系统安全配置技术规范Juniper防火墙Word格式文档下载.docx

系统安全配置技术规范Juniper防火墙Word格式文档下载.docx

《系统安全配置技术规范Juniper防火墙Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《系统安全配置技术规范Juniper防火墙Word格式文档下载.docx（14页珍藏版）》请在冰豆网上搜索。

姓名

职位

签名

1.适用范围

如无特殊说明，本规范所有配置项适用于Juniper防火墙JUNOS8.x/9.x/10.x版本。

其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；

未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。

2.帐号管理与授权

1

2

2.1【基本】删除与工作无关的帐号

配置项描述

通过防火墙帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。

检查方法

方法一：

[edit]

showconfigurationsystemlogin

方法二：

通过WEB方式检查

操作步骤

[editsystemlogin]

deletesystemloginuserabc3

abc3是与工作无关的用户帐号

通过WEB方法配置

回退操作

回退到原有的设置。

操作风险

低风险

2.2【基本】建立用户帐号分类

通过防火墙用户帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。

user@host#showsystemlogin|match“class.*;

”|count

将用户账号分配到相应的用户级别：

setsystemloginuserabc1classread-only

setsystemloginuserabc2classABC1

setsystemloginuserabc3classsuper-user

user@host#setuser<

username>

class<

classname>

通过WEB方式配置

2.3【基本】配置登录超时时间

配置所有帐号登录超时限制

user@host#showsystemlogin|match“idle-timeout[0-9]|i

le-timeout1[0-5]”|count

user@host#setclass<

idle-timeout15

建议超时时间限制为15分钟

2.4【基本】允许登录的帐号

配置允许登录的帐号类别

user@host#showsystemlogin|match“ermissions”|count

[editsystemlogin]user@host#setclass<

permissions<

permissionorlistofpermissions>

低风险

2.5【基本】失败登陆次数限制

应限制失败登陆次数不超过三次，终断会话

user@host#showsystemloginretry-optionstries-before-disconnect

[editsystem]

user@host#setloginretry-optionstries-before-disconnect3

2.6【基本】口令设置符合复杂度要求

口令设置符合复杂度要求，密码长度最少为8位，且包含大小写、数字和特殊符号中的至少4种。

user@host#showsystemloginpassword

口令必须包括字符集：

user@ho

t#setloginpasswordchange-typecharacter-set

必须包括4中不同字符集（大写字母，小写字母，数字，标点符号和特殊字符）

user@host#setloginpasswordsminimum-changes4

口令最短8位

user@host#setloginpasswordsminimum-length8

通过WEB进行配置

中风险

2.7【基本】禁止root远程登录

Root为系统超级权限帐号，建议禁止远程。

[edit]user@host#showsystemservicesssh

通过WEB方法检查

[editsystem]user@host#setservicessshroot-logindeny

3.日志配置要求

3

3.1【基本】设置日志服务器

设置日志服务器，对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。

检查步骤

user@host#showsystemsyslog|match“host”|count

[editsystem]user@host#setsysloghost<

SYSLOG_SERVER>

<

FACILITY>

SEVERITY>

恢复原有日志配置策略。

建议对设备启用Logging的配置，并设置正确的syslog服务器，保存系统日志。

4.IP协议安全要求

4

4.1【基本】禁用Telnet方式访问系统

禁用Telnet方式访问系统。

user@host#showsystemservices|matchtelnet

user@host#deleteservicestelnet

4.2【基本】启用SSH方式访问系统

启用SSH方式访问系统，加密传输用户名、口令及数据信息，提高数据的传输安全性。

user@host#showsystemservices|matchssh

user@host#setservicesssh

启用SSH2

user@host#setservicessshprotocol-versionv2

4.3配置SSH安全机制

配置SSH安全机制，防制DOS攻击

限制最大连接数为10：

[editsystem]user@host#setservicessshconnection-limit10

限制每秒最大会话数为4：

[editsystem]user@host#setservicessshrate-limit4

4.4【基本】修改SNMP服务的共同体字符串

修改SNMP服务的共同体字符串，避免攻击者采用穷举攻击对系统安全造成威胁。

user@host#showsnmp|matchcommunity|match“public|private|admin|monitor|security”|count

[editsnmp]

user@host#renamecommunity<

oldcommunity>

tocommunity<

newcommunity>

5.服务配置要求

5

5.1【基本】配置NTP服务

启用防火墙的NTP设置，配置IP，口令等参数，在NTPServer之间开启认证功能。

user@host#showsystemntp|matchserver|exceptboot-server|count

配置NTP：

user@host#setntpserver<

ServersIP>

key<

keyID>

version4

取消NTPServer的认证功能，或将密码设置为NULL。

5.2【基本】关闭DHCP服务

禁用DHCP，避免攻击者通过向DHCP提供虚假MAC的攻击。

[edit]user@host#showsystemservices|matchdhcp

[editsystem]

user@host#deleteservicesdhcp

或：

[editsystem]user@host#deleteservicesdhcp-localserver

恢复DHCP服务。

5.3【基本】关闭FINGER服务

禁用finger服务，避免攻击者通过finger服务进行攻击。

[edit]user@host#showsystemservices|matchfinger

[editsystem]user@host#deleteservicesfinger

恢复finger服务。

6.其它安全要求

6

6.1【基本】禁用Auxiliary端口

禁用不使用的端口，避免为攻击者提供攻击通道。

[edit]user@host#showsystemports

Auxiliary端口禁止

[editsystem]user@host#setportsauxiliarydisable

恢复端口原有配置。

低风险，管理员需确认端口确实不需要使用

6.2【基本】配置设备名称

为设备配置合理的设备名称，以便识别

方法一

[edit]user@host#showsystemhost-name

[editsystem]user@host#sethost-name<

hostname>

将超时设置恢复至初始值。