系统安全配置技术规范Juniper防火墙Word格式文档下载.docx
《系统安全配置技术规范Juniper防火墙Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《系统安全配置技术规范Juniper防火墙Word格式文档下载.docx(14页珍藏版)》请在冰豆网上搜索。
姓名
职位
签名
1.适用范围
如无特殊说明,本规范所有配置项适用于Juniper防火墙JUNOS8.x/9.x/10.x版本。
其中有“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;
未涉及“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2.帐号管理与授权
1
2
2.1【基本】删除与工作无关的帐号
配置项描述
通过防火墙帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。
检查方法
方法一:
[edit]
showconfigurationsystemlogin
方法二:
通过WEB方式检查
操作步骤
[editsystemlogin]
deletesystemloginuserabc3
abc3是与工作无关的用户帐号
通过WEB方法配置
回退操作
回退到原有的设置。
操作风险
低风险
2.2【基本】建立用户帐号分类
通过防火墙用户帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。
user@host#showsystemlogin|match“class.*;
”|count
将用户账号分配到相应的用户级别:
setsystemloginuserabc1classread-only
setsystemloginuserabc2classABC1
setsystemloginuserabc3classsuper-user
user@host#setuser<
username>
class<
classname>
通过WEB方式配置
2.3【基本】配置登录超时时间
配置所有帐号登录超时限制
user@host#showsystemlogin|match“idle-timeout[0-9]|i
le-timeout1[0-5]”|count
user@host#setclass<
idle-timeout15
建议超时时间限制为15分钟
2.4【基本】允许登录的帐号
配置允许登录的帐号类别
user@host#showsystemlogin|match“ermissions”|count
[editsystemlogin]user@host#setclass<
permissions<
permissionorlistofpermissions>
低风险
2.5【基本】失败登陆次数限制
应限制失败登陆次数不超过三次,终断会话
user@host#showsystemloginretry-optionstries-before-disconnect
[editsystem]
user@host#setloginretry-optionstries-before-disconnect3
2.6【基本】口令设置符合复杂度要求
口令设置符合复杂度要求,密码长度最少为8位,且包含大小写、数字和特殊符号中的至少4种。
user@host#showsystemloginpassword
口令必须包括字符集:
user@ho
t#setloginpasswordchange-typecharacter-set
必须包括4中不同字符集(大写字母,小写字母,数字,标点符号和特殊字符)
user@host#setloginpasswordsminimum-changes4
口令最短8位
user@host#setloginpasswordsminimum-length8
通过WEB进行配置
中风险
2.7【基本】禁止root远程登录
Root为系统超级权限帐号,建议禁止远程。
[edit]user@host#showsystemservicesssh
通过WEB方法检查
[editsystem]user@host#setservicessshroot-logindeny
3.日志配置要求
3
3.1【基本】设置日志服务器
设置日志服务器,对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。
检查步骤
user@host#showsystemsyslog|match“host”|count
[editsystem]user@host#setsysloghost<
SYSLOG_SERVER>
<
FACILITY>
SEVERITY>
恢复原有日志配置策略。
建议对设备启用Logging的配置,并设置正确的syslog服务器,保存系统日志。
4.IP协议安全要求
4
4.1【基本】禁用Telnet方式访问系统
禁用Telnet方式访问系统。
user@host#showsystemservices|matchtelnet
user@host#deleteservicestelnet
4.2【基本】启用SSH方式访问系统
启用SSH方式访问系统,加密传输用户名、口令及数据信息,提高数据的传输安全性。
user@host#showsystemservices|matchssh
user@host#setservicesssh
启用SSH2
user@host#setservicessshprotocol-versionv2
4.3配置SSH安全机制
配置SSH安全机制,防制DOS攻击
限制最大连接数为10:
[editsystem]user@host#setservicessshconnection-limit10
限制每秒最大会话数为4:
[editsystem]user@host#setservicessshrate-limit4
4.4【基本】修改SNMP服务的共同体字符串
修改SNMP服务的共同体字符串,避免攻击者采用穷举攻击对系统安全造成威胁。
user@host#showsnmp|matchcommunity|match“public|private|admin|monitor|security”|count
[editsnmp]
user@host#renamecommunity<
oldcommunity>
tocommunity<
newcommunity>
5.服务配置要求
5
5.1【基本】配置NTP服务
启用防火墙的NTP设置,配置IP,口令等参数,在NTPServer之间开启认证功能。
user@host#showsystemntp|matchserver|exceptboot-server|count
配置NTP:
user@host#setntpserver<
ServersIP>
key<
keyID>
version4
取消NTPServer的认证功能,或将密码设置为NULL。
5.2【基本】关闭DHCP服务
禁用DHCP,避免攻击者通过向DHCP提供虚假MAC的攻击。
[edit]user@host#showsystemservices|matchdhcp
[editsystem]
user@host#deleteservicesdhcp
或:
[editsystem]user@host#deleteservicesdhcp-localserver
恢复DHCP服务。
5.3【基本】关闭FINGER服务
禁用finger服务,避免攻击者通过finger服务进行攻击。
[edit]user@host#showsystemservices|matchfinger
[editsystem]user@host#deleteservicesfinger
恢复finger服务。
6.其它安全要求
6
6.1【基本】禁用Auxiliary端口
禁用不使用的端口,避免为攻击者提供攻击通道。
[edit]user@host#showsystemports
Auxiliary端口禁止
[editsystem]user@host#setportsauxiliarydisable
恢复端口原有配置。
低风险,管理员需确认端口确实不需要使用
6.2【基本】配置设备名称
为设备配置合理的设备名称,以便识别
方法一
[edit]user@host#showsystemhost-name
[editsystem]user@host#sethost-name<
hostname>
将超时设置恢复至初始值。