1、姓名职位签名1.适用范围如无特殊说明,本规范所有配置项适用于Juniper防火墙 JUNOS 8.x / 9.x / 10.x版本。其中有“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未涉及“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。2.帐号管理与授权122.1【基本】删除与工作无关的帐号配置项描述通过防火墙帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。检查方法方法一:edit show configuration system login方法二:通过WEB方式检查操作步骤edit system login delete system login u
2、ser abc3abc3是与工作无关的用户帐号通过WEB方法配置回退操作回退到原有的设置。操作风险低风险2.2【基本】建立用户帐号分类通过防火墙用户帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。userhost#show system login | match “class .*;” | count 将用户账号分配到相应的用户级别:set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-userus
3、erhost#set user class 通过WEB方式配置2.3【基本】配置登录超时时间配置所有帐号登录超时限制userhost#show system login | match “idle-timeout 0-9|ile-timeout 10-5” | count userhost#set class idle-timeout 15建议超时时间限制为15分钟2.4【基本】允许登录的帐号配置允许登录的帐号类别userhost#show system login | match “ ermissions” | countedit system login userhost#set clas
4、s permissions 低风险 2.5【基本】失败登陆次数限制应限制失败登陆次数不超过三次,终断会话userhost#show system login retry-options tries-before-disconnect edit system userhost#set login retry-options tries-before-disconnect 32.6【基本】口令设置符合复杂度要求口令设置符合复杂度要求,密码长度最少为8位,且包含大小写、数字和特殊符号中的至少4种。userhost#show system login password口令必须包括字符集:userhot
5、#set login password change-type character-set 必须包括4中不同字符集(大写字母,小写字母,数字,标点符号和特殊字符)userhost#set login passwords minimum-changes 4 口令最短8位userhost#set login passwords minimum-length 8 通过WEB进行配置中风险2.7【基本】禁止root远程登录Root为系统超级权限帐号,建议禁止远程。edit userhost#show system services ssh通过WEB方法检查edit system userhost#se
6、t services ssh root-login deny3.日志配置要求33.1 【基本】设置日志服务器设置日志服务器,对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。检查步骤userhost#show system syslog | match “host” | countedit system userhost#set syslog host SEVERITY恢复原有日志配置策略。建议对设备启用Logging的配置,并设置正确的syslog服务器,保存系统日志。4.IP协议安全要求44.1【基本】禁用Telnet方式访问系统禁用Telnet方式访问系统。userhost#
7、show system services | match telnetuserhost#delete services telnet4.2【基本】启用SSH方式访问系统启用SSH方式访问系统,加密传输用户名、口令及数据信息,提高数据的传输安全性。userhost#show system services | match sshuserhost#set services ssh 启用SSH 2userhost#set services ssh protocol-version v24.3 配置SSH安全机制配置SSH安全机制,防制DOS攻击限制最大连接数为10:edit system userh
8、ost#set services ssh connection-limit 10限制每秒最大会话数为4:edit system userhost#set services ssh rate-limit 44.4【基本】修改SNMP服务的共同体字符串修改SNMP服务的共同体字符串,避免攻击者采用穷举攻击对系统安全造成威胁。userhost#show snmp | match community | match “public|private|admin|monitor|security” | countedit snmp userhost#rename community to communit
9、y 5.服务配置要求55.1【基本】配置NTP服务启用防火墙的NTP设置,配置IP,口令等参数,在NTP Server之间开启认证功能。userhost#show system ntp | match server | except boot-server | count配置NTP:userhost#set ntp server key version 4 取消NTP Server的认证功能,或将密码设置为NULL。5.2【基本】关闭DHCP服务禁用DHCP,避免攻击者通过向DHCP提供虚假MAC的攻击。edit userhost#show system services | match dh
10、cpedit systemuserhost#delete services dhcp或:edit system userhost#delete services dhcp-localserver恢复DHCP服务。5.3【基本】关闭FINGER服务禁用finger服务,避免攻击者通过finger服务进行攻击。edit userhost#show system services | match fingeredit system userhost#delete services finger恢复finger服务。6.其它安全要求66.1【基本】禁用Auxiliary端口禁用不使用的端口,避免为攻击者提供攻击通道。edit userhost#show system portsAuxiliary端口禁止edit system userhost#set ports auxiliary disable恢复端口原有配置。低风险,管理员需确认端口确实不需要使用6.2【基本】配置设备名称为设备配置合理的设备名称,以便识别方法一 edit userhost#show system host-nameedit system userhost#set host-name 将超时设置恢复至初始值。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1