系统安全配置技术规范Juniper防火墙.docx
- 文档编号:8493668
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:14
- 大小:18.16KB
系统安全配置技术规范Juniper防火墙.docx
《系统安全配置技术规范Juniper防火墙.docx》由会员分享,可在线阅读,更多相关《系统安全配置技术规范Juniper防火墙.docx(14页珍藏版)》请在冰豆网上搜索。
系统安全配置技术规范Juniper防火墙
系统安全配置技术规范—Juniper防火墙
版本
V0.9
日期
2013-06-03
文档编号
文档发布
文档说明
(一)变更信息
版本号
变更日期
变更者
变更理由/变更内容
备注
(二)文档审核人
姓名
职位
签名
日期
1.适用范围
如无特殊说明,本规范所有配置项适用于Juniper防火墙JUNOS8.x/9.x/10.x版本。
其中有“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未涉及“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2.帐号管理与授权
1
2
2.1【基本】删除与工作无关的帐号
配置项描述
通过防火墙帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。
检查方法
方法一:
[edit]
showconfigurationsystemlogin
方法二:
通过WEB方式检查
操作步骤
方法一:
[editsystemlogin]
deletesystemloginuserabc3
abc3是与工作无关的用户帐号
方法二:
通过WEB方法配置
回退操作
回退到原有的设置。
操作风险
低风险
2.2【基本】建立用户帐号分类
配置项描述
通过防火墙用户帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。
检查方法
方法一:
[edit]
user@host#showsystemlogin|match“class.*;”|count
方法二:
通过WEB方式检查
将用户账号分配到相应的用户级别:
setsystemloginuserabc1classread-only
setsystemloginuserabc2classABC1
setsystemloginuserabc3classsuper-user
操作步骤
方法一:
[editsystemlogin]
user@host#setuser
方法二:
通过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
2.3【基本】配置登录超时时间
配置项描述
配置所有帐号登录超时限制
检查方法
方法一:
[edit]
user@host#showsystemlogin|match“idle-timeout[0-9]|i
le-timeout1[0-5]”|count
方法二:
通过WEB方式检查
操作步骤
方法一:
[editsystemlogin]
user@host#setclass
建议超时时间限制为15分钟
方法二:
通过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
2.4【基本】允许登录的帐号
配置项描述
配置允许登录的帐号类别
检查方法
方法一:
[edit]
user@host#showsystemlogin|match“ermissions”|count
方法二:
通过WEB方式检查
操作步骤
方法一:
[editsystemlogin]user@host#setclass
方法二:
通过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
2.5【基本】失败登陆次数限制
配置项描述
应限制失败登陆次数不超过三次,终断会话
检查方法
方法一:
[edit]
user@host#showsystemloginretry-optionstries-before-disconnect
方法二:
通过WEB方式检查
操作步骤
方法一:
[editsystem]
user@host#setloginretry-optionstries-before-disconnect3
方法二:
通过WEB方式配置
回退操作
回退到原有的设置。
操作风险
低风险
2.6【基本】口令设置符合复杂度要求
配置项描述
口令设置符合复杂度要求,密码长度最少为8位,且包含大小写、数字和特殊符号中的至少4种。
检查方法
方法一:
user@host#showsystemloginpassword
方法二:
通过WEB方式检查
操作步骤
方法一:
口令必须包括字符集:
[editsystem]
user@ho
t#setloginpasswordchange-typecharacter-set
必须包括4中不同字符集(大写字母,小写字母,数字,标点符号和特殊字符)
user@host#setloginpasswordsminimum-changes4
口令最短8位
user@host#setloginpasswordsminimum-length8
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
中风险
2.7【基本】禁止root远程登录
配置项描述
Root为系统超级权限帐号,建议禁止远程。
检查方法
方法一:
[edit]user@host#showsystemservicesssh
方法二:
通过WEB方法检查
操作步骤
方法一:
[editsystem]user@host#setservicessshroot-logindeny
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
3.日志配置要求
3
3.1【基本】设置日志服务器
配置项描述
设置日志服务器,对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。
检查步骤
方法一:
[edit]
user@host#showsystemsyslog|match“host”|count
方法二:
通过WEB方式检查
操作步骤
方法一:
[editsystem]user@host#setsysloghost
方法二:
通过WEB进行配置
回退操作
恢复原有日志配置策略。
操作风险
建议对设备启用Logging的配置,并设置正确的syslog服务器,保存系统日志。
4.IP协议安全要求
4
4.1【基本】禁用Telnet方式访问系统
配置项描述
禁用Telnet方式访问系统。
检查方法
方法一:
[edit]
user@host#showsystemservices|matchtelnet
方法二:
通过WEB方法检查
操作步骤
方法一:
[editsystem]
user@host#deleteservicestelnet
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
4.2【基本】启用SSH方式访问系统
配置项描述
启用SSH方式访问系统,加密传输用户名、口令及数据信息,提高数据的传输安全性。
检查方法
方法一:
[edit]
user@host#showsystemservices|matchssh
方法二:
通过WEB方法检查
操作步骤
方法一:
[editsystem]
user@host#setservicesssh
启用SSH2
user@host#setservicessshprotocol-versionv2
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
4.3配置SSH安全机制
配置项描述
配置SSH安全机制,防制DOS攻击
检查方法
方法一:
[edit]
user@host#showsystemservices|matchssh
方法二:
通过WEB方法检查
操作步骤
方法一:
限制最大连接数为10:
[editsystem]user@host#setservicessshconnection-limit10
限制每秒最大会话数为4:
[editsystem]user@host#setservicessshrate-limit4
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
4.4【基本】修改SNMP服务的共同体字符串
配置项描述
修改SNMP服务的共同体字符串,避免攻击者采用穷举攻击对系统安全造成威胁。
检查方法
方法一:
[edit]
user@host#showsnmp|matchcommunity|match“public|private|admin|monitor|security”|count
方法二:
通过WEB方法检查
操作步骤
方法一:
[editsnmp]
user@host#renamecommunity
方法二:
通过WEB进行配置
回退操作
回退到原有的设置。
操作风险
低风险
5.服务配置要求
5
5.1【基本】配置NTP服务
配置项描述
启用防火墙的NTP设置,配置IP,口令等参数,在NTPServer之间开启认证功能。
检查方法
方法一:
[edit]
user@host#showsystemntp|matchserver|exceptboot-server|count
方法二:
通过WEB方法检查
操作步骤
配置NTP:
方法一:
[editsystem]
user@host#setntpserver
方法二:
通过WEB进行配置
回退操作
取消NTPServer的认证功能,或将密码设置为NULL。
操作风险
中风险
5.2【基本】关闭DHCP服务
配置项描述
禁用DHCP,避免攻击者通过向DHCP提供虚假MAC的攻击。
检查方法
方法一:
[edit]user@host#showsystemservices|matchdhcp
方法二:
通过WEB方法检查
操作步骤
方法一:
[editsystem]
user@host#deleteservicesdhcp
或:
[editsystem]user@host#deleteservicesdhcp-localserver
方法二:
通过WEB进行配置
回退操作
恢复DHCP服务。
操作风险
低风险
操作风险
低风险
5.3【基本】关闭FINGER服务
配置项描述
禁用finger服务,避免攻击者通过finger服务进行攻击。
检查方法
方法一:
[edit]user@host#showsystemservices|matchfinger
方法二:
通过WEB方式检查
操作步骤
方法一:
[editsystem]user@host#deleteservicesfinger
方法二:
通过WEB进行配置
回退操作
恢复finger服务。
操作风险
低风险
6.其它安全要求
6
6.1【基本】禁用Auxiliary端口
配置项描述
禁用不使用的端口,避免为攻击者提供攻击通道。
检查方法
方法一:
[edit]user@host#showsystemports
方法二:
通过WEB方式检查
操作步骤
方法一:
Auxiliary端口禁止
[editsystem]user@host#setportsauxiliarydisable
方法二:
通过WEB进行配置
回退操作
恢复端口原有配置。
操作风险
低风险,管理员需确认端口确实不需要使用
6.2【基本】配置设备名称
配置项描述
为设备配置合理的设备名称,以便识别
检查方法
方法一
[edit]user@host#showsystemhost-name
方法二:
通过WEB方式检查
操作步骤
方法一:
[editsystem]user@host#sethost-name
方法二:
通过WEB进行配置
回退操作
将超时设置恢复至初始值。
操作风险
低风险
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统安全 配置 技术规范 Juniper 防火墙