C h e c k P o i n t防火墙配置S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1概述 (2)1.1适用范围 (2)1.2内部适用性说明 (2)1.3外部引用说明 (4)1.4术语和定义 (4)1.5符号和缩略语 (4)2CHECKPOINT防火墙设备配置要求 (5)前言概述1.1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2内部适用性说明本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账号，避完全采纳免账号混用。

完全采纳2.应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳3.防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

4.账户口令的生存期不长于90天。

部分采纳IPSO操作系统支持5.应配置设备，使用户不能重复使用部分采纳IPSO操作系统支持最近5次（含5次）内已使用的口令。

6.应配置当用户连续认证失败次数超部分采纳IPSO操作系统支持过6次（不含6次），锁定该用户使用的账号。

完全采纳7.在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管.理权限。

完全采纳8.设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

完全采纳9.设备应配置日志功能，记录用户对设备的重要操作。

10.设备应配置日志功能，记录对与设完全采纳备相关的安全事件。

完全采纳11.设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

完全采纳12.防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

完全采纳13.对于使用IP协议进行远程维护的设备，设备应配置使用SSH，HTTPS等加密协议。

完全采纳14.所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。

完全采纳15.在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。

完全采纳16.对于访问规则的排列，应当遵从范围由小到大的排列规则。

完全采纳17.在进行重大配置修改前，必须对当前配置进行备份。

完全采纳18.对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。

完全采纳19.访问规则必须按照一定的规则进行分组。

20.打开防DDOS攻击功能。

完全采纳完全采纳21.对于常见病毒的端口号应当进行端口的关闭配置。

完全采纳22.限制ping包的大小，以及一段时间内同一主机发送的次数。

23.对于各端口要开启防欺骗功能。

完全采纳24.对于具备字符交互界面的设备，应完全采纳配置定时账户自动登出。

25.对于具备图形界面（含WEB界面）完全采纳的设备，应配置定时自动登出。

完全采纳26.对于具备console口的设备，应配置console口密码保护功能。

完全采纳27.对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。

完全采纳28.对于外网口地址，关闭对ping包的回应。

建议通过VPN隧道获得内网地址，从内网口进行远程管理。

29.设定统一时钟源完全采纳30.设定对防火墙的保护安全规则完全采纳完全采纳31.根据实际的网络连接调整防火墙并发连接数32.双机集群架构采用VRRP模式部署部分采纳33.透明桥模式须关闭状态检测有关项完全采纳34.对管理服务器的日志文件大小和转完全采纳存必须进行设置，并保护系统磁盘空间35.配置SNMP监控完全采纳完全采纳36.设置与防火墙互联的网络设备端口速率，双工状态1.3外部引用说明《中国移动网络与信息安全保障体系总纲》《中国移动内部控制手册（第二版）》《中国移动标准化控制矩阵（第二版）》1.4术语和定义设备配置要求：描述在规范适用范围内设备必须和推荐采用的配置要求。

在工程验收和运行维护时采用。

功能要求是实现配置要求的基础。

1.5符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。

）2CHECKPOINT防火墙设备配置要求编号：CHECKPOINTFW-PZ-1要求内容不同等级管理员分配不同账号，避免账号混用。

操作指南1、参考配置操作2、补充操作说明无。

检测方法1、判定条件用配置中没有的用户名去登录，结果是不能登录2、检测操作在图形界面登陆3、补充说明无。

编号：CHECKPOINTFW-PZ-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。

操作指南1、参考配置操作2、补充操作说明无。

检测方法1、判定条件配置中用户信息被删除。

2、检测操作无。

3、补充说明无。

编号：CHECKPOINTFW-PZ-3要求内容防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

操作指南1、参考配置操作2、补充操作说明无。

检测方法1、判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。

2、检测操作无。

3、补充说明无。

编号：CHECKPOINTFW-PZ-4要求内容账户口令的生存期不长于90天。

操作指南1、参考配置操作设备无此功能2、补充操作说明无。

检测方法1、判定条件设备无此功能2、检测操作无。

3、补充说明无。

编号：CHECKPOINTFW-PZ-5要求内容应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

操作指南1、参考配置操作设备无此功能。

2、补充操作说明无。

检测方法 1.判定条件无。

2.检测操作无。

3.补充说明无。

编号：CHECKPOINTFW-PZ-6要求内容应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

操作指南1、参考配置操作设备无此功能2、补充操作说明无。

检测方法 1.判定条件无。

1.检测操作无。

2.补充说明无。

编号：CHECKPOINTFW-PZ-7要求内容在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。

操作指南1、参考配置操作2、补充操作说明对于管理员不同权限设置，可以定义不同管理员的访问模块以及相应权限。

检测方法 1.判定条件不同用户登陆，尝试访问不同的模块。

用户不能访问自己权限以外的模块。

2.检测操作不同用户登陆，尝试访问不同的模块。

3.补充说明无。

编号：CHECKPOINTFW-PZ-8要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

操作指南1、参考配置操作2、补充操作说明设备只能部分支持该项配置要求。

检测方法 1.判定条件在服务器上正确纪录了日志信息。

2.检测操作查看日志模块。

3.补充说明无。

编号：CHECKPOINTFW-PZ-9要求内容设备应配置日志功能，记录用户对设备的重要操作。

操作指南1、参考配置操作2、补充操作说明设备只支持纪录部分关键操作。

检测方法 1.判定条件对设备的操作会记录在日志中。

2.检测操作查看日志模块。

3.补充说明无。

编号：CHECKPOINTFW-PZ-10要求内容设备应配置日志功能，记录对与设备相关的安全事件。

操作指南1、参考配置操作2、补充操作说明支持纪录所有的安全事件。

检测方法 1.判定条件在服务器上正确纪录了日志信息。

2.检测操作display logbuffer3.补充说明无。

编号：CHECKPOINTFW-PZ-11要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

操作指南1、参考配置操作2、补充操作说明可以设置发送的日志服务器IP地址。

检测方法 1.判定条件日志服务器上是否接收到了正确的日志信息。

2.检测操作在日志服务器上查看信息。

3.补充说明无。

编号：CHECKPOINTFW-PZ-12要求内容防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

操作指南1、参考配置操作2、补充操作说明无。

检测方法 1.判定条件查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。

2.检测操作使用不同的流量进行测试。

3.补充说明无。

编号：CHECKPOINTFW-PZ-13要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。

操作指南1、参考配置操作使用SSH客户端登陆防火墙。

2、补充操作说明无。

检测方法 1.判定条件SSH可以登陆防火墙。

2.检测操作使用SSH客户端登陆防火墙。

3.补充说明无。

编号：CHECKPOINTFW-PZ-14要求内容所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。

操作指南1、参考配置操作将最后一条策略配置成拒绝一切流量。

2、补充操作说明无。

检测方法 1.判定条件无。

2.检测操作查看策略配置。

3.补充说明无。

编号：CHECKPOINTFW-PZ-15要求内容在配置访问规则时，源地址和目的地址的范围必须以实际访问需求为前提，尽可能的缩小范围。

操作指南1、参考配置操作根据实际访问需求，缩小地址范围。

2、补充操作说明无。

检测方法 1.判定条件无。

2.检测操作根据实际访问需求，检查配置情况。

3.补充说明无。

编号：CHECKPOINTFW-PZ-16要求内容对于访问规则的排列，应当遵从范围由小到大的排列规则。

操作指南1、参考配置操作按照访问规则涉及范围大小来排序。

2、补充操作说明无。

检测方法 1.判定条件检查访问规则的排列，查看是否是遵从范围由小到大的排列原则。

2.检测操作无。

3.补充说明无。

编号：CHECKPOINTFW-PZ-17要求内容在进行重大配置修改前，必须对当前配置进行备份。

操作指南1、参考配置操作在进行重大配置修改前，备份当前配置。