系统安全配置技术规范Juniper防火墙样本.doc

1、资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 系统安全配置技术规范—Juniper防火墙 版本 V0.9 日期 -06-03 文档编号 文档发布 文档说明 ( 一) 变更信息 版本号 变更日期 变更者 变更理由/变更内容 备注 ( 二) 文档审核人 姓名 职位 签名 日期 目 录 1. 适用范围 4 2.

2、帐号管理与授权 4 2.1 【基本】删除与工作无关的帐号 4 2.2 【基本】建立用户帐号分类 4 2.3 【基本】配置登录超时时间 5 2.4 【基本】允许登录的帐号 5 2.5 【基本】失败登陆次数限制 6 2.6 【基本】口令设置符合复杂度要求 6 2.7 【基本】禁止root远程登录 6 3. 日志配置要求 7 3.1 【基本】设置日志服务器 7 4. IP协议安全要求 7 4.1 【基本】禁用Telnet方式访问系统 7 4.2 【基本】启用SSH方式访问系统 7 4.3 配置SSH安全机制 8 4.4 【基本】修改SNMP服务的共同体字符串 8 5.

3、服务配置要求 8 5.1 【基本】配置NTP服务 8 5.2 【基本】关闭DHCP服务 9 5.3 【基本】关闭FINGER服务 9 6. 其它安全要求 9 6.1 【基本】禁用Auxiliary端口 9 6.2 【基本】配置设备名称 10 1. 适用范围 如无特殊说明, 本规范所有配置项适用于Juniper防火墙 JUNOS 8.x / 9.x / 10.x版本。其中有”基本”字样的配置项, 均为本公司对此类系统的基本安全配置要求; 未涉及”基本”字样的配置项, 请各系统管理员视实际需求酌情遵从。 2. 帐号管理与授权 1 2 2.1 【基本】删除与工作无关的

4、帐号 配置项描述 经过防火墙帐号分类, 明确防火墙帐号分类权限, 如只读权限、 超级权限等类别。 检查方法 方法一: [edit] show configuration system login 方法二: 经过WEB方式检查 操作步骤 方法一: [edit system login] delete system login user abc3 abc3是与工作无关的用户帐号 方法二: 经过WEB方法配置 回退操作 回退到原有的设置。 操作风险 低风险 2.2 【基本】建立用户帐号分类 配置项描述 经过防火墙用户帐号分类, 明确

5、防火墙帐号分类权限, 如只读权限、 超级权限等类别。 检查方法 方法一: [edit] user@host#show system login | match ”class .*;” | count 方法二: 经过WEB方式检查 将用户账号分配到相应的用户级别: set system login user abc1 class read-only set system login user abc2 class ABC1 set system login user abc3 class super-user 操作步骤 方法一: [edit sy

6、stem login] user@host#set user class 方法二: 经过WEB方式配置 回退操作 回退到原有的设置。 操作风险 低风险 2.3 【基本】配置登录超时时间 配置项描述 配置所有帐号登录超时限制 检查方法 方法一: [edit] user@host#show system login | match ”idle-timeout [0-9]|i le-timeout 1[0-5]” | count 方法二: 经过WEB方式检查 操作步骤 方法一: [edit sys

7、tem login] user@host#set class idle-timeout 15 建议超时时间限制为15分钟 方法二: 经过WEB方式配置 回退操作 回退到原有的设置。 操作风险 低风险 2.4 【基本】允许登录的帐号 配置项描述 配置允许登录的帐号类别 检查方法 方法一: [edit] user@host#show system login | match ” ermissions” | count 方法二: 经过WEB方式检查 操作步骤 方法一: [edit system login] u

8、ser@host#set class permissions 方法二: 经过WEB方式配置 回退操作 回退到原有的设置。 操作风险 低风险 2.5 【基本】失败登陆次数限制 配置项描述 应限制失败登陆次数不超过三次, 终断会话 检查方法 方法一: [edit] user@host#show system login retry-options tries-before-disconnect 方法二: 经过WEB方式检查 操作步骤 方法一:

9、 [edit system] user@host#set login retry-options tries-before-disconnect 3 方法二: 经过WEB方式配置 回退操作 回退到原有的设置。 操作风险 低风险 2.6 【基本】口令设置符合复杂度要求 配置项描述 口令设置符合复杂度要求, 密码长度最少为8位, 且包含大小写、 数字和特殊符号中的至少4种。 检查方法 方法一: user@host#show system login password 方法二: 经过WEB方式检查 操作步骤 方法一: 口令必须包括字符集:

10、[edit system] user@ho t#set login password change-type character-set 必须包括4中不同字符集( 大写字母, 小写字母, 数字, 标点符号和特殊字符) user@host#set login passwords minimum-changes 4 口令最短8位 user@host#set login passwords minimum-length 8 方法二: 经过WEB进行配置 回退操作 回退到原有的设置。 操作风险 中风险 2.7 【基本】禁止root远程登录 配置项描述

11、 Root为系统超级权限帐号, 建议禁止远程。 检查方法 方法一: [edit] user@host#show system services ssh 方法二: 经过WEB方法检查 操作步骤 方法一: [edit system] user@host#set services ssh root-login deny 方法二: 经过WEB进行配置 回退操作 回退到原有的设置。 操作风险 低风险 3. 日志配置要求 3 3.1 【基本】设置日志服务器 配置项描述 设置日志服务器, 对网络系统中的设备运行状况、 网络流量、 用户行为等进行日志

12、记录。 检查步骤 方法一: [edit] user@host#show system syslog | match ”host” | count 方法二: 经过WEB方式检查 操作步骤 方法一: [edit system] user@host#set syslog host 方法二: 经过WEB进行配置 回退操作 恢复原有日志配置策略。 操作风险 建议对设备启用Logging的配置, 并设置正确的syslog服务器, 保存系统日志。 4. IP协议安全要求 4

13、 4.1 【基本】禁用Telnet方式访问系统 配置项描述 禁用Telnet方式访问系统。 检查方法 方法一: [edit] user@host#show system services | match telnet 方法二: 经过WEB方法检查 操作步骤 方法一: [edit system] user@host#delete services telnet 方法二: 经过WEB进行配置 回退操作 回退到原有的设置。 操作风险 低风险 4.2 【基本】启用SSH方式访问系统 配置项描述 启用SSH方式访问系统, 加密传输用户名、 口令及数据

14、信息, 提高数据的传输安全性。 检查方法 方法一: [edit] user@host#show system services | match ssh 方法二: 经过WEB方法检查 操作步骤 方法一: [edit system] user@host#set services ssh 启用SSH 2 user@host#set services ssh protocol-version v2 方法二: 经过WEB进行配置 回退操作 回退到原有的设置。 操作风险 低风险 4.3 配置SSH安全机制 配置项描述 配置SSH安全机制, 防制

15、DOS攻击 检查方法 方法一: [edit] user@host#show system services | match ssh 方法二: 经过WEB方法检查 操作步骤 方法一: 限制最大连接数为10: [edit system] user@host#set services ssh connection-limit 10 限制每秒最大会话数为4: [edit system] user@host#set services ssh rate-limit 4 方法二: 经过WEB进行配置 回退操作 回退到原有的设置。 操作风险 低风险 4.

16、4 【基本】修改SNMP服务的共同体字符串 配置项描述 修改SNMP服务的共同体字符串, 避免攻击者采用穷举攻击对系统安全造成威胁。 检查方法 方法一: [edit] user@host#show snmp | match community | match ”public|private|admin|monitor|security” | count 方法二: 经过WEB方法检查 操作步骤 方法一: [edit snmp] user@host#rename community to community

17、ty> 方法二: 经过WEB进行配置 回退操作 回退到原有的设置。 操作风险 低风险 5. 服务配置要求 5 5.1 【基本】配置NTP服务 配置项描述 启用防火墙的NTP设置, 配置IP, 口令等参数, 在NTP Server之间开启认证功能。 检查方法 方法一: [edit] user@host#show system ntp | match server | except boot-server | count 方法二: 经过WEB方法检查 操作步骤 配置NTP: 方法一: [edit system] user@host#set

18、ntp server key version 4 方法二: 经过WEB进行配置 回退操作 取消NTP Server的认证功能, 或将密码设置为NULL。 操作风险 中风险 5.2 【基本】关闭DHCP服务 配置项描述 禁用DHCP, 避免攻击者经过向DHCP提供虚假MAC的攻击。 检查方法 方法一: [edit] user@host#show system services | match dhcp 方法二: 经过WEB方法检查 操作步骤 方法一: [edit system] user@host#de

19、lete services dhcp 或: [edit system] user@host#delete services dhcp-localserver 方法二: 经过WEB进行配置 回退操作 恢复DHCP服务。 操作风险 低风险 操作风险 低风险 5.3 【基本】关闭FINGER服务 配置项描述 禁用finger服务, 避免攻击者经过finger服务进行攻击。 检查方法 方法一: [edit] user@host#show system services | match finger 方法二: 经过WEB方式检查 操作步骤 方法一:

20、 [edit system] user@host#delete services finger 方法二: 经过WEB进行配置 回退操作 恢复finger服务。 操作风险 低风险 6. 其它安全要求 6 6.1 【基本】禁用Auxiliary端口 配置项描述 禁用不使用的端口, 避免为攻击者提供攻击通道。 检查方法 方法一: [edit] user@host#show system ports 方法二: 经过WEB方式检查 操作步骤 方法一: Auxiliary端口禁止 [edit system] user@host#set ports auxil

21、iary disable 方法二: 经过WEB进行配置 回退操作 恢复端口原有配置。 操作风险 低风险, 管理员需确认端口确实不需要使用 6.2 【基本】配置设备名称 配置项描述 为设备配置合理的设备名称, 以便识别 检查方法 方法一 [edit] user@host#show system host-name 方法二: 经过WEB方式检查 操作步骤 方法一: [edit system] user@host#set host-name 方法二: 经过WEB进行配置 回退操作 将超时设置恢复至初始值。 操作风险 低风险