资源描述
资料内容仅供您学习参考,如有不当或者侵权,请联系改正或者删除。
系统安全配置技术规范—Juniper防火墙
版本
V0.9
日期
-06-03
文档编号
文档发布
文档说明
( 一) 变更信息
版本号
变更日期
变更者
变更理由/变更内容
备注
( 二) 文档审核人
姓名
职位
签名
日期
目 录
1. 适用范围 4
2. 帐号管理与授权 4
2.1 【基本】删除与工作无关的帐号 4
2.2 【基本】建立用户帐号分类 4
2.3 【基本】配置登录超时时间 5
2.4 【基本】允许登录的帐号 5
2.5 【基本】失败登陆次数限制 6
2.6 【基本】口令设置符合复杂度要求 6
2.7 【基本】禁止root远程登录 6
3. 日志配置要求 7
3.1 【基本】设置日志服务器 7
4. IP协议安全要求 7
4.1 【基本】禁用Telnet方式访问系统 7
4.2 【基本】启用SSH方式访问系统 7
4.3 配置SSH安全机制 8
4.4 【基本】修改SNMP服务的共同体字符串 8
5. 服务配置要求 8
5.1 【基本】配置NTP服务 8
5.2 【基本】关闭DHCP服务 9
5.3 【基本】关闭FINGER服务 9
6. 其它安全要求 9
6.1 【基本】禁用Auxiliary端口 9
6.2 【基本】配置设备名称 10
1. 适用范围
如无特殊说明, 本规范所有配置项适用于Juniper防火墙 JUNOS 8.x / 9.x / 10.x版本。其中有”基本”字样的配置项, 均为本公司对此类系统的基本安全配置要求; 未涉及”基本”字样的配置项, 请各系统管理员视实际需求酌情遵从。
2. 帐号管理与授权
1
2
2.1 【基本】删除与工作无关的帐号
配置项描述
经过防火墙帐号分类, 明确防火墙帐号分类权限, 如只读权限、 超级权限等类别。
检查方法
方法一:
[edit]
show configuration system login
方法二:
经过WEB方式检查
操作步骤
方法一:
[edit system login]
delete system login user abc3
abc3是与工作无关的用户帐号
方法二:
经过WEB方法配置
回退操作
回退到原有的设置。
操作风险
低风险
2.2 【基本】建立用户帐号分类
配置项描述
经过防火墙用户帐号分类, 明确防火墙帐号分类权限, 如只读权限、 超级权限等类别。
检查方法
方法一:
[edit]
user@host#show system login | match ”class .*;” | count
方法二:
经过WEB方式检查
将用户账号分配到相应的用户级别:
set system login user abc1 class read-only
set system login user abc2 class ABC1
set system login user abc3 class super-user
操作步骤
方法一:
[edit system login]
user@host#set user <username> class <class name>
方法二:
经过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
2.3 【基本】配置登录超时时间
配置项描述
配置所有帐号登录超时限制
检查方法
方法一:
[edit]
user@host#show system login | match ”idle-timeout [0-9]|i
le-timeout 1[0-5]” | count
方法二:
经过WEB方式检查
操作步骤
方法一:
[edit system login]
user@host#set class <class name> idle-timeout 15
建议超时时间限制为15分钟
方法二:
经过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
2.4 【基本】允许登录的帐号
配置项描述
配置允许登录的帐号类别
检查方法
方法一:
[edit]
user@host#show system login | match ” ermissions” | count
方法二:
经过WEB方式检查
操作步骤
方法一:
[edit system login] user@host#set class <class name> permissions <permission or list of permissions>
方法二:
经过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
2.5 【基本】失败登陆次数限制
配置项描述
应限制失败登陆次数不超过三次, 终断会话
检查方法
方法一:
[edit]
user@host#show system login retry-options tries-before-disconnect
方法二:
经过WEB方式检查
操作步骤
方法一:
[edit system]
user@host#set login retry-options tries-before-disconnect 3
方法二:
经过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
2.6 【基本】口令设置符合复杂度要求
配置项描述
口令设置符合复杂度要求, 密码长度最少为8位, 且包含大小写、 数字和特殊符号中的至少4种。
检查方法
方法一:
user@host#show system login password
方法二:
经过WEB方式检查
操作步骤
方法一:
口令必须包括字符集:
[edit system]
user@ho
t#set login password change-type character-set
必须包括4中不同字符集( 大写字母, 小写字母, 数字, 标点符号和特殊字符)
user@host#set login passwords minimum-changes 4
口令最短8位
user@host#set login passwords minimum-length 8
方法二:
经过WEB进行配置
回退操作
回退到原有的设置。
操作风险
中风险
2.7 【基本】禁止root远程登录
配置项描述
Root为系统超级权限帐号, 建议禁止远程。
检查方法
方法一:
[edit] user@host#show system services ssh
方法二:
经过WEB方法检查
操作步骤
方法一:
[edit system] user@host#set services ssh root-login deny
方法二:
经过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
3. 日志配置要求
3
3.1 【基本】设置日志服务器
配置项描述
设置日志服务器, 对网络系统中的设备运行状况、 网络流量、 用户行为等进行日志记录。
检查步骤
方法一:
[edit]
user@host#show system syslog | match ”host” | count
方法二:
经过WEB方式检查
操作步骤
方法一:
[edit system] user@host#set syslog host <SYSLOG_SERVER> <FACILITY> <SEVERITY>
方法二:
经过WEB进行配置
回退操作
恢复原有日志配置策略。
操作风险
建议对设备启用Logging的配置, 并设置正确的syslog服务器, 保存系统日志。
4. IP协议安全要求
4
4.1 【基本】禁用Telnet方式访问系统
配置项描述
禁用Telnet方式访问系统。
检查方法
方法一:
[edit]
user@host#show system services | match telnet
方法二:
经过WEB方法检查
操作步骤
方法一:
[edit system]
user@host#delete services telnet
方法二:
经过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
4.2 【基本】启用SSH方式访问系统
配置项描述
启用SSH方式访问系统, 加密传输用户名、 口令及数据信息, 提高数据的传输安全性。
检查方法
方法一:
[edit]
user@host#show system services | match ssh
方法二:
经过WEB方法检查
操作步骤
方法一:
[edit system]
user@host#set services ssh
启用SSH 2
user@host#set services ssh protocol-version v2
方法二:
经过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
4.3 配置SSH安全机制
配置项描述
配置SSH安全机制, 防制DOS攻击
检查方法
方法一:
[edit]
user@host#show system services | match ssh
方法二:
经过WEB方法检查
操作步骤
方法一:
限制最大连接数为10:
[edit system] user@host#set services ssh connection-limit 10
限制每秒最大会话数为4:
[edit system] user@host#set services ssh rate-limit 4
方法二:
经过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
4.4 【基本】修改SNMP服务的共同体字符串
配置项描述
修改SNMP服务的共同体字符串, 避免攻击者采用穷举攻击对系统安全造成威胁。
检查方法
方法一:
[edit]
user@host#show snmp | match community | match ”public|private|admin|monitor|security” | count
方法二:
经过WEB方法检查
操作步骤
方法一:
[edit snmp]
user@host#rename community <old community> to community <new community>
方法二:
经过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
5. 服务配置要求
5
5.1 【基本】配置NTP服务
配置项描述
启用防火墙的NTP设置, 配置IP, 口令等参数, 在NTP Server之间开启认证功能。
检查方法
方法一:
[edit]
user@host#show system ntp | match server | except boot-server | count
方法二:
经过WEB方法检查
操作步骤
配置NTP:
方法一:
[edit system]
user@host#set ntp server <Servers IP> key <key ID> version 4
方法二:
经过WEB进行配置
回退操作
取消NTP Server的认证功能, 或将密码设置为NULL。
操作风险
中风险
5.2 【基本】关闭DHCP服务
配置项描述
禁用DHCP, 避免攻击者经过向DHCP提供虚假MAC的攻击。
检查方法
方法一:
[edit] user@host#show system services | match dhcp
方法二:
经过WEB方法检查
操作步骤
方法一:
[edit system]
user@host#delete services dhcp
或:
[edit system] user@host#delete services dhcp-localserver
方法二:
经过WEB进行配置
回退操作
恢复DHCP服务。
操作风险
低风险
操作风险
低风险
5.3 【基本】关闭FINGER服务
配置项描述
禁用finger服务, 避免攻击者经过finger服务进行攻击。
检查方法
方法一:
[edit] user@host#show system services | match finger
方法二:
经过WEB方式检查
操作步骤
方法一:
[edit system] user@host#delete services finger
方法二:
经过WEB进行配置
回退操作
恢复finger服务。
操作风险
低风险
6. 其它安全要求
6
6.1 【基本】禁用Auxiliary端口
配置项描述
禁用不使用的端口, 避免为攻击者提供攻击通道。
检查方法
方法一:
[edit] user@host#show system ports
方法二:
经过WEB方式检查
操作步骤
方法一:
Auxiliary端口禁止
[edit system] user@host#set ports auxiliary disable
方法二:
经过WEB进行配置
回退操作
恢复端口原有配置。
操作风险
低风险, 管理员需确认端口确实不需要使用
6.2 【基本】配置设备名称
配置项描述
为设备配置合理的设备名称, 以便识别
检查方法
方法一
[edit] user@host#show system host-name
方法二:
经过WEB方式检查
操作步骤
方法一:
[edit system] user@host#set host-name <hostname>
方法二:
经过WEB进行配置
回退操作
将超时设置恢复至初始值。
操作风险
低风险
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
