F5BIGIPLTM安全加固建议.docx
《F5BIGIPLTM安全加固建议.docx》由会员分享,可在线阅读,更多相关《F5BIGIPLTM安全加固建议.docx(11页珍藏版)》请在冰豆网上搜索。
F5BIGIPLTM安全加固建议
F5BIG-IPLTM安全加固建议
2022-04-27
1.用户安全加固
1.1为每个用户设置不同登录帐号
建议为每个使用设备的用户分配不同的帐号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
选择WebUI->System->users菜单可以为用户创建帐号:
1.2为每个用户设置不同的管理权限
F5可以对用户的权限进入分级设置,以严格划分各级用户的权限,以保证设备的安全。
建议对各种不同管理权限的用户按角色分配权限。
常用的F5用户角色为:
●Guest:
允许查看所有的object,同时修改其用户密码。
●Operator:
允许enable/disable节点和poolmember,同时查看所有的object,修改自己密码。
●Manager:
允许创建、修改、删除Virtualserver,Pools,Poolmembers,nodes,profiles,customermonitor,iRule,查看所有的object,修改自己的密码。
●Administrator:
F5WebUI的所有的权限,同时可以同步双机的配置,可以用bigpipeload和bigpipesave命令,可以修改自己的密码。
选择WebUI->System->users->创建新用户时,可以选择用户的Role:
1.3删除无关用户
应检查F5的用户列表,对于与设备运行、运维无关的用户帐号,进行删除。
选择WebUI->System->users菜单可以检查用户帐号。
注:
admin和root用户是一定不能删除的。
2.密码安全加固
2.1强制安全密码策略管理
对于F5用户的密码,可以采用强制安全密码策略,来提高用户密码的安全。
强制安全密码策略,可以强制用户密码的长度,密码的大小写、数字、有效期、多少次登录失败会被锁定等策略。
选择WebUI->System->Users->Authentication中,把SecurePasswordEnforcement选择成enable,则后面的各选择项可以进行选择:
建议选择:
A.密码长度最小长度为8位(MinmumLength)
B.密码要求至少有两个数字和两个大写的字母(RequiredCharacters:
Numeric,Uppercase)
C.当前设置密码与以前使用过的4次密码不能重复(PasswordMemory)
D.密码的有效期为120天(MaximumDuration)
E.建议4次密码失效会锁定用户(MaximunLoginFailures)
2.2缺省用户密码安全加固
设备初始化时,每台F5对于root用户和admin用户都有缺省的密码,用户在对F5进行配置时,必须修改root用户和admin用户的缺省密码。
选择WebUI->System->Platform可以修改root用户和admin用户的密码:
3.网络访问管理
3.1SelfIP和FloatIP网络访问管理
对于F5LTM网络设备,建议通过F5的管理接口对F5设备进行管理,而对于业务vlan的SelfIP和FloatIP(专门用于F5Networkfailover、F5配置同步、F5mirror的vlan的selfIP除外,这个vlan我们建议两台F5直接连接)建议不开放任何网络管理功能,建议把这些接口的PortLockdown功能选择为allownone。
选择WebUI->Network->SelfIPs选择相应IP地址进入,在PortLockdown处选择allownone。
3.2限制SSH登录IP管理
为了加强对F5设备的SSH登录管理,可以对能SSH登录F5设备的IP地址进行限制,以限定只有特定的IP地址或网段才能登录F5设备。
选择WebUI->System->Platform中,在SSHIPAllow中指定允许远程SSH的IP网段和具体IP地址,中间以空格键隔开。
如希望限定只有192.168.200.0网段和10.1.1.1IP地址,请在SpecifyRange中输入192.168.200.*10.1.1.1。
3.3限制HTTPS登录IP管理
为了加强对F5设备的HTTPS登录管理,可以对能HTTPS登录F5设备的IP地址进行限制,以限定只有特定的IP地址或网段才能登录F5设备。
SSH登录到F5上,采用以下的命令可以对登录HTTPS的IP地址进行设置:
bigpipehttpdallowadd
ex:
bigpipehttpdallow172.27.1.1add
bigpipehttpdallow172.27.1.1/255.255.255.0add
4.登录行为管理
4.1WebUI用户访问超时管理
对于用户登录WebUI,可以设置其session的timeout时间,过了相应的timeout时间后,用户需要重新login。
建议修改成600秒。
选择WebUI->System->Preferences中的Idletimebeforeautomaticlogout进行设置。
4.2SSH用户登录超时管理
在缺省情况下,F5的SSH登录不会自动超时。
要配置SSH登录自动超时,可以按以下的方式进行配置:
登录F5的命令行,输入以下的命令(v10.1.0版本及以后版本支持):
tmshmodifysyssshdinactivity-timeout
建议自动超时时间设置为600秒
4.3WebUI最大管理访问连接数管理
由于HTTPS访问F5的WebUI会消耗F5的资源,一般不允许太多的用户同时登录F5的WebUI。
F5允许对于同时登录F5WebUI的数量进行限制。
选择WebUI->System->preferences中,选择advance菜单,然后设置MaximumHTTPConnectionstoConfigurationUtility的数值(最小值为10)。
5.SNMP访问管理
5.1限制SNMP访问管理
为了加强SNMPagent网管工作站对F5网络设备的SNMP访问,建议对允许SNMPagent网管工作站访问F5的IP地址进行限制。
选择WebUI->System->SNMP->Configuration,在ClientAllowList中输入可以访问F5的SNMPagent网管工作站的IP地址:
5.2SNMP密码管理
对于SNM的密码,建议采用的Community的口令,需要为非常规private或者public,并且符合口令强度要求(建议长度不小于8位,需要包含2个数字和2个大写字母)。
6.其他安全加固
6.1用户登录日志管理
在v10,F5的WebUI和SSH登录日志会记录于/var/log/secure文件下,如:
[root@gtm:
Active]log#moreaudit
Jul1820:
16:
00local/gtminfosshd(pam_audit)[10904]:
01070417:
6:
AUDIT-userroot-RAW:
sshd(pam_audit):
user=root(root)partition=[All]level=Administratortty=sshhost=192.
168.200.1attempts=1start="WedJul1820:
16:
002012".
[root@gtm:
Active]log#moreaudit
Jul1820:
16:
00local/gtminfosshd(pam_audit)[10904]:
01070417:
6:
AUDIT-userroot-RAW:
sshd(pam_audit):
user=root(root)partition=[All]level=Administratortty=sshhost=192.
168.200.1attempts=1start="WedJul1820:
16:
002012".
[root@gtm:
Active]log#moresecure
Jul1820:
16:
00local/gtminfosshd(pam_audit)[10904]:
user=root(root)partition=[All]level=Administratortty=sshhost=192.168.200.1attempts=1start="WedJul1820:
16:
002012".
Jul1820:
16:
00local/gtminfosshd(pam_audit)[10904]:
01070417:
6:
AUDIT-userroot-RAW:
sshd(pam_audit):
user=root(root)partition=[All]level=Administratortty=sshhost=192.
168.200.1attempts=1start="WedJul1820:
16:
002012".
6.2NTP时间同步
建议开启F5的NTP服务,保证日志功能记录的时间的准确性。
选择WebUI->System->Configuration->Device下的NTP菜单,可以在TimeServerList下输出NTPServer的地址。
升级会员 