CheckPoint 防火墙命名规则概述
作者: reistlin
来源: http://www.reistlin.com/blog/235
更新时间: 2009.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要
摘要: 基于 Nokia & CheckPoint 防火墙 Network Objects 命名规则的建议
[CheckPoint] 防火墙是一套完整的安全系统.目前最新的 NGX R65 版本包含了 Rules, NAT, VPN, QoS, SmartDenfense, Desktop, Connectra 和 Content Inspection 等功能模块.提供从边界,内网,Web,桌面,数据各个方面完整的企业级安全解决方案.
补充: 目前 (2010-2011年) CheckPoint 最新的版本为 NGX R70/R75 系列
为了减小管理风险,提高安全响应速度.通过参考防火墙安全管理的相关标准.结合企业 IT 运营所面临的实际的问题.整理出关于 CheckPoint 防火墙命名规则的建议.参考如下.
0. 基本命名原则
1. 命名规则需参考国际标准和规范
2. 命名规则需要标识出对象的基本类型
3. 命名规则需要标识出地向的基本特征
4. 命名规则需要表述出对象的应用范围
5. 命名规则需要表述出对象的应用方法
6. 避免滥用汉语拼音或者汉语拼音缩写
7. 善于完善 Comment 信息(英文/中文/说明)
8. 善于规范 Objcets 前缀(区域/特征/范围)
9. 字段类别首写字母需要大写
10. 字段之间使用 "_" 与 "-" 连接
1. CheckPoint 对象命名
方法1:
按照 CheckPoint 产品类型.如 Firwall, VPN Gateway, VPN Edge 来分类命名.字段顺序可适当调整.举例如下:
产品名_区域名_说明: FW_Gz_VRRP / Edge_Sh_xDSL / Remote_Bj_SecureClient Comment信息: 广州防火墙VRRP / 上海分支机构ADSL / 北京VPN客户端
方法2:
按照 CheckPoint 硬件类型.如 [Nokia IPSO] 平台, SecurePl
atfrom, x86 PC Server 来分类命名.字段顺序可适当调整.举例如下:
硬件类型_区域名_说明: Nokia390_Gz_Gw / Nokia560_Sz_Fw / Dell_Splat_Bj Comment信息: 诺基亚IP390广州防火墙 / 诺基亚IP560深圳防火墙 / 北京DELL服务器
方法3:
按照 CheckPoint 部署类型.如 Cluster, VRRP, Active/Standby 来分类命名.字段顺序可适当调整.举例如下:
硬件类型_部署类型_区域名_说明: Nokia390_VRRP_Fw / VRRP_Guangzhou / Nokia_Cluster_Fw Comment信息: 诺基亚IP390防火墙VRRP双机热备 / 广州防火墙VRRP双机热备 / 诺基亚集群防火墙系统
2. Nodes 对象命名
方法1:
按照 Nodes 基本类型.如 Host, Server, Temp, Other 来分类命名.字段顺序可适当调整.举例如下:
基本类型_区域名_IP地址_说明: Host_Gz_10.0.0.1 / Server_Sh_10.0.0.2 / Temp_10.0.0.3 Comment信息: 广州客户端IP... / 上海服务器IP... / 临时测试机
方法2:
按照 Nodes 应用类型.如 Web, DNS, Mail, Proxy 来分类命名.字段顺序可适当调整.举例如下:
基本类型_应用类型_IP地址_说明: Web_10.0.0.1 / DNS_10.0.0.2 / Gz_Proxy_10.0.0.3 Comment信息: Web服务器IP... / DNS服务器IP... / 广州代理服务器IP...
方法3:
按照 Nodes 应用范围. 如 Internal, DMZ, Zone 来分类命名.字段顺序可适当调整.举例如下:
应用范围_区域名_应用类型_IP_说明: DMZ_GZ_SMTP_10.0.0.1 / Office_OA_10.0.0.2 / Citrix_STA_Int_10.0.0.3 Comment信息: 广州非军事化区SMTP服务器IP... / 办公区OA服务器IP... / 内网Citrix服务器IP...
3. Networks 对象命名
方法1:
按照 Networks 基本类型.如 Internal, External, DMZ, VPN Zone, NAT Pool 来分类命名.字段顺序可适当调整.举例如下:
基本类型_区域名_Subnet_说明: Int_Gz_192.168.0.0 / Ext_202.96.128.0 / VPN_172.16.1.0 / NAT_172.16.2.0 Comment信息: 广州内网网段 / 公网指定网段 / VPN网段 / NAT地址池
方法2:
按照 Networks 应用类型.如 Local, Remote,分配给设备,产品,应用的网段来分类命名.字段顺序可适当调整.举例如下:
应用类型_区域名_产品_应用_说明: Local_Cisco_PIX / Remote_SecureClient / Backup_Corporate_HR / Gz_Administrator Comment信息: 本地Cisco PIX网段 / 远端SecureClient网段 / 公司HR备份网段 / 广州网络管理专区
4. Groups 对象命名
方法1: 按照 Groups 基本类型.如 Server_Group, DMZ_Group, Host_Group, Admin_Group 来分类命名.字段顺序可适当调整.
方法2: 按照 Groups 应用类型.如 DNS_Gz_Group, Web_Sh_Group, VRRP_Group, Multicast_Group 来分类命名.字段顺序可适当调整.
方法3: 按照 Groups 设备类型.如 Cisco_PIX_Group, MySQL_Group, BEA_WebLogic_Group 来分类命名.字段顺序可适当调整.
5. TCP/IP 协议命名
方法1: 协议类型_端口.如 TCP_10000, UDP_17799, TCP_3306
方法2. 应用类型_端口.如 Webmin_1000, eMule_17799, MySQL_3306
方法3. 完善 Comment 信息.如 ftp-pasv (File Transfer Protocol - PASV mode only
) / sqlnet1 (Oracle SQL*Net Version 1)
6. Rule - Section Title
当防火墙策略较多的时候.为了安全性和提高防火墙性能.我们应该将防火墙的策略按照合理的逻辑顺序排序和分类.每类策略均使用 Section Title 将其归并和整理.所以一个专业的防火墙安全专家应该善于使用 Section Title 来提高自己安全策略的可读性和逻辑严密性.
管理策略: Section Title - Management Rules 拒绝策略: Section Title - Block Rules 服务器 Inbound 策略: Section Title - Inbound Rules 服务器 Outbound 策略: Section Title - Outbound Rules 清除策略: Section Title - Cleanup Ruels
后记:
许久没有写文章.当朝阳再次升起的时候.感谢支持和帮助过我的朋友.祝福大家一切顺利.
最后.用《短歌行》来结束: "青青子衿.悠悠我心.但为君故.沉吟至今."
By [reistlin] 2008.10 (初稿)