收藏 分销(赏)
立即下载 开通VIP

系统安全配置技术规范-Juniper防火墙.doc

上传人:a199****6536 文档编号:3977039 上传时间:2024-07-24 格式:DOC 页数:12 大小:168.54KB
下载 相关 举报
系统安全配置技术规范-Juniper防火墙.doc_第1页
第1页 / 共12页
系统安全配置技术规范-Juniper防火墙.doc_第2页
第2页 / 共12页
系统安全配置技术规范-Juniper防火墙.doc_第3页
第3页 / 共12页
系统安全配置技术规范-Juniper防火墙.doc_第4页
第4页 / 共12页
系统安全配置技术规范-Juniper防火墙.doc_第5页
第5页 / 共12页
点击查看更多>>
资源描述

1、系统安全配置技术规范Juniper防火墙版本V0.9日期2013-06-03文档编号文档发布文档说明(一)变更信息版本号变更日期变更者变更理由/变更内容备注(二)文档审核人姓名职位签名日期目 录1.适用范围42。帐号管理与授权42.1【基本】删除与工作无关的帐号42.2【基本】建立用户帐号分类42.3【基本】配置登录超时时间52.4【基本】允许登录的帐号52。5【基本】失败登陆次数限制62。6【基本】口令设置符合复杂度要求62。7【基本】禁止root远程登录63。日志配置要求73.1【基本】设置日志服务器74.IP协议安全要求74。1【基本】禁用Telnet方式访问系统74。2【基本】启用SS

2、H方式访问系统74.3配置SSH安全机制84。4【基本】修改SNMP服务的共同体字符串85.服务配置要求85.1【基本】配置NTP服务85。2【基本】关闭DHCP服务95.3【基本】关闭FINGER服务96.其它安全要求96.1【基本】禁用Auxiliary端口96。2【基本】配置设备名称101. 适用范围如无特殊说明,本规范所有配置项适用于Juniper防火墙 JUNOS 8.x / 9.x / 10。x版本。其中有“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未涉及“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。2. 帐号管理与授权1.1 【基本】删除与工作无关的帐

3、号配置项描述通过防火墙帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别.检查方法方法一:edit show configuration system login方法二:通过WEB方式检查操作步骤方法一:edit system login delete system login user abc3abc3是与工作无关的用户帐号方法二:通过WEB方法配置回退操作回退到原有的设置。操作风险低风险1.2 【基本】建立用户帐号分类配置项描述通过防火墙用户帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。检查方法方法一:edit userhostshow system login

4、match “class .;” | count 方法二:通过WEB方式检查将用户账号分配到相应的用户级别:set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-user操作步骤方法一:edit system login userhostset user username class class name方法二:通过WEB方式配置回退操作回退到原有的设置。操作风险低风险1.3 【基本】配置登录超时时间配置项描述配置

5、所有帐号登录超时限制检查方法方法一:edit userhost#show system login match “idletimeout 0-9iletimeout 10-5” | count 方法二:通过WEB方式检查操作步骤方法一:edit system login userhostset class class name idle-timeout 15建议超时时间限制为15分钟方法二:通过WEB方式配置回退操作回退到原有的设置。操作风险低风险1.4 【基本】允许登录的帐号配置项描述配置允许登录的帐号类别检查方法方法一:edit userhost#show system login | m

6、atch “ ermissions” count方法二:通过WEB方式检查操作步骤方法一:edit system login userhostset class class name permissions permission or list of permissions方法二:通过WEB方式配置回退操作回退到原有的设置。操作风险低风险 1.5 【基本】失败登陆次数限制配置项描述应限制失败登陆次数不超过三次,终断会话检查方法方法一:edit userhostshow system login retry-options triesbeforedisconnect方法二:通过WEB方式检查 操

7、作步骤方法一:edit system userhost#set login retryoptions tries-beforedisconnect 3方法二:通过WEB方式配置回退操作回退到原有的设置。操作风险低风险1.6 【基本】口令设置符合复杂度要求配置项描述口令设置符合复杂度要求,密码长度最少为8位,且包含大小写、数字和特殊符号中的至少4种。检查方法方法一:userhostshow system login password方法二:通过WEB方式检查操作步骤方法一:口令必须包括字符集:edit system userhot#set login password change-type c

8、haracterset 必须包括4中不同字符集(大写字母,小写字母,数字,标点符号和特殊字符)userhost#set login passwords minimumchanges 4 口令最短8位userhostset login passwords minimum-length 8 方法二:通过WEB进行配置回退操作回退到原有的设置。操作风险中风险1.7 【基本】禁止root远程登录配置项描述Root为系统超级权限帐号,建议禁止远程。检查方法方法一:edit userhost#show system services ssh方法二:通过WEB方法检查操作步骤方法一:edit system

9、userhostset services ssh root-login deny方法二:通过WEB进行配置回退操作回退到原有的设置。操作风险低风险3. 日志配置要求1.8 【基本】设置日志服务器配置项描述设置日志服务器,对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。检查步骤方法一:edit userhostshow system syslog | match “host” count方法二:通过WEB方式检查操作步骤方法一:edit system userhost#set syslog host SYSLOG_SERVER FACILITY 方法二:通过WEB进行配置回退操作恢

10、复原有日志配置策略。操作风险建议对设备启用Logging的配置,并设置正确的syslog服务器,保存系统日志。4. IP协议安全要求1.9 【基本】禁用Telnet方式访问系统配置项描述禁用Telnet方式访问系统.检查方法方法一:edit userhost#show system services match telnet方法二:通过WEB方法检查操作步骤方法一:edit system userhostdelete services telnet方法二:通过WEB进行配置回退操作回退到原有的设置。操作风险低风险1.10 【基本】启用SSH方式访问系统配置项描述启用SSH方式访问系统,加密传输

11、用户名、口令及数据信息,提高数据的传输安全性。检查方法方法一:edit userhost#show system services | match ssh方法二:通过WEB方法检查操作步骤方法一:edit system userhostset services ssh 启用SSH 2userhostset services ssh protocolversion v2方法二:通过WEB进行配置回退操作回退到原有的设置。操作风险低风险1.11 配置SSH安全机制配置项描述配置SSH安全机制,防制DOS攻击检查方法方法一:edit userhost#show system services mat

12、ch ssh方法二:通过WEB方法检查操作步骤方法一:限制最大连接数为10:edit system userhost#set services ssh connectionlimit 10限制每秒最大会话数为4:edit system userhostset services ssh rate-limit 4方法二:通过WEB进行配置回退操作回退到原有的设置。操作风险低风险1.12 【基本】修改SNMP服务的共同体字符串配置项描述修改SNMP服务的共同体字符串,避免攻击者采用穷举攻击对系统安全造成威胁。检查方法方法一:edit userhost#show snmp | match commun

13、ity | match “public|private|admin|monitorsecurity” | count方法二:通过WEB方法检查操作步骤方法一:edit snmp userhost#rename community to community new community方法二:通过WEB进行配置回退操作回退到原有的设置。操作风险低风险5. 服务配置要求1.13 【基本】配置NTP服务配置项描述启用防火墙的NTP设置,配置IP,口令等参数,在NTP Server之间开启认证功能。检查方法方法一:edit userhost#show system ntp match server |

14、except bootserver count方法二:通过WEB方法检查操作步骤配置NTP:方法一:edit system userhostset ntp server key key ID version 4 方法二:通过WEB进行配置回退操作取消NTP Server的认证功能,或将密码设置为NULL.操作风险中风险1.14 【基本】关闭DHCP服务配置项描述禁用DHCP,避免攻击者通过向DHCP提供虚假MAC的攻击。检查方法方法一:edit userhost#show system services match dhcp方法二:通过WEB方法检查操作步骤方法一:edit systemuse

15、rhostdelete services dhcp或:edit system userhost#delete services dhcp-localserver方法二:通过WEB进行配置回退操作恢复DHCP服务。操作风险低风险操作风险低风险1.15 【基本】关闭FINGER服务配置项描述禁用finger服务,避免攻击者通过finger服务进行攻击。检查方法方法一:edit userhostshow system services match finger方法二:通过WEB方式检查操作步骤方法一:edit system userhost#delete services finger方法二:通过W

16、EB进行配置回退操作恢复finger服务.操作风险低风险6. 其它安全要求1.16 【基本】禁用Auxiliary端口配置项描述禁用不使用的端口,避免为攻击者提供攻击通道.检查方法方法一:edit userhostshow system ports方法二:通过WEB方式检查操作步骤方法一:Auxiliary端口禁止edit system userhostset ports auxiliary disable方法二:通过WEB进行配置回退操作恢复端口原有配置.操作风险低风险,管理员需确认端口确实不需要使用1.17 【基本】配置设备名称配置项描述为设备配置合理的设备名称,以便识别检查方法方法一 edit userhostshow system hostname方法二:通过WEB方式检查操作步骤方法一:edit system userhostset host-name hostname方法二:通过WEB进行配置回退操作将超时设置恢复至初始值。操作风险低风险12

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 品牌综合 > 行业标准/行业规范

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服