返回
CheckPoint防火墙配置

CheckPoint防火墙配置

ID:40415834

大小:1.39 MB

页数:29页

时间:2019-08-02

CheckPoint防火墙配置_第1页
CheckPoint防火墙配置_第2页
CheckPoint防火墙配置_第3页
CheckPoint防火墙配置_第4页
CheckPoint防火墙配置_第5页
资源描述:

《CheckPoint防火墙配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、╳╳╳╳-╳╳-╳╳实施╳╳╳╳-╳╳-╳╳发布CheckPoint防火墙配置SpecificationforCheckPointFireWallConfigurationUsedinChinaMobile版本号:1.0.0中国移动通信有限公司网络部中国移动CHECKPOINT防火墙配置规范目录1概述11.1适用范围11.2内部适用性说明11.3外部引用说明31.4术语和定义31.5符号和缩略语42CHECKPOINT防火墙设备配置要求41中国移动CHECKPOINT防火墙配置规范前言概述1.1适用范围本规范适用于中国移动通信

2、网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考1.2内部适用性说明本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本

3、规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。内容采纳意见备注1.不同等级管理员分配不同账号,避免账号混用。完全采纳2.应删除或锁定与设备运行、维护等工作无关的账号。完全采纳3.防火墙管理员账号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。完全采纳4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持5.应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。部分采纳IPSO操作系统支持6.应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的

4、账号。部分采纳IPSO操作系统支持7.完全采纳1中国移动CHECKPOINT防火墙配置规范在设备权限配置能力内,根据用户的管理等级,配置其所需的最小管理权限。1.设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。完全采纳2.设备应配置日志功能,记录用户对设备的重要操作。完全采纳3.设备应配置日志功能,记录对与设备相关的安全事件。完全采纳4.设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。完全采纳5.防火墙应根据业务需要,配置基于源

5、IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。完全采纳6.对于使用IP协议进行远程维护的设备,设备应配置使用SSH,HTTPS等加密协议。完全采纳7.所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量。完全采纳8.在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围。完全采纳9.对于访问规则的排列,应当遵从范围由小到大的排列规则。完全采纳10.在进行重大配置修改前,必须对当前配置进行备份。完全采纳11.对于VPN用户,必须按照其访问权限

6、不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。完全采纳12.访问规则必须按照一定的规则进行分组。完全采纳13.打开防DDOS攻击功能。完全采纳14.对于常见病毒的端口号应当进行端口的关闭配置。完全采纳15.限制ping包的大小,以及一段时间内同一主机发送的次数。完全采纳16.对于各端口要开启防欺骗功能。完全采纳17.对于具备字符交互界面的设备,应配置定时账户自动登出。完全采纳1中国移动CHECKPOINT防火墙配置规范1.对于具备图形界面(含WEB界面)的设备,应配置定时自动登出。完全采纳2.对于具备cons

7、ole口的设备,应配置console口密码保护功能。完全采纳3.对于登陆账户的ip地址,配置为只允许从某些ip地址登陆。完全采纳4.对于外网口地址,关闭对ping包的回应。建议通过VPN隧道获得内网地址,从内网口进行远程管理。完全采纳5.设定统一时钟源完全采纳6.设定对防火墙的保护安全规则完全采纳7.根据实际的网络连接调整防火墙并发连接数完全采纳8.双机集群架构采用VRRP模式部署部分采纳9.透明桥模式须关闭状态检测有关项完全采纳10.对管理服务器的日志文件大小和转存必须进行设置,并保护系统磁盘空间完全采纳11.配置SNMP监

8、控完全采纳12.设置与防火墙互联的网络设备端口速率,双工状态完全采纳1.1外部引用说明《中国移动网络与信息安全保障体系总纲》《中国移动内部控制手册(第二版)》《中国移动标准化控制矩阵(第二版)》1.2术语和定义设备配置要求:描述在规范适用范围内设备必须和推荐采用的配置要求。在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。