检查点安全设置清单

相对最近，我们发布了一个开放式微型课程“ Check Point to the maximum” 。 从信息安全的角度出发，我们在此处尝试简要地并举例说明Check Point配置中最常见的错误。 实际上，我们告诉您默认设置不好，以及如何“拧紧螺母”。 该课程（对我们来说是意料之外的）获得了很好的评价。 此后，我们收到了一些要求对此材料进行简短“压缩”的请求- 安全设置清单 。 我们认为这是个好主意，因此发布了这篇文章。

在开始之前，我想重点介绍两点：

1. 此清单不是自给自足的文档或手册。 这只是希望进行的检查的必要最低限​​度。 仅在对基础结构进行详细检查之后才能获得其他（扩展）建议。
2. 该清单不仅与Check Point所有者有关。 其他供应商的默认设置也存在类似问题： Fortigate ， PaloAlto ， Cisco FirePower ， Kerio ， Sophos等。

现在清单本身对每个项目都有一些评论：

1）启用HTTPS检查

我在第二课 “最大检查点”中谈到了HTTPS检查的重要性。 如果没有此选项，您亲爱的NGFW会变成网络外围的一个大洞。

2）阻止不必要的资源和应用程序（应用程序和URL过滤）

在Check Point，两个刀片负责此任务-应用程序控制和URL过滤。 与其他供应商几乎相同，只是稍有不同。 这些功能的主要目的是通过阻止对潜在危险资源或应用程序的访问来减少攻击范围。 由于某些原因，尽管存在预先配置的类别（匿名程序，僵尸网络，严重风险，黑客攻击，高风险，网络钓鱼，远程管理，可疑内容，间谍软件/恶意站点，隐匿策略等），但人们并未使用这些限制。 最好在网络级别上阻止此类事件，并且不要通过更复杂的保护措施（IPS，防病毒，防Bot，威胁仿真）来进行流量检查。 这样可以避免误报，并节省网关性能。 检查您的网关可以阻止哪些类别的站点和应用程序，然后再次查看您的访问策略。 SmartEvent是一个很好的帮助，它可以生成有关用户流量的报告。

3）阻止有害文件的下载（Content Awareness）

我在第三课中谈到了这一点。 在Check Point，Content Awareness刀片服务器负责此功能。 对于其他供应商，也许这允许您执行防病毒或DLP模块。 此操作的含义是故意阻止不需要的文件类型。 您的用户真的需要下载exe文件吗？ 脚本呢？ 如果可以将它们阻止为不适当的内容，为什么还要检查这些文件并希望网关的可靠性？ NGFW的负载较低，安全性更高。 有时用户甚至可能不知道他已经开始下载某些内容（后台下载）。 查看您的策略，至少阻止可执行文件。

4）防病毒执行文件的完整扫描（防病毒-深度扫描）

这绝对侵犯了所有供应商。 在默认设置中，流式防病毒仅扫描文件的哈希值或前几个字节。 为了获得足够的保护，这还不够。 修改病毒并不困难。 要抓住它们，您需要进行深入检查。 在Check Point， 深度检查选项对此负责。 但是要小心。 绝对不要为所有文件启用此功能。 如果您的网关“弱”，则负载可能会增加太多。 对最危险（且经常下载）的文件进行深度检查：pdf，docx，xl​​sx，rtf，zip，rar，exe（如果允许下载）等。 有关更多详细信息，请参见第四课 。

5）检查档案，阻止受密码保护的档案（防病毒-档案扫描）

令人惊讶的是，许多人忘记了此选项。 我认为每个人都需要检查档案。 对于每个人来说，显而易见的是，需要阻止使用密码进行存档。 我认为没有理由在此处绘制更详细的内容。 只需检查是否已配置它。

6）包含其他扫描引擎（防病毒-保护）

在默认的“威胁防护（优化）”配置文件中，禁用了其他验证机制，例如： 恶意活动-签名 ， 异常活动-行为模式 。 不要忽略这些设置。 我在第四课中已经介绍了如何包括它们。

7）IPS每周至少更新一次

在第五课中，我试图展示IPS对于网络安全的重要性。 效率的关键条件之一是“新”签名库。 确保您的IPS经常更新。 我的建议至少每三天一次。 通常，几乎所有供应商的默认值都更高（从一周到一个月）。

8）IPS被移到单独的层

另一个重点。 确保将IPS放在单独的层中。 只有这样，您才能充分利用它。 在本课程的第六课中，我详细介绍了为什么以及如何做到这一点。

9）针对不同网段的不同威胁防护策略

威胁防护策略包括以下刀片：防病毒，防Bot，IPS，威胁仿真，威胁提取。 如上所述，IPS应该移到单独的层。 在那里，您至少应该有两个策略-一个用于客户端设备，另一个用于服务器设备。 同时，理想情况下，政治应该更加分散，因为 在每个细分市场中，可能会有不同类型的设备和不同类型的服务。 关键任务是仅启用必要的保护机制。 检查用于Windows主机的流量的Windows签名是没有意义的。 其他刀片也一样。 分段的威胁防护策略是获得充分保护的关键。

10）使用保持模式

默认情况下，威胁防护使用后台模式。 这意味着，如果文件是新文件且没有必要的签名，则可以在后台进行“深入”检查时通过。 这并非补救措施通常所要求的。 因此，请确保“威胁防护”属性（在全局设置和配置文件设置中）启用了“ 保持”模式。

11）制定地理政策

此功能也不应被遗忘。 此选项使您可以阻止网络任何国家的任何流量（传入和传出）。 您的用户需要访问孟加拉国或刚果吗？ 但是，攻击者喜欢使用在网络犯罪方面立法不完善的国家/地区的服务器。 称职的地缘政策不仅会提高安全级别，而且会减少网关的负载，因为 后者不必检查所有内容。

12）启用威胁仿真

这里一点还不够。 好的，您需要为“威胁仿真”设置单独制作一个清单。 在您允许的情况下，我不会这样做：)我将提出一项主要建议-应该打开刀片。 由于某些原因，更多的管理员认为此功能是不必要的。 至少打开“检测”模式并在一周内查看报告。 您会感到惊讶。 如果当前订阅级别不允许使用此刀片服务器，则可以请求 30天的演示许可证 。

13）缺少误报

最后但并非最不重要的。 我已经重复（并且从未厌倦）很多次，安全是一个持续的过程，而不是结果。 因此，即使您进行了很好的调整，也应至少检查有效性和结果。 保护有效吗，是否有任何错误？ 最简单的示例是定期检查安全日志。 检查威胁防护刀片日志。 是否从严重性高或关键和置信度高中检测事件。 日志过滤器示例：

product_family ：（威胁或端点或移动）AND动作：检测和严重性：（严重或高）AND confidence_level ：（中高或高）

如果您看到属于此过滤器的日志，那么您错过了必须阻止的网络。 您配置不正确，或者您的补救措施无法正常工作。 定期检查此类事件，或配置通知（SmartEvent功能）。

最佳实践

您可以在Check Point的官方文档中找到大多数项目。 我们已经在“ Check Point说明和有用文档 ”一文中发布了整个收藏集。 在我们的案例中，主要的信息来源将是精选的文章-Best Practice和ATRG 。 如果您是Check Point产品的快乐所有者，则必须阅读这些主题。

结论

这样，我们将结束“该死的”检查。 如果您按照此列表整理网关设置，则您的安全级别将高于80％的公司（根据个人经验统计）。 我再说一遍，这些只是基本检查。 对于高级且更具体的建议，您需要对当前设置和网络体系结构进行全面分析。 在这里，您可以找到有关此类设置审核结果的示例报告（ Check Point安全审核 ）。 如果需要，您可以获取包含特定建议和更正说明的报告。

其他培训材料可以在我们的小组或电报频道中找到 。

您可以在此处免费检查Check Point安全设置。