Juniper防火墙安全配置基线

本文格式为Word版，下载可任意编辑——Juniper防火墙安全配置基线

Juniper防火墙安全配置基线

Juniper防火墙安全配置基线

中国移动通信有限公司管理信息系统部

2023年04月

中国移动集团公司第1页共25页

Juniper防火墙安全配置基线

版本V2.0创立版本控制信息更新日期2023年4月更新人审批人备注：

1.若此文档需要日后更新，请创立人填写版本控制表格，否则删除版本控制表格。

中国移动集团公司第2页共25页

Juniper防火墙安全配置基线

目录

第1章概述1.41.5

目的1适用范围1适用版本1实施1例外条款1

第2章帐号管理、认证授权安全要求22.1

帐号管理2

用户帐号分派*2

2.1.2删除无关的帐号*32.1.3帐户登录超时*32.1.4帐户密码错误自动锁定*42.2口令52.2.1口令繁杂度要求52.3授权62.3.1远程维护的设备使用加密协议6

第3章日志及配置安全要求73.1

日志安全7

2.1.1

记录用户对设备的操作73.1.2开启记录NAT日志*73.1.3开启记录VPN日志*83.1.4配置记录流量日志93.1.5配置记录拒绝和丢弃报文规则的日志103.2告警配置要求103.2.1配置对防火墙本身的攻击或内部错误告警103.2.2配置TCP/IP协议网络层异常报文攻击告警113.2.3配置TCP/IP协议应用层异常攻击告警*123.3安全策略配置要求123.3.1访问规则列表最终一条必需是拒绝一切流量123.3.2配置访问规则应尽可能缩小范围133.3.3配置NAT地址转换*143.3.4隐蔽防火墙字符管理界面的bannner信息143.3.5关闭非必要服务153.4攻击防护配置要求163.4.1拒绝常见漏洞所对应端口或者服务的扫描163.4.2拒绝常见漏洞所对应端口或者服务的访问16

第4章4.1

IP协议安全要求18功能配置18

3.1.1

4.1.1使用SNMPV2c或者V3以上的版本对防火墙远程管理18

第3页共25页

中国移动集团公司

Juniper防火墙安全配置基线

第5章其他安全要求195.1

其他安全配置19

.2外网口地址关闭对ping包的回应*19对防火墙的管理地址做源地址限制20

第6章评审与修订21

中国移动集团公司第4页共25页

Juniper防火墙安全配置基线

第1章概述

1.1目的

本文档规定了中国移动管理信息系统部所维护管理的Juniper防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Juniper防火墙的安全配置。

1.2适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Juniper防火墙。

1.3适用版本

Juniper防火墙SRX系列防火墙。

1.4实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款

欲申请本标准的例外条款，申请人必需准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

中国移动集团公司第1页共25页

Juniper防火墙安全配置基线

第2章帐号管理、认证授权安全要求

2.1帐号管理2.1.1用户帐号分派*

安全基线项目名称安全基线编号安全基线项说明检测操作步骤用户帐号分派安全基线要求项SBL-SRX-02-01-01不同等级管理员分派不同帐号，避免帐号混用。1.参考配置操作进入配置模式Editwarning:Clusteringenabled;usingprivateeditwarning:uncommittedchangeswillbediscardedonexitEnteringconfigurationmodesetsystemloginuseruser1classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:setsystemloginuseruser2classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:commit2.补充操作说明前两个用户为建立的帐号,帐号的class有operator、read-only和super-user。基线符合性判定依据1.判定条件用配置中没有的用户名去登录，结果是不能登录。2.检测操作#showconfiguration|displayset|matchuser1setsystemloginuseruser1classread-onlysetsystemloginuseruser1authenticationencrypted-password\#showconfiguration|displayset|matchuser2setsystemloginuseruser2classread-only中国移动集团公司

第2页共25页

Juniper防火墙安全配置基线

setsystemloginuseruser2authenticationencrypted-password\3.补充说明无。备注防火墙系统本身就携带三种不同权限的帐号，需要手工检测。2.1.2删除无关的帐号*

安全基线项目名称安全基线编号安全基线项说明检测操作步骤无关的帐号安全基线要求项SBL-SRX-02-01-02应删除或锁定与设备运行、维护等工作无关的帐号。1.参考配置操作editdeletesystemloginuseruser12.补充操作说明基线符合性判定依据1.判定条件配置中用户信息被删除。2.检测操作>showconfiguration|displayset|matchuser1>3.补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3帐户登录超时*

安全基线项目名称帐户登录超时安全基线要求项中国移动集团公司第3页共25页

Juniper防火墙安全配置基线

安全基线编号安全基线项说明检测操作步骤SBL-SRX-02-01-03配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。1、参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据1.判定条件在超出设定时间后，用户自动登出设备。2.参考检测操作3.补充说明无。备注需要手工检查。2.1.4帐户密码错误自动锁定*

安全基线项目名称安全基线编号安全基线项说明检测操作步骤帐户密码错误自动锁定安全基线要求项SBL-SRX-02-01-04在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒1、参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据1.判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。中国移动集团公司

第4页共25页

Juniper防火墙安全配置基线

2.参考检测操作3.补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2口令

2.2.1口令繁杂度要求

安全基线项目名称安全基线编号安全基线项说明口令繁杂度要求安全基线要求项SBL-SRX-02-02-01防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特别符号四类中至少两类。且5次以内不得设置一致的口令。密码应至少每90天进行更换。检测操作步骤1.参考配置操作setsystemauthentication-ordertacplussetsystemauthentication-orderpasswordsetsystemtacplus-serversecret\setsystemtacplus-serversource-address2.补充操作说明口令字符不完全符合要求。基线符合性判定依据1.判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2.检测操作此项无法通过配置实现，建议通过管理实现。3.补充说明无。中国移动集团公司第5页共25页

Juniper防火墙安全配置基线

备注

2.3授权

2.3.1远程维护的设备使用加密协议

安全基线项目名称安全基线编号安全基线项说明检测操作步骤远程维护使用加密协议安全基线要求项SBL-SRX-02-03-01对于防火墙远程管理的配置，必需是基于加密的协议。如SSH或者WEBSSL，假使只允许从防火墙内部进行管理，应当限定管理IP。1.参考配置操作系统默认支持telnet及SSH两种管理方式，查看及增加管理IP操作如下：setsystemservicessshprotocol-versionv2setsecurityzonessecurity-zonetestinterfacesge-0/0/0.0host-inbound-trafficsystem-servicesssh2.补充操作说明基线符合性判定依据1.判定条件查看是否启用SSH连接。2.检测操作showinterfacesge-0/0/0.0……Security:Zone:testAllowedhost-inboundtraffic:dhcphttppingsnmpsshtelnet3.补充说明无。备注中国移动集团公司第6页共25页

Juniper防火墙安全配置基线

第3章日志及配置安全要求

3.1日志安全

3.1.1记录用户对设备的操作

安全基线项目名称安全基线编号安全基线项说明检测操作步骤用户对设备记录安全基线要求项SBL-SRX-03-01-01配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。1．参考配置操作setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．补充操作说明在启动日志记录的状况下，JunOS会记录相关的日志，无需额外配置。基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用showconfigurationsystemsyslog检查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages备注3.1.2开启记录NAT日志*

安全基线项目名称开启记录NAT日志安全基线要求项中国移动集团公司第7页共25页

Juniper防火墙安全配置基线

安全基线编号安全基线项说明检测操作步骤SBL-SRX-03-01-02开启记录NAT日志，记录转换前后IP地址的对应关系。1．参考配置操作I.启动日志记录setsystemsyslogfileFW-LOGSuserinfosetsystemsyslogfileFW-LOGSmatchRT_FLOWsetsystemsyslogfileFW-LOGSarchivesize1msetsystemsyslogfileFW-LOGSarchivefiles3setsystemsyslogfileFW-LOGSstructured-databrief2．补充操作说明无。基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用showlogFW-LOGS检查:fileFW-LOGS{userinfo;matchRT_FLOW;archivesize1mfiles3;structured-data{brief;}}showlogFW-LOGSd备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.3开启记录VPN日志*

安全基线项目名称安全基线编号安全基线项说明检测操作步开启记录VPN日志安全基线要求项SBL-SRX-03-01-03开启记录VPN日志，记录VPN访问登陆、退出等信息。1．参考配置操作

第8页共25页

中国移动集团公司

Juniper防火墙安全配置基线

骤showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}2．补充操作说明在启动日志记录的状况下，JunOS会记录VPN的日志，无需额外配置。基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用showconfigurationsystemsyslogshowlogging检查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.4配置记录流量日志

安全基线项目名称安全基线编号安全基线项说明检测操作步骤配置记录流量日志安全基线要求项SBL-SRX-03-01-04配置记录流量日志，记录通过防火墙的网络连接的信息。1．参考配置操作PIX防火墙上无流量日志。网络连接日志通过只需要启动日志记录setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch\2．补充操作说明可以通过showlogtraffic-log来检查连接状况。基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作中国移动集团公司

第9页共25页

Juniper防火墙安全配置基线

使用showlogtraffic-log检查:showlogtraffic-log备注3.1.5配置记录拒绝和丢弃报文规则的日志

安全基线项目名称安全基线编号安全基线项说明检测操作步骤配置记录拒绝和丢弃报文规则的日志安全基线要求项SBL-SRX-03-01-05配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。1．参考配置操作JunOS防火墙自动将在访问控制列表（access-list）中拒绝（deny）的数据包生成syslog信息。只需要启动日志记录setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch\2．补充操作说明使用showlogtraffic-log检查:showlogtraffic-log基线符合性判定依据备注3.2告警配置要求

3.2.1配置对防火墙本身的攻击或内部错误告警

安全基线项目名称安全基线编号安全基线项说明检测操作步骤配置对防火墙本身的攻击或内部错误告警安全基线要求项SBL-SRX-03-02-01配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。1．参考配置操作I.启动日志记录setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfo

第10页共25页

中国移动集团公司

Juniper防火墙安全配置基线

setsystemsyslogfilemessagesarchivesize10m2．补充操作说明基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用showlogmessages检查:showlogmessages备注3.2.2配置TCP/IP协议网络层异常报文攻击告警

安全基线项目名称安全基线编号安全基线项说明检测操作步骤配置TCP/IP协议网络层异常报文攻击告警安全基线要求项SBL-SRX-03-02-02配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。1．参考配置操作I.启动日志记录setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．补充操作说明基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用showlogmessages检查:showlogmessages备注中国移动集团公司第11页共25页

Juniper防火墙安全配置基线

3.2.3配置TCP/IP协议应用层异常攻击告警*

安全基线项目名称安全基线编号安全基线项说明检测操作步骤置TCP/IP协议应用层异常攻击告警安全基线要求项SBL-SRX-03-02-03配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警。1．参考配置操作I.启动日志记录setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．补充操作说明基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用showlogmessages检查:showlogmessages备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3安全策略配置要求

3.3.1访问规则列表最终一条必需是拒绝一切流量

安全基线项目名称安全基线编号安全基线项说明检测操作步骤访问规则列表最终一条必需是拒绝一切流量安全基线要求项SBL-SRX-03-03-01防火墙在配置访问规则列表时，最终一条必需是拒绝一切流量。1．参考配置操作JunOS防火墙策略，没有开放策略，默认就是拒绝一切流量，只允许已经开发了策略的流量通过。在设置最终一条规则时，配置规则：2．补充操作说明不需要做设置基线符合性判定依据1.判定条件中国移动集团公司第12页共25页

Juniper防火墙安全配置基线

只需要检查permit的策略2.检测操作无备注3.3.2配置访问规则应尽可能缩小范围

安全基线项目名称安全基线编号安全基线项说明检测操作步骤配置访问规则应尽可能缩小范围安全基线要求项SBL-SRX-03-03-02在配置访问规则时，源地址，目的地址，服务或端口的范围必需以实际访问需求为前提，尽可能的缩小范围。阻止源到目的全部允许规则。阻止目的地址及服务全允许规则，阻止全服务访问规则。1．参考配置操作定义源地址，定义目的地址，定义源端口号，定义目的端口号setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setapplicationsapplicationtcp_80protocoltcpsetapplicationsapplicationtcp_80source-port0-65535destination-port80-80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchsource-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchdestination-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchapplicationtcp_80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestthenpermit2．补充操作说明基线符合性判定依据1.判定条件检查配置2.检测操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytest备注中国移动集团公司第13页共25页

Juniper防火墙安全配置基线

3.3.3配置NAT地址转换*

安全基线项目名称安全基线编号安全基线项说明检测操作步骤配置NAT地址转换安全基线要求项SBL-SRX-03-03-03配置NAT地址转换，对互联网隐蔽内网主机的实际地址。1．参考配置操作I.配置防火墙使用静态地址转换setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrulenumbermatchdestination-addressdestination-ip_addresssetsecuritynatstaticrule-setMIPrulenumberthenstatic-natprefixsource-ip_address2．补充操作说明基线符合性判定依据1.判定条件配置中有nat或者static的内容2.检测操作使用setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrule1matchdestination-address/32setsecuritynatstaticrule-setMIPrule1thenstatic-natprefix/32showsecuritynatstaticrule1备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.4隐蔽防火墙字符管理界面的bannner信息

安全基线项目名称安全基线编号安全基线项说明检测操作步隐蔽防火墙字符管理界面的bannner信息安全基线要求项SBL-SRX-03-03-04隐蔽防火墙字符管理界面的bannner信息。1．参考配置操作中国移动集团公司第14页共25页

Juniper防火墙安全配置基线

骤I.配置登陆banner信息editsetsystemloginmessage2．补充操作说明基线符合性判定依据1.判定条件配置中有banner的内容2.检测操作使用showrunning-configbanner[exec|login|motd]，如下例：setsystemloginmessage\fromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!\showconfigurationsystemloginmessagemessage\fromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!\备注3.3.5关闭非必要服务

安全基线项目名称安全基线编号安全基线项说明检测操作步骤关闭非必要服务安全基线要求项SBL-SRX-03-03-05防火墙设备必需关闭非必要服务。1．参考配置操作关闭HTTP服务器editdeletesystemservicesweb-management2．补充操作说明基线符合性判定依据1.判定条件检查配置中是否关闭对应服务2.检测操作使用showconfigurationsystemservices查看服务开发状态备注中国移动集团公司第15页共25页

Juniper防火墙安全配置基线

3.4攻击防护配置要求

3.4.1拒绝常见漏洞所对应端口或者服务的扫描

安全基线项目名称安全基线编号安全基线项说明检测操作步骤拒绝常见漏洞所对应端口或者服务的访问安全基线要求项SBL-SRX-03-04-01配置防火墙的screen功能，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。1．参考配置操作setsecurityscreenids-optionuntrust-screenlimit-sessionsource-ip-based1000setsecurityscreenids-optionuntrust-screenlimit-sessiondestination-ip-based60000setsecurityscreenids-optionuntust-screenicmpip-sweepsetsecurityscreenids-optionuntust-screenicmpfloodsetsecurityscreenids-optionuntust-screenicmpping-deathsetsecurityscreenids-optionuntust-screeniptear-dropsetsecurityscreenids-optionuntust-screentcptcp-no-flagsetsecurityscreenids-optionuntust-screentcpsyn-fragsetsecurityscreenids-optionuntust-screentcpport-scansetsecurityscreenids-optionuntust-screentcpsyn-floodsetsecurityscreenids-optionuntust-screentcplandsetsecurityscreenids-optionuntust-screentcpwinnukesetsecurityscreenids-optionuntust-screenudpfloodsetsecurityzonessecurity-zoneuntrustscreenuntrust-screen2．补充操作说明应根据实际状况调整。基线符合性判定依据1.判定条件检查配置文件2.检测操作使用命令showsecurityscreenstatisticszoneuntrust备注3.4.2拒绝常见漏洞所对应端口或者服务的访问

安全基线项目名称拒绝常见漏洞所对应端口或者服务的访问中国移动集团公司第16页共25页

Juniper防火墙安全配置基线

安全基线编号安全基线项说明检测操作步骤SBL-SRX-03-04-02拒绝常见漏洞所对应端口或者服务的访问。1．参考配置操作配置防火墙策略，屏蔽一些端口。setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1521setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1433setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshthenreject2．补充操作说明基线符合性判定依据1.判定条件检查配置中是否有verifyreverse-path2.检测操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-ssh备注中国移动集团公司第17页共25页

Juniper防火墙安全配置基线

第4章IP协议安全要求

4.1功能配置

4.1.1使用SNMPV2c或者V3以上的版本对防火墙远程管理

安全基线项目名称安全基线编号安全基线项说明检测操作步骤使用SNMPV2C或者V3以上的版本对防火墙远程管理安全基线要求项SBL-SRX-04-01-01使用SNMPV3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(CommunityName)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。1．参考配置操作配置snmp远程管理的版本setsnmpnametest-junossetsnmpcommunitytestauthorizationread-onlysetsnmpcommunitytestclients/32setsnmpcommuni