Juniper防火墙安全基线Word文档下载推荐.docx

Juniper防火墙安全基线Word文档下载推荐.docx

《Juniper防火墙安全基线Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《Juniper防火墙安全基线Word文档下载推荐.docx（26页珍藏版）》请在冰豆网上搜索。

3.2.1配置对防火墙本身的攻击或内部错误告警10

3.2.2配置TCP/IP协议网络层异常报文攻击告警11

3.2.3配置TCP/IP协议应用层异常攻击告警*12

3.3安全策略配置要求12

3.3.1访问规则列表最后一条必须是拒绝一切流量12

3.3.2配置访问规则应尽可能缩小范围13

3.3.3配置NAT地址转换*14

3.3.4隐藏防火墙字符管理界面的bannner信息14

3.3.5关闭非必要服务15

3.4攻击防护配置要求16

3.4.1拒绝常见漏洞所对应端口或者服务的扫描16

3.4.2拒绝常见漏洞所对应端口或者服务的访问16

第4章IP协议安全要求18

4.1功能配置18

4.1.1使用SNMPV2c或者V3以上的版本对防火墙远程管理18

第5章其他安全要求19

5.1其他安全配置19

5.1.1外网口地址关闭对ping包的回应*19

5.1.2对防火墙的管理地址做源地址限制20

第6章评审与修订21

第1章概述

1.1目的

本文档旨在指导系统管理人员进行Juniper防火墙的安全配置。

1.2适用范围

本配置标准的使用者包括：

网络管理员、网络安全管理员、网络监控人员。

1.3适用版本

Juniper防火墙SRX系列防火墙。

第2章帐号管理、认证授权安全要求

2.1帐号管理

2.1.1用户帐号分配*

安全基线项目名称

用户帐号分配安全基线要求项

安全基线编号

SBL-SRX-02-01-01

安全基线项说明

不同等级管理员分配不同帐号，避免帐号混用。

检测操作步骤

1.参考配置操作

进入配置模式

Edit

warning:

Clusteringenabled;

usingprivateedit

uncommittedchangeswillbediscardedonexit

Enteringconfigurationmode

setsystemloginuseruser1classread-onlyauthenticationplain-text-password

Newpassword:

Retypenewpassword:

setsystemloginuseruser2classread-onlyauthenticationplain-text-password

commit

2.补充操作说明

前两个用户为建立的帐号,帐号的class有operator、read-only和super-user。

基线符合性判定依据

1.判定条件

用配置中没有的用户名去登录，结果是不能登录。

2.检测操作

#showconfiguration|displayset|matchuser1

setsystemloginuseruser1classread-only

setsystemloginuseruser1authenticationencrypted-password"

$1$ANj6Tqmg$xvVAxV/V0s9MXxGQn93CB0"

#showconfiguration|displayset|matchuser2

setsystemloginuseruser2classread-only

setsystemloginuseruser2authenticationencrypted-password"

$1$oo4HYMP/$tAJyZrKkHRCz5V/yfqzHU0"

3.补充说明

无。

备注

防火墙系统本身就携带三种不同权限的帐号，需要手工检测。

2.1.2删除无关的帐号*

无关的帐号安全基线要求项

SBL-SRX-02-01-02

应删除或锁定与设备运行、维护等工作无关的帐号。

edit

deletesystemloginuseruser1

配置中用户信息被删除。

>

showconfiguration|displayset|matchuser1

建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。

2.1.3帐户登录超时*

帐户登录超时安全基线要求项

SBL-SRX-02-01-03

配置定时帐户自动登出，空闲5分钟自动登出。

登出后用户需再次登录才能进入系统。

1、参考配置操作

设置超时时间为5分钟

2、补充说明

在超出设定时间后，用户自动登出设备。

2.参考检测操作

需要手工检查。

2.1.4帐户密码错误自动锁定*

帐户密码错误自动锁定安全基线要求项

SBL-SRX-02-01-04

在10次尝试登录失败后锁定帐户，不允许登录。

解锁时间设置为300秒

设置尝试失败锁定次数为10次

超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。

注意！

此项设置会影响性能，建议设置后对访问此设备做源地址做限制。

2.2口令

2.2.1口令复杂度要求

口令复杂度要求安全基线要求项

SBL-SRX-02-02-01

防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

setsystemauthentication-ordertacplus

setsystemauthentication-orderpassword

setsystemtacplus-server1.1.1.1secret"

$9$b224ZTQnCA0JG"

setsystemtacplus-server1.1.1.1source-address2.2.2.2

口令字符不完全符合要求。

该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。

此项无法通过配置实现，建议通过管理实现。

2.3授权

2.3.1远程维护的设备使用加密协议

远程维护使用加密协议安全基线要求项

SBL-SRX-02-03-01

对于防火墙远程管理的配置，必须是基于加密的协议。

如SSH或者WEB 

SSL，如果只允许从防火墙内部进行管理，应该限定管理IP。

系统默认支持telnet及SSH两种管理方式，查看及增加管理IP操作如下：

setsystemservicessshprotocol-versionv2

setsecurityzonessecurity-zonetestinterfacesge-0/0/0.0host-inbound-trafficsystem-servicesssh

查看是否启用SSH连接。

showinterfacesge-0/0/0.0

……

Security:

Zone:

test

Allowedhost-inboundtraffic:

dhcphttppingsnmpsshtelnet

第3章日志及配置安全要求

3.1日志安全

3.1.1记录用户对设备的操作

用户对设备记录安全基线要求项

SBL-SRX-03-01-01

配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。

配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。

1．参考配置操作

setsystemsyslogfilemessagesanynotice

setsystemsyslogfilemessagesauthorizationinfo

setsystemsyslogfilemessagesarchivesize10m

2．补充操作说明

在启动日志记录的情况下，JunOS会记录相关的日志，无需额外配置。

1.判定条件

检查配置中的logging相关配置

2.检测操作

使用showconfigurationsystemsyslog检查:

showconfigurationsystemsyslog

filemessages{

anynotice;

authorizationinfo;

archivesize10m;

}

showlogmessages

3.1.2开启记录NAT日志*

开启记录NAT日志安全基线要求项

SBL-SRX-03-01-02

开启记录NAT日志，记录转换前后IP地址的对应关系。

I.启动日志记录

setsystemsyslogfileFW-LOGSuserinfosetsystemsyslogfileFW-LOGSmatchRT_FLOWsetsystemsyslogfileFW-LOGSarchivesize1msetsystemsyslogfileFW-LOGSarchivefiles3setsystemsyslogfileFW-LOGSstructured-databrief

使用showlogFW-LOGS检查:

fileFW-LOGS{

userinfo;

matchRT_FLOW;

archivesize1mfiles3;

structured-data{

brief;

}

showlogFW-LOGS

d

根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.1.3开启记录VPN日志*

开启记录VPN日志安全基线要求项

SBL-SRX-03-01-03

开启记录VPN日志，记录VPN访问登陆、退出等信息。

在启动日志记录的情况下，JunOS会记录VPN的日志，无需额外配置。

使用showconfigurationsystemsyslogshowlogging检查:

3.1.4配置记录流量日志

配置记录流量日志安全基线要求项

SBL-SRX-03-01-04

配置记录流量日志，记录通过防火墙的网络连接的信息。

PIX防火墙上无流量日志。

网络连接日志通过只需要启动日志记录

setsystemsyslogfiletraffic-loganyany

setsystemsyslogfiletraffic-logmatch"

RT_FLOW_SESSION"

可以通过showlogtraffic-log来检查连接情况。

使用showlogtraffic-log

检查:

showlogtraffic-log

3.1.5配置记录拒绝和丢弃报文规则的日志

配置记录拒绝和丢弃报文规则的日志安全基线要求项

SBL-SRX-03-01-05

配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。

JunOS防火墙自动将在访问控制列表（access-list）中拒绝（deny）的数据包生成syslog信息。

只需要启动日志记录

使用showlogtraffic-log检查:

3.2告警配置要求

3.2.1配置对防火墙本身的攻击或内部错误告警

配置对防火墙本身的攻击或内部错误告警安全基线要求项

SBL-SRX-03-02-01

配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。

使用showlogmessages检查:

3.2.2配置TCP/IP协议网络层异常报文攻击告警

配置TCP/IP协议网络层异常报文攻击告警安全基线要求项

SBL-SRX-03-02-02

配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。

3.2.3配置TCP/IP协议应用层异常攻击告警*

置TCP/IP协议应用层异常攻击告警安全基线要求项

SBL-SRX-03-02-03

配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警。

3.3安全策略配置要求

3.3.1访问规则列表最后一条必须是拒绝一切流量

访问规则列表最后一条必须是拒绝一切流量安全基线要求项

SBL-SRX-03-03-01

防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。

JunOS防火墙策略，没有开放策略，默认就是拒绝一切流量，只允许已经开发了策略的流量通过。

在设置最后一条规则时，配置规则：

不需要做设置

只需要检查permit的策略2.检测操作

无

3.3.2配置访问规则应尽可能缩小范围

配置访问规则应尽可能缩小范围安全基线要求项

SBL-SRX-03-03-02

在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。

禁止源到目的全部允许规则。

禁止目的地址及服务全允许规则，禁止全服务访问规则。

定义源地址，定义目的地址，定义源端口号，定义目的端口号

setsecurityzonessecurity-zoneuntrustaddress-bookaddress1.1.1.11.1.1.1/32

setsecurityzonessecurity-zoneuntrustaddress-bookaddress2.2.2.22.2.2.2/32

setapplicationsapplicationtcp_80protocoltcp

setapplicationsapplicationtcp_80source-port0-65535destination-port80-80

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchsource-address1.1.1.1

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchdestination-address2.2.2.2

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchapplicationtcp_80

setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestthenpermit

检查配置

使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytest

3.3.3配置NAT地址转换*

配置NAT地址转换安全基线要求项

SBL-SRX-03-03-03

配置NAT地址转换，对互联网隐藏内网主机的实际地址。

I.配置防火墙使用静态地址转换

setsecuritynatstaticrule-setMIPfromzoneuntrust

setsecuritynatstaticrule-setMIPrulenumbermatchdestination-addressdestination-ip_address

setsecuritynatstaticrule-setMIPrulenumberthenstatic-natprefixsource-ip_address

配置中有nat或者static的内容

使用setsecuritynatstaticrule-setMIPfromzoneuntrust

setsecuritynatstaticrule-setMIPrule1matchdestination-address1.1.1.1/32

setsecuritynatstaticrule-setMIPrule1thenstatic-natprefix10.1.1.1/32

showsecuritynatstaticrule