中国移动CheckPoint防火墙配置规范V1.0

Checkpoint与ASA做IPsec vpn 实验步骤实验拓扑：实验步骤：一、Checkpoint端配置步骤1、在防火墙属性页面里勾选IPsec VPN,并设置本端名称及外网口IP址，点击确认。

（红框部分为必要设置）再次打开防火墙属性，在Topology页面，定义本端VPN加密域，确保拓扑与实际一致，Localnet-1.0为本端内网网段2、添加VPN对端设备，定义对端名称及对端设备建立VPN使用的出口IP地址确保Topology与实际一致，定义对端拓扑和加密Domain，peer-2.0为对方需走VPN 隧道的内网网段3、建立Ipsec VPN隧道,点击Communities—New—Meshed设定隧道名称添加本地和对端VPN网关设备定义VPN建立过程中两个阶段的加密和验证方式，必须与路由器端一致，第一个阶段对应对端设备的IKE第一阶段配置crypto isakmp policy 10，第二个阶段对应对端设备转换集配置。

设置预共享密钥设置VPN的高级属性，注： group组两端必须一致4、定义VPN策略，双向允许，否则只能进行单向通信。

二、对端ASA防火墙IPSEC配置interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address 192.168.2.1 255.255.255.0!interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 172.16.2.1 255.255.255.0access-list CPVPN extended permit ip 172.16.2.0 255.255.255.0 172.16.1.0 255.255.255.0route outside 0.0.0.0 0.0.0.0 192.168.2.2 1crypto ipsec transform-set deppon esp-3des esp-md5-hmaccrypto map outside_map 10 match address CPVPNcrypto map outside_map 10 set peer 192.168.3.1crypto map outside_map 10 set transform-set depponcrypto map outside_map interface outsidecrypto isakmp enable outsidecrypto isakmp policy 10authentication pre-shareencryption 3deshash md5group 2lifetime 86400tunnel-group 180.168.12.10 type ipsec-l2ltunnel-group 180.168.12.10 ipsec-attributespre-shared-key hfq@123456至此配置完成！三、验证是否建立成功1、ASA端VPN状态ciscoasa# SH cry isa saIKEv1 SAs:Active SA: 1Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 11 IKE Peer: 192.168.3.1Type : L2L Role : initiatorRekey : no State : MM_ACTIVEThere are no IKEv2 SAsciscoasa# show cry ips sainterface: outsideCrypto map tag: outside_map, seq num: 10, local addr: 192.168.2.1access-list CPVPN extended permit ip 172.16.2.0 255.255.255.0 172.16.1.0 255.255.255.0local ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)current_peer: 192.168.3.1#pkts encaps: 19, #pkts encrypt: 19, #pkts digest: 19#pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 19, #pkts comp failed: 0, #pkts decomp failed: 0#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0#send errors: 0, #recv errors: 0local crypto endpt.: 192.168.2.1/0, remote crypto endpt.: 192.168.3.1/0 path mtu 1500, ipsec overhead 58(36), media mtu 1500PMTU time remaining (sec): 0, DF policy: copy-dfICMP error validation: disabled, TFC packets: disabledcurrent outbound spi: 36CA5528current inbound spi : 6901DACAinbound esp sas:spi: 0x6901DACA (1761729226)transform: esp-3des esp-md5-hmac no compressionin use settings ={L2L, Tunnel, IKEv1, }slot: 0, conn_id: 31961088, crypto-map: outside_mapsa timing: remaining key lifetime (kB/sec): (3914998/28704) IV size: 8 bytesreplay detection support: YAnti replay bitmap:0x00000000 0x000FFFFFoutbound esp sas:spi: 0x36CA5528 (919229736)transform: esp-3des esp-md5-hmac no compressionin use settings ={L2L, Tunnel, IKEv1, }slot: 0, conn_id: 31961088, crypto-map: outside_mapsa timing: remaining key lifetime (kB/sec): (3914998/28704) IV size: 8 bytesreplay detection support: YAnti replay bitmap:0x00000000 0x000000012、 Checkpoint端VPN状态。

密级：内部文档编号：项目代号：中国移动通信集团网络设备安全配置规范总则版本：草稿二零零三年十一月中国移动通信公司福建移动通信公司版本控制目录第一部分概述和介绍 (5)1 概述 (5)1.1 项目背景 (5)1.2 项目目标 (5)1.3 参考资料 (5)第二部分设备的安全机制 (7)1 访问控制 (7)2 数据加密 (7)3 日志问题 (7)4 自身的防攻击能力 (8)第三部分设备安全配置建议 (9)1 访问控制列表及其管理 (9)1.1 实施原则 (9)1.2 存在问题 (10)1.3 要求配置部分 (10)2 路由协议的安全性 (11)2.1 路由协议认证 (11)2.2 源地址路由检查 (12)2.3 黑洞路由 (12)3 网管及认证问题 (13)3.1 访问管理 (13)3.1.1 限制登录空闲时间 (14)3.1.2 限制尝试次数 (14)3.1.3 限制并发数 (14)3.1.4 访问地址限制 (14)3.2 帐号和密码管理 (15)3.3 帐号认证和授权 (15)3.3.1 本机认证和授权 (15)3.3.2 AAA认证 (16)3.4 snmp协议 (16)3.5 HTTP的配置要求 (17)4 安全审计 (17)4.1 设备的登录信息 (18)4.2 设备异常事件 (18)4.3 SYSLOG服务器的设置 (18)5 设备IOS升级方法 (18)5.1 前期准备 (19)5.1.1 软件的获取 (19)5.1.2 制定升级计划 (19)5.1.3 配置同步 (19)5.1.4 数据备份 (20)5.1.5 其他准备工作 (20)5.2 升级操作 (20)5.2.1 记录升级前系统状态 (20)5.2.2 升级IOS或装载补丁 (20)5.2.3 检查升级后系统的状态 (21)5.3 应急保障措施 (21)6 特定的安全配置 (21)6.1 更改标准端口 (21)6.2 关闭不必要的服务 (21)6.3 防DOS攻击 (22)6.3.1 Smurf进攻的防范。

中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号：1.0.0x x x发布x x x实施中国移动通信有限公司网络部目录1范围 (1)2规范性引用文件 (1)3术语和定义和缩略语 (3)4AIX设备安全配置要求 (3)4.1账号管理、认证授权 (3)4.1.1账号 (3)4.1.2口令 (6)4.1.3授权 (8)4.2日志配置要求 (12)4.3IP协议安全配置要求 (15)4.3.1IP协议安全 (15)4.3.2路由协议安全 (19)4.4设备其他安全配置要求 (21)4.4.1屏幕保护 (21)4.4.2文件系统及访问权限 (22)4.4.3物理端口设置 (23)4.4.4补丁管理 (24)4.4.5服务 (25)4.4.6内核调整 (28)4.4.7启动项 (29)5编制历史 (30)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：张瑾、赵强、石磊、陈敏时、周智、曹一生。

1范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。

本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。

中国移动PIX防火墙安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录1 综述 (5)2 CISCO PIX的几种典型配置 (6)2.1 典型配置（1）——访问控制、包过滤和NA T (6)2.1.1 网络拓扑图 (6)2.1.2 配置环境 (6)2.1.3 配置举例 (9)2.2 典型配置（2）——IPsec VPN Tunnel (13)2.2.1 网络拓扑图 (13)2.2.2 配置 (13)2.3 典型配置（3）——双机热备 (15)2.4 典型配置（4）——内容过滤 (20)2.4.1 filter activex示例 (20)2.4.2 filter url示例 (20)2.5 典型配置（5）——入侵检测 (21)3 PIX防火墙自身加固 (23)3.1 PIX防火墙操作系统版本较低 (23)3.2 PIX防火墙没有安全配置SNMP (23)3.3 配置了telnet允许，地址段是调试时的地址，没有更改为管理工作站的地址 (24)3.4 telnet远程管理是明文传输，没有配置SSH (24)3.5没有在PIX防火墙上配置防止恶意攻击的特性 (24)3.6策略配置inside<--→outside的策略不严格，如any---→any等 (25)1综述本配置手册介绍了Cisco PIX防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了PIX防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2CISCO PIX的几种典型配置2.1 典型配置（1）——访问控制、包过滤和NAT2.1.1网络拓扑图2.1.2配置环境本配置中没有用户认证和授权，NAT（网络地址转换）完成地址转换工作。

下面的例子中，所有接口上的用户可以访问所有服务器，而在内部、dmz1、dmz2、dmz3和dmz4接口上的主机可以启动连接。

中国移动多媒体消息业务中心工程防火墙配置一般性要求Ver：1.0二零零二年九月中国移动通信集团公司中国移动MMSC工程防火墙一般性配置要求以下为中国移动多媒体消息业务中心工程中防火墙配置的一般性要求，厂家在工程实施中应满足以下要求。

厂家对防火墙所作的所有配置应在工程实施文档中予以全面反映。

第1条防火墙与CMNET连接侧为非信任区域；第2条防火墙上的访问策略应该遵循“缺省全部关闭，按需求开通的原则”，拒绝除明确许可外的任何服务；也即是拒绝一切未予准许的服务；第3条防火墙的访问策略中，必须禁止Rlogin，NNTP，Finger，Gopher，Rsh，NFS等危险服务，若维护管理不需要，也必须禁止Telnet，SNMP，TerminalServer等远程管理服务；第4条防火墙的外部管理端口必须关闭Telnet，http，ping，Snmp,Web等各种防火墙管理协议，保证防火墙外部端口在Internet上不可被管理，管理IP地址应该保密，且要严格限制可登录到防火墙上进行配置活动的IP地址，应该尽量减少并细化到具体IP地址；防火墙管理端口必须配置足够强度的登录口令；第5条防火墙应该对登录的用户的所有操作进行日志记录，保证用户的活动有记录可依，防火墙应启用全面的统计功能；第6条防火墙上必须设置成执行间隔时间过长的管理登录被强制中断；第7条防火墙上必须设置成用户多次登录失败后不能再次登陆；第8条防火墙应该配置自动报警功能，至少在受到严重威胁和被攻破时应立即通过Email通知防火墙管理员；第9条对于MMSC通过防火墙实现的与WAP网关、短信网关、MMSC之间、梦网邮箱系统、BOSS系统的逻辑连接应配置IP地址范围访问控制和端口号的访问控制；第10条防火墙上配置静态路由实现与CMNET的路由连接；第11条防火墙应进行相关的配置实现主备切换；第12条防火墙所有接口应启用各种网络攻击防护功能。

2。

中国移动Netscreen防火墙安全配置手册密级：文档编号：项目代号：中国移动Netscreen防火墙安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月目录1 综述 (3)2 Netscreen的几种典型配置 (4)2.1典型配置（1）――跟踪IP地址 (4)2.2典型配置（2）――接口模式配置 (5)2.2.1透明模式 (5)2.2.2路由模式 (8)2.2.3NAT模式 (11)2.3 典型配置（3）――信息流整形与优先级排列 (13)2.3.1 信息流整形 (13)2.3.2 优先级排列 (18)2.4 典型配置（4）――攻击监视 (23)2.5 典型配置（5）――三层IP欺骗保护 (24)2.6 典型配置（6）――基于源的会话限制 (26)2.7 典型配置（7）――SYN泛滥保护 (27)2.8 典型配置（8）――URL过滤配置 (30)2.9 典型配置（9）――站点到站点IPSEC VPN 配置 (33)2.10 典型配置（10）――高可靠性 (44)2.10.1 NSRP 概述 (44)2.10.2 主动/被动配置的NSRP (45)2.10.3 双主动配置的NSRP (48)3 Netscreen防火墙自身加固 (54)3.1 网管及认证问题 (54)3.1.1远程登录 (54)3.1.2 帐号和密码管理 (56)3.1.3 帐号认证和授权 (57)3.1.4 SNMP协议 (58)3.1.5 HTTP的配置要求 (59)3.2 安全审计 (61)3.2.1 针对重要策略开启信息流日志 (62)3.2.2 根据需要开启SELF日志功能 (62)3.2.3 将日志转发至SYSLOG服务器 (62)3.3 设备IOS升级方法 (63)3.3.1 前期准备 (63)3.3.2 升级操作 (64)3.4 特定的安全配置 (65)3.4.1NetScreen防火墙的防攻击选项 (65)3.4.2 NetScreen防火墙防攻击选项配置方法 (71)1综述本配置手册介绍了Netscreen防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。