shuō)明”部分���,對(duì)于增強(qiáng)要求的情況�,說(shuō)明在本
3��、規(guī)范的相應(yīng)條款中描述了增強(qiáng)的要求���。對(duì)于“不采納”的情況�����,說(shuō)明采納的原因)�。內(nèi)容采納意見(jiàn)備注1.不同等級(jí)管理員分配不同賬號(hào)���,避免賬號(hào)混用���。完全采納2.應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)�����。完全采納3.防火墻管理員賬號(hào)口令長(zhǎng)度至少8位�,并包括數(shù)字、小寫(xiě)字母�、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少2類(lèi)。完全采納4.賬戶(hù)口令的生存期不長(zhǎng)于90天�����。部分采納IPSO操作系統(tǒng)支持5.應(yīng)配置設(shè)備���,使用戶(hù)不能重復(fù)使用最近5次(含5次)內(nèi)已使用的口令��。部分采納IPSO操作系統(tǒng)支持6.應(yīng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次(不含6次)��,鎖定該用戶(hù)使用的
4��、賬號(hào)�。部分采納IPSO操作系統(tǒng)支持7.完全采納1中國(guó)移動(dòng)CHECKPOINT防火墻配置規(guī)范在設(shè)備權(quán)限配置能力內(nèi),根據(jù)用戶(hù)的管理等級(jí)���,配置其所需的最小管理權(quán)限����。1.設(shè)備應(yīng)配置日志功能�,對(duì)用戶(hù)登錄進(jìn)行記錄,記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)�����,登錄是否成功���,登錄時(shí)間���,以及遠(yuǎn)程登錄時(shí),用戶(hù)使用的IP地址�。完全采納2.設(shè)備應(yīng)配置日志功能,記錄用戶(hù)對(duì)設(shè)備的重要操作�����。完全采納3.設(shè)備應(yīng)配置日志功能,記錄對(duì)與設(shè)備相關(guān)的安全事件����。完全采納4.設(shè)備配置遠(yuǎn)程日志功能����,將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。完全采納5.防火墻應(yīng)根據(jù)業(yè)務(wù)需要�,配置基于源
5、IP地址��、通信協(xié)議TCP或UDP���、目的IP地址�、源端口����、目的端口的流量過(guò)濾,過(guò)濾所有和業(yè)務(wù)不相關(guān)的流量�。完全采納6.對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備,設(shè)備應(yīng)配置使用SSH���,HTTPS等加密協(xié)議��。完全采納7.所有防火墻在配置訪問(wèn)規(guī)則時(shí)���,最后一條必須是拒絕一切流量���。完全采納8.在配置訪問(wèn)規(guī)則時(shí),源地址和目的地址的范圍必須以實(shí)際訪問(wèn)需求為前提���,盡可能的縮小范圍�����。完全采納9.對(duì)于訪問(wèn)規(guī)則的排列����,應(yīng)當(dāng)遵從范圍由小到大的排列規(guī)則�����。完全采納10.在進(jìn)行重大配置修改前��,必須對(duì)當(dāng)前配置進(jìn)行備份��。完全采納11.對(duì)于VPN用戶(hù),必須按照其訪問(wèn)權(quán)限
6�、不同而進(jìn)行分組,并在訪問(wèn)控制規(guī)則中對(duì)該組的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格限制�����。完全采納12.訪問(wèn)規(guī)則必須按照一定的規(guī)則進(jìn)行分組����。完全采納13.打開(kāi)防DDOS攻擊功能���。完全采納14.對(duì)于常見(jiàn)病毒的端口號(hào)應(yīng)當(dāng)進(jìn)行端口的關(guān)閉配置�����。完全采納15.限制ping包的大小��,以及一段時(shí)間內(nèi)同一主機(jī)發(fā)送的次數(shù)�。完全采納16.對(duì)于各端口要開(kāi)啟防欺騙功能����。完全采納17.對(duì)于具備字符交互界面的設(shè)備,應(yīng)配置定時(shí)賬戶(hù)自動(dòng)登出����。完全采納1中國(guó)移動(dòng)CHECKPOINT防火墻配置規(guī)范1.對(duì)于具備圖形界面(含WEB界面)的設(shè)備�,應(yīng)配置定時(shí)自動(dòng)登出��。完全采納2.對(duì)于具備cons
7����、ole口的設(shè)備,應(yīng)配置console口密碼保護(hù)功能�。完全采納3.對(duì)于登陸賬戶(hù)的ip地址,配置為只允許從某些ip地址登陸�����。完全采納4.對(duì)于外網(wǎng)口地址��,關(guān)閉對(duì)ping包的回應(yīng)��。建議通過(guò)VPN隧道獲得內(nèi)網(wǎng)地址�����,從內(nèi)網(wǎng)口進(jìn)行遠(yuǎn)程管理���。完全采納5.設(shè)定統(tǒng)一時(shí)鐘源完全采納6.設(shè)定對(duì)防火墻的保護(hù)安全規(guī)則完全采納7.根據(jù)實(shí)際的網(wǎng)絡(luò)連接調(diào)整防火墻并發(fā)連接數(shù)完全采納8.雙機(jī)集群架構(gòu)采用VRRP模式部署部分采納9.透明橋模式須關(guān)閉狀態(tài)檢測(cè)有關(guān)項(xiàng)完全采納10.對(duì)管理服務(wù)器的日志文件大小和轉(zhuǎn)存必須進(jìn)行設(shè)置����,并保護(hù)系統(tǒng)磁盤(pán)空間完全采納11.配置SNMP監(jiān)
8、控完全采納12.設(shè)置與防火墻互聯(lián)的網(wǎng)絡(luò)設(shè)備端口速率���,雙工狀態(tài)完全采納1.1外部引用說(shuō)明《中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全保障體系總綱》《中國(guó)移動(dòng)內(nèi)部控制手冊(cè)(第二版)》《中國(guó)移動(dòng)標(biāo)準(zhǔn)化控制矩陣(第二版)》1.2術(shù)語(yǔ)和定義設(shè)備配置要求:描述在規(guī)范適用范圍內(nèi)設(shè)備必須和推薦采用的配置要求�����。在
