CheckPoint防火墙安全配置基线

CheckPoint防火墙安全配置基线

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录

第1章概述 (1)

1.1目的 (1)

1.2适用范围 (1)

1.3适用版本 (1)

1.4实施 (1)

1.5例外条款 (1)

第2章帐号管理、认证授权安全要求 (2)

2.1帐号管理 (2)

2.1.1用户帐号分配* (2)

2.1.2删除无关的帐号* (2)

2.1.3帐户登录超时* (3)

2.1.4帐户密码错误自动锁定* (4)

2.2口令 (4)

2.2.1口令复杂度要求 (4)

2.3授权 (5)

2.3.1远程维护的设备使用加密协议 (5)

第3章日志及配置安全要求 (7)

3.1日志安全 (7)

3.1.1记录用户对设备的操作 (7)

3.1.2开启记录NAT日志* (7)

3.1.3开启记录VPN日志* (8)

3.1.4配置记录流量日志 (9)

3.1.5配置记录拒绝和丢弃报文规则的日志 (9)

3.2安全策略配置要求 (10)

3.2.1访问规则列表最后一条必须是拒绝一切流量 (10)

3.2.2配置访问规则应尽可能缩小范围 (10)

3.2.3配置OPSEC类型对象* (11)

3.2.4配置NAT地址转换* (11)

3.2.5限制用户连接数* (12)

3.2.6Syslog转发SmartCenter日志* (12)

3.3攻击防护配置要求 (14)

3.3.1定义执行IPS的防火墙* (14)

3.3.2定义IPS Profile* (15)

第4章防火墙备份与恢复 (16)

4.1.1SmartCenter备份和恢复(upgrade_tools)* (16)

第5章评审与修订 (17)

第1章概述

1.1 目的

本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本

CheckPoint防火墙。

1.4 实施

1.5 例外条款

第2章帐号管理、认证授权安全要求2.1 帐号管理

2.1.1用户帐号分配*

2.1.2删除无关的帐号*

2.1.3帐户登录超时*

2.1.4帐户密码错误自动锁定*

2.2 口令

2.2.1口令复杂度要求

2.3 授权

2.3.1远程维护的设备使用加密协议

第3章日志及配置安全要求3.1 日志安全

3.1.1记录用户对设备的操作

3.1.2开启记录NAT日志*

3.1.3开启记录VPN日志*

3.1.4配置记录流量日志

3.1.5配置记录拒绝和丢弃报文规则的日志

3.2 安全策略配置要求

3.2.1访问规则列表最后一条必须是拒绝一切流量

3.2.2配置访问规则应尽可能缩小范围

3.2.3配置OPSEC类型对象*

选择配置

户，即通配用户。如下点击用户定义模块“3.2.4配置NAT地址转换*

3.2.5限制用户连接数*

3.2.6Syslog转发SmartCenter日志*

3.3 攻击防护配置要求

3.3.1定义执行IPS的防火墙*

3.3.2定义IPS Profile*

第4章防火墙备份与恢复

4.1.1 SmartCenter备份和恢复(upgrade_tools)*

第5章评审与修订