CheckPoint防火墙配置

来源：用户分享时间：2025/7/4 7:47:38 本文由

loading 分享下载这篇文档手机版

说明：文章内容仅供预览，部分内容可能不全，需要完整文档或者需要复制内容，请下载word后使用。下载word有问题请添加微信号:xxxxxxx或QQ：xxxxxx 处理（尽可能给您提供完整文档），感谢您的支持与谅解。

CheckPoint防火墙配置

Spec中国移动通信有限公司网络部ificationforCheckPointF ireWall

版本号：１.０.０

ConfigurationUsedinChinaMobile

╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施

概述 .................................................................. 错误!未指定书签。 1.1 1.2 1.3 1.4 1.5 2

适用范围 ........................................................... 错误!未指定书签。内部适用性说明 ..................................................... 错误!未指定书签。外部引用说明 ....................................................... 错误!未指定书签。术语和定义 ......................................................... 错误!未指定书签。符号和缩略语 ....................................................... 错误!未指定书签。

CHECKPOINT防火墙设备配置要求 .......................................... 错误!未指定书签。

前言

概述

1.1 适用范围

本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考 1.2 内部适用性说明

本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。内容

1. 不同等级管理员分配不同账号，避免账号混用。

2. 应删除或锁定与设备运行、维护等工作无关的账号。

3. 防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类

采纳意见完全采纳完全采纳完全采纳

备注

中至少2类。

4. 账户口令的生存期不长于90天。

5. 应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

6. 应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

7. 在设备权限配置能力内，根据用户的管理等级，配置其所需的最小管理权限。

8. 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。9. 设备应配置日志功能，记录用户对设备的重要操作。

10. 设备应配置日志功能，记录对与设备相关的安全事件。 11. 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

12. 防火墙应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

13. 对于使用IP协议进行远程维护的设备，设备应配置使用SSH，HTTPS等加密协议。

14. 所有防火墙在配置访问规则时，最后一条必须是拒绝一切流量。

15. 在配置访问规则时，源地址和目的地址的范围必须以实际访

部分采纳 IPSO操作系统支持

部分采纳

IPSO操作系统支持

部分采纳

IPSO操作系统支持完全采纳

完全采纳

完全采纳完全采纳完全采纳

完全采纳

问需求为前提，尽可能的缩小范围。

16. 对于访问规则的排列，应当遵从范围由小到大的排列规则。 17. 在进行重大配置修改前，必须对当前配置进行备份。

18. 对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。

19. 访问规则必须按照一定的规则进行分组。

20. 打开防DDOS攻击功能。 21. 对于常见病毒的端口号应当进行端口的关闭配置。

22. 限制ping包的大小，以及一段时间内同一主机发送的次数。 23. 对于各端口要开启防欺骗功能。

24. 对于具备字符交互界面的设备，应配置定时账户自动登出。 25. 对于具备图形界面（含WEB界面）的设备，应配置定时自动登出。

26. 对于具备console口的设备，应配置console口密码保护功能。 27. 对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。 28. 对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。

29. 设定统一时钟源

30. 设定对防火墙的保护安全规则 31. 根据实际的网络连接调整防火墙并发连接数

32. 双机集群架构采用VRRP模式部署

33. 透明桥模式须关闭状态检测有关项

34. 对管理服务器的日志文件大小和转存必须进行设置，并保护系统磁盘空间 35. 配置SNMP监控

完全采纳完全采纳完全采纳

完全采纳完全采纳完全采纳完全采纳完全采纳完全采纳完全采纳

完全采纳完全采纳完全采纳

完全采纳完全采纳完全采纳部分采纳完全采纳完全采纳

完全采纳

搜索更多关于： CheckPoint防火墙配置的文档

CheckPoint防火墙配置.doc 将本文的Word文档下载到电脑，方便复制、编辑、收藏和打印

下载这篇word文档

本文链接：https://www.diyifanwen.net/c2axxw1bdje8wrp7230mk0mq5e7eayt017wb_1.html（转载请注明文章来源）