資源描述:
《Checkpoint防火墻安全配置的指南》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1�����、..Checkpoint防火墻安全配置指南中國聯(lián)通信息化事業(yè)部2012年12月Word格式..版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年12月備注:1.若此文檔需要日后更新��,請(qǐng)創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格��。Word格式..目錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實(shí)施11.5例外條款1第2章安全配置要求22.1系統(tǒng)安全22.1.1用戶賬號(hào)分配22.1.2刪除無關(guān)的賬號(hào)32.1.3密碼復(fù)雜度32.1.4配置用戶所需的最小權(quán)限42.1.5安全登陸52.1.6配置NTP62.1.7安全配置SNMP6第3章日志安全要求73.1日志安全7
2�、3.1.1啟用日志功能73.1.2記錄管理日志83.1.3配置日志服務(wù)器93.1.4日志服務(wù)器磁盤空間10第4章訪問控制策略要求114.1訪問控制策略安全114.1.1過濾所有與業(yè)務(wù)不相關(guān)的流量114.1.2透明橋模式須關(guān)閉狀態(tài)檢測有關(guān)項(xiàng)124.1.3賬號(hào)與IP綁定134.1.4雙機(jī)架構(gòu)采用VRRP模式部署144.1.5打開防御DDOS攻擊功能154.1.6開啟攻擊防御功能15第5章評(píng)審與修訂16Word格式..第1章概述1.1目的本文檔規(guī)定了中國聯(lián)通通信有限公司信息化事業(yè)部所維護(hù)管理的CheckPoint防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)����,本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行CheckP
3�����、oint防火墻的安全配置�。1.2適用范圍本配置標(biāo)準(zhǔn)的使用者包括:網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員�、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的范圍包括:中國聯(lián)通總部和各省公司信息化部門維護(hù)管理的CheckPoint防火墻����。1.3適用版本CheckPoint防火墻;1.4實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國聯(lián)通集團(tuán)信息化事業(yè)部�,在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議,應(yīng)及時(shí)反饋�����。本標(biāo)準(zhǔn)發(fā)布之日起生效����。1.5例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款,申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件,說明業(yè)務(wù)需求和原因����,送交中國聯(lián)通集團(tuán)信息化事業(yè)部進(jìn)行審批備案。第2章Word格式..安全配置要求1.1系統(tǒng)安全1.1.1用戶賬號(hào)分配項(xiàng)目名稱用戶
4���、賬號(hào)分配要求編號(hào)CheckPointFW-02-01-01項(xiàng)目說明應(yīng)按照用戶分配賬號(hào)���。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享���。檢測操作步驟1.安裝GUI客戶端在計(jì)算機(jī)上2.登陸查看符合性判定依據(jù)1.配置文件中�,存在不同的帳號(hào)分配2.網(wǎng)絡(luò)管理員確認(rèn)用戶與帳號(hào)分配關(guān)系明確配置方法使用客服端登陸設(shè)備���,輸入用戶名密碼登陸�,如圖所示添加用戶和設(shè)置密碼����。Word格式..實(shí)施風(fēng)險(xiǎn)確認(rèn)所添加的用戶無誤。備注1.1.1刪除無關(guān)的賬號(hào)項(xiàng)目名稱刪除無關(guān)的賬號(hào)要求編號(hào)CheckPointFW-02-01-02項(xiàng)目說明應(yīng)刪除或鎖定與設(shè)備運(yùn)行����、維護(hù)等工作無關(guān)的賬號(hào)�����。檢測操作步驟1.安裝G
5、UI客戶端在計(jì)算機(jī)上�����。2.登陸查看���。符合性判定依據(jù)配置中不存在無關(guān)賬號(hào)配置方法使用客服端登陸設(shè)備��,進(jìn)入administratorpermission,如圖所示進(jìn)行操作:實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無誤�。備注1.1.2密碼復(fù)雜度項(xiàng)目名稱密碼復(fù)雜度要求Word格式..編號(hào)CheckPointFW-02-01-03項(xiàng)目說明防火墻管理員賬號(hào)口令長度至少8位����,并包括數(shù)字、小寫字母���、大寫字母和特殊符號(hào)4類中至少3類��。檢測操作步驟1.安裝GUI客戶端在計(jì)算機(jī)上�。2.登陸查看�。基線符合性判定依據(jù)口令長度至少8位,并包括數(shù)字���、小寫字母�����、大寫字母和特殊符號(hào)4類中至少3類配置方法使用客服端登陸設(shè)備�,進(jìn)行用戶添加時(shí)設(shè)置
6����、密碼復(fù)雜度,如圖所示:實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無誤�����,在不影響業(yè)務(wù)的前提下進(jìn)行更新���。備注1.1.1配置用戶所需的最小權(quán)限項(xiàng)目名稱配置用戶所需的最小權(quán)限要求項(xiàng)�。編號(hào)CheckPointFW-02-01-04項(xiàng)目說明在設(shè)備權(quán)限配置能力內(nèi)�����,根據(jù)用戶的管理等級(jí)�����,配置其所需的最小管理權(quán)限。Word格式..檢測操作步驟不同用戶登陸�����,嘗試訪問不同的模塊���。符合性判定依據(jù)不同用戶登陸,嘗試訪問不同的模塊��。用戶不能訪問自己權(quán)限以外的模塊����。配置方法使用客戶端登陸設(shè)備,進(jìn)行權(quán)限配置�����,如圖所示:實(shí)施風(fēng)險(xiǎn)確認(rèn)操作無誤����。備注1.1.1安全登陸項(xiàng)目名稱安全登陸配置編號(hào)CheckPointFW-02-01-05項(xiàng)目說明在PC機(jī)
7、上安裝CheckPointGUI客服端����,專機(jī)專用����,確保設(shè)備的安全性�。檢測操作步驟1.檢查在專用機(jī)上是否安裝GUI客服端。2.使用客服端檢測能否登陸設(shè)備符合性判定依據(jù)1.檢查是否專機(jī)專用2.是否安裝客服端配置方法將設(shè)備提供的客服端安裝在專用的PC機(jī)上即可�����。Word格式..實(shí)施風(fēng)險(xiǎn)確認(rèn)安裝無誤��。備注確保PC機(jī)為專用�����,無其他業(yè)務(wù)往來�����。1.1.1配置NTP項(xiàng)目名稱配置NTP服務(wù)器�����。編號(hào)CheckPointFW-02-01-06項(xiàng)目說明開啟NTP服務(wù)�����,保證日志功能記
