CheckPoint防火墙配置

C h e c k P o i n t防火墙配置

S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l

C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e

版本号：１.０.０

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施

中国移动通信有限公司网络部

目录

1概述 (2)

1.1适用范围 (2)

1.2内部适用性说明 (2)

1.3外部引用说明 (4)

1.4术语和定义 (4)

1.5符号和缩略语 (4)

2CHECKPOINT防火墙设备配置要求 (5)

前言

概述

1.1 适用范围

本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考

1.2内部适用性说明

本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注

1.不同等级管理员分配不同账号，避

完全采纳

免账号混用。

完全采纳

2.应删除或锁定与设备运行、维护等

工作无关的账号。

完全采纳

3.防火墙管理员账号口令长度至少8

位，并包括数字、小写字母、大写

字母和特殊符号4类中至少2类。

4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持

5.应配置设备，使用户不能重复使用

部分采纳IPSO操作系统支持最近5次（含5次）内已使用的口

令。

6.应配置当用户连续认证失败次数超

部分采纳IPSO操作系统支持过6次（不含6次），锁定该用户使

用的账号。

完全采纳

7.在设备权限配置能力内，根据用户

的管理等级，配置其所需的最小管

理权限。

完全采纳8.设备应配置日志功能，对用户登录

进行记录，记录内容包括用户登录

使用的账号，登录是否成功，登录

时间，以及远程登录时，用户使用

的IP地址。

完全采纳9.设备应配置日志功能，记录用户对

设备的重要操作。

10.设备应配置日志功能，记录对与设

完全采纳备相关的安全事件。

完全采纳11.设备配置远程日志功能，将需要重

点关注的日志内容传输到日志服务

器。

完全采纳12.防火墙应根据业务需要，配置基于

源IP地址、通信协议TCP或UDP、

目的IP地址、源端口、目的端口的

流量过滤，过滤所有和业务不相关

的流量。

完全采纳13.对于使用IP协议进行远程维护的设

备，设备应配置使用SSH，HTTPS

等加密协议。

完全采纳14.所有防火墙在配置访问规则时，最

后一条必须是拒绝一切流量。

完全采纳15.在配置访问规则时，源地址和目的

地址的范围必须以实际访问需求为

前提，尽可能的缩小范围。

完全采纳16.对于访问规则的排列，应当遵从范

围由小到大的排列规则。

完全采纳17.在进行重大配置修改前，必须对当

前配置进行备份。

完全采纳18.对于VPN用户，必须按照其访问权

限不同而进行分组，并在访问控制

规则中对该组的访问权限进行严格

限制。

完全采纳19.访问规则必须按照一定的规则进行

分组。

20.打开防DDOS攻击功能。完全采纳

完全采纳21.对于常见病毒的端口号应当进行端

口的关闭配置。

完全采纳22.限制ping包的大小，以及一段时间

内同一主机发送的次数。

23.对于各端口要开启防欺骗功能。完全采纳

24.对于具备字符交互界面的设备，应

完全采纳配置定时账户自动登出。

完全采纳

25.对于具备图形界面（含WEB界面）

的设备，应配置定时自动登出。

完全采纳

26.对于具备console口的设备，应配置

console口密码保护功能。

完全采纳

27.对于登陆账户的ip地址，配置为只

允许从某些ip地址登陆。

28.对于外网口地址，关闭对ping包的

完全采纳

回应。建议通过VPN隧道获得内网

地址，从内网口进行远程管理。

29.设定统一时钟源完全采纳

30.设定对防火墙的保护安全规则完全采纳

完全采纳

31.根据实际的网络连接调整防火墙并

发连接数

32.双机集群架构采用VRRP模式部署部分采纳

33.透明桥模式须关闭状态检测有关项完全采纳

完全采纳

34.对管理服务器的日志文件大小和转

存必须进行设置，并保护系统磁盘

空间

35.配置SNMP监控完全采纳

完全采纳

36.设置与防火墙互联的网络设备端口

速率，双工状态

1.3外部引用说明

《中国移动网络与信息安全保障体系总纲》

《中国移动内部控制手册（第二版）》

《中国移动标准化控制矩阵（第二版）》

1.4术语和定义

设备配置要求：描述在规范适用范围内设备必须和推荐采用的配置要求。在工程验收和运行维护时采用。功能要求是实现配置要求的基础。

1.5符号和缩略语

（对于规范出现的英文缩略语或符号在这里统一说明。）

2CHECKPOINT防火墙设备配置要求

编号：CHECKPOINTFW-PZ-1

要求内容不同等级管理员分配不同账号，避免账号混用。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法1、判定条件

用配置中没有的用户名去登录，结果是不能登录

2、检测操作

在图形界面登陆

3、补充说明

编号：CHECKPOINTFW-PZ-2

要求内容应删除或锁定与设备运行、维护等工作无关的账号。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法1、判定条件

配置中用户信息被删除。

2、检测操作

无。

3、补充说明

无。

编号：CHECKPOINTFW-PZ-3

要求内容防火墙管理员账号口令长度至少8位，并包括数字、小写

字母、大写字母和特殊符号4类中至少2类。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法1、判定条件

该级别的密码设置由管理员进行密码的生成，设备本身无此强制功

能。

2、检测操作

无。

3、补充说明

无。

编号：CHECKPOINTFW-PZ-4

要求内容账户口令的生存期不长于90天。

操作指南1、参考配置操作

设备无此功能

2、补充操作说明

无。

检测方法1、判定条件

设备无此功能

2、检测操作

编号：CHECKPOINTFW-PZ-5

要求内容应配置设备，使用户不能重复使用最近5次（含5次）内

已使用的口令。

操作指南1、参考配置操作

设备无此功能。

2、补充操作说明

无。

检测方法 1.判定条件

无。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-6

要求内容应配置当用户连续认证失败次数超过6次（不含6次），锁

定该用户使用的账号。

操作指南1、参考配置操作

设备无此功能

2、补充操作说明

无。

检测方法 1.判定条件

无。

1.检测操作

无。

编号：CHECKPOINTFW-PZ-7

要求内容在设备权限配置能力内，根据用户的管理等级，配置其所

需的最小管理权限。

操作指南1、参考配置操作

2、补充操作说明

对于管理员不同权限设置，可以定义不同管理员的访问模

块以及相应权限。

检测方法 1.判定条件

不同用户登陆，尝试访问不同的模块。用户不能访问自己权限以外

的模块。

2.检测操作

不同用户登陆，尝试访问不同的模块。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-8

要求内容设备应配置日志功能，对用户登录进行记录，记录内容包

括用户登录使用的账号，登录是否成功，登录时间，以及

远程登录时，用户使用的IP地址。

操作指南1、参考配置操作

2、补充操作说明

设备只能部分支持该项配置要求。

检测方法 1.判定条件

在服务器上正确纪录了日志信息。

2.检测操作

查看日志模块。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-9

要求内容设备应配置日志功能，记录用户对设备的重要操作。

操作指南1、参考配置操作

2、补充操作说明

设备只支持纪录部分关键操作。

检测方法 1.判定条件

对设备的操作会记录在日志中。

2.检测操作

查看日志模块。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-10

要求内容设备应配置日志功能，记录对与设备相关的安全事件。

操作指南1、参考配置操作

2、补充操作说明

支持纪录所有的安全事件。

检测方法 1.判定条件

在服务器上正确纪录了日志信息。

2.检测操作

display logbuffer

3.补充说明

无。

编号：CHECKPOINTFW-PZ-11

要求内容设备配置远程日志功能，将需要重点关注的日志内容传输

到日志服务器。

操作指南1、参考配置操作

2、补充操作说明

可以设置发送的日志服务器IP地址。

检测方法 1.判定条件

日志服务器上是否接收到了正确的日志信息。

2.检测操作

在日志服务器上查看信息。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-12

要求内容防火墙应根据业务需要，配置基于源IP地址、通信协议

TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，

过滤所有和业务不相关的流量。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法 1.判定条件

查看正常流量是否可以通过防火墙，非法流量是否被防火墙阻隔。

2.检测操作

使用不同的流量进行测试。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-13

要求内容对于使用IP协议进行远程维护的设备，设备应配置使用

SSH等加密协议。

操作指南1、参考配置操作

使用SSH客户端登陆防火墙。

2、补充操作说明

无。

检测方法 1.判定条件

SSH可以登陆防火墙。

2.检测操作

使用SSH客户端登陆防火墙。

3.补充说明

编号：CHECKPOINTFW-PZ-14

要求内容所有防火墙在配置访问规则时，最后一条必须是拒绝一切

流量。

操作指南1、参考配置操作

将最后一条策略配置成拒绝一切流量。

2、补充操作说明

无。

检测方法 1.判定条件

无。

2.检测操作

查看策略配置。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-15

要求内容在配置访问规则时，源地址和目的地址的范围必须以实际

访问需求为前提，尽可能的缩小范围。

操作指南1、参考配置操作

根据实际访问需求，缩小地址范围。

2、补充操作说明

无。

检测方法 1.判定条件

无。

2.检测操作

根据实际访问需求，检查配置情况。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-16

要求内容对于访问规则的排列，应当遵从范围由小到大的排列规则。

操作指南1、参考配置操作

按照访问规则涉及范围大小来排序。

2、补充操作说明

无。

检测方法 1.判定条件

检查访问规则的排列，查看是否是遵从范围由小到大的排列原则。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-17

要求内容在进行重大配置修改前，必须对当前配置进行备份。

操作指南1、参考配置操作

在进行重大配置修改前，备份当前配置。

2、补充操作说明

无。

检测方法 1.判定条件

查看是否有前期的配置备份。

2.检测操作

查看备份配置

3.补充说明

无。

编号：CHECKPOINTFW-PZ-18

要求内容对于VPN用户，必须按照其访问权限不同而进行分组，并

在访问控制规则中对该组的访问权限进行严格限制。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法 1.判定条件

查看用户是否已经按照权限不同进行分组。

2.检测操作

查看用户分组情况。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-19

要求内容访问规则必须按照一定的规则进行分组。

操作指南1、参考配置操作

按照一定的规则对访问控制规则进行分组。

2、补充操作说明

无。

检测方法 1.判定条件

查看访问控制规则是否已经分组。

2.检测操作

查看访问控制规则分组情况。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-20

要求内容打开防DDOS攻击功能。

操作指南1、参考配置操作

打开防DDOS攻击功能。

2、补充操作说明

打开该功能后，对该功能进行一定的配置。

检测方法 1.判定条件

查看是否已经将此功能打开。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-21

要求内容对于常见病毒的端口号应当进行端口的关闭配置。。

操作指南1、参考配置操作

使用访问控制策略关闭病毒常用端口

2、补充操作说明

无。

检测方法 1.判定条件

是否已经将常用病毒端口关闭。

2.检测操作

查看访问控制策略。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-22

要求内容限制ping包的大小，以及一段时间内同一主机发送的次

数。

操作指南1、参考配置操作

2、补充操作说明

打开该功能后需进行一定的配置。

检测方法 1.判定条件

查看该功能是否已经打开。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-23

要求内容对于各端口要开启防欺骗功能。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法 1.判定条件

查看防欺骗功能是否打开。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-24

要求内容对于具备字符交互界面的设备，应配置定时账户自动登出。

操作指南1、参考配置操作

该设备自动设定。

2、补充操作说明

Juniper 防火墙策略路由配置

Juniper 防火墙策略路由配置 一、网络拓扑图 要求： 1、默认路由走电信； 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址，走电信，访问互联网走网通； 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加：

Extended acl id:acl 编号Sequence No.：条目编号源地址：192.168.1.10/32 目的地址：1.0.0.0/8 Protocol：选择为any 端口号选择为：1-65535 点击ok：

2、点击add seg No.再建立一条同样的acl，但protocol 为icmp，否则在trace route 的时候仍然后走默认路由:

3、建立目的地址为0.0.0.0 的acl： 切记添加一条协议为icmp 的acl； 命令行： set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol

防火墙的基本配置

防火墙配置

目录 一．防火墙的基本配置原则 (2) 1.防火墙两种情况配置 (2) 2.防火墙的配置中的三个基本原则 (2) 3.网络拓扑图 (3) 二．方案设计原则 (4) 1. 先进性及成熟性 (4) 2. 实用性及经济性 (4) 3. 扩展性及兼容性 (4) 4. 标准化及开放性 (5) 5. 安全性及可维护性 (5) 6. 整合型好 (5) 三．防火墙的初始配置 (6) 1.简述 (6) 2.防火墙的具体配置步骤 (6) 四．Cisco PIX防火墙的基本配置 (8) 1. 连接 (8) 2. 初始化配置 (8) 3. enable命令 (8) 4．定义以太端口 (8) 5. clock (8) 6. 指定接口的安全级别 (9) 7. 配置以太网接口IP地址 (9) 8. access-group (9) 9．配置访问列表 (9) 10. 地址转换（NAT） (10) 11. Port Redirection with Statics (10) 1.命令 (10) 2．实例 (11) 12. 显示及保存结果 (12) 五．过滤型防火墙的访问控制表（ACL）配置 (13) 1. access-list：用于创建访问规则 (13) 2. clear access-list counters：清除访问列表规则的统计信息 (14) 3. ip access-grou (15) 4. show access-list (15) 5. show firewall (16)

一．防火墙的基本配置原则 1.防火墙两种情况配置 拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。 2.防火墙的配置中的三个基本原则 （1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。 （2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。

CheckPoint 防火墙 双机 HA 实施 方案

本文由ｎｏ１ｍｏｏｎｂｏｙ贡献 ｄｏｃ１。 双　ＣｈｅｃｋＰｏｉｎｔ　防火墙实施方案 目　录 第一章　客户环境概述……　４　１．１　概述　……　４　１．２　网络拓扑与地址分配表　……　４　１．３　安装前准备事宜　……　６　第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置　……　７　２．１　概述　……　７　２．２　初始化　ｎｏｋｉａ３８０　……　７　２．３　设置　ｎｏｋｉａ　基本信息　……　８　２．３．１　Ｎｏｋｉａ　端口　ＩＰ　地址设定　……　８　２．３．２　设置网关路由　……　８　２．３．３　设置　Ｎｏｋｉａ　平台时间　……　９　２．３．４　设定　Ｎｏｋｉａ　高可用　ＶＲＲＰ　参数　……　９　２．４　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１４　２．４．１　在　ｎｏｋｉａ　平台上　ｃｈｅｃｋｐｏｉｎｔ　的安装与卸载　……　１４　２．４．２　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１６　第三章　管理服务器的安装与配置……　１７　３．１ｃｈｅｃｋｐｏｉｎｔ　ｓｍａｒｔｃｅｎｔｅｒ　的安装……　１８　３．１．１　安装前的准备　……　１８　３．１．２　安装步骤　……　１８　３．２　配置　ｃｈｅｃｋｐｏｉｎｔ　对象和参数　……　２０　３．２．１　建立　ｓｉｃ　……　２０　３．２．２　定义防火墙对象拓扑结构　……　２１　３．２．３　使用同样的步骤按照表　１　的参数建立　ＩＰ３８０Ｂ　ｃｈｅｃｋｐｏｉｎｔ　ｇａｔｅｗａｙ　对象。　……　２１　３．３　基于　ｎｏｋｉａ　ｖｒｒｐ　或者　ｃｌｕｓｔｅｒ　的设置……　２２　３．３．１　基于　Ｎｏｋｉａ　ＶＲＲＰ　的设置　……　２２　３．３．２　为　ｎｏｋｉａ　ｖｒｒｐ　定义策略　……　２２　３．３．３　高可用性的检查　……　２３　３．４ｎｏｋｉａ　ｃｌｕｓｔｅｒ　的设置　……　２３　３．５　暂时没有　……　２３　第四章　策略设定……　２４　４．１　概述　……　２４　４．２　ｎｅｔｓｃｒｅｅｎ　的策略　……　２４　４．３　经过整理后转换成　ｃｈｅｃｋｐｏｉｎｔ　的策略　……　２４　４．４　设定策略　……　２４　４．４．１　定义主机对象　……　２４　４．４．２　定义网络对象　……　２５　４．４．３　定义组　……　２６　４．４．４　定义服务　……　２６ ４．４．５　添加标准策略　……　２７　４．４．６　添加　ＮＡＴ　策略……　２７　第五章　切换与测试……　２９　５．１　切换　……　２９　５．２　测试　……　２９　５．３　回退　……　３０　第六章　日常维护……　３１　６．１　防火墙的备份与恢复　……　３１　６．１．１　ｎｏｋｉａ　防火墙的备份与恢复方法　……　３１　６．１．２　ｃｈｅｃｋｐｏｉｎｔ　ｍａｎａｇｅｍｅｎｔ　上的备份与恢复　……　３３ 第一章 客户环境概述 １．１　概述 ＸＸＸＸＸＸ　公司因应企业内部的网络需求，对总部网络进行扩容改动，中心　防火墙从原来的　ｎｅｔｓｃｒｅｅｎ　换成两台　Ｎｏｋｉａ　ＩＰ３８０，两台　ｎｏｋｉａ　互为热备。维持原　有的服务不变。　由于这次网络改动比较大，所以先离线进行安装和测试，最后再进行切换 １．２　网络拓扑与地址分配表 ＸＸＸＸＸＸ　改造前网络拓扑如下 改动后，ＸＸＸ　将按照以下图进行实施　改动后， 给个设备及端口的地址分配入下表所示　ＩＰ　地址分配表（表　１） 管理服务器参数　ＩＰ　地址　防火墙各端口参数　端口　Ｅｔｈ１　用途　外网　口　Ｅｔｈ２　Ｅｔｈ３　Ｅｔｈ４　？　ＤＭＺ　内网　同步　口　ｇａｔｅｗａｙ　静态路　由　１７２．１６．１００．５／３０　１７２．１６．１００．６／３０　１７２．１６．１００．１／３０　１０．１０１．１．１０１／２４　１０．１０１．１．１０２／２４　１０．１０１．１．１／２４　１９２．１６８．１１．１／２４　１９２．１６８．１１．２／２４　Ｎｏｋｉａ３８０Ａ　Ｎｏｋｉａ３８０Ｂ　虚拟地址 １．３　安装前准备事宜 １．管理服务器硬件平台　ＣＰＵ　奔腾　３　５００　以上　内存　１２８　以上　硬盘　６０Ｍ　以上　操作系统，ｗｉｎｄｏｗｓ　２０００　ｓｅｒｖｅｒ　＋ＳＰ４　补丁 ２．网络连线　３．Ｃｈｅｃｋｐｏｉｎｔ　及　ｎｏｋｉａ　管理软件　Ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包　ｆｏｒ　ｗｉｎｄｏｗｓ　ｈｏｔｆｉｘ０９　或以上 ４．Ｎｏｋｉａ　ＩＰ３８０　设备两台　内置　ＩＰＳＯ３．８　ｂｕｉｌｄ　３９　内置　ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包 第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置 ２．１　概述 首先我们可以对两台　Ｎｏｋｉａ　ＩＰ３８０　进行安装与配置，由于　Ｎｏｋｉａ　防火墙将会　替代　Ｎｅｔｓｃｒｅｅｎ，所以　Ｎｏｋｉａ　防火墙可以进行离线配置。配置步骤如下。 ２．２　初始化　ｎｏｋｉａ３８０ １．　使用　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　线，连接　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　口和管理　ｐｃ　的串行端口，

防火墙配置模式

前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT（网络地址转换） 11 2.3.2.3组网实例 12 三、总结 13

一、前言 随着计算机的日益发展，计算机早已深入到各个领域，计算机网络已无处不在。而internet的飞速发展，使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候，黑客攻击开始肆虐全球的各大网站；而病毒制造者们也在各显其能，从CIH到爱虫．中毒者不计其数。一般认为，计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备，却不是仅仅装上了硬件就能发挥作用的，而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略，才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)

实验：防火墙基本配置

实验七交换机基本配置 一、实验目的 （1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面； （2）掌握Quidway S系列中低端交换机几种常用配置方法； （3）掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机，标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙； 访问控制列表可用于Qos（Quality of Service），对数据流量进行控制； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP） ACL示意图 ACL的分类 按照访问控制列表的用途，可以分为四类： ●基本的访问控制列表（basic acl） ●高级的访问控制列表（advanced acl） ●基于接口的访问控制列表（interface-based acl） ●基于MAC的访问控制列表（mac-based acl） 访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括：

CheckPoint 防火墙基本操作及应急措施

防火墙基本操作及应急措施陈世雄安全工程师 CCSE

议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施

Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中，100%企业使用我们的产品 –在防火墙和虚拟专用网络（VPN）市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 （Infonetics提供数据） ?VPN/防火墙软件市场占有率超过 54% （IDC提供数据） ?安全硬件设备市场份额中有 36% 为 Check Point 产品（由 Infonetics 提供） ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系

状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004

我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案

东软防火墙配置过程

（一）初始化设备 1)初始化配置步骤： 1.用超级终端通过串口控制台连接（RJ-45 null-modem 线缆）来完成初始配置。完成初始配置后，可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示： LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟，在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name: SZYCZ_FW5200 6.输入系统时间。 Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04 10:22:36 7.设置系统语言。 Please set system language (1) English

(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2，中文，回车 8.更改根管理员口令。（此步骤可选，但东软强烈建议首次登录后修改口令。） Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码，选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1，2，3，4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y，添加ycz用户，设备相应密码，Web管理，Telnet。

Windows_7防火墙设置详解

Windows 7防火墙设置详解(一) 文介绍Windows 7防火墙的设置方法，自从Vista开始，Windows的防火墙功能已经是越加臻于完善、今非昔比了，系统防火墙已经成为系统的一个不可或缺的部分，不再像XP那样防护功能简单、配置单一，所以无论是安装哪个第三方防火墙，Windows 7自带的系统防火墙都不应该被关闭掉，反而应该学着使用和熟悉它，对我们的系统信息保护将会大有裨益。 防火墙有软件的也有硬件德，当然了，其实硬件仍然是按照软件的逻辑进行工作的，所以也并非所有的硬防就一定比软防好，防火墙的作用是用来检查网络或Internet的交互信息，并根据一定的规则设置阻止或许可这些信息包通过，从而实现保护计算机的目的，下面这张图是Windows 7帮助里截出来的工作原理图： Windows 7防火墙的常规设置方法还算比较简单，依次打开“计算机”——“控制面板”——“Windows防火墙”，如下图所示：

上图中，天缘启用的是工作网络，家庭网络和工作网络同属于私有网络，或者叫专用网络，图下面还有个公用网络，实际上Windows 7已经支持对不同网络类型进行独立配置，而不会互相影响，这是windows 7的一个改进点。图2中除了右侧是两个帮助连接，全部设置都在左侧，如果需要设置网络连接，可以点击左侧下面的网络和共享中心，具体设置方法，可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章，另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。 下面来看一下Windows 7防火墙的几个常规设置方法： 一、打开和关闭Windows防火墙

Checkpoint防火墙测试用例

Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong

Revision History

1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)

CheckPoint防火墙安装手册

防火墙安装操作手册By Shixiong Chen

一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。 第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。 第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面: 敲回车键盘开始安装。出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言，默认选择US，按TAB键，继续安装。 配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。 选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。然后出现登陆界面，如下所示。 第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程

运行sysconfig 命令，启动安装防火墙包。选择n,继续安装。 打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。 配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。注意配置时间和日期的格式。完成后选择n， 然后会出现提示是否从tftp服务器下载安装软件，选择n.然后出现如下界面，选择N,继续安装。 选择Y,接受安装许可协议。

checkpoint防火墙技术

CheckPoint FireWall-1防火墙技术 2007-11-14 18:22:23 随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。 作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。 CheckPoint FireWall-1 V3.0防火墙的主要特点。 从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，?包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。 1．访问控制 这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持. CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。 另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法。 FireWall-1开放系统具有良好的扩展性，可以方便的定制用户的服务，提供复杂的访问控制。 2．授权认证（Authentication） 由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证，FireWall-1能保证一个用户发起的通信连接在允许之前，就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法： 用户认证（Authentication） 用户认证（UA）是基于每个用户的访问权限的认证，与用户的IP地址无关，FireWall-1提供的认证服务器包括：FTP、TELNET、HTTP、RLOGIN。 UA对移动用户特别有意义，用户的认证是在防火墙系统的网关上实施的。

东软防火墙配置过程

（一）初始化设备 1) 初始化配置步骤： 1.用超级终端通过串口控制台连接（RJ-45 null-modem 线缆）来完成初始配置。完成初始配置后，可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示： LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟，在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name: SZYCZ_FW5200 6.输入系统时间。 Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04

10:22:36 7.设置系统语言。 Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2，中文，回车 8.更改根管理员口令。（此步骤可选，但东软强烈建议首次登录后修改口令。） Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码，选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH

防火墙的构筑及配置

防火墙的构筑及配置 施建强 一、防火墙的类型 目前，比较成熟的防火墙技术主要有以下两种：包过滤技术和代理服务技术。与之相对应出现了构造防火墙的两种基本原则：屏蔽路由器和代理服务器。 1．屏蔽路由器（Screening Router） 屏蔽路由器一般是一个多口IP路由器，用于在内部和外部的主机之间发送数据包，它不但对数据包进行路由发送，还依据一定的安全规则检查数据包，决定是否发送。它依据的规则由站点的安全策略决定，这些规则可根据IP包中信息：IP源地址、IP目的地址、协议、ICP或UDP源端口等进行设置，也可根据路由器知道的信息如数据包到达端口、出去端口进行设置。这些规则由屏蔽路由器强制设置，也称它为包过滤规则。 2．代理服务器（Proxy Server） 代理服务器是运行在防火墙主机上的专门应用程序或服务器程序。这些程序接受用户对Internet 服务的请求，并按照相应的安全策略将这些请求转发到实际的服务。代理服务器为一个特定的服务提供替代连接，充当服务的网关，因此又称为应用级网关。 二、防火墙的体系结构 实际构筑防火墙时，一般是使用多种不同部件的组合，每个部件有其解决问题的重点。由于整个网络的拓扑结构、应用和协议的需要不同，防火墙的配置和实现方式也千差万别。以下是几种常用的防火墙实现方式及其优缺点。 1．筛选路由器 （Screening router） 筛选路由器通常又称包过滤（Packet filter）防火墙。它一般作用在网络层（IP层），对进出内部网络的所有信息进行分析，并按照一定的安全策略（信息过滤规则）对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包作允许拒绝的决定。采用这种技术的防火墙优点在于速度快、实现方便但安全性能差，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。 2．双宿主主机（双宿网关）（Dual-Homed Host） 双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机（又称堡垒主机）而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外网络之间的IP

CheckPoint防火墙配置

C h e c k P o i n t防火墙配置 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号：１.０.０ ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施 中国移动通信有限公司网络部

目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 (2) 1.3外部引用说明 (4) 1.4术语和定义 (4) 1.5符号和缩略语 (4) 2CHECKPOINT防火墙设备配置要求 (5)

前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考 1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。 内容采纳意见备注 1.不同等级管理员分配不同账号，避 完全采纳 免账号混用。 完全采纳 2.应删除或锁定与设备运行、维护等 工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度至少8 位，并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持 5.应配置设备，使用户不能重复使用 部分采纳IPSO操作系统支持最近5次（含5次）内已使用的口 令。 6.应配置当用户连续认证失败次数超 部分采纳IPSO操作系统支持过6次（不含6次），锁定该用户使 用的账号。 完全采纳 7.在设备权限配置能力内，根据用户 的管理等级，配置其所需的最小管