CheckPoint防火墙配置

防火墙安装操作手册一、准备安装介质和服务器安装CheckPoint防火墙基于开放的服务器平台需要准备两点:如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。

第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。

第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。

二、SecurePlatform系统安装过程硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面:敲回车键盘开始安装。

出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。

SecurePlatform Pro是带有高级路由和支持Radius的系统版本。

选择键盘支持的语言，默认选择US，按TAB键，继续安装。

配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。

选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。

然后出现登陆界面，如下所示。

第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。

三、CheckPoint防火墙软件安装过程运行sysconfig 命令，启动安装防火墙包。

选择n,继续安装。

打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。

配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。

CheckPoint防火墙安全配置基线要点实用资料(可以直接使用，可编辑优秀版资料，欢迎下载）CheckPoint防火墙安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 01.1 目的 01.2 适用范围 01.3 适用版本 01.4 实施 01.5 例外条款 0第2章帐号管理、认证授权安全要求 (1)2.1 帐号管理 (1)用户帐号分配* (1)删除无关的帐号* (2)帐户登录超时* (3)帐户密码错误自动锁定* (4)2.2 口令 (5)口令复杂度要求 (5)2.3 授权 (6)远程维护的设备使用加密协议 (6)第3章日志与配置安全要求 (8)3.1 日志安全 (8)记录用户对设备的操作 (8)开启记录NAT日志* (9)开启记录VPN日志* (10)配置记录流量日志 (11)配置记录拒绝和丢弃报文规则的日志 (12)3.2 安全策略配置要求 (13)访问规则列表最后一条必须是拒绝一切流量 (13)配置访问规则应尽可能缩小范围 (13)配置OPSEC类型对象* (14)配置NAT地址转换* (16)限制用户连接数* (17)Syslog转发SmartCenter日志* (18)3.3 攻击防护配置要求 (22)定义执行IPS的防火墙* (22)定义IPS Profile* (23)第4章防火墙备份与恢复 (25)SmartCenter备份和恢复(upgrade_tools)* (25)第5章评审与修订 (27)第1章概述1.1 目的本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本CheckPoint防火墙。

1.4 实施1.5 例外条款第2章帐号管理、认证授权安全要求2.1 帐号管理2.1.1用户帐号分配*2.1.2删除无关的帐号*2.1.3帐户登录超时*2.1.4帐户密码错误自动锁定*2.2 口令2.2.1口令复杂度要求2.3 授权2.3.1远程维护的设备使用加密协议第3章日志与配置安全要求3.1 日志安全3.1.1记录用户对设备的操作1.判定条件SmartView Tracker2.检测操作可以通过“开始”“程序”“Check Point SmartCosole R75”“SmartView Tracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，Management：显示审计相关的数据，记录管理员、应用和操作详细信息。

Checkpoint防火墙安全配置指南中国联通信息化事业部2012年 12月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章安全配置要求 (2)2.1系统安全 (2)2.1.1用户账号分配 (2)2.1.2删除无关的账号 (3)2.1.3密码复杂度 (3)2.1.4配置用户所需的最小权限 (4)2.1.5安全登陆 (5)2.1.6配置NTP (6)2.1.7安全配置SNMP (6)第3章日志安全要求 (7)3.1日志安全 (7)3.1.1启用日志功能 (7)3.1.2记录管理日志 (8)3.1.3配置日志服务器 (9)3.1.4日志服务器磁盘空间 (10)第4章访问控制策略要求 (11)4.1访问控制策略安全 (11)4.1.1过滤所有与业务不相关的流量 (11)4.1.2透明桥模式须关闭状态检测有关项 (12)4.1.3账号与IP绑定 (13)4.1.4双机架构采用VRRP模式部署 (14)4.1.5打开防御DDOS攻击功能 (15)4.1.6开启攻击防御功能 (15)第5章评审与修订 (16)第1章概述1.1 目的本文档规定了中国联通通信有限公司信息化事业部所维护管理的CheckPoint防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理的CheckPoint防火墙。

1.3 适用版本CheckPoint防火墙；1.4 实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

防火墙安装操作手册By Shixiong Chen一、准备安装介质和服务器安装CheckPoint防火墙基于开放的服务器平台需要准备两点:如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。

第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。

第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。

二、SecurePlatform系统安装过程硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面:敲回车键盘开始安装。

出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。

SecurePlatform Pro是带有高级路由和支持Radius的系统版本。

选择键盘支持的语言，默认选择US，按TAB键，继续安装。

配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。

选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。

然后出现登陆界面，如下所示。

第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。

三、CheckPoint防火墙软件安装过程运行sysconfig 命令，启动安装防火墙包。

选择n,继续安装。

打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。

配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。

C h e c k P o i n t防火墙配置公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-C h e c k P o i n t 防火墙配置╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０中国移动通信有限公司网络部目录前言概述1.1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT 防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2内部适用性说明本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账号，避免账号混用。

完全采纳2.应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳3.防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

完全采纳4.账户口令的生存期不长于90天。

部分采纳IPSO操作系统支持5.应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

部分采纳IPSO操作系统支持6.应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

C h e c k P o i n t防火墙配置S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1概述 (2)1.1适用范围 (2)1.2内部适用性说明 (2)1.3外部引用说明 (4)1.4术语和定义 (4)1.5符号和缩略语 (4)2CHECKPOINT防火墙设备配置要求 (5)前言概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。

本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。

本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考1.2内部适用性说明本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。

对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注1.不同等级管理员分配不同账号，避完全采纳免账号混用。

完全采纳2.应删除或锁定与设备运行、维护等工作无关的账号。

完全采纳3.防火墙管理员账号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

4.账户口令的生存期不长于90天。

部分采纳IPSO操作系统支持5.应配置设备，使用户不能重复使用部分采纳IPSO操作系统支持最近5次（含5次）内已使用的口令。

CheckPoint防火操作手册1 配置主机对象定义防火墙策略时，如需对I P 地址进行安全策略控制则需首先配置这个对象，下面介绍主机对象配置步骤，在“Network Objects”图标处，选择“Nodes”属性上点击右键，选择“Node”，点击“Host”选项，定义主机对象的名称，IP Address属性，同时可按照该主机的重要性定义颜色，配置完成后点击OK,主机对象创建完成。

2 配置网段对象定义防火墙策略时，如需对网段进行安全策略控制则需首先配置这个网络对象，配置步骤如下，在防火墙“Network”属性上点击右键，选择“Network”，选项，定义网段名称，比如DMZ，Internal，建议根据网段所处位置定义，配置网段地址和子网掩码，如有必要可以添加注释（Comment），配置完成后点击确认。

3 配置网络组对象如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制，可以将这些对象添加到网络组，如下在防火墙“Group”属性上点击右键，选择“Simple Group”选项，成后点击O K 即可4 配置地址范围对象除了配置I P 地址，网段，也可以指定地址范围(IP range)，地址范围对象配置步骤是，如下在防火墙“Network”属性上点击右键，选择去掉“Do not show empty folders”选项，让I P Range 配置属性显示出来。

配置“Address Rage”，选择“Address Ranges”，如下图输入地址名称、起始IP地址与结束IP地址，完成后点击OK即可。

5 配置服务对象5.1 配置T CP 服务对象Check Point 防火墙内置了预定义的近千种服务，包括T CP、UDP、RPC、ICMP 等各种类型服务，通常在定义防火墙安全策略时，大多数服务已经识别并内置，因此无需额外添加，但也有很多企业自有开发程序使用特殊端口需要自行定义，下面介绍如何自定义服务，如下图所示，点击第二个模块标签，即S ervices，已经预定义多种类型服务，用户根据需要自定义新的服务类型，下面举例定义T CP 类型服务，右键点击“TCP”，选择“New TCP如下图，可以点以单个TCP服务端口服务对象，如果是一段端口，可以定义端口范围以上举例新建T CP 协议的端口服务，如需定义U DP 协议或其他协议类型按照同样流程操作即可。

Checkpoint防⽕墙安全配置⼿册V1.1Checkpoint防⽕墙安全配置⼿册v1.1CheckPoint防⽕墙安全配置⼿册Version 1.1XX公司⼆零⼀五年⼀⽉第1页共41 页⽬录1 综述 (3)2 Checkpoint的⼏种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防⽕墙⾃⾝加固 (37)1综述本配置⼿册介绍了Checkpoint防⽕墙的⼏种典型的配置场景，以加强防⽕墙对⽹络的安全防护作⽤。

同时也提供了Checkpoint防⽕墙⾃⾝的安全加固建议，防⽌针对防⽕墙的直接攻击。

通⽤和共性的有关防⽕墙管理、技术、配置⽅⾯的内容，请参照《中国移动防⽕墙安全规范》。

2Checkpoint的⼏种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令⾏使⽤cpconfig命令来完成Checkpoint 的配置。

如下图所⽰，SSH连接到防⽕墙，在命令⾏中输⼊以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显⽰Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提⽰信息）Do you accept all the terms of this license agreement (y/n) ?y（输⼊y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1⽀持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：⽤户看到的图形化界⾯，⽤于配置安全策略，上⾯并不存储任何防⽕墙安全策略和对象，安装于⼀台PC机上；Management：存储为防⽕墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作⽤的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同⼀台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。