Checkpoint防火墙安全配置指南.docx

This model paper was revised by the Standardization Office on December 10, 2020
Checkpoint防火墙安全配置指南
Check证日志功能记录的时间的准确性。
检测操作步骤
用系统命令’date’查看系统时间。
符合性判定依据
系统时间和时钟源同步。
配置方法
登陆设备，在Voyager界面的‘Router Services’启动NTP服务；在’Configuration’的‘Configure system time’指定NTP服务器IP地址。
实施风险
确认操作无误。
备注
安全配置SNMP
项目名称
安全配置SNMP要求
编号
CheckPointFW-02-01-07
项目说明
使用 SNMP V3以上的版本对防火墙做远程管理。去除SNMP 默认的共同体名(Community Name)和用户名（如public或private）。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。
检测操作步骤
。
。
符合性判定依据
不存在SNMP 默认的共同体名(Community Name)如public或private
配置方法
在Voyager界面配置系统SNMP读取或写权限口令，修改默认口令。
实施风险
更改配置需测试充分。
备注
日志安全要求
日志安全
启用日志功能
项目名称
启用日志功能。
编号
CheckPointFW-03-01-01
项目说明
设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址等。
检测操作步骤
使用客服端登陆设备，检查日志模块，查看是否启用。
符合性判定依据
检查在服务器上正确纪录了日志信息。
配置方法
使用客服端登陆设备，进入日志模块，启用日志功能，如图所示进行操作：
实施风险
确认操作无误及日志备份。
备注
记录管理日志
项目名称
记录管理日志。
编号
CheckPointFW-03-01-02
项目说明
设备应配置日志功能，记录用户对设备的重要操作。
检测操作步骤
使用客服端登陆设备，进入日志模块进行查看。
符合性判定依据
对设备的操作会记录在日志中。
配置方法
使用客服端登陆设备，进入日志模块，启用日志功能，如图所示进行操作：
实施风险
确认操作无误。
备注
配置日志服务器
项目名称
配置日志服务器。
编号
CheckPointFW-03-01-03
项目说明
设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。
检测操作步骤
使用客户端登陆设备，在日志服务器上查看信息。
符合性判定依据
日志服务器上是否接收到了正确的日志信息。
配置方法
使用客户端登陆设备，进入Global properties界面，如图所示进行配置：
实施风险
确认操作无误。
备注
日志服务器磁盘空间
项目名称
日志服务器磁盘空间。
编号
CheckPointFW-03-01-04
项目说明
对管理服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间。
建议每个日志文件不超过50M，每天换一个日志文件。磁盘空间剩余少于500M的时候告警。
检测操作步骤
。
。
符合性判定依据
登陆设备查看磁盘空间是否少于500M。
配置方法
登陆设备，进入Check Point Gateway-Management界面，如图所示进行操作：
实施风险
确认操作无误。
备注
访问控制策略要求
访问控制策略安全
过滤所有与业务不相关的流量
项目名称
过滤所有与业务不相关的流量。
编号
CheckPointFW-04-01-01
项目说明
应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。
检测操作步骤
使用不同的流量进行测试。
符合性判定依据
查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。
配置方法
登陆设备,如图所示进行配置：
实施风险
确保操作无误。
备注
透明桥模式须关闭状态检测有关项
项目名称
透明桥模式须关闭状态检测有关项要求。
编号
CheckPointFW-04-01-02
项目说明
透明桥模式须关闭状态检测有关项，确保资源的利用