CheckPoint防火墻安全配置基線要點(diǎn).doc

《CheckPoint防火墻安全配置基線要點(diǎn).doc》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。

1、CheckPoint防火墻安全配置基線CheckPoint防火墻安全配置基線第16頁(yè)共20頁(yè)CheckPoint防火墻安全配置基線版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第16頁(yè)共20頁(yè)CheckPoint防火墻安全配置基線目錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實(shí)施11.5例外條款1第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求22.1帳號(hào)管理22.1.1用戶帳號(hào)分配*22.1.2刪除無(wú)關(guān)的帳號(hào)*22.1.3

2、帳戶登錄超時(shí)*32.1.4帳戶密碼錯(cuò)誤自動(dòng)鎖定*42.2口令42.2.1口令復(fù)雜度要求42.3授權(quán)52.3.1遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議5第3章日志及配置安全要求73.1日志安全73.1.1記錄用戶對(duì)設(shè)備的操作73.1.2開啟記錄NAT日志*73.1.3開啟記錄VPN日志*83.1.4配置記錄流量日志93.1.5配置記錄拒絕和丟棄報(bào)文規(guī)則的日志93.2安全策略配置要求103.2.1訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量103.2.2配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍103.2.3配置OPSEC類型對(duì)象*113.2.4配置NAT地

3、址轉(zhuǎn)換*113.2.5限制用戶連接數(shù)*123.2.6Syslog轉(zhuǎn)發(fā)SmartCenter日志*123.3攻擊防護(hù)配置要求143.3.1定義執(zhí)行IPS的防火墻*143.3.2定義IPSProfile*15第4章防火墻備份與恢復(fù)164.1.1SmartCenter備份和恢復(fù)(upgrade_tools)*16第5章評(píng)審與修訂17第16頁(yè)共20頁(yè)CheckPoint防火墻安全配置基線第1章概述1.1目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行CheckPoint防火墻的安全配置。1.2適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全

4、管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3適用版本CheckPoint防火墻。1.4實(shí)施1.5例外條款第16頁(yè)共20頁(yè)CheckPoint防火墻安全配置基線第1章帳號(hào)管理、認(rèn)證授權(quán)安全要求1.1帳號(hào)管理1.1.1用戶帳號(hào)分配*安全基線項(xiàng)目名稱用戶帳號(hào)分配安全基線要求項(xiàng)安全基線編號(hào)SBL-CP-02-01-01安全基線項(xiàng)說(shuō)明不同等級(jí)管理員分配不同帳號(hào)，避免帳號(hào)混用。檢測(cè)操作步驟1.參考配置操作setuser

5、monitor>newpasspasswd2.補(bǔ)充操作說(shuō)明?；€符合性判定依據(jù)1.判定條件用配置中沒(méi)有的用戶名去登錄，結(jié)

6、果是不能登錄。2.檢測(cè)操作showusersshowuserusername3.補(bǔ)充說(shuō)明無(wú)。備注有些防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的帳號(hào)，需要手工檢查。1.1.2刪除無(wú)關(guān)的帳號(hào)*安全基線項(xiàng)目名稱無(wú)關(guān)的帳號(hào)安全基線要求項(xiàng)安全基線編號(hào)SBL-CP-02-01-02安全基線項(xiàng)說(shuō)明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的帳號(hào)。第16頁(yè)共20頁(yè)CheckPoint防火墻安全配置基線檢測(cè)操作步驟1.參考配置操作configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.nou

7、sernameruser32.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件配置中用戶信息被刪除。2.檢測(cè)操作deleteuserusername3.補(bǔ)充說(shuō)明無(wú)。備注建議手工抽查系統(tǒng)，無(wú)關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。1.1.1帳戶登錄超時(shí)*安全基線項(xiàng)目名稱帳戶登錄超時(shí)安全基線要求項(xiàng)安全基線編號(hào)SBL-CP-02-01-03安全基線項(xiàng)說(shuō)明配置定時(shí)帳戶自動(dòng)登出，空閑5分鐘自動(dòng)登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測(cè)操作步驟1、參考配置操作設(shè)置超時(shí)時(shí)間為5分鐘2、補(bǔ)充說(shuō)明無(wú)。基線符合性判定依據(jù)1.判定條件在超出設(shè)定時(shí)間后

8、，用戶自動(dòng)登出設(shè)備。2.參考檢測(cè)操作3.補(bǔ)充說(shuō)明無(wú)。第16頁(yè)共20頁(yè)CheckPoint防火墻安全配置基線備注需要手工檢查1.1.1帳戶密碼錯(cuò)誤自動(dòng)鎖定*安全基線項(xiàng)目名稱帳戶密碼錯(cuò)誤自動(dòng)鎖定安全基線要求項(xiàng)安全基線編號(hào)SBL-CP-02-01-04安全基線項(xiàng)說(shuō)明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時(shí)間設(shè)置為300秒檢測(cè)操作步驟1、參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)1.判定條件超出重試次數(shù)后帳號(hào)鎖定，不允許登錄，解鎖時(shí)間到達(dá)后可以登錄。2.參考檢測(cè)操作3.補(bǔ)充說(shuō)明無(wú)。備注注意

9、！此項(xiàng)設(shè)置會(huì)影響性能，建議設(shè)置后對(duì)訪問(wèn)此設(shè)備做源地址做限制。需要手工檢查。1.2口令1.2.1口令復(fù)雜度要求安全基線項(xiàng)目名稱口令復(fù)雜度要求安全基線要求項(xiàng)安全基線編號(hào)SBL-CP-02-02-01安全基線項(xiàng)說(shuō)明防火墻管理員帳號(hào)口令長(zhǎng)度至少8第16頁(yè)共20頁(yè)CheckPoint防火墻安全配置基線位，并包括數(shù)