系统安全配置技术规范Juniper防火墙Word格式文档下载.docx

上传人:b****6 文档编号:16273276 上传时间:2022-11-22 格式:DOCX 页数:14 大小:18.04KB
下载 相关 举报
系统安全配置技术规范Juniper防火墙Word格式文档下载.docx_第1页
第1页 / 共14页
系统安全配置技术规范Juniper防火墙Word格式文档下载.docx_第2页
第2页 / 共14页
系统安全配置技术规范Juniper防火墙Word格式文档下载.docx_第3页
第3页 / 共14页
系统安全配置技术规范Juniper防火墙Word格式文档下载.docx_第4页
第4页 / 共14页
系统安全配置技术规范Juniper防火墙Word格式文档下载.docx_第5页
第5页 / 共14页
点击查看更多>>
下载资源
资源描述

系统安全配置技术规范Juniper防火墙Word格式文档下载.docx

《系统安全配置技术规范Juniper防火墙Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《系统安全配置技术规范Juniper防火墙Word格式文档下载.docx(14页珍藏版)》请在冰豆网上搜索。

系统安全配置技术规范Juniper防火墙Word格式文档下载.docx

姓名

职位

签名

1.适用范围

如无特殊说明,本规范所有配置项适用于Juniper防火墙JUNOS8.x/9.x/10.x版本。

其中有“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;

未涉及“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。

2.帐号管理与授权

1

2

2.1【基本】删除与工作无关的帐号

配置项描述

通过防火墙帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。

检查方法

方法一:

[edit]

showconfigurationsystemlogin

方法二:

通过WEB方式检查

操作步骤

[editsystemlogin]

deletesystemloginuserabc3

abc3是与工作无关的用户帐号

通过WEB方法配置

回退操作

回退到原有的设置。

操作风险

低风险

2.2【基本】建立用户帐号分类

通过防火墙用户帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。

user@host#showsystemlogin|match“class.*;

”|count

将用户账号分配到相应的用户级别:

setsystemloginuserabc1classread-only

setsystemloginuserabc2classABC1

setsystemloginuserabc3classsuper-user

user@host#setuser<

username>

class<

classname>

通过WEB方式配置

2.3【基本】配置登录超时时间

配置所有帐号登录超时限制

user@host#showsystemlogin|match“idle-timeout[0-9]|i

le-timeout1[0-5]”|count

user@host#setclass<

idle-timeout15

建议超时时间限制为15分钟

2.4【基本】允许登录的帐号

配置允许登录的帐号类别

user@host#showsystemlogin|match“ermissions”|count

[editsystemlogin]user@host#setclass<

permissions<

permissionorlistofpermissions>

低风险

2.5【基本】失败登陆次数限制

应限制失败登陆次数不超过三次,终断会话

user@host#showsystemloginretry-optionstries-before-disconnect

[editsystem]

user@host#setloginretry-optionstries-before-disconnect3

2.6【基本】口令设置符合复杂度要求

口令设置符合复杂度要求,密码长度最少为8位,且包含大小写、数字和特殊符号中的至少4种。

user@host#showsystemloginpassword

口令必须包括字符集:

user@ho

t#setloginpasswordchange-typecharacter-set

必须包括4中不同字符集(大写字母,小写字母,数字,标点符号和特殊字符)

user@host#setloginpasswordsminimum-changes4

口令最短8位

user@host#setloginpasswordsminimum-length8

通过WEB进行配置

中风险

2.7【基本】禁止root远程登录

Root为系统超级权限帐号,建议禁止远程。

[edit]user@host#showsystemservicesssh

通过WEB方法检查

[editsystem]user@host#setservicessshroot-logindeny

3.日志配置要求

3

3.1【基本】设置日志服务器

设置日志服务器,对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。

检查步骤

user@host#showsystemsyslog|match“host”|count

[editsystem]user@host#setsysloghost<

SYSLOG_SERVER>

<

FACILITY>

SEVERITY>

恢复原有日志配置策略。

建议对设备启用Logging的配置,并设置正确的syslog服务器,保存系统日志。

4.IP协议安全要求

4

4.1【基本】禁用Telnet方式访问系统

禁用Telnet方式访问系统。

user@host#showsystemservices|matchtelnet

user@host#deleteservicestelnet

4.2【基本】启用SSH方式访问系统

启用SSH方式访问系统,加密传输用户名、口令及数据信息,提高数据的传输安全性。

user@host#showsystemservices|matchssh

user@host#setservicesssh

启用SSH2

user@host#setservicessshprotocol-versionv2

4.3配置SSH安全机制

配置SSH安全机制,防制DOS攻击

限制最大连接数为10:

[editsystem]user@host#setservicessshconnection-limit10

限制每秒最大会话数为4:

[editsystem]user@host#setservicessshrate-limit4

4.4【基本】修改SNMP服务的共同体字符串

修改SNMP服务的共同体字符串,避免攻击者采用穷举攻击对系统安全造成威胁。

user@host#showsnmp|matchcommunity|match“public|private|admin|monitor|security”|count

[editsnmp]

user@host#renamecommunity<

oldcommunity>

tocommunity<

newcommunity>

5.服务配置要求

5

5.1【基本】配置NTP服务

启用防火墙的NTP设置,配置IP,口令等参数,在NTPServer之间开启认证功能。

user@host#showsystemntp|matchserver|exceptboot-server|count

配置NTP:

user@host#setntpserver<

ServersIP>

key<

keyID>

version4

取消NTPServer的认证功能,或将密码设置为NULL。

5.2【基本】关闭DHCP服务

禁用DHCP,避免攻击者通过向DHCP提供虚假MAC的攻击。

[edit]user@host#showsystemservices|matchdhcp

[editsystem]

user@host#deleteservicesdhcp

或:

[editsystem]user@host#deleteservicesdhcp-localserver

恢复DHCP服务。

5.3【基本】关闭FINGER服务

禁用finger服务,避免攻击者通过finger服务进行攻击。

[edit]user@host#showsystemservices|matchfinger

[editsystem]user@host#deleteservicesfinger

恢复finger服务。

6.其它安全要求

6

6.1【基本】禁用Auxiliary端口

禁用不使用的端口,避免为攻击者提供攻击通道。

[edit]user@host#showsystemports

Auxiliary端口禁止

[editsystem]user@host#setportsauxiliarydisable

恢复端口原有配置。

低风险,管理员需确认端口确实不需要使用

6.2【基本】配置设备名称

为设备配置合理的设备名称,以便识别

方法一

[edit]user@host#showsystemhost-name

[editsystem]user@host#sethost-name<

hostname>

将超时设置恢复至初始值。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > PPT模板 > 艺术创意

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1