中国移动CheckPoint防火墙配置规范V1.0

中国移动通信有限公司网络部
中国移动 CHECKPOINT 防火墙配置规范
目录
1 概述........................................................................................................................................................................ 1 1.1 适用范围........................................................................................................................................................ 1 1.2 内部适用性说明............................................................................................................................................ 1 1.3 外部引用说明................................................................................................................................................ 3 1.4 术语和定义.................................................................................................................................................... 3 1.5 符号和缩略语................................................................................................................................................ 3
地址，从内网口进行远程管理。
29. 设定统一时钟源
完全采纳
30. 设定对防火墙的保护安全规则
完全采纳
31. 根据实际的网络连接调整防火墙并
完全采纳
发连接数
32. 双机集群架构采用 VRRP 模式部署
部分采纳
33. 透明桥模式须关闭状态检测有关项
完全采纳
34. 对管理服务器的日志文件大小和转
完全采纳
存必须进行设置，并保护系统磁盘
前言
为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节， 明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能 和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手 册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所 需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。
内同一主机发送的次数。 23. 对于各端口要开启防欺骗功能。 24. 对于具备字符交互界面的设备，应
配置定时账户自动登出。 25. 对于具备图形界面（含 WEB 界面）
的设备，应配置定时自动登出。 26. 对于具备 console 口的设备，应配置
完全采纳
完全采纳 完全采纳
完全采纳 完全采纳 完全采纳
完全采纳
设备的重要操作。
10. 设备应配置日志功能，记录对与设
完全采纳
备相关的安全事件。
11. 设备配置远程日志功能，将需要重
完全采纳
点关注的日志内容传输到日志服务
器。
12. 防火墙应根据业务需要，配置基于
完全采纳
源 IP 地址、通信协议 TCP 或 UDP、
目的 IP 地址、源端口、目的端口的
流量过滤，过滤所有和业务不相关
条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。
内容 1. 不同等级管理员分配不同账号，避
免账号混用。 2. 应删除或锁定与设备运行、维护等
工作无关的账号。 3. 防火墙管理员账号口令长度至少 8
位，并包括数字、小写字母、大写 字母和特殊符号 4 类中至少 2 类。 4. 账户口令的生存期不长于 90 天。 5. 应配置设备，使用户不能重复使用 最近 5 次（含 5 次）内已使用的口 令。 6. 应配置当用户连续认证失败次数超 过 6 次（不含 6 次），锁定该用户使 用的账号。 7. 在设备权限配置能力内，根据用户 的管理等级，配置其所需的最小管 理权限。 8. 设备应配置日志功能，对用户登录 进行记录，记录内容包括用户登录
1、参考配置操作
设备无此功能。
2、补充操作说明
无。
检测方法
1. 判定条件
无。
2. 检测操作
无。
3. 补充说明
无。
编号：CHECKPOINTFW-PZ-6
要求内容
应配置当用户连续认证失败次数超过 6 次（不含 6 次），锁
定该用户使用的账号。
操作指南
1、参考配置操作
设备无此功能
2、补充操作说明
无。
检测方法
操作指南
1、参考配置操作
设备无此功能
2、补充操作说明
无。
检测方法
1、 判定条件
设备无此功能
2、 检测操作
6
无。
中国移动 CHECKPOINT 防火墙配置规范
3、 补充说明
无。
编号：CHECKPOINTFW-PZ-5
要求内容
应配置设备，使用户不能重复使用最近 5 次（含 5 次）内
已使用的口令。
操作指南
2 CHECKPOINT 防火墙设备配置要求 ....................................................................................................................... 4
中国移动 CHECKPOINT 防火墙配置规范
1.1 适用范围
本规范适用于中国移动通信网、业务系统和支撑系统的 CHECKPOINT 防火墙 设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备 运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规 范，工程验收手册，局数据模板等文档的参考
1.2 内部适用性说明
空间
35. 配置 SNMP 监控
完全采纳
36. 设置与防火墙互联的网络设备端口
完全采纳
速率，双工状态
1.3 外部引用说明
《中国移动网络与信息安全保障体系总纲》 《中国移动内部控制手册（第二版）》 《中国移动标准化控制矩阵（第二版）》
1.4 术语和定义
设备配置要求：描述在规范适用范围内设备必须和推荐采用的配置要求。在 工程验收和运行维护时采用。功能要求是实现配置要求的基础。
中 国 移 动 CheckPoint 防 火 墙 配置规范
Specification for CheckPoint FireWall Configuration Used in China Mobile
版 本 号 ： １ .０ .０
╳ ╳ ╳ ╳ -╳ ╳ -╳ ╳ 发 布
╳ ╳ ╳ ╳ -╳ ╳ -╳ ╳ 实 施
本标准明确了CheckPoint防火墙的配置要求。 本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配 置、设备其他安全要求等方面的配置要求。
本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团江苏有限公司。 本标准主要起草人：来晓阳，石磊、周智、曹一生。
1 概述
中国移动 CHECKPOINT 防火墙配置规范
完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳 完全采纳
2
中国移动 CHECKPOINT 防火墙配置规范
console 口密码保护功能。
27. 对于登陆账户的 ip 地址，配置为只
完全采纳
允许从某些 ip 地址登陆。
28. 对于外网口地址，关闭对 ping 包的
完全采纳
回应。建议通过 VPN 隧道获得内网
采纳意见 完全采纳 完全采纳 完全采纳
部分采纳 部分采纳
部分采纳
完全采纳
完全采纳
备注
IPSO 操作系统支持 IPSO 操作系统支持 IPSO 操作系统支持
1
中国移动 CHECKPOINT 防火墙配置规范
使用的账号，登录是否成功，登录
时间，以及远程登录时，用户使用
的 IP 地址。
9. 设备应配置日志功能，记录用户对
1. 判定条件 不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外 的模块。 2. 检测操作 不同用户登陆，尝试访问不同的模块。
3. 补充说明
无。
编号：CHECKPOINTFW-PZ-8
8
要求内容 操作指南
中国移动 CHECKPOINT 防火墙配置规范
设备应配置日志功能，对用户登录进行记录，记录内容包 括用户登录使用的账号，登录是否成功，登录时间，以及 远程登录时，用户使用的 IP 地址。
的流量。
13. 对于使用 IP 协议进行远程维护的设 备，设备应配置使用 SSH，HTTPS 等加密协议。
14. 所有防火墙在配置访问规则时，最 后一条必须是拒绝一切流量。
15. 在配置访问规则时，源地址和目的 地址的范围必须以实际访问需求为 前提，尽可能的缩小范围。
16. 对于访问规则的排列，应当遵从范 围由小到大的排列规则。

1.5 符号和缩略语
（对于规范出现的英文缩略语或符号在这里统一说明。）
缩写
英文描述
CHECKPOINTFW CheckPoint Firewall
中文描述 CheckPoint 防火墙
3
缩写
中国移动 CHECKPOINT 防火墙配置规范
英文描述
中文描述
2 CHECKPOINT 防火墙设备配置要求
编号：CHECKPOINTFW-PZ-1
17. 在进行重大配置修改前，必须对当 前配置进行备份。
18. 对于 VPN 用户，必须按照其访问权 限不同而进行分组，并在访问控制 规则中对该组的访问权限进行严格 限制。
19. 访问规则必须按照一定的规则进行 分组。
20. 打开防 DDOS 攻击功能。 21. 对于常见病毒的端口号应当进行端
口的关闭配置。 22. 限制 ping 包的大小，以及一段时间
要求内容
不同等级管理员分配不同账号，避免账号混用。
操作指南
1、参考配置操作
检测方法
2、补充操作说明
无。
1、 判定条件 用配置中没有的用户名去登录，结果是不能登录 2、 检测操作 在图形界面登陆
3、 补充说明
无。
4
中国移动 CHECKPOINT 防火墙配置规范
编号：CHECKPOINTFW-PZ-2
要求内容
应删除或锁定与设备运行、维护等工作无关的账号。
操作指南
1、参考配置操作
检测方法
2、补充操作说明
无。
1、 判定条件 配置中用户信息被删除。 2、 检测操作 无。
3、 补充说明
无。
编号：CHECKPOINTFW-PZ-3
要求内容
防火墙管理员账号口令长度至少 8 位，并包括数字、小写
字母、大写字母和特殊符号 4 类中至少 2 类。
1. 判定条件
无。
1. 检测操作
无。
7
中国移动 CHECKPOINT 防火墙配置规范
2. 补充说明
无。
编号：CHECKPOINTFW-PZ-7
要求内容
在设备权限配置能力内，根据用户的管理等级，配置其所
需的最小管理权限。
操作指南
1、参考配置操作
检测方法
2、补充操作说明
对于管理员不同权限设置，可以定义不同管理员的访问模 块以及相应权限。
本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出
的 CHECKPOINT 防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在
“采纳意见”部分对应为 “完全采纳”、“部分采纳”、“增强要求”、“新增要求”、
“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应
1、参考配置操作
检测方法
2、补充操作说明
设备只能部分支持该项配置要求。
1. 判定条件 在服务器上正确纪录了日志信息。 2. 检测操作 查看日志模块。
操作指南
1、参考配置操作
5
中国移动 CHECKPOINT 防火墙配置规范
检测方法
2、补充操作说明
无。
1、 判定条件 该级别的密码设置由管理员进行密码的生成，设备本身无此强制功 能。 2、 检测操作 无。
3、 补充说明
无。
编号：CHECKPOINTFW-PZ-4
要求内容
账户口令的生存期不长于 90 天。