作者: reistlin
来源: http://www.reistlin.com/blog/235
更新时间: 2009.03
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要

checkpoint.png

摘要: 基于 Nokia & CheckPoint 防火墙 Network Objects 命名规则的建议

[CheckPoint] 防火墙是一套完整的安全系统.目前最新的 NGX R65 版本包含了 Rules, NAT, VPN, QoS, SmartDenfense, Desktop, Connectra 和 Content Inspection 等功能模块.提供从边界,内网,Web,桌面,数据各个方面完整的企业级安全解决方案.

补充: 目前 (2010-2011年) CheckPoint 最新的版本为 NGX R70/R75 系列

为了减小管理风险,提高安全响应速度.通过参考防火墙安全管理的相关标准.结合企业 IT 运营所面临的实际的问题.整理出关于 CheckPoint 防火墙命名规则的建议.参考如下.

0. 基本命名原则

1. 命名规则需参考国际标准和规范
2. 命名规则需要标识出对象的基本类型
3. 命名规则需要标识出地向的基本特征
4. 命名规则需要表述出对象的应用范围
5. 命名规则需要表述出对象的应用方法
6. 避免滥用汉语拼音或者汉语拼音缩写
7. 善于完善 Comment 信息(英文/中文/说明)
8. 善于规范 Objcets 前缀(区域/特征/范围)
9. 字段类别首写字母需要大写
10. 字段之间使用 "_" 与 "-" 连接

1. CheckPoint 对象命名

方法1:

按照 CheckPoint 产品类型.如 Firwall, VPN Gateway, VPN Edge 来分类命名.字段顺序可适当调整.举例如下:

产品名_区域名_说明:
FW_Gz_VRRP / Edge_Sh_xDSL / Remote_Bj_SecureClient

Comment信息:
广州防火墙VRRP / 上海分支机构ADSL / 北京VPN客户端

方法2:

按照 CheckPoint 硬件类型.如 [Nokia IPSO] 平台, SecurePl
atfrom, x86 PC Server 来分类命名.字段顺序可适当调整.举例如下:

硬件类型_区域名_说明:
Nokia390_Gz_Gw / Nokia560_Sz_Fw / Dell_Splat_Bj

Comment信息:
诺基亚IP390广州防火墙 / 诺基亚IP560深圳防火墙 / 北京DELL服务器

方法3:

按照 CheckPoint 部署类型.如 Cluster, VRRP, Active/Standby 来分类命名.字段顺序可适当调整.举例如下:

硬件类型_部署类型_区域名_说明:
Nokia390_VRRP_Fw / VRRP_Guangzhou / Nokia_Cluster_Fw

Comment信息:
诺基亚IP390防火墙VRRP双机热备 / 广州防火墙VRRP双机热备 / 诺基亚集群防火墙系统

2. Nodes 对象命名

方法1:

按照 Nodes 基本类型.如 Host, Server, Temp, Other 来分类命名.字段顺序可适当调整.举例如下:

基本类型_区域名_IP地址_说明:
Host_Gz_10.0.0.1 / Server_Sh_10.0.0.2 / Temp_10.0.0.3

Comment信息:
广州客户端IP... / 上海服务器IP... / 临时测试机

方法2:

按照 Nodes 应用类型.如 Web, DNS, Mail, Proxy 来分类命名.字段顺序可适当调整.举例如下:

基本类型_应用类型_IP地址_说明:
Web_10.0.0.1 / DNS_10.0.0.2 / Gz_Proxy_10.0.0.3

Comment信息:
Web服务器IP... / DNS服务器IP... / 广州代理服务器IP...

方法3:

按照 Nodes 应用范围. 如 Internal, DMZ, Zone 来分类命名.字段顺序可适当调整.举例如下:

应用范围_区域名_应用类型_IP_说明:
DMZ_GZ_SMTP_10.0.0.1 / Office_OA_10.0.0.2 / Citrix_STA_Int_10.0.0.3

Comment信息:
广州非军事化区SMTP服务器IP... / 办公区OA服务器IP... / 内网Citrix服务器IP...

3. Networks 对象命名

方法1:

按照 Networks 基本类型.如 Internal, External, DMZ, VPN Zone, NAT Pool 来分类命名.字段顺序可适当调整.举例如下:

基本类型_区域名_Subnet_说明:
Int_Gz_192.168.0.0 / Ext_202.96.128.0 / VPN_172.16.1.0 / NAT_172.16.2.0

Comment信息:
广州内网网段 / 公网指定网段 / VPN网段 / NAT地址池

方法2:

按照 Networks 应用类型.如 Local, Remote,分配给设备,产品,应用的网段来分类命名.字段顺序可适当调整.举例如下:

应用类型_区域名_产品_应用_说明:
Local_Cisco_PIX / Remote_SecureClient / Backup_Corporate_HR / Gz_Administrator

Comment信息:
本地Cisco PIX网段 / 远端SecureClient网段 / 公司HR备份网段 / 广州网络管理专区

4. Groups 对象命名

方法1: 按照 Groups 基本类型.如 Server_Group, DMZ_Group, Host_Group, Admin_Group 来分类命名.字段顺序可适当调整.

方法2: 按照 Groups 应用类型.如 DNS_Gz_Group, Web_Sh_Group, VRRP_Group, Multicast_Group 来分类命名.字段顺序可适当调整.

方法3: 按照 Groups 设备类型.如 Cisco_PIX_Group, MySQL_Group, BEA_WebLogic_Group 来分类命名.字段顺序可适当调整.

5. TCP/IP 协议命名

方法1: 协议类型_端口.如 TCP_10000, UDP_17799, TCP_3306

方法2. 应用类型_端口.如 Webmin_1000, eMule_17799, MySQL_3306

方法3. 完善 Comment 信息.如 ftp-pasv (File Transfer Protocol - PASV mode only
) / sqlnet1 (Oracle SQL*Net Version 1)

6. Rule - Section Title

当防火墙策略较多的时候.为了安全性和提高防火墙性能.我们应该将防火墙的策略按照合理的逻辑顺序排序和分类.每类策略均使用 Section Title 将其归并和整理.所以一个专业的防火墙安全专家应该善于使用 Section Title 来提高自己安全策略的可读性和逻辑严密性.

管理策略:
Section Title - Management Rules

拒绝策略:
Section Title - Block Rules

服务器 Inbound 策略:
Section Title - Inbound Rules

服务器 Outbound 策略:
Section Title - Outbound Rules

清除策略:
Section Title - Cleanup Ruels

后记:

许久没有写文章.当朝阳再次升起的时候.感谢支持和帮助过我的朋友.祝福大家一切顺利.
最后.用《短歌行》来结束: "青青子衿.悠悠我心.但为君故.沉吟至今."

By [reistlin] 2008.10 (初稿)

标签: checkpoint, 标准化