系统安全配置技术规范Juniper防火墙.docx

系统安全配置技术规范Juniper防火墙.docx

《系统安全配置技术规范Juniper防火墙.docx》由会员分享，可在线阅读，更多相关《系统安全配置技术规范Juniper防火墙.docx（14页珍藏版）》请在冰豆网上搜索。

系统安全配置技术规范Juniper防火墙

系统安全配置技术规范—Juniper防火墙

版本

V0.9

日期

2013-06-03

文档编号

文档发布

文档说明

（一）变更信息

版本号

变更日期

变更者

变更理由/变更内容

备注

（二）文档审核人

姓名

职位

签名

日期

1.适用范围

如无特殊说明，本规范所有配置项适用于Juniper防火墙JUNOS8.x/9.x/10.x版本。

其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。

2.帐号管理与授权

1

2

2.1【基本】删除与工作无关的帐号

配置项描述

通过防火墙帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。

检查方法

方法一：

[edit]

showconfigurationsystemlogin

方法二：

通过WEB方式检查

操作步骤

方法一：

[editsystemlogin]

deletesystemloginuserabc3

abc3是与工作无关的用户帐号

方法二：

通过WEB方法配置

回退操作

回退到原有的设置。

操作风险

低风险

2.2【基本】建立用户帐号分类

配置项描述

通过防火墙用户帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。

检查方法

方法一：

[edit]

user@host#showsystemlogin|match“class.*;”|count

方法二：

通过WEB方式检查

将用户账号分配到相应的用户级别：

setsystemloginuserabc1classread-only

setsystemloginuserabc2classABC1

setsystemloginuserabc3classsuper-user

操作步骤

方法一：

[editsystemlogin]

user@host#setuserclass

方法二：

通过WEB方式配置

回退操作

回退到原有的设置。

操作风险

低风险

2.3【基本】配置登录超时时间

配置项描述

配置所有帐号登录超时限制

检查方法

方法一：

[edit]

user@host#showsystemlogin|match“idle-timeout[0-9]|i

le-timeout1[0-5]”|count

方法二：

通过WEB方式检查

操作步骤

方法一：

[editsystemlogin]

user@host#setclassidle-timeout15

建议超时时间限制为15分钟

方法二：

通过WEB方式配置

回退操作

回退到原有的设置。

操作风险

低风险

2.4【基本】允许登录的帐号

配置项描述

配置允许登录的帐号类别

检查方法

方法一：

[edit]

user@host#showsystemlogin|match“ermissions”|count

方法二：

通过WEB方式检查

操作步骤

方法一：

[editsystemlogin]user@host#setclasspermissions

方法二：

通过WEB方式配置

回退操作

回退到原有的设置。

操作风险

低风险

2.5【基本】失败登陆次数限制

配置项描述

应限制失败登陆次数不超过三次，终断会话

检查方法

方法一：

[edit]

user@host#showsystemloginretry-optionstries-before-disconnect

方法二：

通过WEB方式检查

操作步骤

方法一：

[editsystem]

user@host#setloginretry-optionstries-before-disconnect3

方法二：

通过WEB方式配置

回退操作

回退到原有的设置。

操作风险

低风险

2.6【基本】口令设置符合复杂度要求

配置项描述

口令设置符合复杂度要求，密码长度最少为8位，且包含大小写、数字和特殊符号中的至少4种。

检查方法

方法一：

user@host#showsystemloginpassword

方法二：

通过WEB方式检查

操作步骤

方法一：

口令必须包括字符集：

[editsystem]

user@ho

t#setloginpasswordchange-typecharacter-set

必须包括4中不同字符集（大写字母，小写字母，数字，标点符号和特殊字符）

user@host#setloginpasswordsminimum-changes4

口令最短8位

user@host#setloginpasswordsminimum-length8

方法二：

通过WEB进行配置

回退操作

回退到原有的设置。

操作风险

中风险

2.7【基本】禁止root远程登录

配置项描述

Root为系统超级权限帐号，建议禁止远程。

检查方法

方法一：

[edit]user@host#showsystemservicesssh

方法二：

通过WEB方法检查

操作步骤

方法一：

[editsystem]user@host#setservicessshroot-logindeny

方法二：

通过WEB进行配置

回退操作

回退到原有的设置。

操作风险

低风险

3.日志配置要求

3

3.1【基本】设置日志服务器

配置项描述

设置日志服务器，对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。

检查步骤

方法一：

[edit]

user@host#showsystemsyslog|match“host”|count

方法二：

通过WEB方式检查

操作步骤

方法一：

[editsystem]user@host#setsysloghost

方法二：

通过WEB进行配置

回退操作

恢复原有日志配置策略。

操作风险

建议对设备启用Logging的配置，并设置正确的syslog服务器，保存系统日志。

4.IP协议安全要求

4

4.1【基本】禁用Telnet方式访问系统

配置项描述

禁用Telnet方式访问系统。

检查方法

方法一：

[edit]

user@host#showsystemservices|matchtelnet

方法二：

通过WEB方法检查

操作步骤

方法一：

[editsystem]

user@host#deleteservicestelnet

方法二：

通过WEB进行配置

回退操作

回退到原有的设置。

操作风险

低风险

4.2【基本】启用SSH方式访问系统

配置项描述

启用SSH方式访问系统，加密传输用户名、口令及数据信息，提高数据的传输安全性。

检查方法

方法一：

[edit]

user@host#showsystemservices|matchssh

方法二：

通过WEB方法检查

操作步骤

方法一：

[editsystem]

user@host#setservicesssh

启用SSH2

user@host#setservicessshprotocol-versionv2

方法二：

通过WEB进行配置

回退操作

回退到原有的设置。

操作风险

低风险

4.3配置SSH安全机制

配置项描述

配置SSH安全机制，防制DOS攻击

检查方法

方法一：

[edit]

user@host#showsystemservices|matchssh

方法二：

通过WEB方法检查

操作步骤

方法一：

限制最大连接数为10：

[editsystem]user@host#setservicessshconnection-limit10

限制每秒最大会话数为4：

[editsystem]user@host#setservicessshrate-limit4

方法二：

通过WEB进行配置

回退操作

回退到原有的设置。

操作风险

低风险

4.4【基本】修改SNMP服务的共同体字符串

配置项描述

修改SNMP服务的共同体字符串，避免攻击者采用穷举攻击对系统安全造成威胁。

检查方法

方法一：

[edit]

user@host#showsnmp|matchcommunity|match“public|private|admin|monitor|security”|count

方法二：

通过WEB方法检查

操作步骤

方法一：

[editsnmp]

user@host#renamecommunitytocommunity

方法二：

通过WEB进行配置

回退操作

回退到原有的设置。

操作风险

低风险

5.服务配置要求

5

5.1【基本】配置NTP服务

配置项描述

启用防火墙的NTP设置，配置IP，口令等参数，在NTPServer之间开启认证功能。

检查方法

方法一：

[edit]

user@host#showsystemntp|matchserver|exceptboot-server|count

方法二：

通过WEB方法检查

操作步骤

配置NTP：

方法一：

[editsystem]

user@host#setntpserverkeyversion4

方法二：

通过WEB进行配置

回退操作

取消NTPServer的认证功能，或将密码设置为NULL。

操作风险

中风险

5.2【基本】关闭DHCP服务

配置项描述

禁用DHCP，避免攻击者通过向DHCP提供虚假MAC的攻击。

检查方法

方法一：

[edit]user@host#showsystemservices|matchdhcp

方法二：

通过WEB方法检查

操作步骤

方法一：

[editsystem]

user@host#deleteservicesdhcp

或：

[editsystem]user@host#deleteservicesdhcp-localserver

方法二：

通过WEB进行配置

回退操作

恢复DHCP服务。

操作风险

低风险

操作风险

低风险

5.3【基本】关闭FINGER服务

配置项描述

禁用finger服务，避免攻击者通过finger服务进行攻击。

检查方法

方法一：

[edit]user@host#showsystemservices|matchfinger

方法二：

通过WEB方式检查

操作步骤

方法一：

[editsystem]user@host#deleteservicesfinger

方法二：

通过WEB进行配置

回退操作

恢复finger服务。

操作风险

低风险

6.其它安全要求

6

6.1【基本】禁用Auxiliary端口

配置项描述

禁用不使用的端口，避免为攻击者提供攻击通道。

检查方法

方法一：

[edit]user@host#showsystemports

方法二：

通过WEB方式检查

操作步骤

方法一：

Auxiliary端口禁止

[editsystem]user@host#setportsauxiliarydisable

方法二：

通过WEB进行配置

回退操作

恢复端口原有配置。

操作风险

低风险，管理员需确认端口确实不需要使用

6.2【基本】配置设备名称

配置项描述

为设备配置合理的设备名称，以便识别

检查方法

方法一

[edit]user@host#showsystemhost-name

方法二：

通过WEB方式检查

操作步骤

方法一：

[editsystem]user@host#sethost-name

方法二：

通过WEB进行配置

回退操作

将超时设置恢复至初始值。

操作风险

低风险