您的位置:360文档中心› CheckPoint防火墙配置

CheckPoint防火墙配置

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

C h e c k P o i n t防火墙配置

S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l

C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e

版本号:1.0.0

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施

中国移动通信有限公司网络部

目录

1概述 (2)

1.1适用范围 (2)

1.2内部适用性说明 (2)

1.3外部引用说明 (4)

1.4术语和定义 (4)

1.5符号和缩略语 (4)

2CHECKPOINT防火墙设备配置要求 (5)

前言

概述

1.1 适用范围

本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考

1.2内部适用性说明

本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。

内容采纳意见备注

1.不同等级管理员分配不同账号,避

完全采纳

免账号混用。

完全采纳

2.应删除或锁定与设备运行、维护等

工作无关的账号。

完全采纳

3.防火墙管理员账号口令长度至少8

位,并包括数字、小写字母、大写

字母和特殊符号4类中至少2类。

4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持

5.应配置设备,使用户不能重复使用

部分采纳IPSO操作系统支持最近5次(含5次)内已使用的口

令。

6.应配置当用户连续认证失败次数超

部分采纳IPSO操作系统支持过6次(不含6次),锁定该用户使

用的账号。

完全采纳

7.在设备权限配置能力内,根据用户

的管理等级,配置其所需的最小管

理权限。

完全采纳8.设备应配置日志功能,对用户登录

进行记录,记录内容包括用户登录

使用的账号,登录是否成功,登录

时间,以及远程登录时,用户使用

的IP地址。

完全采纳9.设备应配置日志功能,记录用户对

设备的重要操作。

10.设备应配置日志功能,记录对与设

完全采纳备相关的安全事件。

完全采纳11.设备配置远程日志功能,将需要重

点关注的日志内容传输到日志服务

器。

完全采纳12.防火墙应根据业务需要,配置基于

源IP地址、通信协议TCP或UDP、

目的IP地址、源端口、目的端口的

流量过滤,过滤所有和业务不相关

的流量。

完全采纳13.对于使用IP协议进行远程维护的设

备,设备应配置使用SSH,HTTPS

等加密协议。

完全采纳14.所有防火墙在配置访问规则时,最

后一条必须是拒绝一切流量。

完全采纳15.在配置访问规则时,源地址和目的

地址的范围必须以实际访问需求为

前提,尽可能的缩小范围。

完全采纳16.对于访问规则的排列,应当遵从范

围由小到大的排列规则。

完全采纳17.在进行重大配置修改前,必须对当

前配置进行备份。

完全采纳18.对于VPN用户,必须按照其访问权

限不同而进行分组,并在访问控制

规则中对该组的访问权限进行严格

限制。

完全采纳19.访问规则必须按照一定的规则进行

分组。

20.打开防DDOS攻击功能。完全采纳

完全采纳21.对于常见病毒的端口号应当进行端

口的关闭配置。

完全采纳22.限制ping包的大小,以及一段时间

内同一主机发送的次数。

23.对于各端口要开启防欺骗功能。完全采纳

24.对于具备字符交互界面的设备,应

完全采纳配置定时账户自动登出。

完全采纳

25.对于具备图形界面(含WEB界面)

的设备,应配置定时自动登出。

完全采纳

26.对于具备console口的设备,应配置

console口密码保护功能。

完全采纳

27.对于登陆账户的ip地址,配置为只

允许从某些ip地址登陆。

28.对于外网口地址,关闭对ping包的

完全采纳

回应。建议通过VPN隧道获得内网

地址,从内网口进行远程管理。

29.设定统一时钟源完全采纳

30.设定对防火墙的保护安全规则完全采纳

完全采纳

31.根据实际的网络连接调整防火墙并

发连接数

32.双机集群架构采用VRRP模式部署部分采纳

33.透明桥模式须关闭状态检测有关项完全采纳

完全采纳

34.对管理服务器的日志文件大小和转

存必须进行设置,并保护系统磁盘

空间

35.配置SNMP监控完全采纳

完全采纳

36.设置与防火墙互联的网络设备端口

速率,双工状态

1.3外部引用说明

《中国移动网络与信息安全保障体系总纲》

《中国移动内部控制手册(第二版)》

《中国移动标准化控制矩阵(第二版)》

1.4术语和定义

设备配置要求:描述在规范适用范围内设备必须和推荐采用的配置要求。在工程验收和运行维护时采用。功能要求是实现配置要求的基础。

1.5符号和缩略语

(对于规范出现的英文缩略语或符号在这里统一说明。)

相关文档
最新文档