欢迎来到天天文库
浏览记录
ID:51834166
大小:164.90 KB
页数:20页
时间:2020-03-16
《CheckPoint防火墙安全配置基线要点.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、CheckPoint防火墙安全配置基线CheckPoint防火墙安全配置基线第16页共20页CheckPoint防火墙安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。第16页共20页CheckPoint防火墙安全配置基线目录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章帐号管理、认证授权安全要求22.1帐号管理22.1.1用户帐号分配*22.1.2删除无关的帐号*22.1.3
2、帐户登录超时*32.1.4帐户密码错误自动锁定*42.2口令42.2.1口令复杂度要求42.3授权52.3.1远程维护的设备使用加密协议5第3章日志及配置安全要求73.1日志安全73.1.1记录用户对设备的操作73.1.2开启记录NAT日志*73.1.3开启记录VPN日志*83.1.4配置记录流量日志93.1.5配置记录拒绝和丢弃报文规则的日志93.2安全策略配置要求103.2.1访问规则列表最后一条必须是拒绝一切流量103.2.2配置访问规则应尽可能缩小范围103.2.3配置OPSEC类型对象*113.2.4配置NAT地
3、址转换*113.2.5限制用户连接数*123.2.6Syslog转发SmartCenter日志*123.3攻击防护配置要求143.3.1定义执行IPS的防火墙*143.3.2定义IPSProfile*15第4章防火墙备份与恢复164.1.1SmartCenter备份和恢复(upgrade_tools)*16第5章评审与修订17第16页共20页CheckPoint防火墙安全配置基线第1章概述1.1目的本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。1.2适用范围本配置标准的使用者包括:网络管理员、网络安全
4、管理员、网络监控人员。1.3适用版本CheckPoint防火墙。1.4实施1.5例外条款第16页共20页CheckPoint防火墙安全配置基线第1章帐号管理、认证授权安全要求1.1帐号管理1.1.1用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-CP-02-01-01安全基线项说明不同等级管理员分配不同帐号,避免帐号混用。检测操作步骤1.参考配置操作setuser5、monitor>newpasspasswd2.补充操作说明。基线符合性判定依据1.判定条件用配置中没有的用户名去登录,结6、果是不能登录。2.检测操作showusersshowuserusername3.补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。1.1.2删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-CP-02-01-02安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。第16页共20页CheckPoint防火墙安全配置基线检测操作步骤1.参考配置操作configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.nou7、sernameruser32.补充操作说明基线符合性判定依据1.判定条件配置中用户信息被删除。2.检测操作deleteuserusername3.补充说明无。备注建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。1.1.1帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL-CP-02-01-03安全基线项说明配置定时帐户自动登出,空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据1.判定条件在超出设定时间后8、,用户自动登出设备。2.参考检测操作3.补充说明无。第16页共20页CheckPoint防火墙安全配置基线备注需要手工检查1.1.1帐户密码错误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-CP-02-01-04安全基线项说明在10次尝试登录失败后锁定帐户,不允许登录。解锁时间设置为300秒检测操作步骤1、参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据1.判定条件超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。2.参考检测操作3.补充说明无。备注注意9、!此项设置会影响性能,建议设置后对访问此设备做源地址做限制。需要手工检查。1.2口令1.2.1口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL-CP-02-02-01安全基线项说明防火墙管理员帐号口令长度至少8第16页共20页CheckPoint防火墙安全配置基线位,并包括数
5、monitor>newpasspasswd2.补充操作说明。基线符合性判定依据1.判定条件用配置中没有的用户名去登录,结
6、果是不能登录。2.检测操作showusersshowuserusername3.补充说明无。备注有些防火墙系统本身就携带三种不同权限的帐号,需要手工检查。1.1.2删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-CP-02-01-02安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。第16页共20页CheckPoint防火墙安全配置基线检测操作步骤1.参考配置操作configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.nou
7、sernameruser32.补充操作说明基线符合性判定依据1.判定条件配置中用户信息被删除。2.检测操作deleteuserusername3.补充说明无。备注建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。1.1.1帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL-CP-02-01-03安全基线项说明配置定时帐户自动登出,空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据1.判定条件在超出设定时间后
8、,用户自动登出设备。2.参考检测操作3.补充说明无。第16页共20页CheckPoint防火墙安全配置基线备注需要手工检查1.1.1帐户密码错误自动锁定*安全基线项目名称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-CP-02-01-04安全基线项说明在10次尝试登录失败后锁定帐户,不允许登录。解锁时间设置为300秒检测操作步骤1、参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据1.判定条件超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。2.参考检测操作3.补充说明无。备注注意
9、!此项设置会影响性能,建议设置后对访问此设备做源地址做限制。需要手工检查。1.2口令1.2.1口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL-CP-02-02-01安全基线项说明防火墙管理员帐号口令长度至少8第16页共20页CheckPoint防火墙安全配置基线位,并包括数
此文档下载收益归作者所有
