CheckPoint防火墙安全配置基线

合集下载

CheckPoint 防火墙基本操作及应急措施

防火墙基本操作及应急措施陈世雄安全工程师CCSE议程▪智能边界安全解决方案▪CheckPoint 配置基础▪常见问题及应急措施Check Point 简介▪最受信赖、最可依靠的互联网安全厂商–我们致力发展安全领域——并且比任何厂商更优秀!–全球财富100企业中，100%企业使用我们的产品–在防火墙和虚拟专用网络（VPN）市场中占有领导地位•在全球 VPN/防火墙软件市场销售额中占70%份额（Infonetics提供数据）•VPN/防火墙软件市场占有率超过 54% （IDC提供数据）•安全硬件设备市场份额中有 36% 为 Check Point 产品（由Infonetics 提供）▪以客为本的企业原则–业界领先的技术合作伙伴关系–强大且广泛的渠道合作伙伴关系状态检测 /FireWall-11993OPSEC 1997 VPN-11998Next Generation2001 SmartDefense2002 应用智能2003 Check Point:一直走在客户现实需求的前面创新历程1994 1995 19961999 2000Web 智能2004我们的策略2004上半年提供!▪ 安全远程访问 ▪ Web 服务器保护▪ 统一认证 ▪ 一致性策略管理▪ 市场领先▪ 十年的成功史 ▪ 最新发布- InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0▪ Check Point InterSpect ▪ Zone LabsSMART 管理无忧保护边界深入检查智能安全解决方案智能边界安全解决方案边界安全挑战边界的安全•攻击保护•分支机构之间的安全联接•远程员工的安全访问•能够控制的Internet 访问攻击保护必须能针对网络层和应用层的攻击必须能防范已知的和未知的攻击分支机构之间的安全联接高效地管理应用策略的一致性大规模地VPN部署远程员工的安全访问容易部署和配置客户端保护（即使不在办公室）能够控制Internet访问灵活地认证对新应用的支持PERIMETER防火墙的基本功能▪访问控制▪认证（可采用OPSEC智能卡：用来存储证书或用户名及密码）▪地址转换（多对一和一对一方式）Example FireWall-1 Security Policy▪内容的安全保护▪QoS带宽管理多层安全网关PERIMETER同时集成网络和应用层的功能提供全面的攻击防护和网络安全控制对Internet 网络资源的访问RPCP2PICMPDNSCIFS H.323 SIPSOAP IPSEC MGCPGTP TCP 序列 PERIMETERBitTorrentSkype重要的应用暴露Web 服务器邮件服务器FTP 服务器VoIP 网关DNSPeer-to-Peer黑客•拒绝为合法用户服务 ( DoS 攻击) •获取管理员权限访问服务器或客户端 •访问后台数据库•安装木马软件以避开安全检查•在服务器上安装 “嗅探” 软件以捕获用户名/口令黑客目标因特网安全策略通常 “允许”这些通信Microsoft 网络PERIMETER应用智能Application Intelligence 是一组高级功能– 被集成于Check Point FireWall-1 NG 和 SmartDefense 中 – 检测和避免应用层的攻击验证是否遵循标准 ✓ 验证协议是否符合预期用法✓ 阻止可疑数据 ✓ 控制应用的有害操作✓PERIMETERCIFS 支持–需求: 支持 Microsoft 环境–通常的解释: “安全的访问共享驱动器”–好处•安全: 你的用户可能使用Microsoft网络（很大的安全漏洞），而没有你的知识。

Checkpoint防火墙安全配置指南

Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章安全配置要求 (2)2.1系统安全 (2)2.1.1用户账号分配 (2)2.1.2删除无关的账号 (3)2.1.3密码复杂度 (3)2.1.4配置用户所需的最小权限 (4)2.1.5安全登陆 (5)2.1.6配置NTP (6)2.1.7安全配置SNMP (6)第3章日志安全要求 (7)3.1日志安全 (7)3.1.1启用日志功能 (7)3.1.2记录管理日志 (8)3.1.3配置日志服务器 (9)3.1.4日志服务器磁盘空间 (10)第4章访问控制策略要求 (11)4.1访问控制策略安全 (11)4.1.1过滤所有与业务不相关的流量 (11)4.1.2透明桥模式须关闭状态检测有关项 (12)4.1.3账号与IP绑定 (13)4.1.4双机架构采用VRRP模式部署 (14)4.1.5打开防御DDOS攻击功能 (15)4.1.6开启攻击防御功能 (15)第5章评审与修订 (16)第1章概述1.1 目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3 适用版本CheckPoint防火墙；1.4 实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

checkpoint 15400防火墙参数 -回复

checkpoint 15400防火墙参数-回复关于Checkpoint 15400防火墙参数的一步一步回答首先，Checkpoint 15400防火墙是一种高性能的企业级防火墙设备，具备强大的安全功能和灵活的设置参数。

本文将分步回答有关这款防火墙参数的问题。

第一步：了解Checkpoint 15400防火墙Checkpoint 15400防火墙是由Checkpoint Technologies开发的一款硬件设备，旨在提供出色的网络安全和流量管理解决方案。

这款防火墙采用混合处理架构，可以处理大量的数据流量，并提供对网络流量的精细控制。

第二步：了解防火墙参数的分类Checkpoint 15400防火墙的参数可以根据其功能和设置方式进行分类。

常见的分类包括：1. 网络参数：用于配置防火墙的网络接口、IP地址、子网掩码等信息，以便与外部网络和内部网络进行连接。

2. 安全策略参数：用于配置防火墙的安全策略，包括允许或拒绝某些特定IP地址、端口或协议的流量。

还可以设置入站和出站的安全策略，以保护内部网络免受外部威胁。

3. VPN参数：用于配置防火墙的虚拟专用网络（VPN）功能，包括创建和管理VPN隧道、配置加密算法和密钥等。

4. 监控和报警参数：用于设置防火墙的监控和报警功能，包括配置日志记录、事件报告和警报设置等，以便及时发现和响应潜在的安全威胁。

第三步：配置网络参数配置网络参数是设置Checkpoint 15400防火墙最基本的步骤，可以通过以下步骤完成：1. 连接到防火墙的管理界面，通常可以通过Web界面或命令行界面进行访问。

2. 在界面上找到网络配置选项，并选择适当的网络接口。

3. 根据网络环境的要求，配置接口的IP地址、子网掩码和默认网关。

4. 确认配置并保存。

第四步：配置安全策略参数配置安全策略参数是保护网络安全的关键步骤，可以通过以下步骤完成：1. 在防火墙的管理界面上找到安全策略或访问控制列表（ACL）配置选项。

Check Point防火墙安全解决方案

XXXX公司网络安全项目解决方案建议书目录一、项目需求分析···························错误!未定义书签。

项目背景·····························错误!未定义书签。

网络拓扑结构···························错误!未定义书签。

网络安全需求分析·························错误!未定义书签。

网络安全设计原则···························错误!未定义书签。

CheckPoint防火墙配置

C h e c k P o i n t防火墙配置公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-C h e c k P o i n t 防火墙配置╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０中国移动通信有限公司网络部目录前言概述1.1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT 防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2内部适用性说明本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账号，避免账号混用。

完全采纳2.应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳3.防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

完全采纳4.账户口令的生存期不长于90天。

部分采纳IPSO操作系统支持5.应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

部分采纳IPSO操作系统支持6.应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

Checkpoint防火墙安全配置手册V1.1

Checkpoint防火墙安全配置手册v1.1CheckPoint防火墙安全配置手册Version 1.1XX公司二零一五年一月第1页共41 页目录1 综述 (3)2 Checkpoint的几种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防火墙自身加固 (37)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint 的配置。

如下图所示，SSH连接到防火墙，在命令行中输入以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显示Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提示信息）Do you accept all the terms of this license agreement (y/n) ?y（输入y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1支持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：用户看到的图形化界面，用于配置安全策略，上面并不存储任何防火墙安全策略和对象，安装于一台PC机上；Management：存储为防火墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作用的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同一台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

CheckPoint防火墙操作手册

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

Nokia安全平台CheckPoint防火墙操作手册

Nokia安全平台CheckPoint防⽕墙操作⼿册Nokia安全平台&CheckPoint防⽕墙操作⼿册上海数讯信息技术有限公司⼆○○三年⼗⽉⽬录⼀、NOKIA平台操作⼿册 (2)1、IPSO的安装 (2)2、CHECKPOINT的安装 (10)3、N OKIA平台基本配置 (11)⼆、CHECKPOINT防⽕墙（FP3版本）操作⼿册 (17)1、安装 (17)2、设置 (36)A、增加⼀个Cluster对象 (36)B、增加⼀个主机对象 (41)C、增加⼀个⽹络对象 (43)D、设置全局属性 (45)E、编辑安全策略 (46)F、编辑VPN策略 (47)G、编辑QoS策略 (51)3、系统窗⼝ (52)数讯科技信息⽆限数讯科技信息⽆限⼀、 N okia 平台操作⼿册1、IPSO 的安装Nokia 平台的操作系统IPSO 的安装可以有两种⽅式：●串⼝控制台⽅式● WEB 界⾯voyager ⽅式A 、串⼝控制台⽅式将Nokia 平台的串⼝控制线连接到⼀台PC 的串⼝上，并开启终端仿真程序，将Nokia 平台上电后出现下列界⾯：选择1：bootmgr;待出现BOOTMGR 提⽰符后，键⼊命令：install,然后系统提⽰是否继续，回答yes,出现如下界⾯：系统提⽰从匿名FTP服务器安装还是从⼀个有⽤户名和密码的FTP服务器安装，选择你喜欢的⽅式，并按回车，数讯科技信息⽆限选择你想从哪个端⼝上传⽂件，并输⼊这个端⼝的IP、服务器IP、FTP ⽤户名、密码、路径等，并按回车，数讯科技信息⽆限系统⾃动下载⽂件并安装到系统中，然后⾃动重启，数讯科技信息⽆限IPSO安装完成。

B、WEB 界⾯voyager⽅式第⼀次打开NOKIA 平台，使⽤Console连接上去，出现如下界⾯：输⼊主机名：firewall；输⼊admin⽤户的Password，并确认；选择使⽤基于Web的浏览⽅式——选择1；数讯科技信息⽆限2、使⽤Web界⾯对NOKIA进⾏管理，⾸先需要定义⼀块⽹卡地址、掩码和⽹卡的属性，我们定义在eth-s1p3上，定义地址为192.1.2.2，掩码长度24位，然后定可以通过这个地址对NOKIA进⾏基于Web的管理。

CheckPoint防火墙配置

中国移动通信CHINA MOBILECheckPo int 防火墙配置Specificati on for CheckPo int FireWailCo nf i g u r a中国移n动通版信有限公司网络部n2 .Mo bileXXXX - XX - XX 发布XXXX - XX - XX 实施11.2内部适用性说明1 概述2 CHECKPOIN 防火墙设备配置要求 (7)冃U 言概述1.1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOIN 防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出目录1677的CHECKPOIN防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在2 2.2内部适用性说明数超过6次（不含6次），锁定持“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、 “不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账完全采纳号，避免账号混用。

2.应删除或锁定与设备运行、维完全采纳护等工作无关的账号。

3.防火墙管理员账号口令长度至完全采纳少8位，并包括数字、小写字母、大与子母和特殊符号4类中至少2类。

4.账户口令的生存期不长于90部分采纳IPSO 操作系统支天。

持5.应配置设备，使用户不能重复部分采纳IPSO 操作系统支使用最近5次（含5次）内已持使用的口令。

该用户使用的账号。

6.应配置当用户连续认证失败次部分采纳IPSO 操作系统支7. 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。

Checkpoint防火墙安全配置手册V11

CheckPoint防火墙安全配置手册Version 1.1XX公司二零一五年一月目录1 综述 (3)2 Checkpoint的几种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防火墙自身加固 (37)1综述本配置手册介绍了Checkpoint防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了Checkpoint防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2Checkpoint的几种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令行使用cpconfig命令来完成Checkpoint 的配置。

checkpoint 15400防火墙参数

Checkpoint 15400防火墙参数如下：
•产品类型：硬件、VPN防火墙、UTM防火墙。

•最大吞吐量：400Mbps。

•安全过滤带宽：190Mbps。

•外形尺寸：250×426×43.5mm。

•重量：250Kg。

•硬件参数：4个10/100/1000。

•用户数限制：无用户数限制。

•并发连接数：500000并发连接数。

•VPN：支持VPN功能。

•入侵检测：Dos。

•认证标准：UL 60950、FCC Part 15、Subpart B、Class A、EN55024、EN55022、VCCI V-3、AS/NZS 3548:1995、CNS 13438 class A (测试通过)、国家认可
程序正在进行、KN22、KN61000-4 系列、TTA、IC-950、ROHS。

•功能特点：防火墙、入侵防御、防病毒、防间谍软件、网络应用防病毒、Vo IP安全、即时通讯(IM)、二层隔离网络安全(P2Pblocking)、Web过滤、
URL过滤以及实现安全的站点到站点和远程接入连接。

•其它参数：电源电压100-240 VAC、最大功率250W。

•其它：控制端口为Console口，管理为SmartCenter管理。

Check point 防火墙基本操作手册

Check point 防火墙基本操作手册For NGX Release了解check point 防火墙架构Check point 防火墙的管理是通过一个三层架构来实现的。

首先我们可以在任意的机器上安装防火墙客户端控制台，然后利用控制台的图形化界面登录check point 的管理服务器，定义出各个网络对象，定义企业各条策略，最后下发到防火墙执行模块。

具体实现过程见图示：防火墙的管理首先打开控制台软件，出现登录界面：SmartDashboard是配置防火墙策略和对象的一个控制软件，我们定义对象和规则时就利用他来实现，SmartUpdate是用于添License时要用到的一个控制软件，SmartView Tracker是查看日志时用到的客户端软件。

点击SmartDashboard后出现登录界面，如图：这里输入用户名，密码，以及管理服务器的ip地址。

点击ok 登录到配置界面。

第一个选项Demo Mode 是查看防火墙的演示界面。

点击Demo Mode 选择下拉列表框中的Advance选项可以查看Check point 公司定义的各项配置演示。

Cetificate（证书）选项是替代管理员用户名和密码验证的一种选择，这个证书有管理服务器生成，用户自己保存在本地，需要用它验证时点击旁边的小方块，添加这个证书，然后选择管理服务器地址，然后点击ok 登录。

最下面的Read Only 选项是以只读方式登录防火墙。

没有改配置的权限。

注意：防火墙一次只可以容许一个用户以管理员身份登录，可以修改火墙配置，其他以管理员身份登录防火墙的用户，要么强制断开当前已登陆的帐户，要么以只读身份登录。

登陆SmartConsole配置界面：上边标记处是添加防火墙规则的按钮。

左边是定义各种对象的区域，有防火墙对象，主机对象，网络对象，以及组对象。

右边Security选项显示的是规则库，显示当前定义的各条规则。

下面是已经定义的所有对象以及他们相应得属性。

CheckPoint防火墙安全配置基线

CheckPoint防火墙安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (4)2.2.1口令复杂度要求 (4)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2开启记录NAT日志* (7)3.1.3开启记录VPN日志* (8)3.1.4配置记录流量日志 (9)3.1.5配置记录拒绝和丢弃报文规则的日志 (9)3.2安全策略配置要求 (10)3.2.1访问规则列表最后一条必须是拒绝一切流量 (10)3.2.2配置访问规则应尽可能缩小范围 (10)3.2.3配置OPSEC类型对象* (11)3.2.4配置NAT地址转换* (11)3.2.5限制用户连接数* (12)3.2.6Syslog转发SmartCenter日志* (12)3.3攻击防护配置要求 (14)3.3.1定义执行IPS的防火墙* (14)3.3.2定义IPS Profile* (15)第4章防火墙备份与恢复 (16)4.1.1SmartCenter备份和恢复(upgrade_tools)* (16)第5章评审与修订 (17)第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

CheckPoint防火墙配置

C h e c k P o i n t防火墙配置Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998C h e c k P o i n t 防火墙配置╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０中国移动通信有限公司网络部目录前言概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账完全采纳号，避免账号混用。

2.应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳3.防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

完全采纳4.账户口令的生存期不长于90天。

部分采纳IPSO操作系统支持5.应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

部分采纳IPSO操作系统支持6.应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

check-point安装及维护

CheckPoint UTM-1 570端口参数控制端口：Console口其他端口：6个10/100/1000 尺寸大小：429×255×44mm 产品重量：3.7kg
安装文档
通过https://192.168.1.1:4434 默认用户名密码为:admin
日常维护
新的FW上。方法（也将此包通过FTP上传到此目录下）（注：备份只备份策略和组，机器，不备IP和路由）
的文件。将此文件通过FTP考出来，以备将来备用
策略操作：进入专家模式： Expert 输入密码即可进入以下目录：
cd /$FWDIR/bin/upgrade_tools 执行以下操作进行备份： ./upgrade_import 2.tgz（2代表所要备份的文件名）根据提示还原即可，会将机器原来的策略文件还原到
策略备份
通过串口线登陆到防火墙，执行以下操作：进入专家模式： Expert 输入密码即可进入以下目录：
cd /$FWDIR/bin/upgrade_tools 执行以下操作进行备份： ./upgrade_export 2.tgz（2代表所要备份的文件名）根据提示备份即可，会在当前的文件下面生存所备份
Check Point UTM-1 570
UTM-570相关参数安装方法日常维护
CheckPoint UTM-1 570基本参数防火墙类型：UTM防火墙并发连接数：500000 网络吞吐量：1100Mbps 管理：SmartCenter管理 CheckPoint UTM-1 570安全参数过滤带宽：250Mbps 人数限制：无用户数限制/250 入侵检测：Dos, DDoS主要功能防火墙、入侵防御、防病毒、防间谍软件、
网络应用防病毒、Vo IP安全、即时通讯(IM)、二层隔离网络安全 (P2Pblocking)Web过滤、URL过滤以及实现安全的站点到站点和远程接入连接

防火墙的安全策略基线

防火墙的安全策略基线
防火墙的安全策略基线主要包括以下几个方面：
1. 包过滤：这是防火墙安全策略的基础，主要是根据数据包的源地址、目标地址、端口号等信息来判断是否允许该数据包通过。

根据防火墙的配置，可以允许或拒绝来自特定IP地址、子网或主机的所有通信。

2. 代理服务：防火墙可以作为代理服务器，对内网和外网之间的通信进行转发。

通过代理服务，防火墙可以控制内网用户对外网的访问，并可以对访问行为进行记录和审计。

3. 加密和身份验证：防火墙可以提供加密和身份验证功能，保证数据传输的安全性。

通过加密，可以保证数据在传输过程中不会被窃取或篡改；通过身份验证，可以保证只有授权用户才能访问网络资源。

4. 访问控制：防火墙可以基于用户的身份和访问权限进行控制，例如限制特定用户访问某些网站或使用某些应用程序。

5. 日志和审计：防火墙可以记录所有通过的数据包和访问行为，以便进行日志和审计。

通过对日志的分析，可以发现潜在的安全威胁和异常行为。

在建立防火墙的安全策略基线时，需要综合考虑网络的安全需求、业务需求以及风险评估结果等因素，制定合理的安全策略。

同时，还需要定期对防火墙的安全策略进行检查和更新，以应对网络威胁的变化。

Checkpoint安全配置规范

CheckPoint安全配置规范1.概述1.1. 目的本规范明确了CHECKPOINT防火墙安全配置方面的基本要求。

为了提高CHECKPOINT防火墙的安全性而提出的。

1.2. 范围本规范适用于XXXX使用的CHECKPOINT防火墙。

2.配置规范2.1. 加固基础安装2.1.1.操作系统补丁【说明】下载和安装最新的Checkpoint升级和补丁。

非常有必要经常跟踪厂商发布的升级和补丁，而且必须更新防火墙系统的每一个模块。

当厂商发现安全漏洞时会及时发布补丁，但用户必须手动到网站下载和更新这些补丁。

防火墙系统的一些应用提供了方便的升级接口。

如下图所示的在SmartDashboard中升级SmartDefense服务。

Content Inspection服务同理。

也可以使用SmartUpdate本身检查系统的更新，如下图所示：也可以使用“patch add”命令更新补丁。

补丁可以从CD安装或者使用TFTP 或SCP工具远程获取，推荐使用SCP加密传输通道。

所有的补丁应该验证MD5完整性。

下图展示了从CD升级补丁的命令行操作。

2.1.2.加固防火墙所有组件的安全设置【说明】除了防火墙系统本身，应当安全设置管理服务器和管理员工作站。

2.1.3.更改所有的缺省账户和口令【说明】安装Checkpoint产品是必须更改所有的默认密码。

2.1.4.保证安全地进行组件加载和配置拷贝【说明】如果Checkpoint设备配置通过网络加载组件，使用类似Trip Wire的产品，以保证没有人在组件加载前向需要加载的组件中注入后门。

最好将设备离线加载软件后再接入网络。

尤其当通过TFTP导出配置文件时更加注意，TFTP协议没有验证机制，使得入侵者容易得到防火墙的配置文件。

当可行的时候，采用Secure Copy（SCP）或其他数据传输方式。

2.1.5.安装并设置加密连接【说明】1. 确保SecurePlatform运行和记录SSH。