资源描述
系统安全配置技术规范—Juniper防火墙
版本
V0.9
日期
2013-06-03
文档编号
文档发布
文档说明
(一)变更信息
版本号
变更日期
变更者
变更理由/变更内容
备注
(二)文档审核人
姓名
职位
签名
日期
目 录
1. 适用范围 4
2。 帐号管理与授权 4
2.1 【基本】删除与工作无关的帐号 4
2.2 【基本】建立用户帐号分类 4
2.3 【基本】配置登录超时时间 5
2.4 【基本】允许登录的帐号 5
2。5 【基本】失败登陆次数限制 6
2。6 【基本】口令设置符合复杂度要求 6
2。7 【基本】禁止root远程登录 6
3。 日志配置要求 7
3.1 【基本】设置日志服务器 7
4. IP协议安全要求 7
4。1 【基本】禁用Telnet方式访问系统 7
4。2 【基本】启用SSH方式访问系统 7
4.3 配置SSH安全机制 8
4。4 【基本】修改SNMP服务的共同体字符串 8
5. 服务配置要求 8
5.1 【基本】配置NTP服务 8
5。2 【基本】关闭DHCP服务 9
5.3 【基本】关闭FINGER服务 9
6. 其它安全要求 9
6.1 【基本】禁用Auxiliary端口 9
6。2 【基本】配置设备名称 10
1. 适用范围
如无特殊说明,本规范所有配置项适用于Juniper防火墙 JUNOS 8.x / 9.x / 10。x版本。其中有“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未涉及“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2. 帐号管理与授权
1.1 【基本】删除与工作无关的帐号
配置项描述
通过防火墙帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别.
检查方法
方法一:
[edit]
show configuration system login
方法二:
通过WEB方式检查
操作步骤
方法一:
[edit system login]
delete system login user abc3
abc3是与工作无关的用户帐号
方法二:
通过WEB方法配置
回退操作
回退到原有的设置。
操作风险
低风险
1.2 【基本】建立用户帐号分类
配置项描述
通过防火墙用户帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。
检查方法
方法一:
[edit]
user@host#show system login | match “class .*;” | count
方法二:
通过WEB方式检查
将用户账号分配到相应的用户级别:
set system login user abc1 class read-only
set system login user abc2 class ABC1
set system login user abc3 class super-user
操作步骤
方法一:
[edit system login]
user@host#set user 〈username> class 〈class name〉
方法二:
通过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
1.3 【基本】配置登录超时时间
配置项描述
配置所有帐号登录超时限制
检查方法
方法一:
[edit]
user@host#show system login | match “idle—timeout [0-9]|i
le—timeout 1[0-5]” | count
方法二:
通过WEB方式检查
操作步骤
方法一:
[edit system login]
user@host#set class 〈class name> idle-timeout 15
建议超时时间限制为15分钟
方法二:
通过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
1.4 【基本】允许登录的帐号
配置项描述
配置允许登录的帐号类别
检查方法
方法一:
[edit]
user@host#show system login | match “ ermissions” | count
方法二:
通过WEB方式检查
操作步骤
方法一:
[edit system login] user@host#set class 〈class name〉 permissions 〈permission or list of permissions>
方法二:
通过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
1.5 【基本】失败登陆次数限制
配置项描述
应限制失败登陆次数不超过三次,终断会话
检查方法
方法一:
[edit]
user@host#show system login retry-options tries—before—disconnect
方法二:
通过WEB方式检查
操作步骤
方法一:
[edit system]
user@host#set login retry—options tries-before—disconnect 3
方法二:
通过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
1.6 【基本】口令设置符合复杂度要求
配置项描述
口令设置符合复杂度要求,密码长度最少为8位,且包含大小写、数字和特殊符号中的至少4种。
检查方法
方法一:
user@host#show system login password
方法二:
通过WEB方式检查
操作步骤
方法一:
口令必须包括字符集:
[edit system]
user@ho
t#set login password change-type character—set
必须包括4中不同字符集(大写字母,小写字母,数字,标点符号和特殊字符)
user@host#set login passwords minimum—changes 4
口令最短8位
user@host#set login passwords minimum-length 8
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
中风险
1.7 【基本】禁止root远程登录
配置项描述
Root为系统超级权限帐号,建议禁止远程。
检查方法
方法一:
[edit] user@host#show system services ssh
方法二:
通过WEB方法检查
操作步骤
方法一:
[edit system] user@host#set services ssh root-login deny
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
3. 日志配置要求
1.8 【基本】设置日志服务器
配置项描述
设置日志服务器,对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。
检查步骤
方法一:
[edit]
user@host#show system syslog | match “host” | count
方法二:
通过WEB方式检查
操作步骤
方法一:
[edit system] user@host#set syslog host <SYSLOG_SERVER〉 <FACILITY〉 <SEVERITY>
方法二:
通过WEB进行配置
回退操作
恢复原有日志配置策略。
操作风险
建议对设备启用Logging的配置,并设置正确的syslog服务器,保存系统日志。
4. IP协议安全要求
1.9 【基本】禁用Telnet方式访问系统
配置项描述
禁用Telnet方式访问系统.
检查方法
方法一:
[edit]
user@host#show system services | match telnet
方法二:
通过WEB方法检查
操作步骤
方法一:
[edit system]
user@host#delete services telnet
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
1.10 【基本】启用SSH方式访问系统
配置项描述
启用SSH方式访问系统,加密传输用户名、口令及数据信息,提高数据的传输安全性。
检查方法
方法一:
[edit]
user@host#show system services | match ssh
方法二:
通过WEB方法检查
操作步骤
方法一:
[edit system]
user@host#set services ssh
启用SSH 2
user@host#set services ssh protocol—version v2
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
1.11 配置SSH安全机制
配置项描述
配置SSH安全机制,防制DOS攻击
检查方法
方法一:
[edit]
user@host#show system services | match ssh
方法二:
通过WEB方法检查
操作步骤
方法一:
限制最大连接数为10:
[edit system] user@host#set services ssh connection—limit 10
限制每秒最大会话数为4:
[edit system] user@host#set services ssh rate-limit 4
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
1.12 【基本】修改SNMP服务的共同体字符串
配置项描述
修改SNMP服务的共同体字符串,避免攻击者采用穷举攻击对系统安全造成威胁。
检查方法
方法一:
[edit]
user@host#show snmp | match community | match “public|private|admin|monitor|security” | count
方法二:
通过WEB方法检查
操作步骤
方法一:
[edit snmp]
user@host#rename community <old community> to community 〈new community〉
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
5. 服务配置要求
1.13 【基本】配置NTP服务
配置项描述
启用防火墙的NTP设置,配置IP,口令等参数,在NTP Server之间开启认证功能。
检查方法
方法一:
[edit]
user@host#show system ntp | match server | except boot—server | count
方法二:
通过WEB方法检查
操作步骤
配置NTP:
方法一:
[edit system]
user@host#set ntp server <Servers IP> key 〈key ID〉 version 4
方法二:
通过WEB进行配置
回退操作
取消NTP Server的认证功能,或将密码设置为NULL.
操作风险
中风险
1.14 【基本】关闭DHCP服务
配置项描述
禁用DHCP,避免攻击者通过向DHCP提供虚假MAC的攻击。
检查方法
方法一:
[edit] user@host#show system services | match dhcp
方法二:
通过WEB方法检查
操作步骤
方法一:
[edit system]
user@host#delete services dhcp
或:
[edit system] user@host#delete services dhcp-localserver
方法二:
通过WEB进行配置
回退操作
恢复DHCP服务。
操作风险
低风险
操作风险
低风险
1.15 【基本】关闭FINGER服务
配置项描述
禁用finger服务,避免攻击者通过finger服务进行攻击。
检查方法
方法一:
[edit] user@host#show system services | match finger
方法二:
通过WEB方式检查
操作步骤
方法一:
[edit system] user@host#delete services finger
方法二:
通过WEB进行配置
回退操作
恢复finger服务.
操作风险
低风险
6. 其它安全要求
1.16 【基本】禁用Auxiliary端口
配置项描述
禁用不使用的端口,避免为攻击者提供攻击通道.
检查方法
方法一:
[edit] user@host#show system ports
方法二:
通过WEB方式检查
操作步骤
方法一:
Auxiliary端口禁止
[edit system] user@host#set ports auxiliary disable
方法二:
通过WEB进行配置
回退操作
恢复端口原有配置.
操作风险
低风险,管理员需确认端口确实不需要使用
1.17 【基本】配置设备名称
配置项描述
为设备配置合理的设备名称,以便识别
检查方法
方法一
[edit] user@host#show system host—name
方法二:
通过WEB方式检查
操作步骤
方法一:
[edit system] user@host#set host-name 〈hostname〉
方法二:
通过WEB进行配置
回退操作
将超时设置恢复至初始值。
操作风险
低风险
12
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
