系统安全配置技术规范-Juniper防火墙

系统安全配置技术规范—Juniper防火墙版本V0。9日期2013-06-03文档编号文档发布文档说明（一)变更信息版本号 变更日期 变更者 变更理由/变更内容 备注（二）文档审核人姓名 职位 签名 日期目录1.适用范围22.帐号管理与授权22.1【基本】删除与工作无关的帐号22.2【基本】建立用户帐号分类22。3【基本】配置登录超时时间32.4【基本】允许登录的帐号42。5【基本】失败登陆次数限制42。6【基本】口令设置符合复杂度要求42.7【基本】禁止ROOT远程登录53.日志配置要求63。1【基本】设置日志服务器64。IP协议安全要求64。1【基本】禁用TELNET方式访问系统64。2【基本】启用SSH方式访问系统74。3配置SSH安全机制74.4【基本】修改SNMP服务的共同体字符串8感谢阅读5。服务配置要求85。1【基本】配置NTP服务85。2【基本】关闭DHCP服务95.3【基本】关闭FINGER服务96。其它安全要求106。1【基本】禁用AUXILIARY端口106。2【基本】配置设备名称10适用范围如无特殊说明，本规范所有配置项适用于Juniper防火墙JUNOS8.x/9.x/谢谢阅读10。x版本.其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要谢谢阅读求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。谢谢阅读帐号管理与授权1.1【基本】删除与工作无关的帐号配置项描述检查方法操作步骤回退操作操作风险

通过防火墙帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别.谢谢阅读方法一：[edit]showconfigurationsystemlogin感谢阅读方法二:通过WEB方式检查方法一：[editsystemlogin]deletesystemloginuserabc3精品文档放心下载abc3是与工作无关的用户帐号方法二：通过WEB方法配置回退到原有的设置。低风险1.2【基本】建立用户帐号分类配置项描述 通过防火墙用户帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限感谢阅读2检查方法操作步骤回退操作操作风险

等类别。方法一：[edit]user@host＃showsystemlogin|match“class。*；”｜count感谢阅读方法二：通过WEB方式检查将用户账号分配到相应的用户级别:setsystemloginuserabc1classread-only谢谢阅读setsystemloginuserabc2classABC1谢谢阅读setsystemloginuserabc3classsuper—user谢谢阅读方法一:[editsystemlogin］user@host#setuser〈username〉class〈classname>感谢阅读方法二：通过WEB方式配置回退到原有的设置.低风险1.3【基本】配置登录超时时间配置项描述配置所有帐号登录超时限制方法一：[edit］user＠host#showsystemlogin|match“idle—timeout［0—9］｜检查方法le—timeout1[0—5］”｜count方法二：通过WEB方式检查方法一：[editsystemlogin]操作步骤user＠host＃setclass<classname>idle-timeout15建议超时时间限制为15分钟方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险31.4【基本】允许登录的帐号配置项描述 配置允许登录的帐号类别方法一:检查方法操作步骤

[edit］user@host＃showsystemlogin|match“ermissions"｜count精品文档放心下载方法二:通过WEB方式检查方法一：editsystemlogin］user@host#setclass<classname〉permissions<permissionorlistofpermissions〉感谢阅读方法二：通过WEB方式配置回退操作 回退到原有的设置。操作风险 低风险1.5【基本】失败登陆次数限制配置项描述 应限制失败登陆次数不超过三次，终断会话方法一：感谢阅读[edit］user@host#showsystemloginretry—optionstries—before-disconnect精品文档放心下载检查方法方法二:通过WEB方式检查方法一：[editsystem］操作步骤 user＠host#setloginretry-optionstries-before-disconnect3感谢阅读方法二：通过WEB方式配置回退操作 回退到原有的设置。操作风险 低风险1.6【基本】口令设置符合复杂度要求口令设置符合复杂度要求，密码长度最少为8位,且包含大小写、数字和特精品文档放心下载配置项描述殊符号中的至少4种。4方法一：检查方法user@host#showsystemloginpassword方法二：通过WEB方式检查方法一：口令必须包括字符集：［editsystem］user＠hot#setloginpasswordchange—typecharacter—set操作步骤必须包括4中不同字符集（大写字母，小写字母，数字，标点符号和特殊字符）user＠host#setloginpasswordsminimum-changes4口令最短8位user@host＃setloginpasswordsminimum—length8方法二：通过WEB进行配置回退操作回退到原有的设置.操作风险中风险1.7【基本】禁止root远程登录配置项描述Root为系统超级权限帐号，建议禁止远程。方法一：检查方法[edit]user＠host#showsystemservicesssh方法二：通过WEB方法检查方法一：操作步骤[editsystem]user@host＃setservicessshroot-logindeny方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险5日志配置要求1.8【基本】设置日志服务器设置日志服务器，对网络系统中的设备运行状况、网络流量、用户行为等进谢谢阅读配置项描述行日志记录.方法一：［edit]检查步骤 user@host＃showsystemsyslog｜match“host”｜count精品文档放心下载操作步骤

方法二：通过WEB方式检查方法一：［editsystem]user@host＃setsysloghost〈SYSLOG_SERVER〉<FACILITY〉<SEVERITY>精品文档放心下载方法二:通过WEB进行配置回退操作 恢复原有日志配置策略。操作风险 建议对设备启用Logging的配置，并设置正确的syslog服务器，保存系统日志.精品文档放心下载IP协议安全要求1.9【基本】禁用Telnet方式访问系统配置项描述 禁用Telnet方式访问系统。方法一：[edit］检查方法 user＠host#showsystemservices｜matchtelnet感谢阅读方法二：通过WEB方法检查方法一：［editsystem］操作步骤 user＠host＃deleteservicestelnet谢谢阅读方法二：通过WEB进行配置6回退操作 回退到原有的设置。操作风险 低风险1.10【基本】启用SSH方式访问系统配置项描述启用SSH方式访问系统，加密传输用户名、口令及数据信息，提高数据的传输安全性。方法一：[edit]检查方法user＠host#showsystemservices|matchssh方法二：通过WEB方法检查方法一：［editsystem］user＠host＃setservicesssh操作步骤启用SSH2user@host＃setservicessshprotocol—versionv2方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险1.11配置SSH安全机制配置项描述 配置SSH安全机制,防制DOS攻击谢谢阅读方法一：［edit］检查方法 user@host#showsystemservices｜matchssh精品文档放心下载方法二:通过WEB方法检查方法一：限制最大连接数为10:［editsystem]user＠host＃setservicessshconnection-limit10操作步骤限制每秒最大会话数为4：感谢阅读［editsystem］user＠host#setservicessshrate-limit4谢谢阅读方法二：通过WEB进行配置7回退操作 回退到原有的设置。操作风险 低风险1.12【基本】修改SNMP服务的共同体字符串配置项描述修改SNMP服务的共同体字符串，避免攻击者采用穷举攻击对系统安全造成威胁。方法一:［edit]检查方法user＠host#showsnmp｜matchcommunity｜match“public|private｜admin|monitor｜security”|count方法二:通过WEB方法检查方法一：[editsnmp］操作步骤user＠host＃renamecommunity〈oldcommunity>tocommunity<newcommunity〉方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险服务配置要求1.13【基本】配置NTP服务启用防火墙的NTP设置，配置IP，口令等参数，在NTPServer之间开启认证精品文档放心下载配置项描述功能。方法一：[edit]检查方法 user＠host#showsystemntp｜matchserver|exceptboot—server|count感谢阅读方法二:通过WEB方法检查配置NTP:操作步骤 方法一:［editsystem］user＠host＃setntpserver<ServersIP>key〈keyID〉version4谢谢阅读8方法二：通过WEB进行配置回退操作 取消NTPServer的认证功能，或将密码设置为NULL。谢谢阅读操作风险 中风险1.14【基本】关闭DHCP服务配置项描述 禁用DHCP，避免攻击者通过向DHCP提供虚假MAC的攻击。感谢阅读方法一：［edit］user＠host#showsystemservices｜matchdhcp精品文档放心下载检查方法方法二:通过WEB方法检查方法一：［editsystem］user＠host＃deleteservicesdhcp感谢阅读操作步骤 或:[editsystem]user@host＃deleteservicesdhcp-localserver精品文档放心下载方法二：通过WEB进行配置回退操作 恢复DHCP服务。操作风险 低风险操作风险 低风险1.15【基本】关闭FINGER服务配置项描述 禁用finger服务,避免攻击者通过finger服务进行攻击。精品文档放心下载方法一：［edit］user@host＃showsystemservices｜matchfinger感谢阅读检查方法方法二：通过WEB方式检查方法一:[editsystem］user＠host＃deleteservicesfinger精品文档放心下载操作步骤方法二：通过WEB进行配置回退操作 恢复finger服务。操作风险 低风险9其它安全要求1.16【基本】禁用Auxiliary端口配置项描述禁用不使用的端口，避免为攻击者提供攻击通道。感谢阅读方法一：［edit]user@host#showsystemports精品文档放心下载检查方法方法二：通过WEB方式检查方法一：Auxiliary端口禁止操作步骤 [editsystem］user＠host＃setportsaux