Juniper防火墙安全配置基线要点.docx
- 文档编号:23694322
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:28
- 大小:22.42KB
Juniper防火墙安全配置基线要点.docx
《Juniper防火墙安全配置基线要点.docx》由会员分享,可在线阅读,更多相关《Juniper防火墙安全配置基线要点.docx(28页珍藏版)》请在冰豆网上搜索。
Juniper防火墙安全配置基线要点
Juniper防火墙安全配置基线
版本
版本控制信息
更新日期
更新人
审批人
V2.0
创建
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
2.
第1章概述
第2章
2.1目的
2.2
本文档旨在指导系统管理人员进行Juniper防火墙的安全配置。
2.3适用范围
2.4
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
2.5适用版本
2.6
Juniper防火墙SRX系列防火墙。
2.7实施
2.8
2.9例外条款
2.10
第3章帐号管理、认证授权安全要求
第4章
4.1帐号管理
4.2
4.2.1用户帐号分配*
安全基线项目名称
用户帐号分配安全基线要求项
安全基线编号
SBL-SRX-02-01-01
安全基线项说明
不同等级管理员分配不同帐号,避免帐号混用。
检测操作步骤
1.参考配置操作
2.
进入配置模式
Edit
warning:
Clusteringenabled;usingprivateedit
warning:
uncommittedchangeswillbediscardedonexit
Enteringconfigurationmode
setsystemloginuseruser1classread-onlyauthenticationplain-text-password
Newpassword:
Retypenewpassword:
setsystemloginuseruser2classread-onlyauthenticationplain-text-password
Newpassword:
Retypenewpassword:
commit
3.补充操作说明
4.
前两个用户为建立的帐号,帐号的class有operator、read-only和super-user。
基线符合性判定依据
1.判定条件
2.
用配置中没有的用户名去登录,结果是不能登录。
3.检测操作
4.
#showconfiguration|displayset|matchuser1
setsystemloginuseruser1classread-only
setsystemloginuseruser1authenticationencrypted-password"$1$ANj6Tqmg$xvVAxV/V0s9MXxGQn93CB0"
#showconfiguration|displayset|matchuser2
setsystemloginuseruser2classread-only
setsystemloginuseruser2authenticationencrypted-password"$1$oo4HYMP/$tAJyZrKkHRCz5V/yfqzHU0"
5.补充说明
6.
无。
备注
防火墙系统本身就携带三种不同权限的帐号,需要手工检测。
4.2.2删除无关的帐号*
安全基线项目名称
无关的帐号安全基线要求项
安全基线编号
SBL-SRX-02-01-02
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的帐号。
检测操作步骤
1.参考配置操作
2.
edit
deletesystemloginuseruser1
3.补充操作说明
4.
基线符合性判定依据
1.判定条件
2.
配置中用户信息被删除。
3.检测操作
4.
>showconfiguration|displayset|matchuser1
>
5.补充说明
6.
无。
备注
建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。
4.2.3帐户登录超时*
安全基线项目名称
帐户登录超时安全基线要求项
安全基线编号
SBL-SRX-02-01-03
安全基线项说明
配置定时帐户自动登出,空闲5分钟自动登出。
登出后用户需再次登录才能进入系统。
检测操作步骤
1、参考配置操作
2、
设置超时时间为5分钟
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
在超出设定时间后,用户自动登出设备。
3.参考检测操作
4.
5.补充说明
6.
无。
备注
需要手工检查。
4.2.4帐户密码错误自动锁定*
安全基线项目名称
帐户密码错误自动锁定安全基线要求项
安全基线编号
SBL-SRX-02-01-04
安全基线项说明
在10次尝试登录失败后锁定帐户,不允许登录。
解锁时间设置为300秒
检测操作步骤
1、参考配置操作
2、
设置尝试失败锁定次数为10次
2、补充说明
无。
基线符合性判定依据
1.判定条件
2.
超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。
3.参考检测操作
4.
5.补充说明
6.
无。
备注
注意!
此项设置会影响性能,建议设置后对访问此设备做源地址做限制。
需要手工检查。
4.3口令
4.4
4.4.1口令复杂度要求
安全基线项目名称
口令复杂度要求安全基线要求项
安全基线编号
SBL-SRX-02-02-01
安全基线项说明
防火墙管理员帐号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1.参考配置操作
2.
setsystemauthentication-ordertacplus
setsystemauthentication-orderpassword
setsystemtacplus-server1.1.1.1secret"$9$b224ZTQnCA0JG"
setsystemtacplus-server1.1.1.1source-address2.2.2.2
3.补充操作说明
4.
口令字符不完全符合要求。
基线符合性判定依据
1.判定条件
2.
该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。
3.检测操作
4.
此项无法通过配置实现,建议通过管理实现。
5.补充说明
6.
无。
备注
4.5授权
4.6
4.6.1远程维护的设备使用加密协议
安全基线项目名称
远程维护使用加密协议安全基线要求项
安全基线编号
SBL-SRX-02-03-01
安全基线项说明
对于防火墙远程管理的配置,必须是基于加密的协议。
如SSH或者WEB SSL,如果只允许从防火墙内部进行管理,应该限定管理IP。
检测操作步骤
1.参考配置操作
2.
系统默认支持telnet及SSH两种管理方式,查看及增加管理IP操作如下:
setsystemservicessshprotocol-versionv2
setsecurityzonessecurity-zonetestinterfacesge-0/0/0.0host-inbound-trafficsystem-servicesssh
3.补充操作说明
基线符合性判定依据
1.判定条件
2.
查看是否启用SSH连接。
3.检测操作
4.
showinterfacesge-0/0/0.0
……
Security:
Zone:
test
Allowedhost-inboundtraffic:
dhcphttppingsnmpsshtelnet
5.补充说明
6.
无。
备注
第5章日志及配置安全要求
第6章
6.1日志安全
6.2
6.2.1记录用户对设备的操作
安全基线项目名称
用户对设备记录安全基线要求项
安全基线编号
SBL-SRX-03-01-01
安全基线项说明
配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号解锁等信息。
配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。
检测操作步骤
1.参考配置操作
setsystemsyslogfilemessagesanynotice
setsystemsyslogfilemessagesauthorizationinfo
setsystemsyslogfilemessagesarchivesize10m
2.补充操作说明
在启动日志记录的情况下,JunOS会记录相关的日志,无需额外配置。
基线符合性判定依据
1.判定条件
检查配置中的logging相关配置
2.检测操作
使用showconfigurationsystemsyslog检查:
showconfigurationsystemsyslog
filemessages{
anynotice;
authorizationinfo;
archivesize10m;
}
showlogmessages
备注
6.2.2开启记录NAT日志*
安全基线项目名称
开启记录NAT日志安全基线要求项
安全基线编号
SBL-SRX-03-01-02
安全基线项说明
开启记录NAT日志,记录转换前后IP地址的对应关系。
检测操作步骤
1.参考配置操作
I.启动日志记录
setsystemsyslogfileFW-LOGSuserinfo
setsystemsyslogfileFW-LOGSmatchRT_FLOW
setsystemsyslogfileFW-LOGSarchivesize1m
setsystemsyslogfileFW-LOGSarchivefiles3
setsystemsyslogfileFW-LOGSstructured-databrief
2.补充操作说明
无。
基线符合性判定依据
1.判定条件
检查配置中的logging相关配置
2.检测操作
使用showlogFW-LOGS检查:
fileFW-LOGS{
userinfo;
matchRT_FLOW;
archivesize1mfiles3;
structured-data{
brief;
}
}
showlogFW-LOGS
d
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.2.3开启记录VPN日志*
安全基线项目名称
开启记录VPN日志安全基线要求项
安全基线编号
SBL-SRX-03-01-03
安全基线项说明
开启记录VPN日志,记录VPN访问登陆、退出等信息。
检测操作步骤
1.参考配置操作
showconfigurationsystemsyslog
filemessages{
anynotice;
authorizationinfo;
archivesize10m;
}
2.补充操作说明
在启动日志记录的情况下,JunOS会记录VPN的日志,无需额外配置。
基线符合性判定依据
1.判定条件
检查配置中的logging相关配置
2.检测操作
使用showconfigurationsystemsyslogshowlogging检查:
showconfigurationsystemsyslog
filemessages{
anynotice;
authorizationinfo;
archivesize10m;
}
showlogmessages
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.2.4配置记录流量日志
安全基线项目名称
配置记录流量日志安全基线要求项
安全基线编号
SBL-SRX-03-01-04
安全基线项说明
配置记录流量日志,记录通过防火墙的网络连接的信息。
检测操作步骤
1.参考配置操作
PIX防火墙上无流量日志。
网络连接日志通过只需要启动日志记录
setsystemsyslogfiletraffic-loganyany
setsystemsyslogfiletraffic-logmatch"RT_FLOW_SESSION"
2.补充操作说明
可以通过showlogtraffic-log来检查连接情况。
基线符合性判定依据
1.判定条件
检查配置中的logging相关配置
2.检测操作
使用showlogtraffic-log
检查:
showlogtraffic-log
备注
6.2.5配置记录拒绝和丢弃报文规则的日志
安全基线项目名称
配置记录拒绝和丢弃报文规则的日志安全基线要求项
安全基线编号
SBL-SRX-03-01-05
安全基线项说明
配置防火墙规则,记录防火墙拒绝和丢弃报文的日志。
检测操作步骤
1.参考配置操作
JunOS防火墙自动将在访问控制列表(access-list)中拒绝(deny)的数据包生成syslog信息。
只需要启动日志记录
setsystemsyslogfiletraffic-loganyany
setsystemsyslogfiletraffic-logmatch"RT_FLOW_SESSION"
2.补充操作说明
基线符合性判定依据
使用showlogtraffic-log检查:
showlogtraffic-log
备注
6.3告警配置要求
6.4
6.4.1配置对防火墙本身的攻击或内部错误告警
安全基线项目名称
配置对防火墙本身的攻击或内部错误告警安全基线要求项
安全基线编号
SBL-SRX-03-02-01
安全基线项说明
配置告警功能,报告对防火墙本身的攻击或者防火墙的系统内部错误。
检测操作步骤
1.参考配置操作
I.启动日志记录
setsystemsyslogfilemessagesanynotice
setsystemsyslogfilemessagesauthorizationinfo
setsystemsyslogfilemessagesarchivesize10m
2.补充操作说明
基线符合性判定依据
1.判定条件
检查配置中的logging相关配置
2.检测操作
使用showlogmessages检查:
showlogmessages
备注
6.4.2配置TCP/IP协议网络层异常报文攻击告警
安全基线项目名称
配置TCP/IP协议网络层异常报文攻击告警安全基线要求项
安全基线编号
SBL-SRX-03-02-02
安全基线项说明
配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。
检测操作步骤
1.参考配置操作
I.启动日志记录
setsystemsyslogfilemessagesanynotice
setsystemsyslogfilemessagesauthorizationinfo
setsystemsyslogfilemessagesarchivesize10m
2.补充操作说明
基线符合性判定依据
1.判定条件
检查配置中的logging相关配置
2.检测操作
使用showlogmessages检查:
showlogmessages
备注
6.4.3配置TCP/IP协议应用层异常攻击告警*
安全基线项目名称
置TCP/IP协议应用层异常攻击告警安全基线要求项
安全基线编号
SBL-SRX-03-02-03
安全基线项说明
配置告警功能,报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警。
检测操作步骤
1.参考配置操作
I.启动日志记录
setsystemsyslogfilemessagesanynotice
setsystemsyslogfilemessagesauthorizationinfo
setsystemsyslogfilemessagesarchivesize10m
2.补充操作说明
基线符合性判定依据
1.判定条件
检查配置中的logging相关配置
2.检测操作
使用showlogmessages检查:
showlogmessages
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.5安全策略配置要求
6.6
6.6.1访问规则列表最后一条必须是拒绝一切流量
安全基线项目名称
访问规则列表最后一条必须是拒绝一切流量安全基线要求项
安全基线编号
SBL-SRX-03-03-01
安全基线项说明
防火墙在配置访问规则列表时,最后一条必须是拒绝一切流量。
检测操作步骤
1.参考配置操作
JunOS防火墙策略,没有开放策略,默认就是拒绝一切流量,只允许已经开发了策略的流量通过。
在设置最后一条规则时,配置规则:
2.补充操作说明
不需要做设置
基线符合性判定依据
1.判定条件
只需要检查permit的策略2.检测操作
无
备注
6.6.2配置访问规则应尽可能缩小范围
安全基线项目名称
配置访问规则应尽可能缩小范围安全基线要求项
安全基线编号
SBL-SRX-03-03-02
安全基线项说明
在配置访问规则时,源地址,目的地址,服务或端口的范围必须以实际访问需求为前提,尽可能的缩小范围。
禁止源到目的全部允许规则。
禁止目的地址及服务全允许规则,禁止全服务访问规则。
检测操作步骤
1.参考配置操作
定义源地址,定义目的地址,定义源端口号,定义目的端口号
setsecurityzonessecurity-zoneuntrustaddress-bookaddress1.1.1.11.1.1.1/32
setsecurityzonessecurity-zoneuntrustaddress-bookaddress2.2.2.22.2.2.2/32
setapplicationsapplicationtcp_80protocoltcp
setapplicationsapplicationtcp_80source-port0-65535destination-port80-80
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchsource-address1.1.1.1
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchdestination-address2.2.2.2
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchapplicationtcp_80
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestthenpermit
2.补充操作说明
基线符合性判定依据
1.判定条件
检查配置
2.检测操作
使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytest
备注
6.6.3配置NAT地址转换*
安全基线项目名称
配置NAT地址转换安全基线要求项
安全基线编号
SBL-SRX-03-03-03
安全基线项说明
配置NAT地址转换,对互联网隐藏内网主机的实际地址。
检测操作步骤
1.参考配置操作
I.配置防火墙使用静态地址转换
setsecuritynatstaticrule-setMIPfromzoneuntrust
setsecuritynatstaticrule-setMIPrulenumbermatchdestination-addressdestination-ip_address
setsecuritynatstaticrule-setMIPrulenumberthenstatic-natprefixsource-ip_address
2.补充操作说明
基线符合性判定依据
1.判定条件
配置中有nat或者static的内容
2.检测操作
使用setsecuritynatstaticrule-setMIPfromzoneuntrust
setsecuritynatstaticrule-setMIPrule1matchdestination-address1.1.1.1/32
setsecuritynatstaticrule-setMIPrule1thenstatic-natprefix10.1.1.1/32
showsecuritynatstaticrule1
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
6.6.4隐藏防火墙字符管理界面的bannner信息
安全基线项目名称
隐藏防火墙字符管理界面的bannner信息安全基线要求项
安全基线编号
SBL-SRX-03-03-04
安全基线项说明
隐藏防火墙字符管理界面的bannner信息。
检测操作步骤
1.参考配置操作
I.配置登陆banner信息
edit
setsystemloginmessage
2.补充操作说明
基线符合性判定依据
1.判定条件
配置中有banner的内容
2.检测操作
使用showrunning-configbanner[exec|login|motd],如下例:
setsystemloginmessage"WarningfromGMCC!
allofyourdonewillberecorded!
Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!
"
showconfigurationsystemlo
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper 防火墙 安全 配置 基线 要点